AWSSupport-TroubleshootRDSIAMAuthentication - AWS Systems Manager 자동화 런북 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSSupport-TroubleshootRDSIAMAuthentication

설명

이는 Postgre용 Amazon, My용 Amazon, RDS RDS MariaDB용 SQL Amazon, Amazon RDS Aurora Postgre 및 SQL Amazon Aurora My 인스턴스에 대한 AWS Identity and Access Management (IAM) 인증 문제를 해결하는 AWSSupport-TroubleshootRDSIAMAuthentication 데 도움이 됩니다. SQL SQL 이 런북을 사용하여 Amazon RDS 인스턴스 또는 Aurora IAM 클러스터를 사용한 인증에 필요한 구성을 확인할 수 있습니다. 또한 Amazon RDS 인스턴스 또는 Aurora 클러스터에 대한 연결 문제를 해결하는 단계를 제공합니다.

중요

이 런북은 RDS 오라클용 아마존 또는 마이크로소프트 RDS SQL 서버용 아마존을 지원하지 않습니다.

중요

소스 Amazon EC2 인스턴스가 제공되고 대상 데이터베이스가 RDS Amazon인 경우 연결 문제를 해결하기 TCP 위해 하위 자동화가 AWSSupport-TroubleshootConnectivityToRDS 호출됩니다. 또한 출력에는 IAM 인증을 사용하여 Amazon 인스턴스에 연결하기 위해 Amazon EC2 인스턴스 또는 소스 머신에서 실행할 수 있는 명령도 제공됩니다. RDS

어떻게 작동하나요?

이 런북은 6단계로 구성되어 있습니다.

  • 1단계validateInputs: 자동화에 대한 입력을 검증합니다.

  • 2단계 branchOnSourceEC2Provided: 입력 파라미터에 원본 Amazon EC2 인스턴스 ID가 제공되었는지 확인합니다.

  • 3단계validateRDSConnectivity: 소스 Amazon EC2 인스턴스로부터 Amazon RDS 연결을 검증합니다 (제공된 경우).

  • 4단계validateRDSIAMAuthentication: IAM 인증 기능이 활성화되었는지 확인합니다.

  • 5단계validateIAMPolicies: 제공된 IAM 사용자/역할에 필요한 IAM 권한이 있는지 확인합니다.

  • 6단계generateReport: 이전에 실행한 단계의 결과 보고서를 생성합니다.

이 자동화 실행(콘솔)

문서 유형

자동화

소유자

Amazon

플랫폼

Linux

Parameters

  • AutomationAssumeRole

    유형: 문자열

    설명: (선택 사항) Systems Manager Automation이 사용자를 대신하여 작업을 수행할 수 있도록 하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름 (). ARN 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

  • RDSType

    유형: 문자열

    설명: (필수): 연결 및 인증하려는 관계형 데이터베이스 유형을 선택합니다.

    허용된 값: 또는 Amazon RDS Amazon Aurora Cluster.

  • DBInstanceIdentifier

    유형: 문자열

    설명: (필수) 대상 Amazon RDS 데이터베이스 인스턴스 또는 Aurora 데이터베이스 클러스터의 식별자입니다.

    허용된 패턴: ^[A-Za-z0-9]+(-[A-Za-z0-9]+)*$

    최대 문자 수: 63자

  • SourceEc2 InstanceIdentifier

    유형: AWS::EC2::Instance::Id

    설명: (선택 사항) 동일한 계정 및 지역에서 실행되는 Amazon EC2 인스턴스에서 Amazon RDS 데이터베이스 인스턴스에 연결하는 경우 Amazon EC2 인스턴스 ID입니다. 원본이 Amazon EC2 인스턴스가 아니거나 대상 Amazon RDS 유형이 Aurora 데이터베이스 클러스터인 경우에는 이 파라미터를 지정하지 마십시오.

    기본값: ""

  • DBIAMRoleName

    유형: 문자열

    설명: (선택 사항) IAM 기반 인증에 사용되는 IAM 역할 이름입니다. 매개 변수가 DBIAMUserName 제공되지 않은 경우에만 제공하고, 그렇지 않으면 비워 두십시오. DBIAMRoleName또는 를 DBIAMUserName 제공해야 합니다.

    허용된 패턴: ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    최대 문자 수: 64자

    기본값: ""

  • DBIAMUserName

    유형: 문자열

    설명: (선택 사항) IAM 기반 인증에 사용되는 IAM 사용자 이름입니다. DBIAMRoleName매개 변수가 제공되지 않은 경우에만 제공하고, 그렇지 않으면 비워 두십시오. DBIAMRoleName또는 를 DBIAMUserName 제공해야 합니다.

    허용된 패턴: ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    최대 문자 수: 64자

    기본값: ""

  • DBUserName

    유형: 문자열

    설명: (선택 사항) 데이터베이스 내 IAM 기반 인증을 위해 IAM 역할/사용자에 매핑되는 데이터베이스 사용자 이름입니다. 기본 옵션은 데이터베이스의 모든 사용자에게 rds-db:connect 권한이 허용되는지 여부를 * 평가합니다.

    허용된 패턴: ^[a-zA-Z0-9+=,.@*_-]{1,64}$

    최대 문자 수: 64자

    기본값: *

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ec2:DescribeInstances

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAttachedRolePolicies

  • iam:ListAttachedUserPolicies

  • iam:ListRolePolicies

  • iam:ListUserPolicies

  • iam:SimulatePrincipalPolicy

  • rds:DescribeDBClusters

  • rds:DescribeDBInstances

  • ssm:DescribeAutomationStepExecutions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

지침

  1. roubleshootRDSIAMAuthentication AWS Systems Manager 콘솔에서 AWSSupport-T로 이동합니다.

  2. 자동화 실행을 선택합니다.

  3. 입력 파라미터에 다음을 입력합니다.

    • AutomationAssumeRole(선택 사항):

      Systems Manager Automation이 사용자를 대신하여 작업을 수행할 수 있게 해주는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름 (). ARN 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

    • RDSType(필수):

      연결하고 RDS 인증하려는 Amazon 유형을 선택합니다. 허용되는 두 값 중에서 선택하십시오. Amazon RDS 또는 Amazon Aurora Cluster.

    • DBInstanceIdentifier(필수):

      연결하려는 대상 Amazon RDS 데이터베이스 인스턴스 또는 Aurora 클러스터의 식별자를 입력하고 IAM 자격 증명을 인증에 사용합니다.

    • SourceEc2 InstanceIdentifier (선택 사항):

      동일한 계정 및 지역에 있는 Amazon EC2 RDS 인스턴스에서 Amazon 데이터베이스 인스턴스에 연결하는 경우 Amazon EC2 인스턴스 ID를 제공하십시오. 소스가 Amazon이 EC2 아니거나 대상 Amazon RDS 유형이 Aurora 클러스터인 경우 공란으로 두십시오.

    • DBIAMRoleName(선택 사항):

      IAM기반 인증에 사용되는 IAM 역할 이름을 입력합니다. 제공되지 않은 경우에만 DBIAMUserName 입력하고, 그렇지 않으면 비워 두십시오. DBIAMRoleName둘 중 하나를 DBIAMUserName 제공해야 합니다.

    • DBIAMUserName(선택 사항):

      IAM기반 인증에 사용되는 IAM 사용자를 입력합니다. 제공되지 않은 경우에만 DBIAMRoleName 입력하고, 그렇지 않으면 비워 두십시오. 둘 중 하나를 DBIAMRoleName DBIAMUserName 입력하거나 입력해야 합니다.

    • DBUserName(선택 사항):

      데이터베이스 내 IAM 기반 인증을 위해 IAM 역할/사용자에 매핑된 데이터베이스 사용자를 입력합니다. 평가에는 기본 옵션이 * 사용되며 이 필드에는 아무 것도 제공되지 않습니다.

  4. 실행을 선택합니다.

  5. 자동화가 시작되는 것을 알 수 있습니다.

  6. 문서는 다음 단계를 수행합니다.

    • 1단계: validateInputs

      자동화에 대한 입력 SourceEC2InstanceIdentifier (선택 사항)ClusterID, DBInstanceIdentifier 또는 또는 또는 를 검증합니다DBIAMRoleName. DBIAMUserName 입력한 입력 매개변수가 계정 및 지역에 있는지 확인합니다. 또한 사용자가 IAM 매개변수 중 하나 (예: DBIAMRoleName 또는DBIAMUserName) 를 입력했는지도 확인합니다. 또한 언급된 데이터베이스가 Available 상태인지 여부와 같은 다른 확인도 수행합니다.

    • 2단계: branchOnSource EC2Provided

      입력 매개변수에 소스 EC2 Amazon이 제공되고 데이터베이스가 RDS Amazon인지 확인합니다. 그렇다면 3단계로 진행합니다. 그렇지 않은 경우 Amazon EC2 -Amazon RDS 연결 검증인 3단계를 건너뛰고 4단계로 진행합니다.

    • 3단계: validateRDSConnectivity

      입력 매개변수에 소스 EC2 Amazon이 제공되고 데이터베이스가 RDS Amazon인 경우 2단계에서 3단계가 시작됩니다. 이 단계에서는 하위 자동화를 AWSSupport-TroubleshootConnectivityToRDS 호출하여 소스 Amazon의 Amazon RDS 연결을 확인합니다. EC2 하위 자동화 런북은 Amazon 인스턴스에서 Amazon EC2 인스턴스로 연결할 수 있도록 필요한 네트워크 구성 (Amazon Virtual Private Cloud [Amazon VPCNACL], 보안 그룹, 네트워크 액세스 제어 목록 [], Amazon RDS 가용성) 이 제대로 되어 있는지 AWSSupport-TroubleshootConnectivityToRDS 확인합니다. RDS

    • 4단계: validateRDSIAMAuthentication

      Amazon RDS 인스턴스 또는 Aurora 클러스터에서 IAM 인증 기능이 활성화되었는지 검증합니다.

    • 5단계: validateIAMPolicies

      지정된 데이터베이스 사용자 (있는 경우) 의 Amazon RDS 인스턴스에 IAM 자격 증명을 인증할 수 있도록 전달된 IAM 사용자/역할에 필요한 IAM 권한이 있는지 확인합니다.

    • 6단계: generateReport

      이전 단계에서 모든 정보를 가져와 각 단계의 결과 또는 출력을 인쇄합니다. 또한 IAM 자격 증명을 사용하여 Amazon RDS 인스턴스에 연결하기 위해 참조하고 수행할 단계를 나열합니다.

  7. 자동화가 완료되면 출력 섹션에서 자세한 결과를 검토하십시오.

    • 데이터베이스에 연결하기 위한 IAM 사용자/역할 권한 확인:

      지정된 데이터베이스 사용자 (있는 경우) 의 Amazon RDS 인스턴스에 IAM 자격 증명을 인증할 수 있도록 전달된 IAM 사용자/역할에 필요한 IAM 권한이 있는지 확인합니다.

    • 데이터베이스의 검사 IAM 기반 인증 속성:

      지정된 Amazon RDS 데이터베이스/Aurora IAM 클러스터에 인증 기능이 활성화되어 있는지 확인합니다.

    • Amazon 인스턴스에서 Amazon EC2 인스턴스로의 연결 확인: RDS

      Amazon 인스턴스에서 Amazon EC2 인스턴스로 연결할 수 있도록 필요한 네트워크 구성 (Amazon VPCNACL, 보안 그룹, Amazon RDS 가용성) 이 마련되어 있는지 확인합니다. RDS

    • 다음 단계:

      IAM자격 증명을 사용하여 Amazon RDS 인스턴스에 연결하기 위해 참조하고 수행할 명령과 단계를 나열합니다.

참조

Systems Manager Automation