AWS KMS 리소스에 액세스할 수 있는 IAM 정책 생성

Aurora는 데이터베이스 백업 암호화에 사용되는 AWS KMS keys에 액세스할 수 있습니다. 하지만 Aurora에서 KMS 키에 액세스하도록 허용하는 IAM 정책을 먼저 생성해야 합니다.

아래 정책은 이 사용자를 대신하여 Aurora에서 KMS 키에 액세스하는 데 필요한 권한을 추가합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:<region>:<123456789012>:key/<key-ID>"
        }
    ]
}

다음 단계를 사용하여 사용자 대신 Aurora에서 KMS 키에 액세스하는 데 필요한 최소 권한을 제공하는 IAM 정책을 생성할 수 있습니다.

KMS 키에 대한 액세스 권한을 부여하는 IAM 정책 생성

IAM 콘솔을 엽니다.
탐색 창에서 정책을 선택합니다.
[Create policy]를 선택합니다.
Visual editor(시각적 편집기) 탭에서 Choose a service(서비스 선택)를 선택한 다음 KMS를 선택합니다.
작업에서 Write(쓰기)를 선택한 후 Decrypt(암호 해독)를 선택합니다.
[Resources]를 선택하고 [Add ARN]를 선택합니다.
[Add ARN(s)] 대화 상자에서 다음 값을 입력합니다.
- 리전 - us-west-2와 같은 AWS 리전을 입력합니다.
- 계정 – 사용자 계정 번호를 입력하십시오.
- 로그 스트림 이름 – KMS 키 식별자를 입력합니다.
[Add ARN(s)] 대화 상자에서 [Add]를 선택합니다.
Review policy(정책 검토)를 선택합니다.
[ Name]을 IAM 정책의 이름으로 설정합니다(예: AmazonRDSKMSKey). IAM 역할을 만들어 Aurora DB 클러스터와 연결할 때 이 이름을 사용합니다. Description 값(선택 사항)을 추가할 수도 있습니다.
[Create policy]를 선택합니다.
Amazon Aurora에서 AWS 서비스에 액세스하도록 허용하는 IAM 역할 생성의 단계를 수행합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

CloudWatch Logs에 액세스할 수 있는 IAM 정책 생성

AWS 서비스에 액세스할 수 있는 IAM 역할 생성