기본 백업 및 복원 설정
기본 백업 및 복원을 설정하려면 다음 세 가지 구성 요소가 필요합니다.
-
백업 파일을 저장할 Amazon S3 버킷.
백업 파일에 사용한 후 RDS로 마이그레이션하려는 백업을 업로드할 S3 버킷이 있어야 합니다. 이미 Amazon S3 버킷이 있으면 그 버킷을 사용하면 됩니다. 없는 경우 버킷을 생성할 수 있습니다. 또는
SQLSERVER_BACKUP_RESTORE
을 사용하여 AWS Management Console 옵션을 추가할 때 새 버킷이 생성되도록 선택할 수도 있습니다.S3 사용에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서를 참조하세요.
-
버킷에 액세스하기 위한 AWS Identity and Access Management(IAM) 역할.
이미 IAM 역할이 있으면 그 역할을 사용하면 됩니다. AWS Management Console을 사용하여
SQLSERVER_BACKUP_RESTORE
옵션을 추가할 때 새 IAM 역할이 생성되도록 선택할 수도 있습니다. 또는 수동으로 역할을 새로 만들 수 있습니다.수동으로 새 IAM 역할을 만들려면 다음 단원에서 설명하는 방법을 사용하십시오. 기존 IAM 역할에 신뢰 관계와 권한 정책을 연결하려는 경우에도 동일한 작업을 수행합니다.
-
DB 인스턴스의 옵션 그룹에
SQLSERVER_BACKUP_RESTORE
옵션 추가.DB 인스턴스에서 기본 백업 및 복원을 활성화하려면 DB 인스턴스의 옵션 그룹에
SQLSERVER_BACKUP_RESTORE
옵션을 추가합니다. 자세한 정보와 지침은 SQL Server에서 기본 백업 및 복원 지원 단원을 참조하십시오.
기본 백업 및 복원을 위한 IAM 역할 수동으로 만들기
기본 백업 및 복원에 사용할 새 IAM 역할을 수동으로 생성할 수 있습니다. 이 경우 Amazon RDS 서비스에서 Amazon S3 버킷으로 권한을 위임하는 역할을 생성합니다. IAM 역할을 만들 때 신뢰 관계와 권한 정책을 연결합니다. 신뢰 관계를 통해 RDS가 이 역할을 맡도록 허용합니다. 권한 정책은 이 역할이 수행할 수 있는 작업을 정의합니다. 역할을 만드는 방법에 대한 자세한 내용은 AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하세요.
기본 백업 및 복원 기능의 경우, 이 단원의 예제와 비슷한 신뢰 관계 및 권한 정책을 사용합니다. 다음 예제에서는 서비스 보안 주체 이름 rds.amazonaws.com
을 모든 서비스 계정의 별칭으로 사용합니다. 다른 예에서는 신뢰 정책에서 액세스 권한을 부여할 다른 계정, 사용자, 역할을 식별하기 위해 Amazon 리소스 이름(ARN)을 지정합니다.
서비스 권한을 특정 리소스로 제한하는 리소스 기반 신뢰 관계의 aws:SourceArn
및 aws:SourceAccount
전역 조건 컨텍스트 키를 사용하는 것이 좋습니다. 이는 혼동된 대리자 문제를 방지하는 가장 효과적인 방법입니다.
전역 조건 컨텍스트 키를 모두 사용하고 aws:SourceArn
값에 계정 ID가 포함되도록 할 수 있습니다. 이 경우 aws:SourceAccount
값과 aws:SourceArn
값의 계정이 동일한 문에서 사용될 때 동일한 계정 ID를 사용해야 합니다.
-
단일 리소스에 대한 교차 서비스 액세스를 원하는 경우
aws:SourceArn
을 사용하세요. -
해당 계정의 모든 리소스가 교차 서비스 사용과 연결되도록 허용하려는 경우
aws:SourceAccount
를 사용하세요.
신뢰 관계에서는 역할에 액세스하는 리소스의 전체 ARN이 포함된 aws:SourceArn
전역 조건 컨텍스트 키를 사용해야 합니다. 기본 백업 및 복원의 경우 다음 예와 같이 DB 옵션 그룹과 DB 인스턴스를 모두 포함해야 합니다.
예 기본 백업 및 복원을 위한 전역 조건 컨텍스트 키와의 신뢰 관계
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
다음 예에서는 ARN을 사용하여 리소스를 지정합니다. ARN 사용에 대한 자세한 내용은 Amazon 리소스 이름(ARN)을 참조하십시오.
예 암호화 지원 없는 기본 백업 및 복원을 위한 권한 정책
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
" }, { "Effect": "Allow", "Action": [ "s3:GetObjectAttributes", "s3:GetObject", "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/*" } ] }
예 암호화 지원 있는 기본 백업 및 복원을 위한 권한 정책
백업 파일을 암호화하려면 권한 정책에 암호화 키를 포함시켜야 합니다. 암호화 키에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서에서 시작하기를 참조하세요.
참고
대칭 암호화 KMS 키를 사용하여 백업을 암호화해야 합니다. Amazon RDS에서는 비대칭 KMS 키가 지원되지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 대칭 암호화 KMS 키 생성을 참조하세요.
IAM 역할은 KMS 키의 키 사용자 및 키 관리자여야 합니다. 즉, 키 정책에서 지정해야 합니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 대칭 암호화 KMS 키 생성을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Encrypt", "kms:Decrypt" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
" }, { "Effect": "Allow", "Action": [ "s3:GetObjectAttributes", "s3:GetObject", "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/*" } ] }