AWS Secrets Manager에 데이터베이스 자격 증명 저장
Data API를 호출할 때 AWS Secrets Manager의 비밀을 사용하여 클러스터 또는 서버리스 작업 그룹에 대한 보안 인증 정보를 전달할 수 있습니다. 이 방식으로 자격 증명을 전달하려면 보안 암호의 이름 또는 보안 암호의 Amazon 리소스 이름(ARN)을 지정합니다.
Secrets Manager로 자격 증명을 저장하려면 SecretManagerReadWrite 관리형 정책 권한이 필요합니다. 최소 권한에 대한 자세한 내용은 AWS Secrets Manager User Guide의 Creating and Managing Secrets with AWS Secrets Manager를 참조하세요.
Amazon Redshift 클러스터의 보안 암호에 자격 증명을 저장하려면
-
AWS Secrets Manager 콘솔을 사용하여 클러스터의 보안 인증 정보를 포함하는 비밀을 생성합니다.
-
[새 보안 암호 저장(Store a new secret)]을 선택할 때 [Redshift 클러스터용 자격 증명(Credentials for Redshift cluster)]을 선택합니다.
-
보안 암호에 [사용자 이름(User name)](데이터베이스 사용자), [암호(Password)] 및 [DB 클러스터(DB cluster)](클러스터 식별자) 값을 저장합니다.
-
키
RedshiftDataFullAccess로 보안 암호에 태그를 지정합니다. AWS 관리형 정책AmazonRedshiftDataFullAccess는 키RedshiftDataFullAccess로 태그가 지정된 보안 암호에 대해서만 작업secretsmanager:GetSecretValue를 허용합니다.
이에 관한 지침은 AWS Secrets Manager User Guide의 Creating a Basic Secret을 참조하세요.
-
-
AWS Secrets Manager 콘솔을 사용하여 생성한 보안 암호에 대한 세부 정보를 보거나
aws secretsmanager describe-secretAWS CLI 명령을 실행합니다.보안 암호의 이름 및 ARN을 적어둡니다. 이러한 이름이나 ARN은 Data API 호출에서 사용할 수 있습니다.
서버리스 작업 그룹의 비밀에 보안 인증 정보를 저장하려면
-
서버리스 작업 그룹에 대한 보안 인증 정보를 포함하는 비밀을 저장하려면 AWS Secrets Manager AWS CLI 명령을 사용합니다.
-
파일에 보안 암호를 생성합니다(예:
mycreds.json이름의 JSON 파일) 파일에 사용자 이름(데이터베이스 사용자) 및 암호 값을 제공합니다.{ "username": "myusername", "password": "mypassword" } -
비밀에 값을 저장하고
RedshiftDataFullAccess키를 사용하여 비밀에 태그를 지정합니다.aws secretsmanager create-secret --name MyRedshiftSecret --tags Key="RedshiftDataFullAccess",Value="serverless" --secret-string file://mycreds.json다음은 출력값을 보여줍니다.
{ "ARN": "arn:aws:secretsmanager:region:accountId:secret:MyRedshiftSecret-mvLHxf", "Name": "MyRedshiftSecret", "VersionId": "a1603925-e8ea-4739-9ae9-e509eEXAMPLE" }
자세한 내용은 AWS CLI 사용 설명서에서 AWS Secrets Manager로 기본 보안 암호 생성을 참조하십시오.
-
-
AWS Secrets Manager 콘솔을 사용하여 생성한 보안 암호에 대한 세부 정보를 보거나
aws secretsmanager describe-secretAWS CLI 명령을 실행합니다.보안 암호의 이름 및 ARN을 적어둡니다. 이러한 이름이나 ARN은 Data API 호출에서 사용할 수 있습니다.
