RDS 프록시 사용 시 새 데이터베이스 사용자 추가 - Amazon Relational Database Service
RDS 프록시 사용 시 PostgreSQL 데이터베이스에 새 데이터베이스 사용자 추가데이터베이스 암호 변경

RDS 프록시 사용 시 새 데이터베이스 사용자 추가

프록시와 연결된 RDS DB 인스턴스에 새 데이터베이스 사용자를 추가해야 할 경우가 있습니다. Secrets Manager 보안 암호로 표준 인증을 사용하는지 아니면 엔드 투 엔드 IAM 인증을 사용하는지에 따라 진행합니다.

표준 IAM 인증을 사용하는 경우 다음 지침을 따르세요.

  1. RDS 프록시용 데이터베이스 자격 증명 설정에 설명된 절차를 사용하여 새 Secrets Manager 비밀을 만듭니다.

  2. IAM 역할을 업데이트하여 RDS Proxy에 새 Secrets Manager 비밀에 대한 액세스 권한을 부여합니다. 이렇게 하려면 IAM 역할 정책의 리소스 섹션을 업데이트합니다.

  3. Secrets Manager 보안 암호 아래에서 RDS 프록시를 수정하여 새 Secrets Manager 보안 암호를 추가합니다.

  4. 새 사용자가 기존 사용자를 대신하는 경우 기존 사용자의 프록시 Secrets Manager 비밀에 저장된 자격 증명을 업데이트합니다.

엔드 투 엔드 IAM 인증을 사용하는 경우 데이터베이스 사용자를 생성하고 IAM 권한을 구성해야 합니다. 이를 수행하려면 다음 단계를 수행합니다.

  1. 인증에 사용할 IAM 사용자 또는 역할 이름과 일치하는 새 데이터베이스 사용자를 데이터베이스에 생성합니다.

  2. 데이터베이스 사용자가 데이터베이스에서 IAM 인증 플러그인으로 구성되어 있는지 확인합니다. IAM 인증을 사용하여 데이터베이스 계정 생성을(를) 참조하세요.

  3. rds-db:connect에 설명된 대로 IAM 정책을 업데이트하여 IAM 사용자 또는 역할에 엔드 투 엔드 IAM 인증을 위한 IAM 정책 생성 권한을 부여합니다.

  4. 프록시가 IAM 인증을 기본 인증 체계로 사용하도록 구성되어 있는지 확인합니다.

엔드 투 엔드 IAM 인증을 사용하면 클라이언트에서 프록시로, 프록시에서 데이터베이스로 인증하는 데 IAM 자격 증명이 사용되므로 Secrets Manager 보안 암호에서 데이터베이스 자격 증명을 관리할 필요가 없습니다.

RDS 프록시 사용 시 PostgreSQL 데이터베이스에 새 데이터베이스 사용자 추가

새 사용자를 PostgreSQL 데이터베이스에 추가할 때 다음 명령을 실행한 경우:

REVOKE CONNECT ON DATABASE postgres FROM PUBLIC;

대상 데이터베이스의 연결을 모니터링할 수 있도록 rdsproxyadmin 사용자에게 CONNECT 권한을 부여합니다.

GRANT CONNECT ON DATABASE postgres TO rdsproxyadmin;

위 명령에서 rdsproxyadmin을 데이터베이스 사용자로 변경하여 다른 대상 데이터베이스 사용자가 상태 확인을 수행하도록 허용할 수도 있습니다.

RDS 프록시 사용 시 데이터베이스 사용자 암호 변경

프록시와 연결된 RDS DB 인스턴스에서 데이터베이스 사용자의 암호를 변경해야 할 경우가 있습니다. 그렇다면 해당 Secrets Manager 비밀을 새 암호로 업데이트합니다.

엔드 투 엔드 IAM 인증을 사용하는 경우 Secrets Manager 보안 암호에서 암호를 업데이트할 필요가 없습니다.