Aurora DSQL에 대한 리소스 기반 정책
Aurora DSQL에 대한 리소스 기반 정책을 사용하여 클러스터 리소스에 직접 연결하는 JSON 정책 문서를 통해 클러스터에 대한 액세스를 제한하거나 부여합니다. 이러한 정책은 클러스터에 액세스할 수 있는 사용자와 조건에 대한 세분화된 제어를 제공합니다.
Aurora DSQL 클러스터는 기본적으로 IAM 인증을 기본 보안 제어로 사용하여 퍼블릭 인터넷에서 액세스할 수 있습니다. 리소스 기반 정책을 사용하면 액세스 제한을 추가할 수 있으며, 특히 퍼블릭 인터넷에서 액세스를 차단할 수 있습니다.
리소스 기반 정책은 IAM 자격 증명 기반 정책과 함께 작동합니다. AWS는 두 가지 유형의 정책을 모두 평가하여 클러스터에 대한 액세스 요청에 대한 최종 권한을 결정합니다. 기본적으로 Aurora DSQL 클러스터는 계정 내에서 액세스할 수 있습니다. IAM 사용자 또는 역할에 Aurora DSQL 권한이 있는 경우 리소스 기반 정책이 연결되지 않은 클러스터에 액세스할 수 있습니다.
참고
리소스 기반 정책에 대한 변경 사항은 최종적으로 일관되며, 일반적으로 1분 이내에 적용됩니다.
ID 기반 정책과 리소스 기반 정책 간의 차이점에 대한 자세한 내용은 IAM 사용 설명서의 ID 기반 정책 및 리소스 기반 정책을 참조하세요.
리소스 기반 정책을 사용해야 하는 경우
리소스 기반 정책은 다음과 같은 시나리오에서 특히 유용합니다.
네트워크 기반 액세스 제어 - 요청이 시작되는 VPC 또는 IP 주소를 기반으로 액세스를 제한하거나 퍼블릭 인터넷 액세스를 완전히 차단합니다.
aws:SourceVpc및aws:SourceIp와 같은 조건 키를 사용하여 네트워크 액세스를 제어합니다.여러 팀 또는 애플리케이션 - 여러 팀 또는 애플리케이션에 대해 동일한 클러스터에 대한 액세스 권한을 부여합니다. 각 위탁자에 대한 개별 IAM 정책을 관리하는 대신 클러스터에서 액세스 규칙을 한 번 정의합니다.
복잡한 조건부 액세스 - 네트워크 속성, 요청 컨텍스트 및 사용자 속성과 같은 여러 요소를 기반으로 액세스를 제어합니다. 단일 정책에서 여러 조건을 결합할 수 있습니다.
중앙 집중식 보안 거버넌스 - 클러스터 소유자가 기존 보안 관행과 통합되는 익숙한 AWS 정책 구문을 사용하여 액세스를 제어할 수 있습니다.
참고
Aurora DSQL 리소스 기반 정책에 대해서는 교차 계정 액세스가 아직 지원되지 않지만 향후 릴리스에서 사용할 수 있습니다.
누군가 Aurora DSQL 클러스터에 연결하려고 하면 AWS는 관련 IAM 정책과 함께 권한 부여 컨텍스트의 일부로 리소스 기반 정책을 평가하여 요청을 허용할지 거부할지를 결정합니다.
리소스 기반 정책은 클러스터와 동일한 AWS 계정 내의 위탁자에게 액세스 권한을 부여할 수 있습니다. 다중 리전 클러스터의 경우 각 리전 클러스터에는 자체 리소스 기반 정책이 있으므로 필요한 경우 리전별 액세스 제어를 허용합니다.
참고
조건 컨텍스트 키는 리전마다 다를 수 있습니다(예: VPC ID).
