를 사용하여 Amazon Neptune을 설정하기 위한 사전 조건 AWS CloudFormation - Amazon Neptune
Amazon EC2 키 페어권한 추가

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 Amazon Neptune을 설정하기 위한 사전 조건 AWS CloudFormation

AWS CloudFormation 템플릿을 사용하여 Amazon Neptune 클러스터를 생성하기 전에 다음이 필요합니다.

  • Amazon EC2 키 페어.

  • 를 사용하는 데 필요한 권한입니다 AWS CloudFormation.

를 사용하여 Neptune 클러스터를 시작하는 데 사용할 Amazon EC2 키 페어 생성 AWS CloudFormation

AWS CloudFormation 템플릿을 사용하여 Neptune DB 클러스터를 시작하려면 AWS CloudFormation 스택을 생성하는 리전에서 Amazon EC2key 페어(및 관련 PEM 파일)를 사용할 수 있어야 합니다.

키 페어를 생성해야 하는 경우 Amazon Amazon EC2의 Amazon EC2를 사용하여 키 페어 생성 또는 Amazon EC2 사용 설명서의 Amazon EC2를 사용하여 키 페어 생성을 참조하세요. Amazon EC2

AWS CloudFormation 템플릿을 사용하는 데 필요한 권한을 부여하는 IAM 정책 추가

먼저 Neptune에 권한이 있는 IAM 사용자 생성에 설명된 대로 Neptune을 사용하는 데 필요한 권한을 IAM 사용자에게 설정해야 합니다.

그런 다음 AWS 관리형 정책를 해당 사용자에게 추가해야 AWSCloudFormationReadOnlyAccess합니다.

마지막으로 다음과 같은 고객 관리형 정책을 생성하여 해당 사용자에게 추가해야 합니다.

JSON
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "iam:PassRole",
			"Resource": "arn:aws:iam::0123456789012:role/*",
			"Condition": {
				"StringEquals": {
					"iam:passedToService": "rds.amazonaws.com"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "rds.amazonaws.com"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"sns:ListTopics",
				"sns:ListSubscriptions",
				"sns:Publish"
			],
			"Resource":  "arn:aws:sns:*:0123456789012:*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"kms:ListRetirableGrants",
				"kms:ListKeys",
				"kms:ListAliases",
				"kms:ListKeyPolicies"
			],
			"Resource": "arn:aws:kms:*:0123456789012:key/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudwatch:GetMetricStatistics",
				"cloudwatch:ListMetrics"
			],
			"Resource": "arn:aws:cloudwatch:*:0123456789012:service/*-*",
			"Condition": {
				"StringLike": {
                    "cloudwatch:namespace": "AWS/Neptune"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeVpcs",
				"ec2:DescribeAccountAttributes",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcAttribute"
			],
			"Resource": [
				"arn:aws:ec2:*:0123456789012:vpc/*",
				"arn:aws:ec2:*:0123456789012:subnet/*",
				"arn:aws:ec2:*:0123456789012:security-group/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"rds:CreateDBCluster",
				"rds:CreateDBInstance",
				"rds:AddTagsToResource",
				"rds:ListTagsForResource",
				"rds:RemoveTagsFromResource",
				"rds:RemoveRoleFromDBCluster",
				"rds:ResetDBParameterGroup",
				"rds:CreateDBSubnetGroup",
				"rds:ModifyDBParameterGroup",
				"rds:DownloadDBLogFilePortion",
				"rds:CopyDBParameterGroup",
				"rds:AddRoleToDBCluster",
				"rds:ModifyDBInstance",
				"rds:ModifyDBClusterParameterGroup",
				"rds:ModifyDBClusterSnapshotAttribute",
				"rds:DeleteDBInstance",
				"rds:CopyDBClusterParameterGroup",
				"rds:CreateDBParameterGroup",
				"rds:DescribeDBSecurityGroups",
				"rds:DeleteDBSubnetGroup",
				"rds:DescribeValidDBInstanceModifications",
				"rds:ModifyDBCluster",
				"rds:CreateDBClusterSnapshot",
				"rds:DeleteDBParameterGroup",
				"rds:CreateDBClusterParameterGroup",
				"rds:RemoveTagsFromResource",
				"rds:PromoteReadReplicaDBCluster",
				"rds:RestoreDBClusterFromSnapshot",
				"rds:DescribeDBSubnetGroups",
				"rds:DescribePendingMaintenanceActions",
				"rds:DescribeDBParameterGroups",
				"rds:FailoverDBCluster",
				"rds:DescribeDBInstances",
				"rds:DescribeDBParameters",
				"rds:DeleteDBCluster",
				"rds:ResetDBClusterParameterGroup",
				"rds:RestoreDBClusterToPointInTime",
				"rds:DescribeDBClusterSnapshotAttributes",
				"rds:AddTagsToResource",
				"rds:DescribeDBClusterParameters",
				"rds:CopyDBClusterSnapshot",
				"rds:DescribeDBLogFiles",
				"rds:DeleteDBClusterSnapshot",
				"rds:ListTagsForResource",
				"rds:RebootDBInstance",
				"rds:DescribeDBClusterSnapshots",
				"rds:DeleteDBClusterParameterGroup",
				"rds:ApplyPendingMaintenanceAction",
				"rds:DescribeDBClusters",
				"rds:DescribeDBClusterParameterGroups",
				"rds:ModifyDBSubnetGroup"
			],
			"Resource": [
				"arn:aws:rds:*:0123456789012:cluster-snapshot:*",
				"arn:aws:rds:*:0123456789012:cluster:*",
				"arn:aws:rds:*:0123456789012:pg:*",
				"arn:aws:rds:*:0123456789012:cluster-pg:*",
				"arn:aws:rds:*:0123456789012:secgrp:*",
				"arn:aws:rds:*:0123456789012:db:*",
				"arn:aws:rds:*:0123456789012:subgrp:*"
			],
			"Condition": {
				"StringEquals": {
					"rds:DatabaseEngine": [
						"graphdb",
						"neptune"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"logs:GetLogEvents",
				"logs:DescribeLogStreams"
			],
			"Resource": [
				"arn:aws:logs:*:0123456789012:log-group:*:log-stream:*",
				"arn:aws:logs:*:0123456789012:log-group:*"
			]
		}
	]
}
참고

스택을 삭제하는 데만 필요한 권한은 iam:DeleteRole, iam:RemoveRoleFromInstanceProfile, iam:DeleteRolePolicy, iam:DeleteInstanceProfile, ec2:DeleteVpcEndpoints입니다.

또한 ec2:*Vpcec2:DeleteVpc 권한을 부여합니다.