나는AWS RDS 명령줄 도구my-database다음을 사용하여 내 데이터베이스의 스냅샷을 생성하려면create-db-snapshot.
나는 특별한 백업 역할을 만들었습니다.그래요스냅샷을 설명, 복사 및 생성할 수 있는 정책을 사용합니다. 다음과 같습니다(민감한 ID를 x로 대체했습니다).
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmtxxxxxxxxxxxxxx",
"Effect": "Allow",
"Action": [
"rds:CopyDBSnapshot",
"rds:CreateDBSnapshot",
"rds:DescribeDBSnapshots",
"rds:DescribeEventCategories",
"rds:DescribeEvents"
],
"Resource": [
"arn:aws:rds:eu-west-1:xxxxxxxxxxxxxx:db:my-database"
]
}
]
}
CLI 도구를 구성한 후aws configure이 사용자에 대한 키를 입력하고 다음 명령을 실행하여 스냅샷을 만들려고 했습니다.
aws rds create-db-snapshot \
--db-snapshot-identifier "my-database-backup-$(date +%d-%m-%Y-%Hh%Mm)" \
--db-instance-identifier "my-database"
이로 인해 다음과 같은 오류 메시지가 표시됩니다.
CreateDBSnapshot 작업을 호출할 때 클라이언트 오류(AccessDenied)가 발생했습니다. 사용자: arn:aws:iam::xxxxxxxxxxxxxx:user/automated-tasks는 다음을 수행할 권한이 없습니다: rds:CreateDBSnapshot 리소스: arn:aws:rds:eu-west -1:xxxxxxxxxxxxxxx:스냅샷:내-데이터베이스-백업-24-11-2014-11h07m
--db-snapshot-identifier인수와 달리 인수 에 지정한 이름을 가진 리소스에 대한 액세스가 거부되었기 때문에 이것이 이상하다고 생각했습니다 --db-instance-identifier.
애초에 인스턴스에 적용되는 스냅샷을 생성할 수 있는 충분한 권한이 있다면 본질적으로 해당 스냅샷에 대한 생성 권한도 있어야 하지 않나요?
어쨌든 정책의 리소스를 RDS 내의 모든 항목으로 변경해 보았습니다.
"Resource": [
"arn:aws:rds:eu-west-1:xxxxxxxxxxxxxx:*"
]
이제 내 역할에는 내 계정의 RDS ARN 내의 모든 항목에 대한 스냅샷 생성 권한이 있으므로 이것이 효과가 있기를 바랐지만 그렇지 않았습니다.
내 명령이 오류를 반환하는 이유에 대한 단서가 있는 사람이 있습니까?
답변1
참으로 이상한데 CreateDBSnapshot대상 스냅샷에도 권한을 할당해야 하는 것 같습니다.
이 정책은 다음과 같이 작동합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmtxxxxxxxxxxxxxx",
"Effect": "Allow",
"Action": [
"rds:CreateDBSnapshot"
],
"Resource": [
"arn:aws:rds:eu-west-1:xxxxxxxxxxxxxx:db:my-database",
"arn:aws:rds:eu-west-1:xxxxxxxxxxxxxx:snapshot:*"
]
}
]
}