[RDS] Aurora admin 권한을 가진 부계정 만들기

보안그룹 제어를 넘어 추가 보안조치사항으로 RDS master user에 대한 IP제한이 요구되어 지는 경우 아래와 같이 조치를 취하면 된다.

 

처음 RDS를 생성하였을 때 'master'@'%' 로 모든 호스트에 대한 접근 권한을 가지게 되어진다.

그렇기에 ip가 제한된 master 권한을 가진 master user를 생성과정이 요구시되며 만약 아래와 같이 진행하면 master 권한을 부여해주어야 하나 아래와 같이 쿼리를 날리게 되면 에러현상을 겪는다.

--쿼리
GRANT ALL PRIVILEGES ON *.* TO 'admin_new'@'%'


-- 에러
When trying to grant all previlage for temp admin receiving Error:
[28000][1045] Access denied for user 'admin'@'%' (using password: YES)

 

아래 쿼리를 통해 master 계정에 적용된 권한을 확인해보면 

SHOW GRANTS for admin

 

 

 

아래의 권한이 적용된 내용을 확인할 수 있다.

GRANT USAGE ON *.* TO 'admin'@'<ip address>'
GRANT `rds_superuser_role`@`%` TO 'admin'@'<ip address>'

 

rds_superuser_role은 아래와 같이 권한이 지정되어져 있다.

https://docs.aws.amazon.com/ko_kr/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.MasterAccounts.html

 

작업진행은 아래 순서로 진행하면 된다.

#유저생성
CREATE USER 'admin_new'@'<ip address>' IDENTIFIED BY 'admin_password';

#권한 부여
GRANT USAGE ON *.* TO 'admin_new'@'<ip address>'
GRANT `rds_superuser_role`@`%` TO 'admin_new'@'<ip address>'
SET DEFAULT ROLE ALL TO 'admin_new'@'<ip address>' -- 롤 적용 (필수)

#적용된 ROLE 확인
SELECT CURRENT_ROLE(); --superuser role이 적용되어졌는지 확인