197. IAM계정으로 RDS 생성시 오류 처리법

권한 필요

Admin 권한이면 문제 없다.

그러나 회사에서 admin과 개발자로 구분되어

IAM 개발자 계정으로 테스트 개발 DB를 생성해야 하는 경우 권한이 필요하다.

<1> 일반계정의 RDS full 권한으로 RDS생성 시 아래 오류 시?

Your request to create DB instance database-1 didn't work.

User: arn:aws:iam::xxxxxxx:user/xxxxxxx is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::xxxxxx:role/rds-monitoring-role

=>

모니터링 룰 문제라고 알려준다.

RDS 생성시 확장 모니터링 빼면 DB 생성이 잘 된다.

또는

기본적으로 확장 모니터링 권한이 없다.

확장 모니터링 정책을 해당 계정에 추가해 준다.

Passrole도 준다.

ReadOnly도 준다. 잘 된다.

<2> 일반계정의 RDS full 권한으로 RDS생성 시 아래 오류 시?

Your request to create DB instance database-1 didn't work.

Missing necessary credentials. Please check http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAM.ServiceLinkedRoles.html (Service: AmazonRDS; Status Code: 400; Error Code: InvalidParameterValue; Request ID: 4c-xxx3-xx119)

=>

PatameterValue 문제라고 알려준다.

1) Admin 권한을 가진 Aws계정으로 RDS DB를 한번 생성해준다.

Subnet groups, Parameter groups , Option groups 이 자동 생성된다.

2) 이후, 일반계정의 s3 full 권한으로 RDS생성이 잘 된다.

or

DB Subnet그룹은 관리자가 Subnet을 맞춰 만들어 준다.

감사합니다.