권한 필요
Admin 권한이면 문제 없다.
그러나 회사에서 admin과 개발자로 구분되어
IAM 개발자 계정으로 테스트 개발 DB를 생성해야 하는 경우 권한이 필요하다.
<1> 일반계정의 RDS full 권한으로 RDS생성 시 아래 오류 시?
Your request to create DB instance database-1 didn't work.
User: arn:aws:iam::xxxxxxx:user/xxxxxxx is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::xxxxxx:role/rds-monitoring-role
=>
모니터링 룰 문제라고 알려준다.
RDS 생성시 확장 모니터링 빼면 DB 생성이 잘 된다.
또는
기본적으로 확장 모니터링 권한이 없다.
확장 모니터링 정책을 해당 계정에 추가해 준다.
Passrole도 준다.
ReadOnly도 준다. 잘 된다.
<2> 일반계정의 RDS full 권한으로 RDS생성 시 아래 오류 시?
Your request to create DB instance database-1 didn't work.
Missing necessary credentials. Please check http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAM.ServiceLinkedRoles.html (Service: AmazonRDS; Status Code: 400; Error Code: InvalidParameterValue; Request ID: 4c-xxx3-xx119)
=>
PatameterValue 문제라고 알려준다.
1) Admin 권한을 가진 Aws계정으로 RDS DB를 한번 생성해준다.
Subnet groups, Parameter groups , Option groups 이 자동 생성된다.
2) 이후, 일반계정의 s3 full 권한으로 RDS생성이 잘 된다.
or
DB Subnet그룹은 관리자가 Subnet을 맞춰 만들어 준다.
감사합니다.