1.2 – 리전 드롭다운을 선택하고 기존 RDS 및 EC2 인스턴스가 있는 AWS 리전을 선택합니다. 이 자습서에서는 미국 동부(오하이오) 리전을 사용합니다.

1.3 – 왼쪽 탐색 창에서 보안 그룹을 선택합니다.

이 자습서에서는 다음 두 개의 VPC 보안 그룹을 사용합니다.

• EC2-sg: 이 보안 그룹은 EC2 인스턴스에 연결되어 EC2 인스턴스에 대해 인바운드는 SSH 연결만 허용하고 아웃바운드는 모든 연결을 허용합니다.
• RDS-sg: 이 보안 그룹은 RDS 인스턴스에 연결되어 EC2 인스턴스(EC2-sg로 표시)의 포트 3306에서 TCP 연결만 허용하고 아웃바운드는 모든 연결을 허용합니다.

1.4 – EC2-sg를 선택합니다.

• 인바운드 규칙 탭을 선택하고 유형이 SSH인지 확인합니다.
  
• 아웃바운드 규칙 탭을 선택하고 유형이 모든 트래픽인지 확인합니다.
  

1.5 – RDS-sg를 선택합니다.

• 인바운드 규칙 탭을 선택하고 소스가 EC2-sg인지 확인합니다.
• 아웃바운드 규칙 탭을 선택하고 유형이 모든 트래픽인지 확인합니다.

1.6 – RDS 콘솔로 이동하여 데이터베이스를 선택한 다음 기존 RDS MySQL DB 인스턴스를 선택합니다. 연결 및 보안 탭에서 인스턴스 엔드포인트를 메모해 둡니다.

1.7 – EC2 콘솔로 이동하여 실행 인스턴스를 선택한 다음 RDS DB 인스턴스에 대한 연결을 테스트할 EC2 인스턴스를 선택합니다. 연결을 선택합니다.

1.8 – [인스턴스에 연결] 대화 상자에서 EC2 인스턴스 연결(브라우저 기반 SSH 연결)을 선택합니다. EC2 인스턴스 명령줄 인터페이스(CLI)를 표시하는 브라우저 창이 열립니다.

1.9 – EC2 인스턴스 CLI에서 다음 명령을 사용하여 RDS DB 인스턴스에 대한 연결을 테스트합니다.

mysql -h <RDS DB endpoint> -P 3306 -u <username> -p

메시지가 나타나면 암호를 입력하고 Enter를 누릅니다.

CLI는 RDS DB 인스턴스에 성공적으로 연결되었음을 나타내는 메시지를 반환합니다. EC2 인스턴스에서 RDS 인스턴스로 연결할 수 없는 경우 두 인스턴스가 모두 동일한 VPC에 있고 보안 그룹이 올바르게 설정되어 있는지 확인합니다.

2.5 – AWS Secrets Manager에서는 보안 정보에 대한 자동 보안 정보 교체를 구성할 수 있습니다. 애플리케이션의 보안을 향상할 수 있는 쉬우면서도 영리한 방법입니다. 자세한 내용은 AWS Secrets Manager 보안 정보 교체를 참조하십시오.

보안 정보 교체 설정은 이 자습서에서 다루지 않으므로 자동 교체 비활성화 옵션을 선택하고 다음을 선택합니다.

2.6 – Secrets Manager 콘솔에는 보안 정보에 대한 구성 설정이 표시되며 보안 정보 사용 방법을 보여주는 몇 가지 샘플 코드가 표시됩니다. 페이지 맨 아래로 스크롤하고 저장을 선택하여 보안 정보를 저장합니다.

2.7 – 보안 정보를 생성하면 Secrets Manager 페이지에는 생성된 보안 정보가 표시됩니다. 사용자의 tutorial-secret을 선택합니다.

보안 정보 세부 사항 상자에는 보안 정보의 ARN이 표시됩니다. 이 자습서에서 나중에 필요하므로 이 값을 복사합니다.

3.2 – 신뢰할 수 있는 엔터티 유형 선택에서 AWS 서비스를 선택합니다. 사용 사례 선택에서 RDS를 선택합니다.

3.3. 사용 사례 선택에서 RDS - 데이터베이스에 역할 추가를 선택한 후 다음: 권한을 선택합니다.

3.4 – 정책 생성을 선택하고 JSON 탭을 선택합니다. 기존 정책 문을 삭제합니다.

3.5 – 아래 나열된 예제의 보안 정보 ARM 값을 대체하여 다음 새로운 정책 문을 추가합니다. 그런 다음 정책 검토를 선택합니다.

(이 정책 문은 Amazon RDS 사용 설명서의 AWS Identity and Access Management(IAM) 정책 설정 섹션에 설명되어 있습니다.)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetRandomPassword",
                "secretsmanager:CreateSecret",
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "secretsmanager:*",
            "Resource": [
                     "your_secret_ARN"
            ]
        }
    ]
}

3.6 – 정책 검토 섹션에서 나중에 쉽게 찾을 수 있도록 정책의 이름 및 설명을 입력합니다. 그런 다음 정책 생성을 선택합니다.

3.7 – 역할을 선택한 다음 새로 고침을 선택합니다.

3.8 – 검색 상자에 tutorial을 입력하고 tutorial-policy을 선택합니다. 다음: 태그를 선택합니다.

3.9 – 태그 지정 섹션을 건너뛰고 다음: 검토를 선택합니다.

3.10 – 검토 섹션에서 나중에 쉽게 찾을 수 있도록 역할의 이름 및 설명을 입력합니다. 그런 다음 역할 생성을 선택합니다.

3.11 – 역할이 생성되었는지 확인합니다.

4.2 – 프록시 구성 섹션에서 다음을 수행합니다.

• 프록시 식별자에 쉽게 식별 가능한 프록시 이름을 입력합니다.
• 전송 계층 보안 필요 확인란을 선택 취소합니다.
• 유휴 클라이언트 연결 시간 제한을 기본값인 30분으로 둡니다.

4.3 – 대상 그룹 구성 섹션에서 데이터베이스에 대해 이 RDS Proxy와 연결할 RDS MySQL DB 인스턴스를 선택합니다. (이 RDS DB 인스턴스는 1단계에서 연결을 확인한 인스턴스와 동일합니다.) 연결 풀 최대 연결의 경우 기본값인 100을 유지합니다.

4.4 – 연결 섹션에서 다음을 수행합니다.

• Secrets Manager 보안 정보의 경우 2단계에서 생성한 보안 정보를 선택합니다.
• IAM 역할의 경우 3단계에서 생성한 역할을 선택합니다.
  
• IAM 인증의 경우 기본 설정인 사용 안 함을 유지합니다. (이 자습서에서는 DB 자격 증명을 사용하여 RDS Proxy에 연결하므로 IAM 인증이 사용되지 않습니다.)
• 서브넷의 경우 서로 다른 가용 영역에서 최소 2개의 서브넷을 선택합니다.
  
• 추가 연결 구성을 확장하고 VPC 보안 그룹에 대해 기존 RDS-sg 보안 그룹을 선택합니다.
  

4.5 – 고급 구성 섹션에서 고급 로깅의 기본 설정을 유지합니다. 서비스 계약 확인란을 선택하고 프록시 생성을 선택합니다.

4.6 – 프록시 상태가 [생성]에서 [사용 가능]으로 변경되길 기다린 다음 해당 프록시를 선택합니다.

4.7 – 프록시 구성 섹션에서 프록시 엔드포인트를 메모하고 다른 모든 파라미터가 올바른지 확인합니다.

5.2 – 인스턴스에 연결 대화 상자에서 EC2 인스턴스 연결(브라우저 기반 SSH 연결)을 선택한 다음 연결을 선택합니다.

5.3 – EC2 인스턴스 CLI에서 다음 명령을 사용하여 RDS Proxy 엔드포인트를 통해 RDS 인스턴스에 연결합니다.

mysql -h <proxy endpoint> -P 3306 -u <username> -p

6.2 – 검색 상자에 프록시 이름을 입력합니다.

6.3 – 지표 목록에서 ClientConnections 및 DatabaseConnections를 선택합니다. 표시 옵션에서 숫자를 선택합니다.

ClientConnections 지표는 현재 RDS Proxy에 연결된 클라이언트 수를 표시하며 이 수치는 1분 간격으로 보고됩니다. DatabaseConnections 지표는 현재 RDS Proxy에서 연결된 데이터베이스 수를 표시하며 이 수치는 1분 간격으로 보고됩니다. 모든 지표에 대한 자세한 내용은 RDS Proxy 모니터링을 참조하십시오.

결과 그래프는 클라이언트 연결 1개(EC2에서 RDS Proxy로)와 데이터베이스 연결 1개(RDS Proxy에서 RDS DB 인스턴스로)가 있음을 보여줍니다. 이 데이터는 5단계에서 수행한 연결을 확인해 줍니다.

7.5 – Secrets Manager 콘솔로 이동합니다.

7.6 – 자습서 보안 정보를 선택합니다.

7.7 – 작업을 선택한 다음 보안 정보 삭제를 선택합니다.

7.8 – 안전을 위해 Secrets Manager에서는 보안 정보를 영구적으로 삭제하기 전에 대기 기간을 적용합니다. 기본 기간인 30일을 사용하고 삭제 예약을 선택합니다.

7.9 – IAM 콘솔로 이동하여 탐색 창에서 역할을 선택합니다.

7.10 – tutorial-role을 검색한 다음 해당 역할 옆에 있는 확인란을 선택합니다.

7.11 – 페이지 상단에서 역할 삭제를 선택합니다.

7.12 – 확인 대화 상자에서 예, 삭제합니다를 선택합니다.  

7.12 – IAM 탐색 창에서 정책을 선택합니다.

7.13 – tutorial-policy를 검색한 다음 해당 정책 옆에 있는 확인란을 선택합니다.  

7.14 – 정책 작업을 선택한 다음 삭제를 선택합니다.

7.15 – 정책을 삭제할 것인지 확인한 다음 삭제를 선택합니다.

이 자습서를 위해 새로운 EC2 인스턴스, 새로운 RDS 인스턴스, 이에 해당하는 보안 그룹을 생성한 경우 해당 리소스도 삭제합니다.