액세스할 수 없는 암호화 상태인 Amazon RDS 인스턴스 또는 Aurora 클러스터 문제를 해결하려면 어떻게 해야 합니까?

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

중요: 암호화된 Amazon RDS 인스턴스 및 Aurora 클러스터의 백업을 활성화하는 것이 모범 사례입니다. 자세한 내용은 DB 인스턴스에 대해 암호화가 활성화되어 있는지 파악 및 DB 클러스터에 대해 암호화가 활성화되어 있는지 파악을 참조하십시오.

Inaccessible-encryption-credentials-recoverable 상태

Amazon RDS DB 인스턴스 또는 Aurora DB 클러스터는 AWS Key Management Service(AWS KMS) 암호화 키에 액세스할 수 있어야 합니다. 인스턴스 또는 클러스터가 AWS KMS 암호화 키에 액세스할 수 없는 경우 클러스터 또는 인스턴스는 inaccessible-encryption-credentials-recoverable 상태가 됩니다.

inaccessible-encryption-credentials-recoverable 상태를 해결하려면 다음 작업을 수행하십시오.

• AWS KMS 키를 보유한 AWS 계정이 활성 상태인지 확인합니다.
  참고: 계정이 일시 중지된 경우 일시 중지된 계정을 다시 활성화합니다.

• AWS KMS 키를 활성화했는지 확인합니다.

• AWS KMS 키가 삭제될 예정인지 확인합니다. 키가 삭제되도록 예약된 경우 키 삭제 예약을 취소합니다.

• AWS CloudShell을 사용하여 DB 인스턴스 또는 클러스터를 다시 시작합니다. 또는 다음 AWS CLI 명령 중 하나를 실행하여 Amazon RDS 또는 Aurora 인스턴스나 클러스터를 다시 시작합니다.
  Amazon RDS DB 인스턴스를 다시 시작하려면 start-db-instance 명령을 실행합니다.

  aws rds start-db-instance --db-instance-identifier example-instance

  참고: example-instance를 Amazon RDS 인스턴스 이름으로 바꿉니다.

  Aurora DB 클러스터를 다시 시작하려면 start-db-cluster 명령을 실행합니다.

  aws rds start-db-cluster --db-cluster-identifier example-cluster

  참고: example-cluster를 Aurora 클러스터 이름으로 바꿉니다.

Inaccessible-encryption-credentials 상태

Amazon RDS 인스턴스 또는 Aurora 클러스터가 7일 내에 복구되지 않으면 해당 인스턴스 또는 클러스터는 터미널 inaccessible-encryption-credentials 상태로 이동합니다.

읽기 복제본, 리전 간 읽기 복제본, 리전 내 읽기 복제본이 있는 DB 인스턴스를 중지할 수 없으므로 이러한 인스턴스는 복구 가능 상태를 우회합니다. Amazon RDS 인스턴스가 2시간 후에 AWS KMS 키에 액세스할 수 없는 경우, 인스턴스는 터미널 inaccessible-encryption-credentials 상태로 직접 전환됩니다.

inaccessible-encryption-credentials 상태를 해결하려면 새 Amazon RDS 인스턴스 또는 Aurora 클러스터로 스냅샷 복원을 수행합니다. 또는 새 Amazon RDS 인스턴스 또는 Aurora 클러스터에 대해 지정된 기간까지 시점 복구(PITR)를 수행합니다.

참고: 스냅샷 복원 또는 PITR을 수행하려면 AWS KMS 키가 있어야 합니다. AWS KMS 키를 삭제하거나 분실한 경우 데이터를 복구할 수 없습니다.

inaccessible-encryption-credential 상태인 DB 인스턴스 또는 클러스터를 삭제할 수 없는 경우, AWS CLI를 사용하여 삭제 보호를 비활성화하십시오.

• Amazon RDS 인스턴스의 경우 modify-db-instance 명령을 실행합니다.

  aws rds modify-db-instance --db-instance-identifier example-instance --no-deletion-protection

  참고: example-instance를 인스턴스 이름으로 바꿉니다.
• Aurora 클러스터의 경우, modify-db-cluster 명령을 실행합니다.

  aws rds modify-db-cluster --db-cluster-identifier example-cluster --no-deletion-protection

  참고: example-cluster를 클러스터 이름으로 바꿉니다.

inaccessible-encryption-credentials 상태인 Amazon RDS DB 인스턴스 또는 Aurora DB 클러스터를 삭제하려면 다음 AWS CLI 명령을 실행합니다.

• Amazon RDS 인스턴스의 경우 delete-db-instance 명령을 실행합니다.

  aws rds delete-db-instance --db-instance-identifier example-instance --skip-final-snapshot

  참고: example-instance를 Amazon RDS 인스턴스 이름으로 바꿉니다.
• Aurora 클러스터의 경우 다음 delete-db-cluster 명령을 실행합니다.

  aws rds delete-db-cluster --db-cluster-identifier example-cluster --skip-final-snapshot

  참고: example-cluster를 Amazon Aurora 클러스터 이름으로 바꿉니다.

위 명령을 실행한 후에도 Amazon RDS 인스턴스 또는 Aurora 클러스터가 삭제되지 않으면 AWS Support에 문의하십시오.

관련 정보

Amazon RDS 리소스 암호화

Aurora 리소스 암호화