Paso 1: crear un rol de servicio de IAM para que DAX obtenga acceso a DynamoDB mediante la AWS CLI

Antes de crear un clúster de Amazon DynamoDB Accelerator (DAX), tiene que crear una función del servicio para él. Una función del servicio es un rol de AWS Identity and Access Management (IAM) que autoriza a un servicio de AWS para actuar en su nombre. La función del servicio permitirá a DAX a acceder a las tablas de DynamoDB como si usted estuviese abriéndolas directamente.

En este paso, se crea una política de IAM y se asocia a un rol de IAM. Esto le permitirá asignar el rol a un clúster de DAX de tal forma que pueda llevar a cabo operaciones de DynamoDB en su nombre.

Para crear un rol de servicio de IAM para DAX

Cree un archivo denominado service-trust-relationship.json con el siguiente contenido.


{
    "Version": "2012-10-17",
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "Service": "dax.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Cree el rol de servicio.


aws iam create-role \
    --role-name DAXServiceRoleForDynamoDBAccess \
    --assume-role-policy-document file://service-trust-relationship.json

Cree un archivo denominado service-role-policy.json con el siguiente contenido.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:PutItem",
                "dynamodb:GetItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchGetItem",
                "dynamodb:BatchWriteItem",
                "dynamodb:ConditionCheckItem"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:dynamodb:us-west-2:accountID:*"
            ]
        }
    ]
}

Sustituya accountID por el ID de la cuenta de AWS. Para encontrar su ID de cuenta de AWS, en la esquina superior derecha de la consola, elija su ID de inicio de sesión. El ID de su cuenta de AWS aparece en el menú desplegable.

En el nombre de recurso de Amazon (ARN) en el ejemplo, accountID debe ser un número de 12 dígitos. No utilice guiones ni ningún otro signo de puntuación.

Cree una política de IAM para la función del servicio.
```
aws iam create-policy \
    --policy-name DAXServicePolicyForDynamoDBAccess \
    --policy-document file://service-role-policy.json
```
En el resultado, tome nota del ARN de la política que ha creado, como en el siguiente ejemplo.

arn:aws:iam::123456789012:policy/DAXServicePolicyForDynamoDBAccess
Asocie la política al rol de servicio. Sustituya arn en el siguiente código por el ARN real del rol del paso anterior.
```
aws iam attach-role-policy \
    --role-name DAXServiceRoleForDynamoDBAccess \
    --policy-arn arn
```

A continuación, especifique un grupo de subredes para su VPC predeterminada. Un grupo de subredes es una colección de una o varias subredes de la VPC. Consulte Paso 2: crear un grupo de subredes.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de la AWS CLI

Paso 2: crear un grupo de subredes