Creación de un clúster de DAX - Amazon DynamoDB
Creación de un rol de servicio de IAM para que DAX obtenga acceso a DynamoDB

Creación de un clúster de DAX

Esta sección lo guía paso a paso durante el proceso de configuración y el uso de Amazon DynamoDB Accelerator (DAX) por primera vez en el entorno de Amazon Virtual Private Cloud (Amazon VPC) predeterminado. Puede crear su primer clúster de DAX mediante la AWS Command Line Interface (AWS CLI) o la AWS Management Console.

Una vez que haya creado el clúster de DAX, podrá acceder a él desde una instancia de Amazon EC2 que se ejecute en la misma VPC. A partir de ese momento, podrá utilizar el clúster de DAX con un programa de aplicación. Para obtener más información, consulte Desarrollo con el cliente de DynamoDB Accelerator (DAX).

Temas

Creación de un rol de servicio de IAM para que DAX obtenga acceso a DynamoDB

Para que el clúster de DAX acceda a las tablas de DynamoDB en su nombre, tendrá que crear una función del servicio. Una función del servicio es un rol de AWS Identity and Access Management (IAM) que autoriza a un servicio de AWS para actuar en su nombre. La función del servicio permitirá a DAX a acceder a las tablas de DynamoDB como si usted estuviese abriéndolas directamente. Debe crear la función del servicio para poder crear el clúster de DAX.

Si utiliza la consola, el flujo de trabajo para crear un clúster verifica si ya existe una función del servicio de DAX. Si no encuentra ninguno, la consola crea un nuevo rol de servicio en su nombre. Para obtener más información, consulte Paso 2: crear un clúster de DAX mediante la AWS Management Console.

Si utiliza la AWS CLI, tendrá que especificar una función del servicio de DAX creado previamente. De lo contrario, deberá crear un nuevo rol de servicio de antemano. Para obtener más información, consulte Paso 1: crear un rol de servicio de IAM para que DAX obtenga acceso a DynamoDB mediante la AWS CLI.

Permisos necesarios para crear un rol de servicio

La política AdministratorAccess administrada por AWS proporciona todos los permisos que se necesitan para crear un clúster de DAX y una función del servicio. Si su usuario tiene asociado AdministratorAccess, no tiene que hacer nada más.

De lo contrario, deberá agregar los siguientes permisos a la política de IAM para que el usuario pueda crear el rol de servicio:

  • iam:CreateRole

  • iam:CreatePolicy

  • iam:AttachRolePolicy

  • iam:PassRole

Asocie estos permisos al usuario que intenta realizar la acción.

nota

Los permisos iam:CreateRole, iam:CreatePolicy, iam:AttachRolePolicy y iam:PassRole no se incluyen en las políticas administradas por AWS para DynamoDB. Esto es así por diseño, ya que estos permisos permitirían escalar los privilegios. Es decir, un usuario podría utilizarlos para crear una nueva política de administrador y asociarla a un rol existente. Por este motivo, usted (el administrador de su clúster de DAX) debe agregar explícitamente estos permisos a la política.

Solución de problemas

Si la política de usuario no incluye los permisos iam:CreateRole, iam:CreatePolicy e iam:AttachPolicy, se producirán mensajes de error. En la tabla siguiente se muestran estos mensajes y se describe cómo corregir los problemas.

Si aparece este mensaje de error... Haga lo siguiente:
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::accountID:role/service-role/roleName Agregue iam:CreateRole a la política de usuario.
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreatePolicy on resource: policy policyName Agregue iam:CreatePolicy a la política de usuario.
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:AttachRolePolicy on resource: role daxServiceRole Agregue iam:AttachRolePolicy a la política de usuario.

Para obtener más información sobre las políticas de IAM que se requieren para administrar clústeres de DAX, consulte Control de acceso a DAX.