# Creación de un clúster de DAX
<a name="DAX.create-cluster"></a>

Esta sección lo guía paso a paso durante el proceso de configuración y el uso de Amazon DynamoDB Accelerator (DAX) por primera vez en el entorno de Amazon Virtual Private Cloud (Amazon VPC) predeterminado. Puede crear su primer clúster de DAX mediante la AWS Command Line Interface (AWS CLI) o la Consola de administración de AWS.

Una vez que haya creado el clúster de DAX, podrá acceder a él desde una instancia de Amazon EC2 que se ejecute en la misma VPC. A partir de ese momento, podrá utilizar el clúster de DAX con un programa de aplicación. Para obtener más información, consulte [Desarrollo con el cliente de DynamoDB Accelerator (DAX)](DAX.client.md).

**Topics**
+ [Creación de un rol de servicio de IAM para que DAX obtenga acceso a DynamoDB](#DAX.create-cluster.iam-permissions)
+ [DAX e IPv6](DAX.create-cluster.DAX_and_IPV6.md)
+ [Creación de un clúster de DAX mediante la AWS CLI](DAX.create-cluster.cli.md)
+ [Creación de un clúster de DAX mediante la Consola de administración de AWS](DAX.create-cluster.console.md)

## Creación de un rol de servicio de IAM para que DAX obtenga acceso a DynamoDB
<a name="DAX.create-cluster.iam-permissions"></a>

Para que el clúster de DAX acceda a las tablas de DynamoDB en su nombre, tendrá que crear una *función del servicio*. Una función del servicio es un rol de AWS Identity and Access Management (IAM) que autoriza a un servicio de AWS para actuar en su nombre. La función del servicio permitirá a DAX a acceder a las tablas de DynamoDB como si usted estuviese abriéndolas directamente. Debe crear la función del servicio para poder crear el clúster de DAX.

Si utiliza la consola, el flujo de trabajo para crear un clúster verifica si ya existe una función del servicio de DAX. Si no encuentra ninguno, la consola crea un nuevo rol de servicio en su nombre. Para obtener más información, consulte [Paso 2: crear un clúster de DAX mediante la Consola de administración de AWS](DAX.create-cluster.console.md#DAX.create-cluster.console.create-cluster).

Si utiliza la AWS CLI, tendrá que especificar una función del servicio de DAX creado previamente. De lo contrario, deberá crear un nuevo rol de servicio de antemano. Para obtener más información, consulte [Paso 1: crear un rol de servicio de IAM para que DAX obtenga acceso a DynamoDB mediante la AWS CLI](DAX.create-cluster.cli.md#DAX.create-cluster.cli.create-service-role).

### Permisos necesarios para crear un rol de servicio
<a name="DAX.create-cluster.iam-permissions.required"></a>

La política `AdministratorAccess` administrada por AWS proporciona todos los permisos que se necesitan para crear un clúster de DAX y una función del servicio. Si su usuario tiene asociado `AdministratorAccess`, no tiene que hacer nada más.

De lo contrario, deberá agregar los siguientes permisos a la política de IAM para que el usuario pueda crear el rol de servicio:
+ `iam:CreateRole`
+ `iam:CreatePolicy`
+ `iam:AttachRolePolicy`
+ `iam:PassRole`

Asocie estos permisos al usuario que intenta realizar la acción.

**nota**  
Los permisos `iam:CreateRole`, `iam:CreatePolicy`, `iam:AttachRolePolicy` y `iam:PassRole` no se incluyen en las políticas administradas por AWS para DynamoDB. Esto es así por diseño, ya que estos permisos permitirían escalar los privilegios. Es decir, un usuario podría utilizarlos para crear una nueva política de administrador y asociarla a un rol existente. Por este motivo, usted (el administrador de su clúster de DAX) debe agregar explícitamente estos permisos a la política.

### Solución de problemas
<a name="DAX.create-cluster.iam-permissions.troubleshooting"></a>

Si la política de usuario no incluye los permisos `iam:CreateRole`, `iam:CreatePolicy` e `iam:AttachPolicy`, se producirán mensajes de error. En la tabla siguiente se muestran estos mensajes y se describe cómo corregir los problemas.


****  

| Si aparece este mensaje de error... | Haga lo siguiente: | 
| --- | --- | 
| User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::accountID:role/service-role/roleName  | Agregue iam:CreateRole a la política de usuario. | 
| User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreatePolicy on resource: policy policyName |  Agregue iam:CreatePolicy a la política de usuario. | 
| User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:AttachRolePolicy on resource: role daxServiceRole | Agregue iam:AttachRolePolicy a la política de usuario. | 

Para obtener más información sobre las políticas de IAM que se requieren para administrar clústeres de DAX, consulte [Control de acceso a DAX](DAX.access-control.md).