Membuat klaster DAX - Amazon DynamoDB
Membuat peran layanan IAM untuk DAX untuk mengakses DynamoDB

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat klaster DAX

Bagian ini memandu Anda melalui setup pertama kali dan penggunaan Amazon DynamoDB Accelerator (DAX) di lingkungan default Amazon Virtual Private Cloud (Amazon VPC). Anda dapat membuat klaster DAX pertama Anda menggunakan AWS Command Line Interface (AWS CLI) atau AWS Management Console.

Setelah Anda membuat klaster DAX Anda, Anda dapat mengaksesnya dari instans Amazon EC2 yang berjalan di VPC yang sama. Anda kemudian dapat menggunakan klaster DAX Anda dengan program aplikasi. Untuk informasi selengkapnya, lihat Melakukan pengembangan dengan klien DynamoDB Accelerator (DAX).

Topik

Membuat peran layanan IAM untuk DAX untuk mengakses DynamoDB

Agar klaster DAX Anda mengakses tabel DynamoDB atas nama Anda, Anda harus membuat peran layanan. Peran layanan adalah AWS Identity and Access Management (IAM) role yang mengotorisasi layanan AWS untuk bertindak atas nama Anda. Peran layanan memungkinkan DAX untuk mengakses tabel DynamoDB Anda, seolah-olah Anda sendiri yang mengakses tabel tersebut. Anda harus membuat peran layanan sebelum Anda dapat membuat klaster DAX.

Jika Anda menggunakan konsol, alur kerja untuk membuat pemeriksaan klaster dalam memeriksa kehadiran peran layanan DAX yang sudah ada sebelumnya. Jika tidak ditemukan, konsol membuat peran layanan baru untuk Anda. Untuk informasi selengkapnya, lihat Langkah 2: Buat cluster DAX menggunakan AWS Management Console.

Jika Anda menggunakan AWS CLI, Anda harus menentukan peran layanan DAX yang telah Anda buat sebelumnya. Jika tidak, Anda harus membuat peran layanan baru sebelumnya. Untuk informasi selengkapnya, lihat Langkah 1: Buat peran layanan IAM untuk DAX untuk mengakses DynamoDB menggunakan AWS CLI.

Izin yang diperlukan untuk membuat peran layanan

Kebijakan yang dikelola AWS AdministratorAccess menyediakan semua izin yang diperlukan untuk membuat klaster DAX dan peran layanan. Jika pengguna Anda telahAdministratorAccess terlampir, tidak ada tindakan lebih lanjut yang diperlukan.

Jika tidak, Anda harus menambahkan izin berikut untuk kebijakan IAM Anda sehingga pengguna Anda dapat membuat peran layanan:

  • iam:CreateRole

  • iam:CreatePolicy

  • iam:AttachRolePolicy

  • iam:PassRole

Melampirkan izin ini ke pengguna yang mencoba untuk melakukan tindakan.

catatan

Izin iam:CreateRole, iam:CreatePolicy, iam:AttachRolePolicy, dan iam:PassRole tidak termasuk dalam AWS kebijakan yang dikelola untuk DynamoDB. Ini adalah dengan desain karena izin ini memberikan kemungkinan eskalasi hak istimewa: Artinya, pengguna dapat menggunakan izin ini untuk membuat kebijakan administrator baru dan kemudian melampirkan kebijakan tersebut untuk peran yang ada. Untuk alasan ini, Anda (administrator klaster DAX Anda) harus secara eksplisit menambahkan izin ini ke kebijakan Anda.

Pemecahan Masalah

Jika kebijakan pengguna Anda kehilangan izin iam:CreateRole, iam:CreatePolicy, dan iam:AttachPolicy , Anda akan mendapatkan pesan kesalahan. Tabel berikut mencantumkan pesan ini dan menjelaskan cara memperbaiki masalah.

Jika Anda melihat pesan kesalahan ini... Lakukan hal berikut:
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::accountID:role/service-role/roleName Tambahkan iam:CreateRole ke kebijakan pengguna Anda.
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreatePolicy on resource: policy policyName Tambahkan iam:CreatePolicy ke kebijakan pengguna Anda.
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:AttachRolePolicy on resource: role daxServiceRole Tambahkan iam:AttachRolePolicy ke kebijakan pengguna Anda.

Untuk informasi selengkapnya tentang kebijakan IAM yang diperlukan untuk administrasi klaster DAX, lihat Kontrol akses DAX.