DAX クラスターの作成 - Amazon DynamoDB
DynamoDB にアクセスする DAX 用の IAM サービスロールを作成します

DAX クラスターの作成

このセクションでは、デフォルトの Amazon Virtual Private Cloud (Amazon VPC) 環境で Amazon DynamoDB Accelerator (DAX) を最初にセットアップし使用する手順を順を追って説明します。最初の DAX クラスターは、AWS Command Line Interface (AWS CLI) または AWS Management Console のいずれかを使用して作成できます。

DAX クラスターを作成すると、同じ VPC で実行されている Amazon EC2 インスタンスからアクセスできるようになります。その後、アプリケーションプログラムで DAX クラスターを使用できるようになります。詳細については、「DynamoDB Accelerator (DAX) クライアントで開発する」を参照してください。

トピック

DynamoDB にアクセスする DAX 用の IAM サービスロールを作成します

DAX クラスターがユーザーに代わって DynamoDB テーブルにアクセスできるようにサービスロールを作成する必要があります。サービスロールは、ユーザーに代わって AWS のサービスを承認する AWS Identity and Access Management (IAM) ロールです。サービスロールは、ユーザーがテーブルそのものにアクセスしているかのように、DAX に DynamoDB テーブルへのアクセスを許可します。DAX クラスターを作成する前にサービスロールを作成する必要があります。

コンソールを使用している場合は、クラスターを作成するワークフローで DAX サービスロールの有無が確認されます。何も見つからない場合は、コンソールは新しいサービスロールを作成します。詳細については、「」を参照してくださいステップ 2: AWS Management Console を使用して DAX クラスターを作成

AWS CLI を使用している場合は、すでに作成してある DAX サービスロールを指定するか、事前に新しいサービスロールを作成する必要があります。詳細については、「」を参照してくださいステップ 1: AWS CLI を使用して、DAX から DynamoDB にアクセスするための IAM サービスロールを作成する

サービスロールの作成に必要なアクセス許可

AWS マネージド AdministratorAccess ポリシーには、DAX クラスターおよびサービスロールの作成に必要なすべてのアクセス許可が含まれています。ユーザーに AdministratorAccess がアタッチされている場合、それ以上のアクションは不要です。

アタッチされていない場合は、IAM ポリシーに次のアクセス許可を追加して、ユーザーがサービスロールを作成できるようにする必要があります。

  • iam:CreateRole

  • iam:CreatePolicy

  • iam:AttachRolePolicy

  • iam:PassRole

アクションの実行を試みるユーザーにこれらのアクセス許可をアタッチする必要があります。

注記

iam:CreateRoleiam:CreatePolicyiam:AttachRolePolicy、および iam:PassRole の各アクセス許可は、DynamoDB の AWS マネージドポリシーには含まれていません。これは意図的なものです。これらのアクセス許可が含まれていると、特権のエスカレーションが可能になり、ユーザーがこれらのアクセス権限を使用して新しい管理者ポリシーを作成し、それを既存のロールにアタッチできるようになるからです。そのため、DAX クラスターの管理者は、これらのアクセス権限を自分のポリシーに明示的に追加する必要があります。

トラブルシューティング

ユーザーポリシーに iam:CreateRoleiam:CreatePolicyiam:AttachPolicy の各アクセス許可が含まれていないと、エラーメッセージが表示されます。次の表に、これらのメッセージを示し、問題を解決する方法を説明します。

次のエラーメッセージが表示された場合は ..。 次の作業を行います。
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::accountID:role/service-role/roleName iam:CreateRole をユーザーポリシーに追加します。
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreatePolicy on resource: policy policyName iam:CreatePolicy をユーザーポリシーに追加します。
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:AttachRolePolicy on resource: role daxServiceRole iam:AttachRolePolicy をユーザーポリシーに追加します。

DAX クラスターの管理に必要な IAM ポリシーの詳細については、「DAX のアクセスコントロール」を参照してください。