DAX 클러스터 생성
이 단원에서는 기본 Amazon Virtual Private Cloud(Amazon VPC) 환경에서 Amazon DynamoDB Accelerator(DAX)를 처음으로 설정하고 사용하는 절차를 알아봅니다. AWS Command Line Interface(AWS CLI) 또는 AWS Management Console을 사용하여 처음으로 DAX 클러스터를 생성할 수 있습니다.
DAX 클러스터를 생성한 후에는 동일한 VPC에서 실행 중인 Amazon EC2 인스턴스에서 해당 클러스터에 액세스할 수 있습니다. 그러면 애플리케이션 프로그램에서 DAX 클러스터를 사용할 수 있습니다. 자세한 내용은 DynamoDB Accelerator(DAX) 클라이언트로 개발 단원을 참조하십시오.
주제
DAX에 대한 IAM 서비스 역할을 생성하여 DynamoDB 액세스
DAX 클러스터가 사용자를 대신하여 DynamoDB 테이블에 액세스해야 할 경우 서비스 역할을 만들어야 합니다. 서비스 역할은 사용자를 대신하여 AWS 서비스를 수행하도록 허가하는 AWS Identity and Access Management(IAM) 역할입니다. 서비스 역할은 사용자가 테이블에 액세스하듯이 DAX가 DynamoDB 테이블에 액세스할 수 있도록 허용합니다. DAX 클러스터를 생성하려면 먼저 서비스 역할을 만들어야 합니다.
콘솔을 사용하는 경우, 클러스터를 생성하는 워크플로에서 기존 DAX 서비스 역할이 있는지 확인합니다. 서비스 연결이 없으면 콘솔이 새로운 서비스 역할을 생성합니다. 자세한 내용은 2단계: AWS Management Console을 사용하여 DAX 클러스터 생성 단원을 참조하십시오.
AWS CLI를 사용하는 경우 이전에 생성한 DAX 서비스 역할을 지정해야 합니다. 그렇지 않으면 먼저 서비스 역할을 새로 만들어야 합니다. 자세한 내용은 1단계: AWS CLI을 사용하여 DAX에서 DynamoDB에 액세스하는 IAM 서비스 역할 생성 단원을 참조하십시오.
서비스 역할 생성에 필요한 권한
AWS 관리형 AdministratorAccess 정책은 DAX 클러스터 및 서비스 역할을 생성하는 데 필요한 모든 권한을 제공합니다. 사용자가 연결된 AdministratorAccess를 가지고 있으면 추가 작업이 필요하지 않습니다.
그렇지 않을 경우 사용자가 서비스 역할을 만들 수 있도록 다음 권한을 IAM 정책에 추가해야 합니다.
-
iam:CreateRole -
iam:CreatePolicy -
iam:AttachRolePolicy -
iam:PassRole
작업을 수행하려 하는 사용자에게 이러한 권한을 연결합니다.
참고
iam:CreateRole, iam:CreatePolicy, iam:AttachRolePolicy, iam:PassRole 권한은 AWS에서 관리하는 DynamoDB용 정책에 포함되지 않습니다. 이러한 권한은 권한 승격 가능성, 즉 사용자가 이러한 권한을 사용하여 새로운 관리 정책을 만든 후 기존 역할에 해당 정책을 연결할 가능성이 있기 때문에 설계상 포함되지 않았습니다. 따라서 DAX 클러스터 관리자는 이러한 권한을 해당 정책에 명시적으로 추가해야 합니다.
문제 해결
사용자 정책에 iam:CreateRole, iam:CreatePolicy 및 iam:AttachPolicy 권한이 없는 경우 오류 메시지가 표시됩니다. 다음 표에는 이러한 메시지와 이 문제를 해결하는 방법이 나와 있습니다.
| 오류 메시지 | 다음을 따릅니다. |
|---|---|
User:
arn:aws:iam::
|
사용자 정책에 iam:CreateRole을 추가합니다. |
User:
arn:aws:iam:: |
사용자 정책에 iam:CreatePolicy을 추가합니다. |
User:
arn:aws:iam:: |
사용자 정책에 iam:AttachRolePolicy을 추가합니다. |
DAX 클러스터 관리에 필요한 IAM 정책에 대한 자세한 내용은 DAX 액세스 제어 단원을 참조하세요.
