IAM 설정 VPC 설정 크로스 계정 액세스를 허용하도록 DAX 클라이언트 수정

AWS 계정 간 DAX 액세스

한 AWS 계정(계정 A)에서 DynamoDB Accelerator(DAX) 클러스터가 실행 중이고 다른 AWS 계정(계정 B)의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 DAX 클러스터에 액세스할 수 있어야 한다고 가정합니다. 이 자습서에서는 계정 B의 IAM 역할을 사용하여 계정 B에서 EC2 인스턴스를 시작한 다음, EC2 인스턴스의 임시 보안 자격 증명을 사용하여 계정 A의 IAM 역할을 수임합니다. 마지막으로 임시 보안 자격 증명을 사용해 계정 A의 IAM 역할을 수임하여 계정 A의 DAX 클러스터에 대한 피어링 연결을 통해 애플리케이션을 호출합니다. 이러한 작업을 수행하려면 두 AWS 계정 모두에서 관리 액세스 권한이 필요합니다.

중요

DAX 클러스터가 다른 계정에서 DynamoDB 테이블에 액세스하도록 할 수는 없습니다.

IAM 설정

다음 콘텐츠로 이름이 AssumeDaxRoleTrust.json인 텍스트 파일을 만들어서 Amazon EC2가 사용자를 대신하여 작업하도록 허용합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

계정 B에서 인스턴스를 시작할 때 Amazon EC2가 사용할 수 있는 역할을 생성합니다.


aws iam create-role \
    --role-name AssumeDaxRole \
    --assume-role-policy-document file://AssumeDaxRoleTrust.json

다음 콘텐츠로 이름이 AssumeDaxRolePolicy.json인 텍스트 파일을 만들어서 계정 B의 EC2 인스턴스에서 실행 중인 코드가 계정 A의 IAM 역할을 수임하도록 허용합니다. accountA를 계정 A의 실제 ID로 바꿉니다.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::accountA:role/DaxCrossAccountRole"
        }
    ]
}
```

방금 생성한 역할에 해당 정책을 추가합니다.


aws iam put-role-policy \
    --role-name AssumeDaxRole \
    --policy-name AssumeDaxRolePolicy \
    --policy-document file://AssumeDaxRolePolicy.json

인스턴스 프로파일을 생성하여 인스턴스가 역할을 사용하도록 허용합니다.
```
aws iam create-instance-profile \
    --instance-profile-name AssumeDaxInstanceProfile
```

역할을 인스턴스 프로파일과 연결합니다.


aws iam add-role-to-instance-profile \
    --instance-profile-name AssumeDaxInstanceProfile \
    --role-name AssumeDaxRole

다음 콘텐츠로 이름이 DaxCrossAccountRoleTrust.json인 텍스트 파일을 만들어서 계정 B가 사용자 A 역할을 수임하도록 허용합니다. accountB를 계정 B의 실제 ID로 바꿉니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::accountB:role/AssumeDaxRole"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

계정 A에서 계정 B가 수임할 수 있는 역할을 생성합니다.


aws iam create-role \
    --role-name DaxCrossAccountRole \
    --assume-role-policy-document file://DaxCrossAccountRoleTrust.json

DAX 클러스터에 대한 액세스를 허용하는 이름DaxCrossAccountPolicy.json이 인 텍스트 파일을 생성합니다. dax-cluster-arn을 DAX 클러스터의 올바른 Amazon 리소스 이름(ARN)으로 바꿉니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dax:GetItem",
                "dax:BatchGetItem",
                "dax:Query",
                "dax:Scan",
                "dax:PutItem",
                "dax:UpdateItem",
                "dax:DeleteItem",
                "dax:BatchWriteItem",
                "dax:ConditionCheckItem"
            ],
            "Resource": "dax-cluster-arn"
        }
    ]
}

계정 A에서 역할에 정책을 추가합니다.


aws iam put-role-policy \
    --role-name DaxCrossAccountRole \
    --policy-name DaxCrossAccountPolicy \
    --policy-document file://DaxCrossAccountPolicy.json

VPC 설정

계정 A의 DAX 클러스터의 서브넷 그룹을 찾습니다. cluster-name을 계정 B가 액세스해야 하는 DAX 클러스터의 이름으로 바꿉니다.
```
aws dax describe-clusters \
    --cluster-name cluster-name
    --query 'Clusters[0].SubnetGroup'
```

해당 subnet-group을 사용하여 클러스터의 VPC를 찾습니다.


aws dax describe-subnet-groups \
    --subnet-group-name subnet-group \
    --query 'SubnetGroups[0].VpcId'

해당 vpc-id를 사용하여 VPC의 CIDR을 찾습니다.


aws ec2 describe-vpcs \
    --vpc vpc-id \
    --query 'Vpcs[0].CidrBlock'

계정 B에서 이전 단계에서 찾은 것과 겹치지 않는 다른 CIDR을 사용하여 VPC를 생성합니다. 그런 다음 하나 이상의 서브넷을 생성합니다. VPC 생성 마법사는 AWS Management Console 또는 AWS CLI에서 사용할 수 있습니다.
계정 B에서 VPC 피어링 연결 생성 및 수락에 설명된 대로 계정 A VPC에 대한 피어링 연결을 요청합니다. 계정 A에서 연결을 수락합니다.
계정 B에서 새 VPC의 라우팅 테이블을 찾습니다. vpc-id를 계정 B에서 생성한 VPC의 ID로 바꿉니다.
```
aws ec2 describe-route-tables \
    --filters 'Name=vpc-id,Values=vpc-id' \
    --query 'RouteTables[0].RouteTableId'
```
계정 A의 CIDR로 향하는 트래픽을 VPC 피어링 연결로 보내는 라우팅을 추가합니다. 각 사용자 입력 자리 표시자를 계정의 올바른 값으로 바꿉니다.
```
aws ec2 create-route \
    --route-table-id accountB-route-table-id \
    --destination-cidr accountA-vpc-cidr \
    --vpc-peering-connection-id peering-connection-id
```

계정 A에서 이전에 찾은 vpc-id를 사용하여 DAX 클러스터의 라우팅 테이블을 찾습니다.


aws ec2 describe-route-tables \
    --filters 'Name=vpc-id, Values=accountA-vpc-id' \
    --query 'RouteTables[0].RouteTableId'

계정 A에서 계정 B의 CIDR로 향하는 트래픽을 VPC 피어링 연결로 보내는 라우팅을 추가합니다. 각 사용자 입력 자리 표시자를 계정의 올바른 값으로 바꿉니다.
```
aws ec2 create-route \
    --route-table-id accountA-route-table-id \
    --destination-cidr accountB-vpc-cidr \
    --vpc-peering-connection-id peering-connection-id
```
계정 B에서 이전에 생성한 VPC에서 EC2 인스턴스를 시작합니다. AssumeDaxInstanceProfile을 지정합니다. Launch Wizard는 AWS Management Console 또는 AWS CLI에서 사용할 수 있습니다. 인스턴스의 보안 그룹을 기록해 둡니다.
계정 A에서 DAX 클러스터가 사용하는 보안 그룹을 찾습니다. cluster-name을 DAX 클러스터의 이름으로 바꿉니다.
```
aws dax describe-clusters \
    --cluster-name cluster-name \
    --query 'Clusters[0].SecurityGroups[0].SecurityGroupIdentifier'
```
계정 B에서 생성한 EC2 인스턴스의 보안 그룹에서 오는 인바운드 트래픽을 허용하도록 DAX 클러스터의 보안 그룹을 업데이트합니다. 사용자 입력 자리 표시자를 계정의 올바른 값으로 바꿉니다.
```
aws ec2 authorize-security-group-ingress \
    --group-id accountA-security-group-id \
    --protocol tcp \
    --port 8111 \
    --source-group accountB-security-group-id \
    --group-owner accountB-id
```

이때 계정 B의 EC2 인스턴스에 있는 애플리케이션은 인스턴스 프로파일을 사용하여 arn:aws:iam::accountA-id:role/DaxCrossAccountRole 역할을 수임하고 DAX 클러스터를 사용할 수 있습니다.

크로스 계정 액세스를 허용하도록 DAX 클라이언트 수정

참고

AWS Security Token Service(AWS STS) 자격 증명은 임시 자격 증명입니다. 일부 클라이언트는 새로 고침을 자동으로 처리하는 반면 다른 클라이언트는 자격 증명을 새로 고치기 위해 추가 로직이 필요합니다. 적절한 설명서의 지침을 따르는 것이 좋습니다.

Java

이 단원에서는 교차 계정 DAX 액세스를 허용하도록 기존 DAX 클라이언트 코드를 수정할 수 있습니다. DAX 클라이언트 코드가 아직 없는 경우 Java 및 DAX 자습서에서 작업 코드 예제를 찾을 수 있습니다.

다음과 같은 가져오기를 추가합니다.


import com.amazonaws.auth.STSAssumeRoleSessionCredentialsProvider;
import com.amazonaws.services.securitytoken.AWSSecurityTokenService;
import com.amazonaws.services.securitytoken.AWSSecurityTokenServiceClientBuilder;

AWS STS에서 자격 증명 공급자를 가져오고 DAX 클라이언트 객체를 생성합니다. 각 사용자 입력 자리 표시자를 계정의 올바른 값으로 바꿉니다.


AWSSecurityTokenService awsSecurityTokenService = AWSSecurityTokenServiceClientBuilder
     .standard()
     .withRegion(region)
     .build();

STSAssumeRoleSessionCredentialsProvider credentials =  new STSAssumeRoleSessionCredentialsProvider.Builder("arn:aws:iam::accountA:role/RoleName", "TryDax")
     .withStsClient(awsSecurityTokenService)
     .build();

DynamoDB client = AmazonDaxClientBuilder.standard()
    .withRegion(region)
    .withEndpointConfiguration(dax_endpoint)
    .withCredentials(credentials)
    .build();

.NET

이 단원에서는 교차 계정 DAX 액세스를 허용하도록 기존 DAX 클라이언트 코드를 수정할 수 있습니다. DAX 클라이언트 코드가 아직 없는 경우 .NET 및 DAX 자습서에서 작업 코드 예제를 찾을 수 있습니다.

솔루션에 AWSSDK.SecurityToken NuGet 패키지를 추가합니다.


<PackageReference Include="AWSSDK.SecurityToken" Version="latest version" />

SecurityToken 및 SecurityToken.Model 패키지를 사용합니다.
```
using Amazon.SecurityToken;
using Amazon.SecurityToken.Model;
```

AmazonSimpleTokenService에서 임시 자격 증명을 가져오고 ClusterDaxClient 객체를 생성합니다. 각 사용자 입력 자리 표시자를 계정의 올바른 값으로 바꿉니다.


IAmazonSecurityTokenService sts = new AmazonSecurityTokenServiceClient();

var assumeRoleResponse = sts.AssumeRole(new AssumeRoleRequest
{
    RoleArn = "arn:aws:iam::accountA:role/RoleName",
                RoleSessionName = "TryDax"
});

Credentials credentials = assumeRoleResponse.Credentials;

var clientConfig = new DaxClientConfig(dax_endpoint, port)
{
    AwsCredentials = assumeRoleResponse.Credentials
                   
};

var client = new ClusterDaxClient(clientConfig);

Go

이 단원에서는 교차 계정 DAX 액세스를 허용하도록 기존 DAX 클라이언트 코드를 수정할 수 있습니다. DAX 클라이언트 코드가 아직 없는 경우 GitHub에서 작업 코드 예제를 찾을 수 있습니다.

AWS STS 및 세션 패키지를 가져옵니다.


import (
    "github.com/aws/aws-sdk-go/aws/session"
    "github.com/aws/aws-sdk-go/service/sts"
    "github.com/aws/aws-sdk-go/aws/credentials/stscreds"
)

AmazonSimpleTokenService에서 임시 자격 증명을 가져오고 DAX 클라이언트 객체를 생성합니다. 각 사용자 입력 자리 표시자를 계정의 올바른 값으로 바꿉니다.


sess, err := session.NewSession(&aws.Config{
    Region: aws.String(region)},
)
if err != nil {
    return nil, err
}

stsClient := sts.New(sess)
arp := &stscreds.AssumeRoleProvider{
                Duration:     900 * time.Second,
                ExpiryWindow: 10 * time.Second,
                RoleARN:      "arn:aws:iam::accountA:role/role_name",
                Client:       stsClient,
                RoleSessionName: "session_name",
        }cfg := dax.DefaultConfig()

cfg.HostPorts = []string{dax_endpoint}
cfg.Region = region
cfg.Credentials = credentials.NewCredentials(arp)
daxClient := dax.New(cfg)

Python

이 단원에서는 교차 계정 DAX 액세스를 허용하도록 기존 DAX 클라이언트 코드를 수정할 수 있습니다. DAX 클라이언트 코드가 아직 없는 경우 Python 및 DAX 자습서에서 작업 코드 예제를 찾을 수 있습니다.

boto3을 가져옵니다.
```
import boto3
```

sts에서 임시 자격 증명을 가져오고 AmazonDaxClient 객체를 생성합니다. 각 사용자 입력 자리 표시자를 계정의 올바른 값으로 바꿉니다.


sts = boto3.client('sts')
stsresponse = sts.assume_role(RoleArn='arn:aws:iam::accountA:role/RoleName',RoleSessionName='tryDax')
credentials = botocore.session.get_session()['Credentials']

dax = amazondax.AmazonDaxClient(session, region_name=region, endpoints=[dax_endpoint], aws_access_key_id=credentials['AccessKeyId'], aws_secret_access_key=credentials['SecretAccessKey'], aws_session_token=credentials['SessionToken'])
client = dax

Node.js

이 단원에서는 교차 계정 DAX 액세스를 허용하도록 기존 DAX 클라이언트 코드를 수정할 수 있습니다. DAX 클라이언트 코드가 아직 없는 경우 Node.js 및 DAX 자습서에서 작업 코드 예제를 찾을 수 있습니다. 각 사용자 입력 자리 표시자를 계정의 올바른 값으로 바꿉니다.


const AmazonDaxClient = require('amazon-dax-client');
const AWS = require('aws-sdk');
const region = 'region';
const endpoints = [daxEndpoint1, ...];

const getCredentials = async() => {
  return new Promise((resolve, reject) => {
    const sts = new AWS.STS();
    const roleParams = {
      RoleArn: 'arn:aws:iam::accountA:role/RoleName',
      RoleSessionName: 'tryDax',
    };
    sts.assumeRole(roleParams, (err, session) => {
      if(err) {
        reject(err);
      } else {
        resolve({
          accessKeyId: session.Credentials.AccessKeyId,
          secretAccessKey: session.Credentials.SecretAccessKey,
          sessionToken: session.Credentials.SessionToken,
        });
      }
    });
  });
};

const createDaxClient = async() => {
  const credentials = await getCredentials();
  const daxClient = new AmazonDaxClient({endpoints: endpoints, region: region, accessKeyId: credentials.accessKeyId, secretAccessKey: credentials.secretAccessKey, sessionToken: credentials.sessionToken});
  return new AWS.DynamoDB.DocumentClient({service: daxClient});
};

createDaxClient().then((client) => {
  client.get(...);
  ...
}).catch((error) => {
  console.log('Caught an error: ' + error);
});

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

DAX에 대한 서비스 연결 역할 사용

DAX 클러스터 크기 조정 안내서