本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
本節會带您逐步在預設 Amazon Virtual Private Cloud (Amazon VPC) 環境中首次設定和使用 Amazon DynamoDB Accelerator (DAX)。您可以使用 AWS Command Line Interface (AWS CLI) 或 AWS Management Console 來建立您的第一個 DAX 叢集。
在您建立 DAX 叢集之後,您可以從相同 VPC 中執行的 Amazon EC2 執行個體存取它。您接著可以搭配應用程式使用您的 DAX 叢集。如需詳細資訊,請參閱 使用 DynamoDB Accelerator (DAX) 用戶端開發。
為 DAX 建立可存取 DynamoDB 的 IAM 服務角色
若要讓 DAX 叢集代您存取 DynamoDB 資料表,您必須建立服務角色。服務角色是 AWS Identity and Access Management (IAM) 角色,可授權 AWS 服務代您執行作業。服務角色可允許 DAX 存取您的 DynamoDB 資料表,就像是您自己存取資料表一般。您需要建立服務角色,才能建立 DAX 叢集。
如果您是使用主控台,則建立叢集的工作流程會檢查是否有既有 DAX 服務角色。如果找不到,則主控台會為您建立新的服務角色。如需詳細資訊,請參閱 步驟 2:使用 建立DAX叢集 AWS Management Console。
如果您使用的是 AWS CLI,则必須指定您先前建立的 DAX 服務角色。否則,您需要事先建立新的服務角色。如需詳細資訊,請參閱 步驟 1:建立 IAM的服務角色DAX,以使用 存取 DynamoDB AWS CLI。
建立服務角色所需的許可
AWS 受管 AdministratorAccess 政策提供了建立 DAX 叢集和服務角色所有需要的許可。若您的使用者已連接 AdministratorAccess,您便無需採取進一步的動作。
否則,您必須將下列許可新增至您的 IAM 政策,讓您的使用者可以建立服務角色:
-
iam:CreateRole -
iam:CreatePolicy -
iam:AttachRolePolicy -
iam:PassRole
將這些許可連接到嘗試執行動作的使用者。
注意
iam:CreateRole、iam:CreatePolicy、iam:AttachRolePolicy 和 iam:PassRole 許可未包含在 DynamoDB 的 AWS 受管政策中。這是根據方案設計,因為這些許可可能會提供權限提升:也就是使用者可以使用這些許可來建立新的管理員政策,然後將該政策連接至現有角色。因此,您 (DAX 叢集管理員) 必須將這些許可明確地新增至您的政策。
疑難排解
若您的使用者政策遺漏 iam:CreateRole、iam:CreatePolicy 和 iam:AttachPolicy 許可,您將會收到錯誤訊息。下表列出這些訊息,並說明如何修正問題。
| 如果您看到此錯誤訊息... | 請執行下列動作: |
|---|---|
User:
arn:aws:iam::
|
將 iam:CreateRole 新增至使用者政策。 |
User:
arn:aws:iam:: |
將 iam:CreatePolicy 新增至使用者政策。 |
User:
arn:aws:iam:: |
將 iam:AttachRolePolicy 新增至使用者政策。 |
如需 DAX 叢集管理所需 IAM 政策的詳細資訊,請參閱 DAX 存取控制。
