Étape 1 : créer une fonction du service IAM pour permettre à DAX d'accéder à DynamoDB à l'aide de AWS CLI - Amazon DynamoDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : créer une fonction du service IAM pour permettre à DAX d'accéder à DynamoDB à l'aide de AWS CLI

Avant de créer un cluster Amazon DynamoDB Accelerator (DAX), vous devez créer un rôle de service pour celui-ci. Un rôle de service est un rôle AWS Identity and Access Management (IAM) qui autorise un service AWS à agir en votre nom. Le rôle de service permet à DAX d'accéder à vos tables DynamoDB comme si vous y accédiez vous-même.

Au cours de cette étape, vous créez une politique IAM et l'attachez à un rôle IAM. Vous pourrez ainsi attribuer le rôle à un cluster DAX pour permettre à celui-ci d'effectuer des opérations DynamoDB en votre nom.

Pour créer un rôle de service IAM pour DAX

  1. Créez un fichier nommé service-trust-relationship.json avec les contenus suivants.

    {
    "Version": "2012-10-17",
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "Service": "dax.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Crée le rôle de service.

    aws iam create-role \
    --role-name DAXServiceRoleForDynamoDBAccess \
    --assume-role-policy-document file://service-trust-relationship.json

  3. Créez un fichier nommé service-role-policy.json avec les contenus suivants.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:PutItem",
                "dynamodb:GetItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchGetItem",
                "dynamodb:BatchWriteItem",
                "dynamodb:ConditionCheckItem"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:dynamodb:us-west-2:accountID:*"
            ]
        }
    ]
}

    Remplacez accountID par votre ID de compte AWS. Pour rechercher votre ID de compte AWS, dans l'angle supérieur droit de la console, choisissez votre ID de connexion. Votre ID de compte AWS apparaît dans le menu déroulant.

    Dans l'Amazon Resource Name (ARN) de l'exemple, accountID doit être un numéro sur 12 chiffres. N'utilisez aucun trait d'union ou autre ponctuation.

  4. Créez une politique IAM pour le rôle de service.

    aws iam create-policy \
    --policy-name DAXServicePolicyForDynamoDBAccess \
    --policy-document file://service-role-policy.json

    Dans la sortie, notez l'ARN de la politique que vous avez créée, comme dans l'exemple suivant.

    arn:aws:iam::123456789012:policy/DAXServicePolicyForDynamoDBAccess

  5. Attache la politique au rôle de service. Dans le code suivant, remplacez arn par l'ARN de rôle réel de l'étape précédente.

    aws iam attach-role-policy \
    --role-name DAXServiceRoleForDynamoDBAccess \
    --policy-arn arn

Ensuite, spécifiez un groupe de sous-réseau pour votre VPC par défaut. Un groupe de sous-réseaux est un ensemble constitué d'un ou plusieurs sous-réseaux au sein de votre VPC. Consultez Étape 2 : créer un groupe de sous-réseaux.