Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'un cluster DAX
Cette section vous guide tout au long des étapes de configuration et d'utilisation initiales d'Amazon DynamoDB Accelerator (DAX) dans votre environnement Amazon Virtual Private Cloud (Amazon VPC) par défaut. Vous pouvez créer votre premier cluster DAX à l'aide de l'AWS Command Line Interface (AWS CLI) ou de l'AWS Management Console.
Une fois le cluster DAX créé, vous pouvez y accéder à partir d'une instance Amazon EC2 s'exécutant dans le même VPC. Vous pouvez ensuite utiliser votre cluster DAX avec un programme d'application. Pour plus d'informations, consultez Développement avec le client DynamoDB Accelerator (DAX).
Rubriques
Création d'une fonction du service IAM pour permettre à DAX d'accéder à DynamoDB
Pour permettre à votre cluster DAX d'accéder à vos tables DynamoDB en votre nom, vous devez créer un rôle de service. Un rôle de service est un rôle AWS Identity and Access Management (IAM) qui autorise un service AWS à agir en votre nom. Le rôle de service permet à DAX d'accéder à vos tables DynamoDB, comme si vous-même y accédiez vous-même. Vous devez créer le rôle de service avant de créer le cluster DAX.
Si vous utilisez la console, le flux de travail dédié à la création d'un cluster vérifie la présence d'un rôle de service DAX pré-existant. Si aucun rôle de service n'est trouvé, la console crée un nouveau rôle de service pour vous. Pour de plus amples informations, veuillez consulter Étape 2 : créer un cluster DAX à l'aide de la AWS Management Console.
Si vous utilisez l'AWS CLI, vous devez spécifier un rôle de service DAX créé précédemment. Sinon, vous devez créer un nouveau rôle de service au préalable. Pour de plus amples informations, veuillez consulter Étape 1 : créer une fonction du service IAM pour permettre à DAX d'accéder à DynamoDB à l'aide de AWS CLI.
Autorisations requises pour créer une fonction du service
La politique AdministratorAccess gérée par AWS fournit toutes les autorisations nécessaires à la création d'un cluster DAX et d'un rôle de service. Si votre utilisateur a joint AdministratorAccess, aucune autre action n'est nécessaire.
Autrement, vous devez ajouter les autorisations suivantes à votre politique IAM afin que votre utilisateur soit en mesure de créer la fonction du service :
-
iam:CreateRole -
iam:CreatePolicy -
iam:AttachRolePolicy -
iam:PassRole
Vous devez attacher ces autorisations à l'utilisateur qui tente de réaliser cette action.
Note
Les autorisations iam:CreateRole, iam:CreatePolicy, iam:AttachRolePolicy et iam:PassRole ne sont pas incluses dans les politiques gérées par AWS pour DynamoDB La conception en est la raison : ces autorisations fournissent la possibilité d'une escalade de privilège. En effet, un utilisateur peut utiliser ces autorisations pour créer une nouvelle politique d'administrateur puis l'attacher à un rôle existant. Ainsi, vous (administrateur de votre cluster DAX) devez ajouter explicitement ces autorisations à votre politique.
Résolution des problèmes
Si votre politique utilisateur ne dispose pas des autorisations iam:CreateRole, iam:CreatePolicy et iam:AttachPolicy, vous rencontrerez des messages d'erreur. Le tableau ci-dessous illustre ces messages et la manière de corriger les problèmes.
| Si vous obtenez ce message d'erreur... | Procédez comme suit : |
|---|---|
User:
arn:aws:iam::
|
Ajoutez iam:CreateRole à votre politique utilisateur. |
User:
arn:aws:iam:: |
Ajoutez iam:CreatePolicy à votre politique utilisateur. |
User:
arn:aws:iam:: |
Ajoutez iam:AttachRolePolicy à votre politique utilisateur. |
Pour plus d'informations sur les politiques IAM requises pour l'administration de cluster DAX, consultez Contrôle d'accès à DAX.
