メニュー
Amazon DynamoDB
開発者ガイド (API Version 2012-08-10)

DAX クラスターの作成

このセクションでは、デフォルトの Amazon VPC 環境で初めて DAX をセットアップし使用する手順を順を追って説明します。最初の DAX クラスターは、AWS Command Line Interface (AWS CLI) または AWS マネジメントコンソールのいずれかを使用して作成できます。

DAX クラスターを作成すると、同じ Amazon VPC で実行されている Amazon EC2 インスタンスからアクセスできるようになります。その後、アプリケーションプログラムで DAX クラスターを使用できるようになります。(詳しくは、アプリケーションで DAX クライアントを使用する を参照してください)。

DAX サービスロールの作成

DAX クラスターがユーザーに代わって DynamoDB テーブルにアクセスできるように、サービスロールを作成する必要があります。サービスロールは、ユーザーに代わって AWS のサービスを承認する IAM ロールです。サービスロールを使用すると、ユーザーが自らアクセスしているかのように DAX で DynamoDB テーブルにアクセスできます。DAX クラスターを作成する前にサービスロールを作成する必要があります。

AWS マネジメントコンソールを使用している場合は、クラスターを作成するワークフローで DAX サービスロールの有無が確認され、見つからない場合は新しいサービスロールが作成されます。詳細については、「AWS マネジメントコンソール」の「ステップ 2: DAX クラスターを作成する」を参照してください。

AWS CLI を使用している場合は、すでに作成してある DAX サービスロールを指定するか、事前に新しいサービスロールを作成する必要があります。詳細については、「AWS CLI」の「ステップ 1: DAX のサービスロールを作成する」を参照してください。

サービスロールの作成に必要なアクセス権限

AWS 管理ポリシーの AdministratorAccess には、DAX クラスターおよびサービスロールの作成に必要なすべてのアクセス権限が含まれています。したがって、IAM ユーザーに AdministratorAccess がアタッチされている場合は特に何もする必要はありません。

アタッチされていない場合は、IAM ポリシーに次のアクセス権限を追加して、IAM ユーザーがサービスロールを作成できるようにする必要があります。

  • iam:CreateRole

  • iam:CreatePolicy

  • iam:AttachRolePolicy

  • iam:PassRole

サービスロールを作成するユーザーにこれらのアクセス権限をアタッチする必要があります。

注記

iam:CreateRole、iam:CreatePolicyiam:AttachPolicyiam:PassRole の各アクセス権限は、DynamoDB の AWS 管理ポリシーには含まれていません。これは意図的なものです。これらのアクセス権限が含まれていると、特権のエスカレーションが可能になり、ユーザーがこれらのアクセス権限を使用して新しい管理者ポリシーを作成し、それを既存のロールにアタッチできるようになるからです。そのため、DAX クラスターの管理者は、これらのアクセス権限を自分のポリシーに明示的に追加する必要があります。

トラブルシューティング

ユーザーポリシーに iam:CreateRoleiam:CreatePolicyiam:AttachPolicy の各アクセス権限が含まれていないと、エラーメッセージが表示されます。次の表に、これらのメッセージと、問題を解決する方法を示します。

次のエラーメッセージが表示された場合は ... 次の作業を行います。
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::accountID:role/service-role/roleName iam:CreateRole をユーザーポリシーに追加します。
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreatePolicy on resource: policy policyName iam:CreatePolicy をユーザーポリシーに追加します。
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:AttachRolePolicy on resource: role daxServiceRole iam:AttachRolePolicy をユーザーポリシーに追加します。

DAX クラスターの管理に必要な IAM ポリシーの詳細については、「DAX のアクセスコントロール」を参照してください。

このページの内容: