Etapa 1: criar um perfil de serviço do IAM para DAX para acessar o DynamoDB usando a AWS CLI - Amazon DynamoDB

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 1: criar um perfil de serviço do IAM para DAX para acessar o DynamoDB usando a AWS CLI

Para poder criar um cluster do Amazon DynamoDB Accelerator (DAX) você precisa criar uma função de serviço para ele. Uma função de serviço é uma função do AWS Identity and Access Management (IAM) que autoriza um serviço da AWS a atuar em seu nome. A função de serviço permite que o DAX acesse as tabelas do DynamoDB como se você mesmo estivesse acessando essas tabelas.

Nesta etapa, você criará uma política do IAM e anexará essa política a uma função do IAM. Isso permite atribuir a função a um cluster do DAX para que ele possa executar operações do DynamoDB em seu nome.

Como criar uma função de serviço do IAM para o DAX

  1. Crie um arquivo denominado service-trust-relationship.json com o seguinte conteúdo:

    {
    "Version": "2012-10-17",
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "Service": "dax.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Crie a função de serviço.

    aws iam create-role \
    --role-name DAXServiceRoleForDynamoDBAccess \
    --assume-role-policy-document file://service-trust-relationship.json

  3. Crie um arquivo denominado service-role-policy.json com o seguinte conteúdo:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:PutItem",
                "dynamodb:GetItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchGetItem",
                "dynamodb:BatchWriteItem",
                "dynamodb:ConditionCheckItem"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:dynamodb:us-west-2:accountID:*"
            ]
        }
    ]
}

    Substitua accountID pelo seu ID de conta da AWS. Para encontrar o ID da conta da AWS, no canto superior direito do console, escolha seu ID de login. Seu ID de conta da AWS aparece no menu suspenso.

    No nome de recurso da Amazon (ARN) do exemplo, accountID deve ser um número de 12 dígitos. Não use hifens ou qualquer outro sinal de pontuação.

  4. Crie uma política do IAM para a função de serviço.

    aws iam create-policy \
    --policy-name DAXServicePolicyForDynamoDBAccess \
    --policy-document file://service-role-policy.json

    Na saída, anote o ARN da política que você criou, como no exemplo abaixo.

    arn:aws:iam::123456789012:policy/DAXServicePolicyForDynamoDBAccess

  5. Anexe a política à função de serviço. Substitua arn no seguinte código pelo ARN real da função da etapa anterior.

    aws iam attach-role-policy \
    --role-name DAXServiceRoleForDynamoDBAccess \
    --policy-arn arn

Depois, especifique um grupo de sub-redes para a VPC padrão. Um grupo de sub-redes é uma coleção de uma ou mais sub-redes na sua VPC. Consulte Etapa 2: criar um grupo de sub-redes.