Criar um cluster do DAX

Esta seção orienta você durante a primeira configuração e o uso do Amazon DynamoDB Accelerator (DAX) no seu ambiente Amazon Virtual Private Cloud (Amazon VPC) padrão. Você pode criar seu primeiro cluster do DAX usando a AWS Command Line Interface (AWS CLI) ou o AWS Management Console.

Depois de criar o cluster do DAX, você poderá acessá-lo de uma instância do Amazon EC2 em execução na mesma VPC. Você pode usar o cluster do DAX com um programa de aplicação. Para obter mais informações, consulte Desenvolver com o cliente do DynamoDB Accelerator (DAX).

Tópicos

• Criar um perfil de serviço do IAM para o DAX acessar o DynamoDB
• Criar um cluster do DAX usando a AWS CLI
• Criar um cluster do DAX usando o AWS Management Console

Criar um perfil de serviço do IAM para o DAX acessar o DynamoDB

Para que o cluster do DAX acesse as tabelas do DynamoDB em seu nome, será necessário criar uma função de serviço. Uma função de serviço é uma função do AWS Identity and Access Management (IAM) que autoriza um serviço da AWS a atuar em seu nome. A função de serviço permite que o DAX acesse as tabelas do DynamoDB como se você mesmo estivesse acessando essas tabelas. Você deve criar a função de serviço antes de criar o cluster do DAX.

Se você estiver usando o console, o fluxo de trabalho para a criação de um cluster verifica a presença de uma função de serviço do DAX pré-existente. Se nenhuma for encontrada, o console criará uma nova função de serviço para você. Para obter mais informações, consulte Etapa 2: criar um cluster do DAX usando o AWS Management Console.

Se você estiver usando a AWS CLI, especifique uma função de serviço do DAX criada anteriormente. Caso contrário, é necessário criar uma nova função de serviço com antecedência. Para obter mais informações, consulte Etapa 1: criar um perfil de serviço do IAM para DAX para acessar o DynamoDB usando a AWS CLI.

Permissões necessárias para criar um perfil de serviço

A política AdministratorAccess gerenciada pela AWS fornece todas as permissões necessárias para criar um cluster do DAX e uma função de serviço. Se o usuário tiver AdministratorAccess anexada, nenhuma ação adicional será necessária.

Caso contrário, você deverá adicionar as seguintes permissões à política do IAM para que o usuário possa criar o perfil de serviço:

• iam:CreateRole

• iam:CreatePolicy

• iam:AttachRolePolicy

• iam:PassRole

Anexe essas permissões ao usuário que está tentando executar a ação.

nota

As permissões iam:CreateRole, iam:CreatePolicy, iam:AttachRolePolicy e iam:PassRole não são incluídas nas políticas gerenciadas pela AWS para DynamoDB. Isso é por design, porque essas permissões fornecem a possibilidade de escalonamento de privilégios: isto é, um usuário poderia usar essas permissões para criar uma nova política de administrador e anexá-la a uma função existente. Por esse motivo, você (o administrador do seu cluster do DAX) deve adicionar explicitamente essas permissões à sua política.

Solução de problemas

Se sua política de usuário não tiver as permissões iam:CreateRole, iam:CreatePolicy e iam:AttachPolicy, você receberá mensagens de erro. A seguinte tabela lista essas mensagens e descreve como corrigir os problemas.

Se você vir essa mensagem de erro...	Faça o seguinte:
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::accountID:role/service-role/roleName	Adicione iam:CreateRole à sua política de usuário.
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreatePolicy on resource: policy policyName	Adicione iam:CreatePolicy à sua política de usuário.
User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:AttachRolePolicy on resource: role daxServiceRole	Adicione iam:AttachRolePolicy à sua política de usuário.

Para obter mais informações sobre políticas do IAM obrigatórias para a administração de cluster do DAX, consulte Controle de acesso do DAX.