本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立 DAX 叢集
<a name="DAX.create-cluster"></a>

本節會带您逐步在預設 Amazon Virtual Private Cloud (Amazon VPC) 環境中首次設定和使用 Amazon DynamoDB Accelerator (DAX)。您可以使用 AWS Command Line Interface (AWS CLI) 或 建立第一個 DAX 叢集 AWS 管理主控台。

在您建立 DAX 叢集之後，您可以從相同 VPC 中執行的 Amazon EC2 執行個體存取它。您接著可以搭配應用程式使用您的 DAX 叢集。如需詳細資訊，請參閱 [使用 DynamoDB Accelerator (DAX) 用戶端開發](DAX.client.md)。

**Topics**
+ [為 DAX 建立可存取 DynamoDB 的 IAM 服務角色](#DAX.create-cluster.iam-permissions)
+ [DAX 和 IPv6](DAX.create-cluster.DAX_and_IPV6.md)
+ [使用 建立 DAX 叢集 AWS CLI](DAX.create-cluster.cli.md)
+ [使用 建立 DAX 叢集 AWS 管理主控台](DAX.create-cluster.console.md)

## 為 DAX 建立可存取 DynamoDB 的 IAM 服務角色
<a name="DAX.create-cluster.iam-permissions"></a>

若要讓 DAX 叢集代您存取 DynamoDB 資料表，您必須建立*服務角色*。服務角色是 AWS Identity and Access Management (IAM) 角色，授權 AWS 服務代表您。服務角色可允許 DAX 存取您的 DynamoDB 資料表，就像是您自己存取資料表一般。您需要建立服務角色，才能建立 DAX 叢集。

如果您是使用主控台，則建立叢集的工作流程會檢查是否有既有 DAX 服務角色。如果找不到，則主控台會為您建立新的服務角色。如需詳細資訊，請參閱[步驟 2：使用 建立 DAX 叢集 AWS 管理主控台](DAX.create-cluster.console.md#DAX.create-cluster.console.create-cluster)。

如果您使用的是 AWS CLI，則必須指定先前建立的 DAX 服務角色。否則，您需要事先建立新的服務角色。如需詳細資訊，請參閱 [步驟 1：為 DAX 建立 IAM 服務角色，以使用 存取 DynamoDB AWS CLI](DAX.create-cluster.cli.md#DAX.create-cluster.cli.create-service-role)。

### 建立服務角色所需的許可
<a name="DAX.create-cluster.iam-permissions.required"></a>

AWS 受管 `AdministratorAccess` 政策提供了建立 DAX 叢集和服務角色所有需要的許可。若您的使用者已連接 `AdministratorAccess`，您便無需採取進一步的動作。

否則，您必須將下列許可新增至您的 IAM 政策，讓您的使用者可以建立服務角色：
+ `iam:CreateRole`
+ `iam:CreatePolicy`
+ `iam:AttachRolePolicy`
+ `iam:PassRole`

將這些許可連接到嘗試執行動作的使用者。

**注意**  
`iam:CreateRole`、`iam:AttachRolePolicy`、 `iam:CreatePolicy`和 `iam:PassRole`許可不包含在 DynamoDB 的 AWS 受管政策中。這是根據方案設計，因為這些許可可能會提供權限提升：也就是使用者可以使用這些許可來建立新的管理員政策，然後將該政策連接至現有角色。因此，您 (DAX 叢集管理員) 必須將這些許可明確地新增至您的政策。

### 疑難排解
<a name="DAX.create-cluster.iam-permissions.troubleshooting"></a>

若您的使用者政策遺漏 `iam:CreateRole`、`iam:CreatePolicy` 和 `iam:AttachPolicy` 許可，您將會收到錯誤訊息。下表列出這些訊息，並說明如何修正問題。


****  

| 如果您看到此錯誤訊息... | 請執行下列操作： | 
| --- | --- | 
| User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::accountID:role/service-role/roleName  | 將 iam:CreateRole 新增至使用者政策。 | 
| User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:CreatePolicy on resource: policy policyName |  將 iam:CreatePolicy 新增至使用者政策。 | 
| User: arn:aws:iam::accountID:user/userName is not authorized to perform: iam:AttachRolePolicy on resource: role daxServiceRole | 將 iam:AttachRolePolicy 新增至使用者政策。 | 

如需 DAX 叢集管理所需 IAM 政策的詳細資訊，請參閱 [DAX 存取控制](DAX.access-control.md)。