Etapa 3: Configurar o suporte entreaccount (opcional)
Este artigo descreve como configurar a entregalogs de auditoria entre account. Se seu bucket S3 estiver na mesma account da AWS que sua IAM role usada para entrega logs, pule esta passo.
Para entregar logs a um AWS account diferente do usado para o seu Databricks workspace, o senhor deve adicionar a política de bucket S3 fornecida nesta etapa. Essa política faz referência a IDs para oaccount IAM role cruzado que o senhor criou na Etapa 2: Configurar credenciais para auditoria da entrega do log.
-
No Console da AWS, acesse o serviço S3.
-
Clique no nome do bucket.
-
Clique na guia Permissões .
-
Clique no botão Política de bucket .
-
Clique no botão Editar .
-
Copie e modifique essa política de bucket. Substitua
<s3-bucket-name>
pelo nome do bucket S3,<customer-iam-role-id>
pelo ID da função do seu recém-criado IAM role e<s3-bucket-path-prefix>
pelo prefixo do caminho do bucket que o senhor deseja.JSON{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::<customer-iam-role-id>"]
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::<s3-bucket-name>"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<customer-iam-role-id>"
},
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/",
"arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<customer-iam-role-id>"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::<s3-bucket-name>",
"Condition": {
"StringLike": {
"s3:prefix": ["<s3-bucket-path-prefix>", "<s3-bucket-path-prefix>/*"]
}
}
}
]
}
Personalizar prefixos de caminho
Você pode personalizar o uso da política do prefixo do caminho:
-
Se você não quiser usar o prefixo do caminho do contêiner, remova
<s3-bucket-path-prefix>/
(incluindo a barra final) da política toda vez que ela aparecer. -
Se quiser configurações de entrega log para vários espaços de trabalho que compartilham o bucket S3, mas usam prefixos de caminho diferentes, o senhor pode incluir vários prefixos de caminho. Há duas partes separadas da política que fazem referência a
<s3-bucket-path-prefix>
. Para cada caso, duplique as duas linhas que fazem referência ao prefixo do caminho. Por exemplo:JSON{
"Resource": [
"arn:aws:s3:::<mybucketname>/field-team/",
"arn:aws:s3:::<mybucketname>/field-team/*",
"arn:aws:s3:::<mybucketname>/finance-team/",
"arn:aws:s3:::<mybucketname>/finance-team/*"
]
}
Próximas etapas
Por fim, o senhor ligará para o log delivery API para concluir a configuração da entrega. Consulte a Etapa 4: Criar a configuração de entrega log.