Pular para o conteúdo principal

Etapa 3: Configurar o suporte entreaccount (opcional)

Este artigo descreve como configurar a entregalogs de auditoria entre account. Se seu bucket S3 estiver na mesma account da AWS que sua IAM role usada para entrega logs, pule esta passo.

Para entregar logs a um AWS account diferente do usado para o seu Databricks workspace, o senhor deve adicionar a política de bucket S3 fornecida nesta etapa. Essa política faz referência a IDs para oaccount IAM role cruzado que o senhor criou na Etapa 2: Configurar credenciais para auditoria da entrega do log.

  1. No Console da AWS, acesse o serviço S3.

  2. Clique no nome do bucket.

  3. Clique na guia Permissões .

  4. Clique no botão Política de bucket .

  5. Clique no botão Editar .

  6. Copie e modifique essa política de bucket. Substitua <s3-bucket-name> pelo nome do bucket S3, <customer-iam-role-id> pelo ID da função do seu recém-criado IAM role e <s3-bucket-path-prefix> pelo prefixo do caminho do bucket que o senhor deseja.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
    {
    "Effect": "Allow",
    "Principal": {
    "AWS": ["arn:aws:iam::<customer-iam-role-id>"]
    },
    "Action": "s3:GetBucketLocation",
    "Resource": "arn:aws:s3:::<s3-bucket-name>"
    },
    {
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::<customer-iam-role-id>"
    },
    "Action": [
    "s3:PutObject",
    "s3:GetObject",
    "s3:DeleteObject",
    "s3:PutObjectAcl",
    "s3:AbortMultipartUpload",
    "s3:ListMultipartUploadParts"
    ],
    "Resource": [
    "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/",
    "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/*"
    ]
    },
    {
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::<customer-iam-role-id>"
    },
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::<s3-bucket-name>",
    "Condition": {
    "StringLike": {
    "s3:prefix": ["<s3-bucket-path-prefix>", "<s3-bucket-path-prefix>/*"]
    }
    }
    }
    ]
    }

Personalizar prefixos de caminho

Você pode personalizar o uso da política do prefixo do caminho:

  • Se você não quiser usar o prefixo do caminho do contêiner, remova <s3-bucket-path-prefix>/ (incluindo a barra final) da política toda vez que ela aparecer.

  • Se quiser configurações de entrega log para vários espaços de trabalho que compartilham o bucket S3, mas usam prefixos de caminho diferentes, o senhor pode incluir vários prefixos de caminho. Há duas partes separadas da política que fazem referência a <s3-bucket-path-prefix>. Para cada caso, duplique as duas linhas que fazem referência ao prefixo do caminho. Por exemplo:

    JSON
    {
    "Resource": [
    "arn:aws:s3:::<mybucketname>/field-team/",
    "arn:aws:s3:::<mybucketname>/field-team/*",
    "arn:aws:s3:::<mybucketname>/finance-team/",
    "arn:aws:s3:::<mybucketname>/finance-team/*"
    ]
    }

Próximas etapas

Por fim, o senhor ligará para o log delivery API para concluir a configuração da entrega. Consulte a Etapa 4: Criar a configuração de entrega log.