Pular para o conteúdo principal

Etapa 3: Configurar o suporte entreaccount (opcional)

Este artigo descreve como configurar a entregalogs de auditoria entre account. Se seu bucket S3 estiver na mesma account da AWS que sua IAM role usada para entrega logs, pule esta passo.

Para entregar logs a um AWS account diferente do usado para o seu Databricks workspace, o senhor deve adicionar a política de bucket S3 fornecida nesta etapa. Essa política faz referência a IDs para oaccount IAM role cruzado que o senhor criou na Etapa 2: Configurar credenciais para auditoria da entrega do log.

  1. No Console da AWS, acesse o serviço S3.

  2. Clique no nome do bucket.

  3. Clique na guia Permissões .

  4. Clique no botão Política de bucket .

  5. Clique no botão Editar .

  6. Copie e modifique essa política de bucket. Substitua <s3-bucket-name> pelo nome do bucket S3, <customer-iam-role-id> pelo ID da função do seu recém-criado IAM role e <s3-bucket-path-prefix> pelo prefixo do caminho do bucket que o senhor deseja.

    JSON
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "AWS": ["arn:aws:iam::<customer-iam-role-id>"]
          },
          "Action": "s3:GetBucketLocation",
          "Resource": "arn:aws:s3:::<s3-bucket-name>"
        },
        {
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::<customer-iam-role-id>"
          },
          "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "s3:DeleteObject",
            "s3:PutObjectAcl",
            "s3:AbortMultipartUpload",
            "s3:ListMultipartUploadParts"
          ],
          "Resource": [
            "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/",
            "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/*"
          ]
        },
        {
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::<customer-iam-role-id>"
          },
          "Action": "s3:ListBucket",
          "Resource": "arn:aws:s3:::<s3-bucket-name>",
          "Condition": {
            "StringLike": {
              "s3:prefix": ["<s3-bucket-path-prefix>", "<s3-bucket-path-prefix>/*"]
            }
          }
        }
      ]
    }

Personalizar prefixos de caminho

Você pode personalizar o uso da política do prefixo do caminho:

  • Se você não quiser usar o prefixo do caminho do contêiner, remova <s3-bucket-path-prefix>/ (incluindo a barra final) da política toda vez que ela aparecer.

  • Se quiser configurações de entrega log para vários espaços de trabalho que compartilham o bucket S3, mas usam prefixos de caminho diferentes, o senhor pode incluir vários prefixos de caminho. Há duas partes separadas da política que fazem referência a <s3-bucket-path-prefix>. Para cada caso, duplique as duas linhas que fazem referência ao prefixo do caminho. Por exemplo:

    JSON
    {
      "Resource": [
        "arn:aws:s3:::<mybucketname>/field-team/",
        "arn:aws:s3:::<mybucketname>/field-team/*",
        "arn:aws:s3:::<mybucketname>/finance-team/",
        "arn:aws:s3:::<mybucketname>/finance-team/*"
      ]
    }

Próximas etapas

Por fim, o senhor ligará para o site log delivery API para concluir a configuração da entrega. Consulte a Etapa 4: Ligue para o site log delivery API.

Última atualização em