Criar um workspace com configurações personalizadas do AWS
Essas instruções se aplicam a contas criadas após 8 de novembro de 2023. Se a Databricks account conta foi criada antes de 8 de novembro de 2023, consulte Criar manualmente uma workspace Databricks conta (conta existente).
Este artigo descreve como criar manualmente um workspace usando o console account e as configurações personalizadas do AWS. O senhor pode usar esse processo se quiser criar seu próprio AWS recurso ou precisar implantar um workspace em seu próprio VPC. Se o senhor não precisar criar configurações personalizadas para sua implementação, o site Databricks recomenda que crie um espaço de trabalho usando o AWS Quick começar padrão.
O senhor também pode criar um espaço de trabalho usando a conta API ou Terraform.
Requisitos
Para concluir as instruções deste artigo, você precisa do seguinte:
- A função de administrador account em seu Databricks account.
- Permissões em seu AWS account para provisionamento IAM função e S3 buckets.
- Um VPC e um gateway NAT disponíveis em seu AWS account na região do workspace. O senhor pode view suas cotas disponíveis e solicitar aumentos usando o consoleAWS serviço Quotas.
Criar um workspace com configurações personalizadas do AWS
- Vá para o consoleaccount e clique no ícone do espaço de trabalho .
- Clique em Create workspace e, em seguida, em Manual .
- No campo Nome do workspace , insira um nome legível por humanos para este workspace. Pode conter espaços.
- No campo Região , selecione uma região da AWS para a rede e os clusters de seu workspace. Clique em Avançar .
- No campo Configuração de armazenamento , selecione ou crie uma configuração de armazenamento. Se você criar uma nova configuração de armazenamento, consulte Criar uma configuração de armazenamento.
- Clique em Avançar .
- No campo Credential configuration (Configuração de credenciais ), selecione ou crie a configuração de credenciais que o senhor usará para este workspace. Se você criar uma nova configuração de credencial, consulte Criar uma configuração de credencial.
- (Opcional) Defina todas as configurações avançadas . Consulte Configurações avançadas.
- Clique em Avançar .
- Revise os detalhes do site workspace e clique em Create workspace .
Crie uma configuração de armazenamento
Na etapa de configuração do armazenamento, o senhor cria um bucket de armazenamento para armazenar seus Databricks workspace ativos, como dados, biblioteca e logs. O senhor também cria um IAM role que o Databricks usa para acessar o local.
Etapa 1: Criar um bucket S3
- Faça login no console AWS como usuário com privilégios de administrador e acesse o serviço S3 .
- Clique no botão Criar bucket .
- Insira um nome para o bucket.
- Selecione a região AWS que o senhor usará para sua implementação Databricks workspace .
- Clique em Criar bucket .
- Clique na guia Permissões .
- Na seção Política de bucket , clique em Editar .
- Adicione a política de bucket a seguir, substituindo
<BUCKET-NAME>pelo nome do seu bucket.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Grant Databricks Access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::548125073166:root"
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": ["arn:aws:s3:::<BUCKET-NAME>/*", "arn:aws:s3:::<BUCKET-NAME>"],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/DatabricksAccountId": ["7a99b43c-b46c-432b-b0a7-814217701909"]
}
}
},
{
"Sid": "Prevent DBFS from accessing Unity Catalog metastore",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::548125073166:root"
},
"Action": ["s3:*"],
"Resource": ["arn:aws:s3:::<BUCKET-NAME>/unity-catalog/*"]
}
]
}
- Salve o bucket.
Etapa 2: Criar um IAM role com uma política de confiança personalizada
Essa política de confiança e IAM role estabelece uma relação de confiança entreaccount para que Databricks possa acessar dados no bucket S3 em nome de usuários Databricks. O ARN na seção Principal é um valor estático que faz referência a uma função criada pela Databricks. O site ARN é ligeiramente diferente se o senhor usar Databricks on AWS GovCloud.
-
Em seu site AWS account, crie um IAM role com uma política de confiança personalizada .
-
No campo Custom Trust Policy (Política de confiança personalizada ), cole o JSON da política a seguir:
A política define a ID externa como
0000como espaço reservado. O senhor atualiza isso para o ID account do seu Databricks account em uma etapa posterior.
- Databricks on AWS
- Databricks on AWS GovCloud
- Databricks on AWS GovCloud DoD
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::414351767826:role/unity-catalog-prod-UCMasterRole-14S5ZJVKOTYTL"]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "0000"
}
}
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws-us-gov:iam::044793339203:role/unity-catalog-prod-UCMasterRole-1QRFA8SGY15OJ"]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "0000"
}
}
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws-us-gov:iam::170661010020:role/unity-catalog-prod-UCMasterRole-1DI6DL6ZP26A"]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "0000"
}
}
}
]
}
-
Salve a IAM role.
Agora que você criou a função, atualize sua política de confiança para torná-la presunçosa.
-
No site IAM role que o senhor acabou de criar, acesse Trust Relationships tab e edite a política de relacionamento de confiança da seguinte forma, substituindo os valores
<YOUR-AWS-ACCOUNT-ID>,<THIS-ROLE-NAME>e<YOUR-DATABRICKS-ACCOUNT-ID>.
- Databricks on AWS
- Databricks on AWS GovCloud
- Databricks on AWS GovCloud DoD
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::414351767826:role/unity-catalog-prod-UCMasterRole-14S5ZJVKOTYTL",
"arn:aws:iam::<YOUR-AWS-ACCOUNT-ID>:role/<THIS-ROLE-NAME>"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "<YOUR-DATABRICKS-ACCOUNT-ID>"
}
}
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::044793339203:role/unity-catalog-prod-UCMasterRole-1QRFA8SGY15OJ",
"arn:aws:iam::<YOUR-AWS-ACCOUNT-ID>:role/<THIS-ROLE-NAME>"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "<YOUR-DATABRICKS-ACCOUNT-ID>"
}
}
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::170661010020:role/unity-catalog-prod-UCMasterRole-1DI6DL6ZP26A",
"arn:aws:iam::<YOUR-AWS-ACCOUNT-ID>:role/<THIS-ROLE-NAME>"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "<YOUR-DATABRICKS-ACCOUNT-ID>"
}
}
}
]
}
-
Ignore a configuração da policy de permissões. Você voltará para adicioná-la em uma passo posterior.
-
Salve a IAM role.
Etapa 3: criar uma política de IAM para conceder acesso de leitura e gravação
-
Crie uma política IAM no mesmo account que o bucket S3, substituindo os seguintes valores:
<BUCKET>: nome do depósito S3.<AWS-ACCOUNT-ID>: ID de account da sua account da AWS (não da sua account do Databricks).<AWS-IAM-ROLE-NAME>: nome da IAM role AWS que você criou na passo anterior.<KMS-KEY>(Opcional): Se a criptografia estiver ativada, forneça o nome do KMS key que criptografa o conteúdo do bucket S3. Se a criptografia estiver desativada, remova toda a seção KMS da política de IAM.
Esta policy de IAM concede acesso de leitura e gravação. Você também pode criar uma policy que conceda acesso somente de leitura. No entanto, isso pode ser desnecessário, pois você pode marcar a credencial de armazenamento como somente leitura, e qualquer acesso de gravação concedido por essa IAM role será ignorado.
JSON{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:GetObject", "s3:PutObject", "s3:DeleteObject"],
"Resource": "arn:aws:s3:::<BUCKET>/unity-catalog/*"
},
{
"Effect": "Allow",
"Action": ["s3:ListBucket", "s3:GetBucketLocation"],
"Resource": "arn:aws:s3:::<BUCKET>",
"Condition": {
"StringLike": {
"s3:prefix": "unity-catalog/*"
}
}
},
{
"Action": ["kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*"],
"Resource": ["arn:aws:kms:<KMS-KEY>"],
"Effect": "Allow"
},
{
"Action": ["sts:AssumeRole"],
"Resource": ["arn:aws:iam::<AWS-ACCOUNT-ID>:role/<AWS-IAM-ROLE-NAME>"],
"Effect": "Allow"
}
]
}
Se você precisar de uma policy de IAM mais restritiva para o Unity Catalog, entre em contato com a equipe da sua account do Databricks para obter ajuda.
- Crie uma política IAM separada para eventos de arquivo no mesmo account que o bucket S3.
Essa etapa é opcional, mas altamente recomendada. Se o senhor não conceder acesso ao Databricks para configurar eventos de arquivo em seu nome, deverá configurar os eventos de arquivo manualmente para cada local. Se não o fizer, o senhor terá acesso limitado aos recursos críticos que o site Databricks liberará no futuro.
A política de IAM concede à Databricks permissão para atualizar a configuração de notificação de eventos do seu bucket, criar um tópico de SNS, criar uma fila de SQS e assinar a fila de SQS no tópico de SNS. Esses são recursos necessários para os recursos que usam eventos de arquivo. Substitua <BUCKET> pelo nome do bucket S3.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ManagedFileEventsSetupStatement",
"Effect": "Allow",
"Action": [
"s3:GetBucketNotification",
"s3:PutBucketNotification",
"sns:ListSubscriptionsByTopic",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:CreateTopic",
"sns:TagResource",
"sns:Publish",
"sns:Subscribe",
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:GetQueueUrl",
"sqs:GetQueueAttributes",
"sqs:SetQueueAttributes",
"sqs:TagQueue",
"sqs:ChangeMessageVisibility",
"sqs:PurgeQueue"
],
"Resource": ["arn:aws:s3:::<BUCKET>", "arn:aws:sqs:*:*:*", "arn:aws:sns:*:*:*"]
},
{
"Sid": "ManagedFileEventsListStatement",
"Effect": "Allow",
"Action": ["sqs:ListQueues", "sqs:ListQueueTags", "sns:ListTopics"],
"Resource": "*"
},
{
"Sid": "ManagedFileEventsTeardownStatement",
"Effect": "Allow",
"Action": ["sns:Unsubscribe", "sns:DeleteTopic", "sqs:DeleteQueue"],
"Resource": ["arn:aws:sqs:*:*:*", "arn:aws:sns:*:*:*"]
}
]
}
-
Retorne ao site IAM role que o senhor criou na Etapa 2.
-
Em Permission tab, anexe as políticas IAM que o senhor acabou de criar.
Etapa 4: criar a configuração de armazenamento
Agora, retorne ao fluxo de criação do workspace em seu Databricks account. Na etapa Storage (Armazenamento ), crie a configuração de armazenamento que dá ao seu workspace acesso ao bucket S3:
- Insira um nome legível por humanos para a configuração de armazenamento.
- Digite o nome do bucket S3 que o senhor criou em seu AWS account.
- Digite o endereço ARN do IAM role que o senhor criou na etapa 2.
- Clique em Criar credencial de armazenamento e continue .
Crie uma configuração de credencial
A configuração da credencial dá acesso a Databricks para iniciar compute recurso em seu AWS account. Esta etapa exige que o senhor crie um novo siteaccount IAM role com uma política de acesso.
Etapa 1: Criar um cruzamento -account IAM role
- Obtenha sua ID Databricks account . Consulte Localizar sua account ID.
- Faça login no console do AWS como um usuário com privilégios de administrador e acesse o console do IAM .
- Clique na guia Funções na barra lateral.
- Clique em Criar função .
- Em Selecionar tipo de entidade confiável , clique no bloco da conta da AWS .
- Marque a caixa de seleção Outra conta AWS .
- No campo account ID (ID da conta), digite Databricks account ID
414351767826. Esse não é o ID da conta que o senhor copiou do console Databricks account . Se o senhor estiver usando Databricks on AWS GovCloud use o Databricks account ID044793339203para AWS GovCloud ou170661010020para AWS GovCloud DoD. - Marque a caixa de seleção Exigir ID externa .
- No campo ID externo , digite o ID da sua conta Databricks, que foi copiado do console da conta Databricks.
- Clique no botão Avançar .
- Na página Adicionar permissões , clique no botão Avançar . Agora você deve estar na página Nome, revisão e criação .
- No campo Nome da função , insira um nome de papel.
- Clique em Criar papel . A lista de funções é exibida.
Etapa 2: criar uma política de acesso
A política de acesso que o senhor adiciona à função depende do tipo de implantação do Amazon VPC (Virtual Private Cloud). Para obter informações sobre como Databricks usa cada permissão,IAM consulte permissions for Databricks-gerenciar VPCs. Use as instruções de política que descrevem sua implantação:
- Opção 1: padrão. Um único VPC que Databricks cria e configura em seu AWS account. Esta é a configuração default.
- Opção 2: Gerenciar o cliente VPC com restrições default. Crie seu espaço de trabalho Databricks em seu próprio VPC, usando um recurso conhecido como customer-gerenciar VPC.
- Opção 3: Gerenciar o cliente VPC com restrições personalizadas. Crie seu espaço de trabalho Databricks em seu próprio VPC com restrições personalizadas para account ID, VPC ID, AWS Region e grupo de segurança.
Opção 1: política de implementação padrão
-
Na seção Funções do console do IAM , clique no IAM role que você criou na Etapa 1.
-
Clique no menu suspenso Adicionar permissões e selecione Criar política em linha .
-
No editor de políticas, clique na guia JSON .
-
Copie e cole a seguinte política de acesso:
JSON{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1403287045000",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateDhcpOptions",
"ec2:AssociateIamInstanceProfile",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CancelSpotInstanceRequests",
"ec2:CreateDhcpOptions",
"ec2:CreateFleet",
"ec2:CreateInternetGateway",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNatGateway",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DeleteDhcpOptions",
"ec2:DeleteFleets",
"ec2:DeleteInternetGateway",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteLaunchTemplateVersions",
"ec2:DeleteNatGateway",
"ec2:DeleteRoute",
"ec2:DeleteRouteTable",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSubnet",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeleteVpc",
"ec2:DeleteVpcEndpoints",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeFleetHistory",
"ec2:DescribeFleetInstances",
"ec2:DescribeFleets",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeNatGateways",
"ec2:DescribePrefixLists",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeSpotPriceHistory",
"ec2:DescribeSubnets",
"ec2:DescribeVolumes",
"ec2:DescribeVpcs",
"ec2:DetachInternetGateway",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:GetLaunchTemplateData",
"ec2:GetSpotPlacementScores",
"ec2:ModifyFleet",
"ec2:ModifyLaunchTemplate",
"ec2:ModifyVpcAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceIamInstanceProfileAssociation",
"ec2:RequestSpotInstances",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:TerminateInstances"
],
"Resource": ["*"]
},
{
"Effect": "Allow",
"Action": ["iam:CreateServiceLinkedRole", "iam:PutRolePolicy"],
"Resource": "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "spot.amazonaws.com"
}
}
}
]
} -
Clique em Revisar política .
-
No campo Nome , insira um nome de política.
-
Clique em Criar política .
-
(Opcional) Se o senhor usar Políticas de controle de serviço para negar determinadas ações no nível AWS account , certifique-se de que
sts:AssumeRoleesteja na lista de permissões para que o Databricks possa assumir a função cruzadaaccount. -
No resumo da função, copie o ARN da função a ser adicionada ao Databricks.
Opção 2: Gerenciar o cliente VPC com a política de restrições do default
-
Faça login no console do AWS como um usuário com privilégios de administrador e acesse o console do IAM .
-
Clique na guia Funções na barra lateral.
-
Na lista de funções, clique no IAM role entre contas que você criou na etapa 1.
-
Clique no menu suspenso Adicionar permissões e selecione Criar política em linha .
-
No editor de políticas, clique na guia JSON .
-
Copie e cole a seguinte política de acesso.
JSON{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1403287045000",
"Effect": "Allow",
"Action": [
"ec2:AssociateIamInstanceProfile",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CancelSpotInstanceRequests",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribePrefixLists",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeSpotPriceHistory",
"ec2:DescribeSubnets",
"ec2:DescribeVolumes",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"ec2:DetachVolume",
"ec2:DisassociateIamInstanceProfile",
"ec2:ReplaceIamInstanceProfileAssociation",
"ec2:RequestSpotInstances",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:DescribeFleetHistory",
"ec2:ModifyFleet",
"ec2:DeleteFleets",
"ec2:DescribeFleetInstances",
"ec2:DescribeFleets",
"ec2:CreateFleet",
"ec2:DeleteLaunchTemplate",
"ec2:GetLaunchTemplateData",
"ec2:CreateLaunchTemplate",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:ModifyLaunchTemplate",
"ec2:DeleteLaunchTemplateVersions",
"ec2:CreateLaunchTemplateVersion",
"ec2:AssignPrivateIpAddresses",
"ec2:GetSpotPlacementScores"
],
"Resource": ["*"]
},
{
"Effect": "Allow",
"Action": ["iam:CreateServiceLinkedRole", "iam:PutRolePolicy"],
"Resource": "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "spot.amazonaws.com"
}
}
}
]
} -
Clique em Revisar política .
-
No campo Nome , insira um nome de política.
-
Clique em Criar política .
-
(Opcional) Se o senhor usar Políticas de controle de serviço para negar determinadas ações no nível AWS account , certifique-se de que
sts:AssumeRoleesteja na lista de permissões para que o Databricks possa assumir a função cruzadaaccount. -
No resumo da função, copie a ARN da função .
Opção 3: Gerenciar o cliente VPC com restrições de políticas personalizadas
A produção Databricks AWS account da qual Amazon Machine Images (AMI) são originadas é 601306020600. O senhor pode usar esse ID account para criar políticas de acesso personalizadas que restringem as AMIs que podem ser usadas em seu AWS account. Para obter mais informações, entre em contato com a equipe Databricks account .
-
Faça login no console do AWS como um usuário com privilégios de administrador e acesse o console do IAM .
-
Clique na guia Funções na barra lateral.
-
Na lista de funções, clique no IAM role entre contas que você criou na etapa 1.
-
Clique no menu suspenso Adicionar permissões e, em seguida, em Criar política embutida .
-
No editor de políticas, clique na guia JSON .
-
Copie e cole a seguinte política de acesso.
Substitua os valores a seguir na política pelos seus próprios valores de configuração:
-
ACCOUNTID— O ID da sua conta da AWS, que é um número. -
VPCID— ID do AWS VPC onde você deseja iniciar workspaces. -
REGION— Nome da região AWS para sua implementação VPC, por exemplous-west-2. -
SECURITYGROUPID- ID do seu grupo de segurança do AWS. Quando o senhor adiciona uma restrição de grupo de segurança, não é possível reutilizar o crossaccount IAM role ou fazer referência a um ID de credenciais (credentials_id) para outro workspace. O senhor deve criar funções, políticas e objetos de credenciais separados para cada workspace.
-
Se o senhor tiver requisitos personalizados configurados para grupos de segurança com o seu vpc gerenciador de clientes, entre em contato com a equipe Databricks account para obter assistência com as personalizações da política IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "NonResourceBasedPermissions",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:CancelSpotInstanceRequests",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribePrefixLists",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeSpotPriceHistory",
"ec2:DescribeSubnets",
"ec2:DescribeVolumes",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:GetSpotPlacementScores",
"ec2:RequestSpotInstances",
"ec2:DescribeFleetHistory",
"ec2:ModifyFleet",
"ec2:DeleteFleets",
"ec2:DescribeFleetInstances",
"ec2:DescribeFleets",
"ec2:CreateFleet",
"ec2:DeleteLaunchTemplate",
"ec2:GetLaunchTemplateData",
"ec2:CreateLaunchTemplate",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:ModifyLaunchTemplate",
"ec2:DeleteLaunchTemplateVersions",
"ec2:CreateLaunchTemplateVersion"
],
"Resource": ["*"]
},
{
"Sid": "InstancePoolsSupport",
"Effect": "Allow",
"Action": [
"ec2:AssociateIamInstanceProfile",
"ec2:DisassociateIamInstanceProfile",
"ec2:ReplaceIamInstanceProfileAssociation"
],
"Resource": "arn:aws:ec2:REGION:ACCOUNTID:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Vendor": "Databricks"
}
}
},
{
"Sid": "AllowEc2RunInstancePerTag",
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": ["arn:aws:ec2:REGION:ACCOUNTID:volume/*", "arn:aws:ec2:REGION:ACCOUNTID:instance/*"],
"Condition": {
"StringEquals": {
"aws:RequestTag/Vendor": "Databricks"
}
}
},
{
"Sid": "AllowEc2RunInstanceImagePerTag",
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": ["arn:aws:ec2:REGION:ACCOUNTID:image/*"],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Vendor": "Databricks"
}
}
},
{
"Sid": "AllowEc2RunInstancePerVPCid",
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:REGION:ACCOUNTID:network-interface/*",
"arn:aws:ec2:REGION:ACCOUNTID:subnet/*",
"arn:aws:ec2:REGION:ACCOUNTID:security-group/*"
],
"Condition": {
"StringEquals": {
"ec2:vpc": "arn:aws:ec2:REGION:ACCOUNTID:vpc/VPCID"
}
}
},
{
"Sid": "AllowEc2RunInstanceOtherResources",
"Effect": "Allow",
"Action": "ec2:RunInstances",
"NotResource": [
"arn:aws:ec2:REGION:ACCOUNTID:image/*",
"arn:aws:ec2:REGION:ACCOUNTID:network-interface/*",
"arn:aws:ec2:REGION:ACCOUNTID:subnet/*",
"arn:aws:ec2:REGION:ACCOUNTID:security-group/*",
"arn:aws:ec2:REGION:ACCOUNTID:volume/*",
"arn:aws:ec2:REGION:ACCOUNTID:instance/*"
]
},
{
"Sid": "EC2TerminateInstancesTag",
"Effect": "Allow",
"Action": ["ec2:TerminateInstances"],
"Resource": ["arn:aws:ec2:REGION:ACCOUNTID:instance/*"],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Vendor": "Databricks"
}
}
},
{
"Sid": "EC2AttachDetachVolumeTag",
"Effect": "Allow",
"Action": ["ec2:AttachVolume", "ec2:DetachVolume"],
"Resource": ["arn:aws:ec2:REGION:ACCOUNTID:instance/*", "arn:aws:ec2:REGION:ACCOUNTID:volume/*"],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Vendor": "Databricks"
}
}
},
{
"Sid": "EC2CreateVolumeByTag",
"Effect": "Allow",
"Action": ["ec2:CreateVolume"],
"Resource": ["arn:aws:ec2:REGION:ACCOUNTID:volume/*"],
"Condition": {
"StringEquals": {
"aws:RequestTag/Vendor": "Databricks"
}
}
},
{
"Sid": "EC2DeleteVolumeByTag",
"Effect": "Allow",
"Action": ["ec2:DeleteVolume"],
"Resource": ["arn:aws:ec2:REGION:ACCOUNTID:volume/*"],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Vendor": "Databricks"
}
}
},
{
"Effect": "Allow",
"Action": ["iam:CreateServiceLinkedRole", "iam:PutRolePolicy"],
"Resource": "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "spot.amazonaws.com"
}
}
},
{
"Sid": "VpcNonresourceSpecificActions",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "arn:aws:ec2:REGION:ACCOUNTID:security-group/SECURITYGROUPID",
"Condition": {
"StringEquals": {
"ec2:vpc": "arn:aws:ec2:REGION:ACCOUNTID:vpc/VPCID"
}
}
}
]
}
-
Clique em Revisar política .
-
No campo Nome , insira um nome de política.
-
Clique em Criar política .
-
(Opcional) Se o senhor usar Políticas de controle de serviço para negar determinadas ações no nível AWS account , certifique-se de que
sts:AssumeRoleesteja na lista de permissões para que o Databricks possa assumir a função cruzadaaccount. -
No resumo da função, copie a ARN da função .
Etapa 3: criar a configuração da credencial
Crie uma configuração de credenciais no Databricks que use a função que o senhor criou na etapa anterior.
Para criar uma configuração de credencial:
- No campo Nome da configuração da credencial , insira um nome legível para sua nova configuração de credencial.
- No campo ARN de função , insira o ARN da sua função.
- Clique em Criar credenciais e continue .
A Databricks valida a configuração da credencial durante essa etapa. Os possíveis erros podem incluir um ARN inválido ou permissões incorretas para a função, entre outros.
Configurações avançadas
As configurações a seguir são opcionais quando o senhor cria um novo workspace. Para view essas configurações, clique em Advanced configurations (Configurações avançadas ) dropdown na etapa Credentials (Credenciais ).
- Metastore : Confirme a atribuição do metastore para seu workspace. O metastore é selecionado automaticamente se já existir um metastore Unity Catalog na região do workspace e se o metastore estiver configurado para ser atribuído automaticamente ao novo espaço de trabalho. Se este for o primeiro workspace que o senhor estiver implantando em uma região, o metastore será criado automaticamente. Os metastores são criados sem armazenamento em nível de metastore pelo site default. Se você quiser armazenamento em nível de metástore, você pode adicioná-lo. Consulte Adicionar armazenamento gerenciar a um metastore existente.
- Configuração de rede : Para criar o workspace em seu próprio VPC, selecione ou adicione uma configuração de rede . Para obter instruções sobre como configurar seu próprio VPC, consulte Configurar um gerenciador de clientes VPC. Se o senhor estiver usando um gerenciador de clientes VPC, certifique-se de que o seu IAM role use uma política de acesso que ofereça suporte a VPCs gerenciadores de clientes.
- Link privado : para ativar o PrivateLink, selecione ou adicione uma configuração de acesso privado. Para isso, é necessário que o senhor crie o endpoint VPC regional correto, registre-o e faça referência a ele na configuração da rede.
- Customer-gerenciar key : o senhor pode adicionar uma chave de criptografia à sua implementação do workspace para serviço gerenciado e armazenamento do workspace. O key para serviço gerenciado criptografa o Notebook, os segredos e os dados de consulta do Databricks SQL no plano de controle. O key para o armazenamento workspace criptografa seu bucket de armazenamento workspace (que contém DBFS root e os volumes EBS de compute recurso no plano compute clássico. Para obter mais orientações, consulte Configurar chave gerenciadora de clientes para criptografia.
- Segurança e compliance : Essas caixas de seleção permitem que o senhor ative o perfil de segurança compliance, adicione padrões compliance e ative o monitoramento de segurança aprimorado para o seu workspace. Para obter mais informações, consulte Configure enhanced security and compliance settings.
Ver o status do site workspace
Depois de criar um workspace, você pode visualizar seu status na página Workspaces .
- Provisionamento : em andamento. Aguarde alguns minutos e atualize a página.
- Em execução : implantação bem-sucedida do workspace.
- Falha : falha na implantação.
- Banido : entre em contato com seu representante do Databricks.
- Cancelamento : em processo de cancelamento.
Se o status do seu novo workspace for Failed (Falha ), clique em workspace para view uma mensagem de erro detalhada. O senhor pode fazer atualizações na configuração e tentar implantar o workspace novamente. Consulte Solução de problemas ao criar um espaço de trabalho.
fazer login em um workspace
- Vá para o consoleaccount e clique no ícone do espaço de trabalho .
- Na linha com seu workspace, clique em Abrir .
- Para log in como administrador de workspace, log in com seu endereço e senha de proprietário ou administrador de account account email . Se o senhor configurou o login único, clique no botão Single Sign On .
Próximas etapas
Agora que o senhor implantou o site workspace, pode começar a desenvolver sua estratégia de dados. A Databricks recomenda os seguintes artigos:
- Adicione usuários, grupos e entidades de serviço ao seu workspace. gerenciar usuários, entidades de serviço e grupos.
- Saiba mais sobre governança de dados e gerenciamento de acesso a dados no Databricks. Consulte O que é o Unity Catalog?
- Conecte seu Databricks workspace à fonte de dados externa. Consulte Conectar-se à fonte de dados.
- Faça a ingestão de seus dados no site workspace. Consulte Ingerir dados em um lakehouse da Databricks.
- Aprenda a gerenciar o acesso a objetos do site workspace, como Notebook, compute, dashboards e consultas. Consulte Listas de controle de acesso.