O passo 3: Configurar o suporte entre contas (opcional)

Este artigo descreve como configurar a entregalogs de auditoria entre account. Se seu bucket S3 estiver na mesma account da AWS que sua IAM role usada para entrega logs, pule esta passo.

Para entregar logs para uma account da AWS diferente daquela usada para seu workspace do Databricks, você deve adicionar a política de bucket do S3 fornecida nesta passo. Esta política faz referência a IDs para aIAM role entre account que você criou na Passo 2: Configurar credenciais para entrega logs de auditoria.

1. No Console da AWS, acesse o serviço S3.

2. Clique no nome do bucket.

3. Clique na guia Permissões .

4. Clique no botão Política de bucket .

5. Clique no botão Edit (Editar ).

6. Copie e modifique essa política de bucket. Substitua <s3-bucket-name> pelo nome do bucket S3, <customer-iam-role-id> pelo ID da função do seu recém-criado IAM role e <s3-bucket-path-prefix> pelo prefixo do caminho do bucket que o senhor deseja.

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "AWS": ["arn:aws:iam::<customer-iam-role-id>"]
             },
             "Action": "s3:GetBucketLocation",
             "Resource": "arn:aws:s3:::<s3-bucket-name>"
         },
         {
             "Effect": "Allow",
             "Principal": {
                 "AWS": "arn:aws:iam::<customer-iam-role-id>"
             },
             "Action": [
                 "s3:PutObject",
                 "s3:GetObject",
                 "s3:DeleteObject",
                 "s3:PutObjectAcl",
                 "s3:AbortMultipartUpload",
                 "s3:ListMultipartUploadParts"
             ],
             "Resource": [
                 "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/",
                 "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/*"
             ]
         },
         {
             "Effect": "Allow",
             "Principal": {
                 "AWS": "arn:aws:iam::<customer-iam-role-id>"
             },
             "Action": "s3:ListBucket",
             "Resource": "arn:aws:s3:::<s3-bucket-name>",
             "Condition": {
                 "StringLike": {
                     "s3:prefix": [
                         "<s3-bucket-path-prefix>",
                         "<s3-bucket-path-prefix>/*"
                     ]
                 }
             }
         }
     ]
   }
   

Personalizar os prefixos de caminho

Você pode personalizar o uso da política do prefixo do caminho:

• Se você não quiser usar o prefixo do caminho do contêiner, remova <s3-bucket-path-prefix>/ (incluindo a barra final) da política toda vez que ela aparecer.

• Se quiser configurações de entrega log para vários espaços de trabalho que compartilham o bucket S3, mas usam prefixos de caminho diferentes, o senhor pode incluir vários prefixos de caminho. Há duas partes separadas da política que fazem referência a <s3-bucket-path-prefix>. Para cada caso, duplique as duas linhas que fazem referência ao prefixo do caminho. Por exemplo:

  {
    "Resource":[
      "arn:aws:s3:::<mybucketname>/field-team/",
      "arn:aws:s3:::<mybucketname>/field-team/*",
      "arn:aws:s3:::<mybucketname>/finance-team/",
      "arn:aws:s3:::<mybucketname>/finance-team/*"
    ]
  }
  

Próximos passos

Por fim, você chamará a API de entrega logs para concluir a configuração da entrega. Consulte a Passo 4: Chamar a API de entrega logs .