Permissões em funções de IAM entre contas

Este artigo lista as permissões na função do IAM entre contas e a finalidade de cada função.

As permissões são diferentes com base em como você configura sua VPC.

Permissões de IAM para VPCs gerenciados por Databricks

O Databricks exige a seguinte lista de permissões do IAM para operar e gerenciar clusters de maneira eficaz. Essa configuração se aplica somente aos workspaces que usam o VPC padrão (gerenciada pelo Databricks). Para criar a política de função entre contas da AWS para uso com o VPC padrão gerenciada pelo Databricks, consulte Criar uma função do IAM para implantação de workspace.

A tabela a seguir lista as permissões de função de conta cruzada do Databricks IAM na configuração padrão, os recursos que eles controlam e a finalidade de cada permissão.

Permissão do AWS IAM

Recurso da AWS

Propósito

ec2:AllocateAddress

Endereço IP elástico

Atribui um IP elástico que está associado ao NAT Gateway usado na conectividade segura do cluster

ec2:AssignPrivateIpAddresses

Interface de rede

Atribui um IP privado à instância EC2.

ec2:AssociateDhcpOptions

DHCP

Associa um conjunto de opções de DHCP (ou nenhuma opção de DHCP) a um VPC.

ec2:AssociateIamInstanceProfile

InstanceProfile

Associe um perfil de instância a uma instância EC2 em execução. Isso permite que uma instância do pool do Databricks seja usada por clusters com perfis de instância diferentes ao longo de sua vida útil no pool.

ec2:AssociateRouteTable

RouteTable

Associa uma sub-rede com uma tabela de rota.

ec2:AttachInternetGateway

InternetGateway

Anexa um gateway de Internet a um VPC, permitindo a conectividade entre a Internet e o VPC. No momento, isso é necessário para se conectar a buckets do S3 e atualizar o código para os trabalhadores e contêineres de faísca.

ec2:AttachVolume

Volume EBS

Anexa volume para escalonamento automático do EBS.

ec2:AuthorizeSecurityGroupEgress

SecurityGroup

Adiciona regras de saída aos grupos de segurança, se necessário.

ec2:AuthorizeSecurityGroupIngress

SecurityGroup

Adiciona regras de entrada aos grupos de segurança.

ec2:CancelSpotInstanceRequests

SpotInstance

Cancela instâncias de ponto.

ec2:CreateDhcpOptions

Dhcp

Cria opções de DHCP.

ec2:CreateFleet

Frota EC2

Cria uma frota EC2 (usada com clusters de frota do Databricks).

ec2:CreateInternetGateway

InternetGateway

Cria um gateway da Internet.

ec2:CreateLaunchTemplate

Modelo de lançamento

Cria um modelo de lançamento (usado com clusters de frota do Databricks).

ec2:CreateLaunchTemplateVersion

Modelo de lançamento

Cria uma versão de modelo de lançamento (usada com clusters de frota do Databricks).

ec2:CreateNatGateway

NatGateway

Cria um gateway NAT.

ec2:CreateRoute

Rota

Cria rotas durante a configuração do workspace.

ec2:CreateRouteTable

RouteTable

Cria rotas durante a configuração do workspace.

ec2:CreateSecurityGroup

SecurityGroup

Cria grupos de segurança durante a configuração inicial

ec2:CreateSubnet

Sub-rede

Crie sub-redes para o VPC durante a configuração do workspace.

ec2:CreateTags

Tags

Adiciona tags em recursos do Databricks.

ec2:CreateVolume

Volume EBS

Criar volume.

ec2:CreateVpc

VPC

Cria o VPC gerenciado por Databricks.

ec2:CreateVpcEndpoint

VPCEndpoint

Cria VPC endpoints como parte da configuração do VPC.

ec2:DeleteDhcpOptions

DHCPOptions

Exclui DHCPOptions

ec2:DeleteFleets

Frota EC2

Exclui uma frota EC2 (usada com clusters de frota do Databricks)

ec2:DeleteInternetGateway

InternetGateway

Exclui o Internet Gateway durante a exclusão do workspace.

ec2:DeleteLaunchTemplate

Modelo de lançamento

Exclui um modelo de lançamento e todas as suas versões.

ec2:DeleteLaunchTemplateVersions

Modelo de lançamento

Exclui uma versão de um modelo de lançamento (usado com clusters de frota de Databricks).

ec2:DeleteNatGateway

NatGateway

Exclui o gateway NAT conforme necessário para configurar a retransmissão de conectividade segura do cluster.

ec2:DeleteRoute

Rota

Exclui rotas.

ec2:DeleteRouteTable

RouteTable

Exclui tabela de rota.

ec2:DeleteSecurityGroup

SecurityGroup

Exclui grupos de segurança durante a exclusão do workspace.

ec2:DeleteSubnet

Sub-rede

Exclui sub-rede.

ec2:DeleteTags

Tags

Remove tags de recursos de cluster para permitir que instâncias de pool do Databricks sejam reutilizadas por clusters com tags diferentes.

ec2:DeleteVolume

Volume EBS

Exclui um volume para escalonamento automático do EBS. Veja esta página.

ec2:DeleteVpc

VPC

Exclui o VPC quando os clientes durante a exclusão do workspace.

ec2:DeleteVpcEndpoints

VPCEndpoints

Exclui os VPC endpoints durante a exclusão do workspace.

ec2:DescribeAvailabilityZones

AvailabilityZones

Obtém uma lista de Zonas de Disponibilidade em uma região para que os Databricks possam implementar recursos nessa zona.

ec2:DescribeFleetHistory

Frota EC2

Lista eventos em uma frota do EC2 (usada com clusters de frota do Databricks).

ec2:DescribeFleetInstances

Frota EC2

Lista instâncias em uma frota EC2 (usada com clusters de frota do Databricks).

ec2:DescribeFleets

Frota EC2

Descreve detalhes de uma frota EC2 (usada com clusters de frota Databricks).

ec2:DescribeIamInstanceProfileAssociations

InstanceProfile

Verifica o perfil de instância atualmente definido em uma instância EC2, garantindo que o perfil correto seja configurado em uma instância de pool do Databricks antes de ser reutilizada por um cluster.

ec2:DescribeInstanceStatus

Instância

Confirma que as instâncias do Databricks AWS são saudáveis.

ec2:DescribeInstances

Instância

Confirma que as instâncias do Databricks AWS são saudáveis.

ec2:DescribeInternetGateways

InternetGateway

Descreve o InternetGateway para confirmar que as instâncias do Databricks AWS têm uma rota para a Internet.

ec2:DescribeLaunchTemplates

Modelo de lançamento

Exclui um modelo de lançamento (usado com clusters de frota do Databricks).

ec2:DescribeLaunchTemplateVersions

Modelo de lançamento

Descreve detalhes das versões de modelo de lançamento (usadas com clusters de frota de Databricks).

ec2:DescribeNatGateways

NATGateway

Descreve um NAT gateway para confirmar que as instâncias da AWS do Databricks têm uma rota para a Internet na arquitetura de conectividade segura do cluster.

ec2:DescribePrefixLists

Lista de prefixos

Cria um ID de lista de prefixos para criar uma regra de grupo de segurança de saída que permite o tráfego de uma VPC para que o Databricks possa acessar um serviço da AWS por meio de um endpoint VPC de gateway.

ec2:DescribeReservedInstancesOfferings

Instância

Descreve a definição de preço da instância reservada para oferecer suporte à definição de preço da instância spot da AWS.

ec2:DescribeRouteTables

RouteTable

Confirma que as tabelas de rota estão configuradas corretamente no VPC gerenciado por Databricks.

ec2:DescribeSecurityGroups

SecurityGroup

Confirma que os grupos de segurança AWS estão configurados corretamente.

ec2:DescribeSpotInstanceRequests

Instância

Descreve instâncias de ponto.

ec2:DescribeSpotPriceHistory

SpotInstance

Descreve instâncias de ponto.

ec2:DescribeSubnets

Sub-rede

Confirma que as sub-redes estão configuradas corretamente no Databricks VPC.

ec2:DescribeVolumes

Volume

Lista volumes.

ec2:DescribeVpcs

VPC

Confirma se o VPC do workspace foi configurado corretamente.

ec2:DetachInternetGateway

InternetGateway

Desanexa o Gateway de Internet criado pelos Databricks durante a exclusão do workspace.

ec2:DisassociateIamInstanceProfile

InstanceProfile

Desassocia um perfil de instância de uma instância EC2 para que as instâncias de pool xDatabricks possam ser usadas por clusters com perfis de instância diferentes.

ec2:DisassociateRouteTable

RouteTable

Desanexa a tabela de rotas criada pelo Databricks durante a exclusão do workspace.

ec2:GetLaunchTemplateData

Modelos de lançamento

Obtém a configuração de um modelo de lançamento (usado com clusters de frota do Databricks).

ec2:GetSpotPlacementScores

Zonas de disponibilidade

Obtém lista de AZs com melhor capacidade de ponto para determinados tipos de instância.

ec2:ModifyFleet

Frota EC2

Modifica uma frota EC2 (usada com clusters de frota Databricks).

ec2:ModifyLaunchTemplate

Modelos de lançamento

Modifica um modelo de lançamento existente (usado com clusters de frota de Databricks).

ec2:ModifyVpcAttribute

VPCAttribute

Configura o VPC gerenciado por Databricks.

ec2:ReleaseAddress

Endereço

Desvincular o endereço criado do Databricks durante a exclusão do workspace.

ec2:ReplaceIamInstanceProfileAssociation

InstanceProfile

Substitui um perfil de instância por outro em uma instância EC2, permitindo que as instâncias de pool do Databricks sejam usadas por clusters com perfis de instância diferentes.

ec2:RequestSpotInstances

SpotInstance

Solicita instâncias pontuais.

ec2:RevokeSecurityGroupEgress

SecurityGroup

Atualiza grupos de segurança gerenciados pelo Databricks, se necessário.

ec2:RevokeSecurityGroupIngress

SecurityGroup

Atualiza grupos de segurança.

ec2:RunInstances

Instância

Inicia instâncias AWS para criar Clusters Spark. Utilizado também durante a expansão de um cluster Spark existente.

ec2:TerminateInstances

Instância

Encerra os nós do Spark EC2 durante a redução de escala do cluster ou para encerrar um determinado cluster do Spark.

iam:CreateServiceLinkedRole

ServiceLinkedRole

Configura o suporte para instâncias spot.

iam:PutRolePolicy

RolePolicy

Configura o Databricks para usar instâncias pontuais.

Permissões de IAM para VPC gerenciado pelo cliente

Se o senhor usar um cliente gerenciar VPC, há um conjunto menor de permissões necessárias para o cruzamento de dadosaccount IAM role. Esse recurso requer o plano Premium ou acima.

Para criar a política de função AWS cruzadaaccount para uso com um cliente gerenciar VPC, consulte Opção 2: Cliente gerenciar VPC com política de restrições default .

As permissões podem ser reduzidas ainda mais, se necessário. Para criar a política de função cruzada AWS account para uso com um gerenciador de clientes VPC com restrições personalizadas adicionais sobre recurso, consulte Opção 3: Gerenciador de clientes VPC com restrições de política personalizadas.

A tabela a seguir lista as permissões de função entre contas do Databricks IAM para um VPC gerenciado pelo cliente, os recursos que eles controlam e a finalidade de cada permissão.

Permissão do AWS IAM

Recurso da AWS

Propósito

ec2:AssociateIamInstanceProfile

InstanceProfile

Associa um perfil de instância a uma instância EC2 em execução, permitindo que uma instância de pool do Databricks seja utilizada por clusters com perfis de instância diferentes ao longo de sua vida útil no pool.

ec2:AttachVolume

Volume

Anexa um volume.

ec2:AuthorizeSecurityGroupEgress

SecurityGroup

Adiciona regras de saída aos grupos de segurança, se necessário.

ec2:AuthorizeSecurityGroupIngress

SecurityGroup

Adiciona regras de entrada aos grupos de segurança.

ec2:CancelSpotInstanceRequests

SpotInstance

Cancela instâncias de ponto.

ec2:CreateFleet

Frota EC2

Cria uma frota EC2 (usada com clusters de frota do Databricks).

ec2:CreateLaunchTemplate

Modelo de lançamento

Cria um modelo de lançamento (usado com clusters de frota do Databricks).

ec2:CreateTags

Tags

Adiciona tags em recursos do Databricks.

ec2:CreateVolume

Volume

Cria um volume.

ec2:DeleteFleets

Frota EC2

Exclui uma frota EC2 (usada com clusters de frota do Databricks)

ec2:DeleteLaunchTemplate

Modelo de lançamento

Exclui um modelo de lançamento e todas as suas versões.

ec2:DeleteLaunchTemplateVersions

Modelo de lançamento

Exclui uma versão de um modelo de lançamento (usado com clusters de frota de Databricks).

ec2:DeleteTags

Tags

Remove as tags dos recursos do cluster para que as instâncias do pool do Databricks possam ser reutilizadas por clusters com tags diferentes.

ec2:DeleteVolume

Volume

Exclui um volume.

ec2:DescribeAvailabilityZones

AvailabilityZones

Obtém uma lista de Zonas de Disponibilidade em uma região para que os Databricks possam implementar os recursos nessa zona.

ec2:DescribeIamInstanceProfileAssociations

InstanceProfile

Verifica o perfil de instância atualmente definido em uma instância EC2 para garantir que o perfil correto esteja configurado em uma instância de pool do Databricks antes de ser reutilizada por um cluster.

ec2:DescribeInstanceStatus

Instância

Confirma que as instâncias do Databricks AWS são saudáveis.

ec2:DescribeInstances

Instância

Confirma se as instâncias do Databricks AWS são saudáveis.

ec2:DescribeInternetGateways

InternetGateway

Descreve o InternetGateway para confirmar que as instâncias do Databricks AWS têm uma rota para a Internet.

ec2:DescribeFleetHistory

Frota EC2

Lista eventos em uma frota do EC2 (usada com clusters de frota do Databricks).

ec2:DescribeFleetInstances

Frota EC2

Lista instâncias em uma frota EC2 (usada com clusters de frota do Databricks).

ec2:DescribeFleets

Frota EC2

Descreve detalhes de uma frota EC2 (usada com clusters de frota Databricks).

ec2:DescribeLaunchTemplates

Modelo de lançamento

Exclui um modelo de lançamento (usado com clusters de frota do Databricks).

ec2:DescribeLaunchTemplateVersions

Modelo de lançamento

Descreve detalhes das versões de modelo de lançamento (usadas com clusters de frota de Databricks).

ec2:DescribeNatGateways

NATGateway

Descreve o NATGateway para confirmar que as instâncias do Databricks AWS têm uma rota para a Internet na arquitetura de conectividade segura do cluster.

ec2:DescribeNetworkAcls

ACL de rede

Confirma a configuração correta do Network ACL.

ec2:DescribePrefixLists

Lista de prefixos

Obtém uma lista de IDs de lista de prefixos para criar uma regra de grupo de segurança de saída que permite que o tráfego de uma VPC acesse um serviço da AWS por meio de um gateway VPC endpoint.

ec2:DescribeReservedInstancesOfferings

Instância

Obtém o preço da instância reservada como ponto de partida para os preços das instâncias spot da AWS.

ec2:DescribeRouteTables

RouteTable

Confirma que as tabelas de rota estão configuradas corretamente no VPC.

ec2:DescribeSecurityGroups

SecurityGroup

Confirma que os grupos de segurança AWS estão configurados corretamente.

ec2:DescribeSpotInstanceRequests

Instância

Descreve a instância de ponto.

ec2:DescribeSpotPriceHistory

SpotInstance

Descreve instâncias de ponto.

ec2:DescribeSubnets

Sub-rede

Confirma que as sub-redes estão configuradas corretamente no VPC.

ec2:DescribeVolumes

Volume

Listar volumes.

ec2:DescribeVpcAttribute

VPC

Descreve os atributos da VPC, incluindo, mas não se limitando a enableDnsHostnames.

ec2:DescribeVpcs

VPC

Confirma que o VPC da área de trabalho Databricks foi criado.

ec2:DetachVolume

Volume

Desanexa um volume EBS de instâncias do EC2 durante o encerramento do cluster.

ec2:DisassociateIamInstanceProfile

InstanceProfile

Desassocia um perfil de instância de uma instância EC2, permitindo que as instâncias de pool sejam usadas por clusters com perfis de instância diferentes.

ec2:GetLaunchTemplateData

Modelos de lançamento

Obtém a configuração de um modelo de lançamento (usado com clusters de frota do Databricks).

ec2:ModifyFleet

Frota EC2

Modifica uma frota EC2 (usada com clusters de frota Databricks).

ec2:ModifyLaunchTemplate

Modelos de lançamento

Modifica um modelo de lançamento existente (usado com clusters de frota de Databricks).

ec2:ReplaceIamInstanceProfileAssociation

InstanceProfile

Troca um perfil de instância por outro em uma instância EC2, permitindo que as instâncias de pool sejam utilizadas por clusters com diferentes perfis de instância.

ec2:RequestSpotInstances

SpotInstance

Solicita instâncias pontuais.

ec2:RevokeSecurityGroupEgress

SecurityGroup

Atualiza grupos de segurança gerenciados por dados, se necessário

ec2:RevokeSecurityGroupIngress

SecurityGroup

Atualiza grupos de segurança.

ec2:RunInstances

Instância

Inicia instâncias AWS para criar Clusters Spark. Também usado para ampliar um cluster Spark existente.

ec2:TerminateInstances

Instância

Termina os nós Spark EC2 durante a redução da escala do cluster ou para encerrar um cluster Spark.

iam:CreateServiceLinkedRole

ServiceLinkedRole

Configura o suporte para instâncias spot.

iam:PutRolePolicy

RolePolicy

Configura o Databricks para usar instâncias pontuais.