Permissões em funções de IAM entre contas
Este artigo lista as permissões na função do IAM entre contas e a finalidade de cada função.
As permissões são diferentes com base em como você configura sua VPC.
Permissões de IAM para VPCs gerenciados por Databricks
O Databricks exige a seguinte lista de permissões do IAM para operar e gerenciar clusters de maneira eficaz. Essa configuração se aplica somente aos workspaces que usam o VPC padrão (gerenciada pelo Databricks). Para criar a política de função entre contas da AWS para uso com o VPC padrão gerenciada pelo Databricks, consulte Criar uma função do IAM para implantação de workspace.
A tabela a seguir lista as permissões de função de conta cruzada do Databricks IAM na configuração padrão, os recursos que eles controlam e a finalidade de cada permissão.
Permissão do AWS IAM |
Recurso da AWS |
Propósito |
---|---|---|
|
Endereço IP elástico |
Atribui um IP elástico que está associado ao NAT Gateway usado na conectividade segura do cluster |
|
Interface de rede |
Atribui um IP privado à instância EC2. |
|
DHCP |
Associa um conjunto de opções de DHCP (ou nenhuma opção de DHCP) a um VPC. |
|
InstanceProfile |
Associe um perfil de instância a uma instância EC2 em execução. Isso permite que uma instância do pool do Databricks seja usada por clusters com perfis de instância diferentes ao longo de sua vida útil no pool. |
|
RouteTable |
Associa uma sub-rede com uma tabela de rota. |
|
InternetGateway |
Anexa um gateway de Internet a um VPC, permitindo a conectividade entre a Internet e o VPC. No momento, isso é necessário para se conectar a buckets do S3 e atualizar o código para os trabalhadores e contêineres de faísca. |
|
Volume EBS |
Anexa volume para escalonamento automático do EBS. |
|
SecurityGroup |
Adiciona regras de saída aos grupos de segurança, se necessário. |
|
SecurityGroup |
Adiciona regras de entrada aos grupos de segurança. |
|
SpotInstance |
Cancela instâncias de ponto. |
|
Dhcp |
Cria opções de DHCP. |
|
Frota EC2 |
Cria uma frota EC2 (usada com clusters de frota do Databricks). |
|
InternetGateway |
Cria um gateway da Internet. |
|
Modelo de lançamento |
Cria um modelo de lançamento (usado com clusters de frota do Databricks). |
|
Modelo de lançamento |
Cria uma versão de modelo de lançamento (usada com clusters de frota do Databricks). |
|
NatGateway |
Cria um gateway NAT. |
|
Rota |
Cria rotas durante a configuração do workspace. |
|
RouteTable |
Cria rotas durante a configuração do workspace. |
|
SecurityGroup |
Cria grupos de segurança durante a configuração inicial |
|
Sub-rede |
Crie sub-redes para o VPC durante a configuração do workspace. |
|
Tags |
Adiciona tags em recursos do Databricks. |
|
Volume EBS |
Criar volume. |
|
VPC |
Cria o VPC gerenciado por Databricks. |
|
VPCEndpoint |
Cria VPC endpoints como parte da configuração do VPC. |
|
DHCPOptions |
Exclui DHCPOptions |
|
Frota EC2 |
Exclui uma frota EC2 (usada com clusters de frota do Databricks) |
|
InternetGateway |
Exclui o Internet Gateway durante a exclusão do workspace. |
|
Modelo de lançamento |
Exclui um modelo de lançamento e todas as suas versões. |
|
Modelo de lançamento |
Exclui uma versão de um modelo de lançamento (usado com clusters de frota de Databricks). |
|
NatGateway |
Exclui o gateway NAT conforme necessário para configurar a retransmissão de conectividade segura do cluster. |
|
Rota |
Exclui rotas. |
|
RouteTable |
Exclui tabela de rota. |
|
SecurityGroup |
Exclui grupos de segurança durante a exclusão do workspace. |
|
Sub-rede |
Exclui sub-rede. |
|
Tags |
Remove tags de recursos de cluster para permitir que instâncias de pool do Databricks sejam reutilizadas por clusters com tags diferentes. |
|
Volume EBS |
Exclui um volume para escalonamento automático do EBS. Veja esta página. |
|
VPC |
Exclui o VPC quando os clientes durante a exclusão do workspace. |
|
VPCEndpoints |
Exclui os VPC endpoints durante a exclusão do workspace. |
|
AvailabilityZones |
Obtém uma lista de Zonas de Disponibilidade em uma região para que os Databricks possam implementar recursos nessa zona. |
|
Frota EC2 |
Lista eventos em uma frota do EC2 (usada com clusters de frota do Databricks). |
|
Frota EC2 |
Lista instâncias em uma frota EC2 (usada com clusters de frota do Databricks). |
|
Frota EC2 |
Descreve detalhes de uma frota EC2 (usada com clusters de frota Databricks). |
|
InstanceProfile |
Verifica o perfil de instância atualmente definido em uma instância EC2, garantindo que o perfil correto seja configurado em uma instância de pool do Databricks antes de ser reutilizada por um cluster. |
|
Instância |
Confirma que as instâncias do Databricks AWS são saudáveis. |
|
Instância |
Confirma que as instâncias do Databricks AWS são saudáveis. |
|
InternetGateway |
Descreve o InternetGateway para confirmar que as instâncias do Databricks AWS têm uma rota para a Internet. |
|
Modelo de lançamento |
Exclui um modelo de lançamento (usado com clusters de frota do Databricks). |
|
Modelo de lançamento |
Descreve detalhes das versões de modelo de lançamento (usadas com clusters de frota de Databricks). |
|
NATGateway |
Descreve um NAT gateway para confirmar que as instâncias da AWS do Databricks têm uma rota para a Internet na arquitetura de conectividade segura do cluster. |
|
Lista de prefixos |
Cria um ID de lista de prefixos para criar uma regra de grupo de segurança de saída que permite o tráfego de uma VPC para que o Databricks possa acessar um serviço da AWS por meio de um endpoint VPC de gateway. |
|
Instância |
Descreve a definição de preço da instância reservada para oferecer suporte à definição de preço da instância spot da AWS. |
|
RouteTable |
Confirma que as tabelas de rota estão configuradas corretamente no VPC gerenciado por Databricks. |
|
SecurityGroup |
Confirma que os grupos de segurança AWS estão configurados corretamente. |
|
Instância |
Descreve instâncias de ponto. |
|
SpotInstance |
Descreve instâncias de ponto. |
|
Sub-rede |
Confirma que as sub-redes estão configuradas corretamente no Databricks VPC. |
|
Volume |
Lista volumes. |
|
VPC |
Confirma se o VPC do workspace foi configurado corretamente. |
|
InternetGateway |
Desanexa o Gateway de Internet criado pelos Databricks durante a exclusão do workspace. |
|
InstanceProfile |
Desassocia um perfil de instância de uma instância EC2 para que as instâncias de pool xDatabricks possam ser usadas por clusters com perfis de instância diferentes. |
|
RouteTable |
Desanexa a tabela de rotas criada pelo Databricks durante a exclusão do workspace. |
|
Modelos de lançamento |
Obtém a configuração de um modelo de lançamento (usado com clusters de frota do Databricks). |
|
Zonas de disponibilidade |
Obtém lista de AZs com melhor capacidade de ponto para determinados tipos de instância. |
|
Frota EC2 |
Modifica uma frota EC2 (usada com clusters de frota Databricks). |
|
Modelos de lançamento |
Modifica um modelo de lançamento existente (usado com clusters de frota de Databricks). |
|
VPCAttribute |
Configura o VPC gerenciado por Databricks. |
|
Endereço |
Desvincular o endereço criado do Databricks durante a exclusão do workspace. |
|
InstanceProfile |
Substitui um perfil de instância por outro em uma instância EC2, permitindo que as instâncias de pool do Databricks sejam usadas por clusters com perfis de instância diferentes. |
|
SpotInstance |
Solicita instâncias pontuais. |
|
SecurityGroup |
Atualiza grupos de segurança gerenciados pelo Databricks, se necessário. |
|
SecurityGroup |
Atualiza grupos de segurança. |
|
Instância |
Inicia instâncias AWS para criar Clusters Spark. Utilizado também durante a expansão de um cluster Spark existente. |
|
Instância |
Encerra os nós do Spark EC2 durante a redução de escala do cluster ou para encerrar um determinado cluster do Spark. |
|
ServiceLinkedRole |
Configura o suporte para instâncias spot. |
|
RolePolicy |
Configura o Databricks para usar instâncias pontuais. |
Permissões de IAM para VPC gerenciado pelo cliente
Se o senhor usar um cliente gerenciar VPC, há um conjunto menor de permissões necessárias para o cruzamento de dadosaccount IAM role. Esse recurso requer o plano Premium ou acima.
Para criar a política de função AWS cruzadaaccount para uso com um cliente gerenciar VPC, consulte Opção 2: Cliente gerenciar VPC com política de restrições default .
As permissões podem ser reduzidas ainda mais, se necessário. Para criar a política de função cruzada AWS account para uso com um gerenciador de clientes VPC com restrições personalizadas adicionais sobre recurso, consulte Opção 3: Gerenciador de clientes VPC com restrições de política personalizadas.
A tabela a seguir lista as permissões de função entre contas do Databricks IAM para um VPC gerenciado pelo cliente, os recursos que eles controlam e a finalidade de cada permissão.
Permissão do AWS IAM |
Recurso da AWS |
Propósito |
---|---|---|
|
InstanceProfile |
Associa um perfil de instância a uma instância EC2 em execução, permitindo que uma instância de pool do Databricks seja utilizada por clusters com perfis de instância diferentes ao longo de sua vida útil no pool. |
|
Volume |
Anexa um volume. |
|
SecurityGroup |
Adiciona regras de saída aos grupos de segurança, se necessário. |
|
SecurityGroup |
Adiciona regras de entrada aos grupos de segurança. |
|
SpotInstance |
Cancela instâncias de ponto. |
|
Frota EC2 |
Cria uma frota EC2 (usada com clusters de frota do Databricks). |
|
Modelo de lançamento |
Cria um modelo de lançamento (usado com clusters de frota do Databricks). |
|
Tags |
Adiciona tags em recursos do Databricks. |
|
Volume |
Cria um volume. |
|
Frota EC2 |
Exclui uma frota EC2 (usada com clusters de frota do Databricks) |
|
Modelo de lançamento |
Exclui um modelo de lançamento e todas as suas versões. |
|
Modelo de lançamento |
Exclui uma versão de um modelo de lançamento (usado com clusters de frota de Databricks). |
|
Tags |
Remove as tags dos recursos do cluster para que as instâncias do pool do Databricks possam ser reutilizadas por clusters com tags diferentes. |
|
Volume |
Exclui um volume. |
|
AvailabilityZones |
Obtém uma lista de Zonas de Disponibilidade em uma região para que os Databricks possam implementar os recursos nessa zona. |
|
InstanceProfile |
Verifica o perfil de instância atualmente definido em uma instância EC2 para garantir que o perfil correto esteja configurado em uma instância de pool do Databricks antes de ser reutilizada por um cluster. |
|
Instância |
Confirma que as instâncias do Databricks AWS são saudáveis. |
|
Instância |
Confirma se as instâncias do Databricks AWS são saudáveis. |
|
InternetGateway |
Descreve o InternetGateway para confirmar que as instâncias do Databricks AWS têm uma rota para a Internet. |
|
Frota EC2 |
Lista eventos em uma frota do EC2 (usada com clusters de frota do Databricks). |
|
Frota EC2 |
Lista instâncias em uma frota EC2 (usada com clusters de frota do Databricks). |
|
Frota EC2 |
Descreve detalhes de uma frota EC2 (usada com clusters de frota Databricks). |
|
Modelo de lançamento |
Exclui um modelo de lançamento (usado com clusters de frota do Databricks). |
|
Modelo de lançamento |
Descreve detalhes das versões de modelo de lançamento (usadas com clusters de frota de Databricks). |
|
NATGateway |
Descreve o NATGateway para confirmar que as instâncias do Databricks AWS têm uma rota para a Internet na arquitetura de conectividade segura do cluster. |
|
ACL de rede |
Confirma a configuração correta do Network ACL. |
|
Lista de prefixos |
Obtém uma lista de IDs de lista de prefixos para criar uma regra de grupo de segurança de saída que permite que o tráfego de uma VPC acesse um serviço da AWS por meio de um gateway VPC endpoint. |
|
Instância |
Obtém o preço da instância reservada como ponto de partida para os preços das instâncias spot da AWS. |
|
RouteTable |
Confirma que as tabelas de rota estão configuradas corretamente no VPC. |
|
SecurityGroup |
Confirma que os grupos de segurança AWS estão configurados corretamente. |
|
Instância |
Descreve a instância de ponto. |
|
SpotInstance |
Descreve instâncias de ponto. |
|
Sub-rede |
Confirma que as sub-redes estão configuradas corretamente no VPC. |
|
Volume |
Listar volumes. |
|
VPC |
Descreve os atributos da VPC, incluindo, mas não se limitando a |
|
VPC |
Confirma que o VPC da área de trabalho Databricks foi criado. |
|
Volume |
Desanexa um volume EBS de instâncias do EC2 durante o encerramento do cluster. |
|
InstanceProfile |
Desassocia um perfil de instância de uma instância EC2, permitindo que as instâncias de pool sejam usadas por clusters com perfis de instância diferentes. |
|
Modelos de lançamento |
Obtém a configuração de um modelo de lançamento (usado com clusters de frota do Databricks). |
|
Frota EC2 |
Modifica uma frota EC2 (usada com clusters de frota Databricks). |
|
Modelos de lançamento |
Modifica um modelo de lançamento existente (usado com clusters de frota de Databricks). |
|
InstanceProfile |
Troca um perfil de instância por outro em uma instância EC2, permitindo que as instâncias de pool sejam utilizadas por clusters com diferentes perfis de instância. |
|
SpotInstance |
Solicita instâncias pontuais. |
|
SecurityGroup |
Atualiza grupos de segurança gerenciados por dados, se necessário |
|
SecurityGroup |
Atualiza grupos de segurança. |
|
Instância |
Inicia instâncias AWS para criar Clusters Spark. Também usado para ampliar um cluster Spark existente. |
|
Instância |
Termina os nós Spark EC2 durante a redução da escala do cluster ou para encerrar um cluster Spark. |
|
ServiceLinkedRole |
Configura o suporte para instâncias spot. |
|
RolePolicy |
Configura o Databricks para usar instâncias pontuais. |