O passo 3: Configurar o suporte entre contas (opcional)

Este artigo descreve como configurar a entregalogs de auditoria entre account. Se seu bucket S3 estiver na mesma account da AWS que sua IAM role usada para entrega logs, pule esta passo.

Para entregar logs para uma account da AWS diferente daquela usada para seu workspace do Databricks, você deve adicionar a política de bucket do S3 fornecida nesta passo. Esta política faz referência a IDs para aIAM role entre account que você criou na Passo 2: Configurar credenciais para entrega logs de auditoria.

1. No Console AWS, acesse o serviço S3.

2. Clique no nome do intervalo.

3. Clique na guia Permissões.

4. Clique no botão Política de Bucket .

5. Clique no botão Editar .

6. Copie e modifique esta política de bucket. Substitua <s3-bucket-name> pelo nome do bucket do S3, <customer-iam-role-id> pelo ID da IAM role recém-criada e <s3-bucket-path-prefix> pelo prefixo do caminho do bucket que você deseja.

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "AWS": ["arn:aws:iam::<customer-iam-role-id>"]
             },
             "Action": "s3:GetBucketLocation",
             "Resource": "arn:aws:s3:::<s3-bucket-name>"
         },
         {
             "Effect": "Allow",
             "Principal": {
                 "AWS": "arn:aws:iam::<customer-iam-role-id>"
             },
             "Action": [
                 "s3:PutObject",
                 "s3:GetObject",
                 "s3:DeleteObject",
                 "s3:PutObjectAcl",
                 "s3:AbortMultipartUpload",
                 "s3:ListMultipartUploadParts"
             ],
             "Resource": [
                 "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/",
                 "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/*"
             ]
         },
         {
             "Effect": "Allow",
             "Principal": {
                 "AWS": "arn:aws:iam::<customer-iam-role-id>"
             },
             "Action": "s3:ListBucket",
             "Resource": "arn:aws:s3:::<s3-bucket-name>",
             "Condition": {
                 "StringLike": {
                     "s3:prefix": [
                         "<s3-bucket-path-prefix>",
                         "<s3-bucket-path-prefix>/*"
                     ]
                 }
             }
         }
     ]
   }
   

Personalizar prefixos de caminho

Você pode personalizar o uso da política do prefixo do caminho:

• Se você não quiser usar o prefixo do caminho do bucket, remova <s3-bucket-path-prefix>/ (incluindo a barra final) da política sempre que ela aparecer.

• Se você deseja configurações de entrega logs para vários espaços de trabalho que compartilham o bucket do S3, mas usam diferentes prefixos de caminho, você pode incluir vários prefixos de caminho. Há duas partes separadas da política que fazem referência a <s3-bucket-path-prefix>. Para cada caso, duplique as duas linhas que fazem referência ao prefixo do caminho. Por exemplo:

  {
    "Resource":[
      "arn:aws:s3:::<mybucketname>/field-team/",
      "arn:aws:s3:::<mybucketname>/field-team/*",
      "arn:aws:s3:::<mybucketname>/finance-team/",
      "arn:aws:s3:::<mybucketname>/finance-team/*"
    ]
  }
  

Próximos passos

Por fim, você chamará a API de entrega logs para concluir a configuração da entrega. Consulte a Passo 4: Chamar a API de entrega logs .