Permissões em funções de IAM entre contas

Este artigo lista as permissões na função do IAM entre contas e a finalidade de cada função.

As permissões são diferentes com base em como você configura sua VPC.

Permissões IAM para databricks-gerenciar VPCs
Permissões IAM para cliente-gerenciar VPC

Permissões de IAM para VPCs gerenciados por Databricks

O Databricks exige a seguinte lista de permissões do IAM para operar e gerenciar clusters de maneira eficaz. Essa configuração se aplica somente aos workspaces que usam o VPC padrão (gerenciada pelo Databricks). Para criar a política de função entre contas da AWS para uso com o VPC padrão gerenciada pelo Databricks, consulte Criar uma função do IAM para implantação de workspace.

A tabela a seguir lista as permissões de função de conta cruzada do Databricks IAM na configuração padrão, os recursos que eles controlam e a finalidade de cada permissão.

Permissão do AWS IAM	Recurso da AWS	Propósito
`ec2:AllocateAddress`	Endereço IP elástico	Atribui um IP elástico que está associado ao NAT Gateway usado na conectividade segura do cluster
`ec2:AssignPrivateIpAddresses`	Interface de rede	Atribui um IP privado à instância EC2.
`ec2:AssociateDhcpOptions`	DHCP	Associa um conjunto de opções de DHCP (ou nenhuma opção de DHCP) a um VPC.
`ec2:AssociateIamInstanceProfile`	InstanceProfile	Associe um perfil de instância a uma instância EC2 em execução. Isso permite que uma instância do pool do Databricks seja usada por clusters com perfis de instância diferentes ao longo de sua vida útil no pool.
`ec2:AssociateRouteTable`	RouteTable	Associa uma sub-rede com uma tabela de rota.
`ec2:AttachInternetGateway`	InternetGateway	Anexa um gateway de Internet a um VPC, permitindo a conectividade entre a Internet e o VPC. No momento, isso é necessário para se conectar a buckets do S3 e atualizar o código para os trabalhadores e contêineres de faísca.
`ec2:AttachVolume`	Volume EBS	Anexa volume para escalonamento automático do EBS.
`ec2:AuthorizeSecurityGroupEgress`	SecurityGroup	Adiciona regras de saída aos grupos de segurança, se necessário.
`ec2:AuthorizeSecurityGroupIngress`	SecurityGroup	Adiciona regras de entrada aos grupos de segurança.
`ec2:CancelSpotInstanceRequests`	SpotInstance	Cancela instâncias de ponto.
`ec2:CreateDhcpOptions`	Dhcp	Cria opções de DHCP.
`ec2:CreateFleet`	Frota EC2	Cria uma frota EC2 (usada com clusters de frota do Databricks).
`ec2:CreateInternetGateway`	InternetGateway	Cria um gateway da Internet.
`ec2:CreateLaunchTemplate`	Modelo de lançamento	Cria um modelo de lançamento (usado com clusters de frota do Databricks).
`ec2:CreateLaunchTemplateVersion`	Modelo de lançamento	Cria uma versão de modelo de lançamento (usada com clusters de frota do Databricks).
`ec2:CreateNatGateway`	NatGateway	Cria um gateway NAT.
`ec2:CreateRoute`	Rota	Cria rotas durante a configuração do workspace.
`ec2:CreateRouteTable`	RouteTable	Cria rotas durante a configuração do workspace.
`ec2:CreateSecurityGroup`	SecurityGroup	Cria grupos de segurança durante a configuração inicial
`ec2:CreateSubnet`	Sub-rede	Crie sub-redes para o VPC durante a configuração do workspace.
`ec2:CreateTags`	Tags	Adiciona tags em recursos do Databricks.
`ec2:CreateVolume`	Volume EBS	Criar volume.
`ec2:CreateVpc`	VPC	Cria o VPC gerenciado por Databricks.
`ec2:CreateVpcEndpoint`	VPCEndpoint	Cria VPC endpoints como parte da configuração do VPC.
`ec2:DeleteDhcpOptions`	DHCPOptions	Exclui DHCPOptions
`ec2:DeleteFleets`	Frota EC2	Exclui uma frota EC2 (usada com clusters de frota do Databricks)
`ec2:DeleteInternetGateway`	InternetGateway	Exclui o Internet Gateway durante a exclusão do workspace.
`ec2:DeleteLaunchTemplate`	Modelo de lançamento	Exclui um modelo de lançamento e todas as suas versões.
`ec2:DeleteLaunchTemplateVersions`	Modelo de lançamento	Exclui uma versão de um modelo de lançamento (usado com clusters de frota de Databricks).
`ec2:DeleteNatGateway`	NatGateway	Exclui o gateway NAT conforme necessário para configurar a retransmissão de conectividade segura do cluster.
`ec2:DeleteRoute`	Rota	Exclui rotas.
`ec2:DeleteRouteTable`	RouteTable	Exclui tabela de rota.
`ec2:DeleteSecurityGroup`	SecurityGroup	Exclui grupos de segurança durante a exclusão do workspace.
`ec2:DeleteSubnet`	Sub-rede	Exclui sub-rede.
`ec2:DeleteTags`	Tags	Remove tags de recursos de cluster para permitir que instâncias de pool do Databricks sejam reutilizadas por clusters com tags diferentes.
`ec2:DeleteVolume`	Volume EBS	Exclui um volume para escalonamento automático do EBS. Veja esta página.
`ec2:DeleteVpc`	VPC	Exclui o VPC quando os clientes durante a exclusão do workspace.
`ec2:DeleteVpcEndpoints`	VPCEndpoints	Exclui os VPC endpoints durante a exclusão do workspace.
`ec2:DescribeAvailabilityZones`	AvailabilityZones	Obtém uma lista de Zonas de Disponibilidade em uma região para que os Databricks possam implementar recursos nessa zona.
`ec2:DescribeFleetHistory`	Frota EC2	Lista eventos em uma frota do EC2 (usada com clusters de frota do Databricks).
`ec2:DescribeFleetInstances`	Frota EC2	Lista instâncias em uma frota EC2 (usada com clusters de frota do Databricks).
`ec2:DescribeFleets`	Frota EC2	Descreve detalhes de uma frota EC2 (usada com clusters de frota Databricks).
`ec2:DescribeIamInstanceProfileAssociations`	InstanceProfile	Verifica o perfil de instância atualmente definido em uma instância EC2, garantindo que o perfil correto seja configurado em uma instância de pool do Databricks antes de ser reutilizada por um cluster.
`ec2:DescribeInstanceStatus`	Instância	Confirma que as instâncias do Databricks AWS são saudáveis.
`ec2:DescribeInstances`	Instância	Confirma que as instâncias do Databricks AWS são saudáveis.
`ec2:DescribeInternetGateways`	InternetGateway	Descreve o InternetGateway para confirmar que as instâncias do Databricks AWS têm uma rota para a Internet.
`ec2:DescribeLaunchTemplates`	Modelo de lançamento	Exclui um modelo de lançamento (usado com clusters de frota do Databricks).
`ec2:DescribeLaunchTemplateVersions`	Modelo de lançamento	Descreve detalhes das versões de modelo de lançamento (usadas com clusters de frota de Databricks).
`ec2:DescribeNatGateways`	NATGateway	Descreve um NAT gateway para confirmar que as instâncias da AWS do Databricks têm uma rota para a Internet na arquitetura de conectividade segura do cluster.
`ec2:DescribePrefixLists`	Lista de prefixos	Cria um ID de lista de prefixos para criar uma regra de grupo de segurança de saída que permite o tráfego de uma VPC para que o Databricks possa acessar um serviço da AWS por meio de um endpoint VPC de gateway.
`ec2:DescribeReservedInstancesOfferings`	Instância	Descreve a definição de preço da instância reservada para oferecer suporte à definição de preço da instância spot da AWS.
`ec2:DescribeRouteTables`	RouteTable	Confirma que as tabelas de rota estão configuradas corretamente no VPC gerenciado por Databricks.
`ec2:DescribeSecurityGroups`	SecurityGroup	Confirma que os grupos de segurança AWS estão configurados corretamente.
`ec2:DescribeSpotInstanceRequests`	Instância	Descreve instâncias de ponto.
`ec2:DescribeSpotPriceHistory`	SpotInstance	Descreve instâncias de ponto.
`ec2:DescribeSubnets`	Sub-rede	Confirma que as sub-redes estão configuradas corretamente no Databricks VPC.
`ec2:DescribeVolumes`	Volume	Lista volumes.
`ec2:DescribeVpcs`	VPC	Confirma se o VPC do workspace foi configurado corretamente.
`ec2:DetachInternetGateway`	InternetGateway	Desanexa o Gateway de Internet criado pelos Databricks durante a exclusão do workspace.
`ec2:DisassociateIamInstanceProfile`	InstanceProfile	Desassocia um perfil de instância de uma instância EC2 para que as instâncias de pool xDatabricks possam ser usadas por clusters com perfis de instância diferentes.
`ec2:DisassociateRouteTable`	RouteTable	Desanexa a tabela de rotas criada pelo Databricks durante a exclusão do workspace.
`ec2:GetLaunchTemplateData`	Modelos de lançamento	Obtém a configuração de um modelo de lançamento (usado com clusters de frota do Databricks).
`ec2:GetSpotPlacementScores`	Zonas de disponibilidade	Obtém lista de AZs com melhor capacidade de ponto para determinados tipos de instância.
`ec2:ModifyFleet`	Frota EC2	Modifica uma frota EC2 (usada com clusters de frota Databricks).
`ec2:ModifyLaunchTemplate`	Modelos de lançamento	Modifica um modelo de lançamento existente (usado com clusters de frota de Databricks).
`ec2:ModifyVpcAttribute`	VPCAttribute	Configura o VPC gerenciado por Databricks.
`ec2:ReleaseAddress`	Endereço	Desvincular o endereço criado do Databricks durante a exclusão do workspace.
`ec2:ReplaceIamInstanceProfileAssociation`	InstanceProfile	Substitui um perfil de instância por outro em uma instância EC2, permitindo que as instâncias de pool do Databricks sejam usadas por clusters com perfis de instância diferentes.
`ec2:RequestSpotInstances`	SpotInstance	Solicita instâncias pontuais.
`ec2:RevokeSecurityGroupEgress`	SecurityGroup	Atualiza grupos de segurança gerenciados pelo Databricks, se necessário.
`ec2:RevokeSecurityGroupIngress`	SecurityGroup	Atualiza grupos de segurança.
`ec2:RunInstances`	Instância	Inicia instâncias AWS para criar Clusters Spark. Utilizado também durante a expansão de um cluster Spark existente.
`ec2:TerminateInstances`	Instância	Encerra os nós do Spark EC2 durante a redução de escala do cluster ou para encerrar um determinado cluster do Spark.
`iam:CreateServiceLinkedRole`	ServiceLinkedRole	Configura o suporte para instâncias spot.
`iam:PutRolePolicy`	RolePolicy	Configura o Databricks para usar instâncias pontuais.

Permissões de IAM para VPC gerenciado pelo cliente

Se você usar uma VPC gerenciada pelo cliente , será necessário um conjunto menor de permissões para a entreaccount IAM role. Este recurso requer o plano Premium ou acima.

Para criar a política de função entre contas da AWS para uso com uma VPC de geração de cliente, consulte Opção 2: VPC de geração de cliente com política de restrições padrão.

As permissões podem ser reduzidas ainda mais, se necessário. Para criar a política de função entre contas da AWS para uso com uma VPC de geração de cliente com restrições personalizadas adicionais sobre recursos, consulte Opção 3: VPC de geração de cliente com restrições de política personalizada.

A tabela a seguir lista as permissões de função entre contas do Databricks IAM para um VPC gerenciado pelo cliente, os recursos que eles controlam e a finalidade de cada permissão.

Permissão do AWS IAM	Recurso da AWS	Propósito
`ec2:AssociateIamInstanceProfile`	InstanceProfile	Associa um perfil de instância a uma instância EC2 em execução, permitindo que uma instância de pool do Databricks seja utilizada por clusters com perfis de instância diferentes ao longo de sua vida útil no pool.
`ec2:AttachVolume`	Volume	Anexa um volume.
`ec2:AuthorizeSecurityGroupEgress`	SecurityGroup	Adiciona regras de saída aos grupos de segurança, se necessário.
`ec2:AuthorizeSecurityGroupIngress`	SecurityGroup	Adiciona regras de entrada aos grupos de segurança.
`ec2:CancelSpotInstanceRequests`	SpotInstance	Cancela instâncias de ponto.
`ec2:CreateFleet`	Frota EC2	Cria uma frota EC2 (usada com clusters de frota do Databricks).
`ec2:CreateLaunchTemplate`	Modelo de lançamento	Cria um modelo de lançamento (usado com clusters de frota do Databricks).
`ec2:CreateTags`	Tags	Adiciona tags em recursos do Databricks.
`ec2:CreateVolume`	Volume	Cria um volume.
`ec2:DeleteFleets`	Frota EC2	Exclui uma frota EC2 (usada com clusters de frota do Databricks)
`ec2:DeleteLaunchTemplate`	Modelo de lançamento	Exclui um modelo de lançamento e todas as suas versões.
`ec2:DeleteLaunchTemplateVersions`	Modelo de lançamento	Exclui uma versão de um modelo de lançamento (usado com clusters de frota de Databricks).
`ec2:DeleteTags`	Tags	Remove as tags dos recursos do cluster para que as instâncias do pool do Databricks possam ser reutilizadas por clusters com tags diferentes.
`ec2:DeleteVolume`	Volume	Exclui um volume.
`ec2:DescribeAvailabilityZones`	AvailabilityZones	Obtém uma lista de Zonas de Disponibilidade em uma região para que os Databricks possam implementar os recursos nessa zona.
`ec2:DescribeIamInstanceProfileAssociations`	InstanceProfile	Verifica o perfil de instância atualmente definido em uma instância EC2 para garantir que o perfil correto esteja configurado em uma instância de pool do Databricks antes de ser reutilizada por um cluster.
`ec2:DescribeInstanceStatus`	Instância	Confirma que as instâncias do Databricks AWS são saudáveis.
`ec2:DescribeInstances`	Instância	Confirma se as instâncias do Databricks AWS são saudáveis.
`ec2:DescribeInternetGateways`	InternetGateway	Descreve o InternetGateway para confirmar que as instâncias do Databricks AWS têm uma rota para a Internet.
`ec2:DescribeFleetHistory`	Frota EC2	Lista eventos em uma frota do EC2 (usada com clusters de frota do Databricks).
`ec2:DescribeFleetInstances`	Frota EC2	Lista instâncias em uma frota EC2 (usada com clusters de frota do Databricks).
`ec2:DescribeFleets`	Frota EC2	Descreve detalhes de uma frota EC2 (usada com clusters de frota Databricks).
`ec2:DescribeLaunchTemplates`	Modelo de lançamento	Exclui um modelo de lançamento (usado com clusters de frota do Databricks).
`ec2:DescribeLaunchTemplateVersions`	Modelo de lançamento	Descreve detalhes das versões de modelo de lançamento (usadas com clusters de frota de Databricks).
`ec2:DescribeNatGateways`	NATGateway	Descreve o NATGateway para confirmar que as instâncias do Databricks AWS têm uma rota para a Internet na arquitetura de conectividade segura do cluster.
`ec2:DescribeNetworkAcls`	ACL de rede	Confirma a configuração correta do Network ACL.
`ec2:DescribePrefixLists`	Lista de prefixos	Obtém uma lista de IDs de lista de prefixos para criar uma regra de grupo de segurança de saída que permite que o tráfego de uma VPC acesse um serviço da AWS por meio de um gateway VPC endpoint.
`ec2:DescribeReservedInstancesOfferings`	Instância	Obtém o preço da instância reservada como ponto de partida para os preços das instâncias spot da AWS.
`ec2:DescribeRouteTables`	RouteTable	Confirma que as tabelas de rota estão configuradas corretamente no VPC.
`ec2:DescribeSecurityGroups`	SecurityGroup	Confirma que os grupos de segurança AWS estão configurados corretamente.
`ec2:DescribeSpotInstanceRequests`	Instância	Descreve a instância de ponto.
`ec2:DescribeSpotPriceHistory`	SpotInstance	Descreve instâncias de ponto.
`ec2:DescribeSubnets`	Sub-rede	Confirma que as sub-redes estão configuradas corretamente no VPC.
`ec2:DescribeVolumes`	Volume	Listar volumes.
`ec2:DescribeVpcAttribute`	VPC	Descreve os atributos da VPC, incluindo, mas não se limitando a `enableDnsHostnames`.
`ec2:DescribeVpcs`	VPC	Confirma que o VPC da área de trabalho Databricks foi criado.
`ec2:DetachVolume`	Volume	Desanexa um volume EBS de instâncias do EC2 durante o encerramento do cluster.
`ec2:DisassociateIamInstanceProfile`	InstanceProfile	Desassocia um perfil de instância de uma instância EC2, permitindo que as instâncias de pool sejam usadas por clusters com perfis de instância diferentes.
`ec2:GetLaunchTemplateData`	Modelos de lançamento	Obtém a configuração de um modelo de lançamento (usado com clusters de frota do Databricks).
`ec2:ModifyFleet`	Frota EC2	Modifica uma frota EC2 (usada com clusters de frota Databricks).
`ec2:ModifyLaunchTemplate`	Modelos de lançamento	Modifica um modelo de lançamento existente (usado com clusters de frota de Databricks).
`ec2:ReplaceIamInstanceProfileAssociation`	InstanceProfile	Troca um perfil de instância por outro em uma instância EC2, permitindo que as instâncias de pool sejam utilizadas por clusters com diferentes perfis de instância.
`ec2:RequestSpotInstances`	SpotInstance	Solicita instâncias pontuais.
`ec2:RevokeSecurityGroupEgress`	SecurityGroup	Atualiza grupos de segurança gerenciados por dados, se necessário
`ec2:RevokeSecurityGroupIngress`	SecurityGroup	Atualiza grupos de segurança.
`ec2:RunInstances`	Instância	Inicia instâncias AWS para criar Clusters Spark. Também usado para ampliar um cluster Spark existente.
`ec2:TerminateInstances`	Instância	Termina os nós Spark EC2 durante a redução da escala do cluster ou para encerrar um cluster Spark.
`iam:CreateServiceLinkedRole`	ServiceLinkedRole	Configura o suporte para instâncias spot.
`iam:PutRolePolicy`	RolePolicy	Configura o Databricks para usar instâncias pontuais.