使用实例概要配置S3访问
本文向您介绍如何在单个S3桶上创建具有读、写、更新和删除权限的实例概要文件。您可以使用单个IAM角色和实例配置文件为多个桶授予权限。也可以使用实例概要文件仅授予S3上的读和列表权限。
在开始之前
本教程是为工作空间管理员设计的。您必须在包含Databricks工作空间的AWS帐户中拥有足够的权限,并且是Databricks工作空间管理员。
本教程假设现有权限和资产如下:
编辑用于部署Databricks工作空间的IAM角色的权限。
在AWS中创建新IAM角色的特权。
用于编辑S3桶上的权限的特权。
步骤1:创建实例概要文件
在这一步中,您将创建一个新的IAM角色并定义一个内联策略。这些设置一起定义了部署到EC2实例的实例概要。这里还可以添加信任关系,以便实例概要文件可以使用无服务器计算资源。
看到创建实例概要文件.
步骤2:创建S3桶策略
在此步骤中,将S3桶中的信任关系添加到步骤1中创建的IAM角色中。
请注意
S3桶具有通用唯一的名称,并且不需要帐户ID进行通用标识。如果您选择将S3桶链接到不同AWS帐户中的IAM角色和Databricks工作空间,则必须在配置S3桶策略时指定帐户ID。
确保您复制了步骤1中的角色ARN。并确保在IAM角色中指定的S3桶上创建策略。
看到为目标S3桶创建桶策略.
步骤3:修改Databricks工作区的IAM角色
Databricks使用在工作空间部署期间配置的角色来管理AWS帐户中的EC2实例。要使实例概要文件在Databricks工作空间中可用,需要修改附加到此角色的策略。
使用实例概要部署计算资源
具有部署集群权限的用户可以使用其分配的任何实例概要部署集群。所有访问集群的用户都将获得由实例概要文件定义的权限。
SQL仓库为每个工作空间使用单个实例概要,然后使用表acl进行细粒度权限。
看到数据对象权限.
编辑实例概要文件角色ARN
对于已经创建的实例配置文件,稍后可以编辑它们,但只能指定不同的IAM角色ARN。此步骤是Databricks SQL Serverless使用实例概要文件所必需的角色名(角色ARN中最后一个斜杠后面的文本)和实例配置文件名称(实例概要文件ARN中最后一个斜杠后面的文本)不匹配。相关信息请参见启用无服务器SQL仓库.
去管理控制台.
单击实例配置文件选项卡。
单击要编辑的实例概要文件的名称。
点击编辑.出现一个对话框。
编辑IAM角色ARN字段并粘贴与您的实例配置文件相关联的角色ARN。作为管理员,您可以从AWS控制台获得这个值。
点击保存.