使用实例概要配置S3访问

本文向您介绍如何在单个S3桶上创建具有读、写、更新和删除权限的实例概要文件。您可以使用单个IAM角色和实例配置文件为多个桶授予权限。也可以使用实例概要文件仅授予S3上的读和列表权限。

在开始之前

本教程是为工作空间管理员设计的。您必须在包含Databricks工作空间的AWS帐户中拥有足够的权限,并且是Databricks工作空间管理员。

本教程假设现有权限和资产如下:

  • 编辑用于部署Databricks工作空间的IAM角色的权限。

  • 在AWS中创建新IAM角色的特权。

  • 用于编辑S3桶上的权限的特权。

步骤1:创建实例概要文件

在这一步中,您将创建一个新的IAM角色并定义一个内联策略。这些设置一起定义了部署到EC2实例的实例概要。这里还可以添加信任关系,以便实例概要文件可以使用无服务器计算资源。

看到创建实例概要文件

步骤2:创建S3桶策略

在此步骤中,将S3桶中的信任关系添加到步骤1中创建的IAM角色中。

请注意

S3桶具有通用唯一的名称,并且不需要帐户ID进行通用标识。如果您选择将S3桶链接到不同AWS帐户中的IAM角色和Databricks工作空间,则必须在配置S3桶策略时指定帐户ID。

确保您复制了步骤1中的角色ARN。并确保在IAM角色中指定的S3桶上创建策略。

看到为目标S3桶创建桶策略

步骤3:修改Databricks工作区的IAM角色

Databricks使用在工作空间部署期间配置的角色来管理AWS帐户中的EC2实例。要使实例概要文件在Databricks工作空间中可用,需要修改附加到此角色的策略。

看到在EC2策略中添加S3 IAM角色

步骤4:将实例概要文件添加到Databricks工作区

作为最后一步,使用Databricks管理控制台将步骤1中的角色ARN添加到您的工作空间中。

看到在Databricks中添加实例配置文件

管理实例概要文件

您可以使用工作空间acl管理类似于其他工作空间资产的实例概要文件。

看到在Databricks中管理实例概要文件访问

使用实例概要部署计算资源

具有部署集群权限的用户可以使用其分配的任何实例概要部署集群。所有访问集群的用户都将获得由实例概要文件定义的权限。

看到启动具有实例概要文件的计算资源

SQL仓库为每个工作空间使用单个实例概要,然后使用表acl进行细粒度权限。

看到数据对象权限

编辑实例概要文件角色ARN

对于已经创建的实例配置文件,稍后可以编辑它们,但只能指定不同的IAM角色ARN。此步骤是Databricks SQL Serverless使用实例概要文件所必需的角色名(角色ARN中最后一个斜杠后面的文本)和实例配置文件名称(实例概要文件ARN中最后一个斜杠后面的文本)不匹配。相关信息请参见启用无服务器SQL仓库

  1. 管理控制台

  2. 单击实例配置文件选项卡。

  3. 单击要编辑的实例概要文件的名称。

  4. 点击编辑.出现一个对话框。

    编辑实例配置文件角色ARN

    编辑IAM角色ARN字段并粘贴与您的实例配置文件相关联的角色ARN。作为管理员,您可以从AWS控制台获得这个值。

  5. 点击保存