使用實例配置文件配置S3訪問

本文將介紹如何在單個S3 bucket上創建具有讀、寫、更新和刪除權限的實例概要文件。您可以使用單個IAM角色和實例配置文件為多個桶授予權限。還可以使用實例配置文件隻授予S3上的讀取和列出權限。

開始之前

本教程是為工作空間管理員設計的。您必須在包含Databricks工作區的AWS帳戶中擁有足夠的權限,並且是Databricks工作區管理員。

本教程假設以下現有權限和資產:

  • 編輯用於部署Databricks工作區的IAM角色的權限。

  • 在AWS中創建新IAM角色的權限。

  • S3桶的編輯權限。

步驟1:創建實例概要文件

在此步驟中,您將創建一個新的IAM角色並定義一個內聯策略。這些設置一起定義了部署到EC2實例的實例概要文件。這裏還可以添加信任關係,以便實例概要文件可以使用無服務器計算資源。

看到創建實例概要文件

步驟2:創建S3桶策略

在此步驟中,將S3桶中的信任關係添加到步驟1中創建的IAM角色中。

請注意

S3存儲桶具有普遍唯一的名稱,並且不需要帳戶ID來進行普遍標識。如果您選擇將S3桶鏈接到不同AWS帳戶中的IAM角色和Databricks工作區,則在配置S3桶策略時必須指定帳戶ID。

確保從步驟1複製了角色ARN。並確保在IAM角色中指定的S3桶上創建策略。

看到為目標S3桶創建桶策略

步驟3:修改Databricks工作區的IAM角色

Databricks使用在工作空間部署期間配置的角色來管理AWS帳戶中的EC2實例。要使實例概要文件在Databricks工作區中可用,需要修改附加到此角色的策略。

看到在EC2策略中添加S3 IAM角色

步驟4:將實例概要文件添加到Databricks工作區

作為最後一步,通過使用Databricks工作空間管理設置,將步驟1中的角色ARN添加到工作空間中。

看到向Databricks添加實例配置文件

管理實例配置文件

您可以使用工作區acl管理與其他工作區資產類似的實例配置文件。

看到在Databricks中管理實例配置文件訪問

使用實例概要文件部署計算資源

具有部署集群權限的用戶可以使用他們分配的任何實例配置文件部署集群。所有對集群具有訪問權限的用戶都將獲得實例概要文件定義的權限。

看到使用實例概要文件啟動計算資源

SQL倉庫對每個工作空間使用單個實例配置文件,然後對細粒度權限使用表acl。

看到Hive metastore特權和安全對象(遺留)

編輯實例配置文件角色ARN

對於已經創建的配置文件,稍後可以編輯它們,但隻能指定不同的IAM角色ARN。此步驟是Databricks SQL Serverless處理實例配置文件所必需的角色名(角色ARN中最後一個斜杠後麵的文本)和實例配置文件名稱(實例配置文件ARN中最後一個斜杠後麵的文本)不匹配。相關信息請參見啟用無服務器SQL倉庫

  1. “管理設置”頁麵

  2. 單擊實例配置文件選項卡。

  3. 單擊要編輯的實例概要文件的名稱。

  4. 點擊編輯。出現一個對話框。

    編輯實例配置文件角色ARN

    編輯我的角色ARN字段並粘貼與實例概要文件關聯的角色ARN。作為管理員,您可以從AWS控製台獲取此值。

  5. 點擊保存