為工作區部署創建了我的角色

本文描述如何:

  • 創建和配置一個cross-account我角色磚工作部署。這個角色給了磚有限訪問您的AWS帳戶的創建和管理計算的目的和VPC資源。

  • 使用磚賬戶控製台創建一個證書配置引用我的角色。

需求

我的角色創建自動化

可以通過使用自動化我角色創建以下自動化選項之一:

手工創造我的角色

以下步驟適用於自定義AWS工作區部署。你隻需要按照以下步驟部署工作空間使用自定義AWS配置選擇。

步驟1:創建一個cross-account我的角色

  1. 讓你的磚帳戶ID的。定位您的帳戶ID

  2. 登錄你的AWS控製台作為用戶與管理員權限和去控製台。

  3. 單擊角色在側邊欄選項卡。

  4. 點擊創建角色

    1. 選擇類型的信任的實體,單擊AWS帳戶瓷磚。

    2. 選擇另一個AWS帳戶複選框。

    3. 在帳戶ID字段中,輸入數據磚帳戶ID414351767826。這是從磚帳戶的帳戶ID複製控製台。

    4. 選擇需要外部ID複選框。

    5. 外部ID字段中,輸入你的磚賬戶ID,您複製從磚帳戶的控製台。

    6. 單擊下一個按鈕。

    7. 添加權限頁麵,點擊下一個按鈕。你現在應該在名稱、評審和創造頁麵。

    8. 角色名字段中,輸入角色名稱。

    9. 點擊創建角色。角色列表中出現。

步驟2:創建一個訪問政策

訪問政策添加角色取決於你的亞馬遜VPC(虛擬私有雲)部署類型。磚如何使用每個權限的信息,請參閱我的權限Databricks-managed vpc。使用政策指令描述您的部署:

選項1:默認的部署策略

  1. 角色部分的控製台,單擊我您在步驟1中創建的角色。

  2. 單擊添加權限下拉選擇創建內聯策略

  3. 在策略編輯器中,單擊JSON選項卡。

  4. 複製並粘貼以下訪問策略:

    {“版本”:“2012-10-17”,“聲明”:({“席德”:“Stmt1403287045000”,“效應”:“允許”,“行動”:(“ec2: AllocateAddress”,“ec2: AssignPrivateIpAddresses”,“ec2: AssociateDhcpOptions”,“ec2: AssociateIamInstanceProfile”,“ec2: AssociateRouteTable”,“ec2: AttachInternetGateway”,“ec2: AttachVolume”,“ec2: AuthorizeSecurityGroupEgress”,“ec2: AuthorizeSecurityGroupIngress”,“ec2: CancelSpotInstanceRequests”,“ec2: CreateDhcpOptions”,“ec2: CreateFleet”,“ec2: CreateInternetGateway”,“ec2: CreateLaunchTemplate”,“ec2: CreateLaunchTemplateVersion”,“ec2: CreateNatGateway”,“ec2: CreateRoute”,“ec2: CreateRouteTable”,“ec2: CreateSecurityGroup”,“ec2: CreateSubnet”,“ec2: CreateTags”,“ec2: CreateVolume”,“ec2: CreateVpc”,“ec2: CreateVpcEndpoint”,“ec2: DeleteDhcpOptions”,“ec2: DeleteFleets”,“ec2: DeleteInternetGateway”,“ec2: DeleteLaunchTemplate”,“ec2: DeleteLaunchTemplateVersions”,“ec2: DeleteNatGateway”,“ec2: DeleteRoute”,“ec2: DeleteRouteTable”,“ec2: DeleteSecurityGroup”,“ec2: DeleteSubnet”,“ec2: DeleteTags”,“ec2: DeleteVolume”,“ec2: DeleteVpc”,“ec2: DeleteVpcEndpoints”,“ec2: DescribeAvailabilityZones”,“ec2: DescribeFleetHistory”,“ec2: DescribeFleetInstances”,“ec2: DescribeFleets”,“ec2: DescribeIamInstanceProfileAssociations”,“ec2: DescribeInstanceStatus”,“ec2: DescribeInstances”,“ec2: DescribeInternetGateways”,“ec2: DescribeLaunchTemplates”,“ec2: DescribeLaunchTemplateVersions”,“ec2: DescribeNatGateways”,“ec2: DescribePrefixLists”,“ec2: DescribeReservedInstancesOfferings”,“ec2: DescribeRouteTables”,“ec2: DescribeSecurityGroups”,“ec2: DescribeSpotInstanceRequests”,“ec2: DescribeSpotPriceHistory”,“ec2: DescribeSubnets”,“ec2: DescribeVolumes”,“ec2: DescribeVpcs”,“ec2: DetachInternetGateway”,“ec2: DisassociateIamInstanceProfile”,“ec2: DisassociateRouteTable”,“ec2: GetLaunchTemplateData”,“ec2: GetSpotPlacementScores”,“ec2: ModifyFleet”,“ec2: ModifyLaunchTemplate”,“ec2: ModifyVpcAttribute”,“ec2: ReleaseAddress”,“ec2: ReplaceIamInstanceProfileAssociation”,“ec2: RequestSpotInstances”,“ec2: RevokeSecurityGroupEgress”,“ec2: RevokeSecurityGroupIngress”,“ec2: RunInstances”,“ec2: TerminateInstances”),“資源”:(“*”]},{“效應”:“允許”,“行動”:(“我:CreateServiceLinkedRole”,“我:PutRolePolicy”),“資源”:“攻擊:aws:我::*:角色/ aws-service-role /spot.amazonaws.com/AWSServiceRoleForEC2Spot”,“條件”:{“StringLike”:{“我:AWSServiceName”:“spot.amazonaws.com”}}}]}

  5. 點擊審查政策

  6. 的名字字段中,輸入一個政策的名字。

  7. 點擊創建政策

  8. (可選)如果你使用服務控製策略拒絕某些行為在AWS帳戶級別,確保sts: AssumeRoleallowlisted所以磚可以假設cross-account角色。

  9. 在總結作用,複製的角色是添加到磚。

選項2:Customer-managed VPC默認限製政策

  1. 登錄你的AWS控製台作為用戶與管理員權限和去控製台。

  2. 單擊角色在側邊欄選項卡。

  3. 在角色列表中,單擊cross-account我您在步驟1中創建的角色。

  4. 單擊添加權限下拉選擇創建內聯策略

  5. 在策略編輯器中,單擊JSON選項卡。

  6. 複製並粘貼以下訪問政策。

    {“版本”:“2012-10-17”,“聲明”:({“席德”:“Stmt1403287045000”,“效應”:“允許”,“行動”:(“ec2: AssociateIamInstanceProfile”,“ec2: AttachVolume”,“ec2: AuthorizeSecurityGroupEgress”,“ec2: AuthorizeSecurityGroupIngress”,“ec2: CancelSpotInstanceRequests”,“ec2: CreateTags”,“ec2: CreateVolume”,“ec2: DeleteTags”,“ec2: DeleteVolume”,“ec2: DescribeAvailabilityZones”,“ec2: DescribeIamInstanceProfileAssociations”,“ec2: DescribeInstanceStatus”,“ec2: DescribeInstances”,“ec2: DescribeInternetGateways”,“ec2: DescribeNatGateways”,“ec2: DescribeNetworkAcls”,“ec2: DescribePrefixLists”,“ec2: DescribeReservedInstancesOfferings”,“ec2: DescribeRouteTables”,“ec2: DescribeSecurityGroups”,“ec2: DescribeSpotInstanceRequests”,“ec2: DescribeSpotPriceHistory”,“ec2: DescribeSubnets”,“ec2: DescribeVolumes”,“ec2: DescribeVpcAttribute”,“ec2: DescribeVpcs”,“ec2: DetachVolume”,“ec2: DisassociateIamInstanceProfile”,“ec2: ReplaceIamInstanceProfileAssociation”,“ec2: RequestSpotInstances”,“ec2: RevokeSecurityGroupEgress”,“ec2: RevokeSecurityGroupIngress”,“ec2: RunInstances”,“ec2: TerminateInstances”,“ec2: DescribeFleetHistory”,“ec2: ModifyFleet”,“ec2: DeleteFleets”,“ec2: DescribeFleetInstances”,“ec2: DescribeFleets”,“ec2: CreateFleet”,“ec2: DeleteLaunchTemplate”,“ec2: GetLaunchTemplateData”,“ec2: CreateLaunchTemplate”,“ec2: DescribeLaunchTemplates”,“ec2: DescribeLaunchTemplateVersions”,“ec2: ModifyLaunchTemplate”,“ec2: DeleteLaunchTemplateVersions”,“ec2: CreateLaunchTemplateVersion”,“ec2: AssignPrivateIpAddresses”,“ec2: GetSpotPlacementScores”),“資源”:(“*”]},{“效應”:“允許”,“行動”:(“我:CreateServiceLinkedRole”,“我:PutRolePolicy”),“資源”:“攻擊:aws:我::*:角色/ aws-service-role /spot.amazonaws.com/AWSServiceRoleForEC2Spot”,“條件”:{“StringLike”:{“我:AWSServiceName”:“spot.amazonaws.com”}}}]}

  7. 點擊審查政策

  8. 的名字字段中,輸入一個政策的名字。

  9. 點擊創建政策

  10. (可選)如果你使用服務控製策略拒絕某些行為在AWS帳戶級別,確保sts: AssumeRoleallowlisted所以磚可以假設cross-account角色。

  11. 在總結作用,複製的角色是

選項3:Customer-managed VPC與定製的政策限製

請注意

Amazon Machine Images的磚生產AWS帳戶(AMI)采購601306020600。您可以使用此帳戶ID來創建自定義訪問政策限製,可以使用ami AWS帳戶內。有關更多信息,請聯係您的磚的代表。

  1. 登錄你的AWS控製台作為用戶與管理員權限和去控製台。

  2. 單擊角色在側邊欄選項卡。

  3. 在角色列表中,單擊cross-account我你在步驟1中創建的角色。

  4. 單擊添加權限下拉然後創建內聯策略

  5. 在策略編輯器中,單擊JSON選項卡。

  6. 複製並粘貼以下訪問政策。

    替換以下值的政策用您自己的配置值:

    • ACCOUNTID——你的AWS帳戶ID,它是一個數字。

    • VPCIDAWS VPC - ID的您想要啟動工作區。

    • 地區為您的VPC - AWS地區名稱部署,為例us-west-2

    • SECURITYGROUPID-你的AWS安全組ID。當你添加一個安全組的限製,不能重用cross-account我角色或參考憑證ID (credentials_id)其他工作區。對於其他工作區,您必須創建單獨的角色,政策,和憑證的對象。

    請注意

    如果你有定製需求配置為安全組與你customer-managed vpc,幫助我聯係你的磚代表政策定製。

    {“版本”:“2012-10-17”,“聲明”:({“席德”:“NonResourceBasedPermissions”,“效應”:“允許”,“行動”:(“ec2: CancelSpotInstanceRequests”,“ec2: DescribeAvailabilityZones”,“ec2: DescribeIamInstanceProfileAssociations”,“ec2: DescribeInstanceStatus”,“ec2: DescribeInstances”,“ec2: DescribeInternetGateways”,“ec2: DescribeNatGateways”,“ec2: DescribeNetworkAcls”,“ec2: DescribePrefixLists”,“ec2: DescribeReservedInstancesOfferings”,“ec2: DescribeRouteTables”,“ec2: DescribeSecurityGroups”,“ec2: DescribeSpotInstanceRequests”,“ec2: DescribeSpotPriceHistory”,“ec2: DescribeSubnets”,“ec2: DescribeVolumes”,“ec2: DescribeVpcAttribute”,“ec2: DescribeVpcs”,“ec2: CreateTags”,“ec2: DeleteTags”,“ec2: RequestSpotInstances”,“ec2: DescribeFleetHistory”,“ec2: ModifyFleet”,“ec2: DeleteFleets”,“ec2: DescribeFleetInstances”,“ec2: DescribeFleets”,“ec2: CreateFleet”,“ec2: DeleteLaunchTemplate”,“ec2: GetLaunchTemplateData”,“ec2: CreateLaunchTemplate”,“ec2: DescribeLaunchTemplates”,“ec2: DescribeLaunchTemplateVersions”,“ec2: ModifyLaunchTemplate”,“ec2: DeleteLaunchTemplateVersions”,“ec2: CreateLaunchTemplateVersion”),“資源”:(“*”]},{“席德”:“InstancePoolsSupport”,“效應”:“允許”,“行動”:(“ec2: AssociateIamInstanceProfile”,“ec2: DisassociateIamInstanceProfile”,“ec2: ReplaceIamInstanceProfileAssociation”),“資源”:“攻擊:aws: ec2:地區:ACCOUNTID:實例/ *”,“條件”:{“StringEquals”:{“ec2: ResourceTag /供應商”:“磚”}}},{“席德”:“AllowEc2RunInstancePerTag”,“效應”:“允許”,“行動”:“ec2: RunInstances”,“資源”:(“攻擊:aws: ec2:地區:ACCOUNTID:體積/ *”,“攻擊:aws: ec2:地區:ACCOUNTID:實例/ *”),“條件”:{“StringEquals”:{“aws: RequestTag /供應商”:“磚”}}},{“席德”:“AllowEc2RunInstanceImagePerTag”,“效應”:“允許”,“行動”:“ec2: RunInstances”,“資源”:(“攻擊:aws: ec2:地區:ACCOUNTID:形象/ *”),“條件”:{“StringEquals”:{“aws: ResourceTag /供應商”:“磚”}}},{“席德”:“AllowEc2RunInstancePerVPCid”,“效應”:“允許”,“行動”:“ec2: RunInstances”,“資源”:(“攻擊:aws: ec2:地區:ACCOUNTID:網絡接口/ *”,“攻擊:aws: ec2:地區:ACCOUNTID:子網/ *”,“攻擊:aws: ec2:地區:ACCOUNTID:安全組/ *”),“條件”:{“StringEquals”:{“ec2: vpc”:“攻擊:aws: ec2:地區:ACCOUNTID: vpc / VPCID”}}},{“席德”:“AllowEc2RunInstanceOtherResources”,“效應”:“允許”,“行動”:“ec2: RunInstances”,“NotResource”:(“攻擊:aws: ec2:地區:ACCOUNTID:形象/ *”,“攻擊:aws: ec2:地區:ACCOUNTID:網絡接口/ *”,“攻擊:aws: ec2:地區:ACCOUNTID:子網/ *”,“攻擊:aws: ec2:地區:ACCOUNTID:安全組/ *”,“攻擊:aws: ec2:地區:ACCOUNTID:體積/ *”,“攻擊:aws: ec2:地區:ACCOUNTID:實例/ *”]},{“席德”:“EC2TerminateInstancesTag”,“效應”:“允許”,“行動”:(“ec2: TerminateInstances”),“資源”:(“攻擊:aws: ec2:地區:ACCOUNTID:實例/ *”),“條件”:{“StringEquals”:{“ec2: ResourceTag /供應商”:“磚”}}},{“席德”:“EC2AttachDetachVolumeTag”,“效應”:“允許”,“行動”:(“ec2: AttachVolume”,“ec2: DetachVolume”),“資源”:(“攻擊:aws: ec2:地區:ACCOUNTID:實例/ *”,“攻擊:aws: ec2:地區:ACCOUNTID:體積/ *”),“條件”:{“StringEquals”:{“ec2: ResourceTag /供應商”:“磚”}}},{“席德”:“EC2CreateVolumeByTag”,“效應”:“允許”,“行動”:(“ec2: CreateVolume”),“資源”:(“攻擊:aws: ec2:地區:ACCOUNTID:體積/ *”),“條件”:{“StringEquals”:{“aws: RequestTag /供應商”:“磚”}}},{“席德”:“EC2DeleteVolumeByTag”,“效應”:“允許”,“行動”:(“ec2: DeleteVolume”),“資源”:(“攻擊:aws: ec2:地區:ACCOUNTID:體積/ *”),“條件”:{“StringEquals”:{“ec2: ResourceTag /供應商”:“磚”}}},{“效應”:“允許”,“行動”:(“我:CreateServiceLinkedRole”,“我:PutRolePolicy”),“資源”:“攻擊:aws:我::*:角色/ aws-service-role /spot.amazonaws.com/AWSServiceRoleForEC2Spot”,“條件”:{“StringLike”:{“我:AWSServiceName”:“spot.amazonaws.com”}}},{“席德”:“VpcNonresourceSpecificActions”,“效應”:“允許”,“行動”:(“ec2: AuthorizeSecurityGroupEgress”,“ec2: AuthorizeSecurityGroupIngress”,“ec2: RevokeSecurityGroupEgress”,“ec2: RevokeSecurityGroupIngress”),“資源”:“攻擊:aws: ec2:地區:ACCOUNTID:安全組/ SECURITYGROUPID”,“條件”:{“StringEquals”:{“ec2: vpc”:“攻擊:aws: ec2:地區:ACCOUNTID: vpc / VPCID”}}}]}

  7. 點擊審查政策

  8. 的名字字段中,輸入一個政策的名字。

  9. 點擊創建政策

  10. (可選)如果你使用服務控製策略拒絕某些行為在AWS帳戶級別,確保sts: AssumeRoleallowlisted所以磚可以假設cross-account角色。

  11. 在總結作用,複製的角色是

步驟3:創建一個證書配置在磚

當您已經創建了我的角色,您可以通過創建一個憑證告訴磚配置,使用角色的ID。

創建一個證書配置:

  1. 賬戶控製台,點擊雲資源

  2. 點擊證書的配置

  3. 點擊添加證書配置

  4. 證書配置名稱字段中,輸入一個人類可讀名稱為您的新證書配置。

  5. 的角色是字段中,輸入你的角色的攻擊。

  6. 點擊添加

驗證不是運行在證書配置創建。一些錯誤發現隻有當你使用配置創建一個新的工作區。這些錯誤可以包含一個無效的攻擊或不正確的權限角色,等等。

刪除一個證書配置

證書配置創建後不能編輯。如果配置有錯誤數據或如果你不再需要它,刪除證書配置:

  1. 賬戶控製台,點擊雲資源

  2. 點擊證書的配置

  3. 在證書配置行,點擊操作菜單圖標,並選擇刪除

    您也可以點擊證書配置名稱並單擊刪除在彈出對話框。

  4. 在確認對話框,單擊確認刪除