IAM跨帳號角色的權限

本文列出了跨帳戶IAM角色中的權限以及每個角色的用途。

根據VPC的配置方式不同，權限也不同。

數據庫管理VPC的IAM權限

Databricks需要以下IAM權限列表來有效地操作和管理集群。屬性的工作空間僅應用此配置default (database -managed) VPC．創建AWS跨帳號角色策略，用於默認的數據庫管理VPC創建跨帳號IAM角色．

下表列出了默認配置中的Databricks IAM跨帳戶角色權限、這些權限控製的資源以及每個權限的用途。

AWS IAM權限	AWS資源	目的
`ec2: AllocateAddress`	彈性IP地址	分配一個彈性IP，該彈性IP與用於集群安全連接的NAT Gateway相關聯
`ec2: AssociateDhcpOptions`	DHCP	為VPC關聯DHCP選項(或不關聯DHCP選項)。
`ec2: AssociateIamInstanceProfile`	InstanceProfile	將實例概要文件與正在運行的EC2實例關聯。這允許Databricks池實例在池中的整個生命周期中被具有不同實例概要的集群使用。
`ec2: AssociateRouteTable`	RouteTable	關聯子網和路由表。
`ec2: AttachInternetGateway`	InternetGateway	為VPC掛載Internet網關，實現Internet與VPC之間的網絡連接。目前需要連接到S3桶並更新工人和spark容器的代碼。
`ec2: AttachVolume`	EBS卷	為EBS自動縮放附加卷。
`ec2: AuthorizeSecurityGroupEgress`	SecurityGroup	根據需要向安全組添加出口規則。
`ec2: AuthorizeSecurityGroupIngress`	SecurityGroup	向安全組添加入口規則。
`ec2: CancelSpotInstanceRequests`	SpotInstance	取消現場實例。
`ec2: CreateDhcpOptions`	Dhcp	創建DHCP選項。
`ec2: CreateInternetGateway`	InternetGateway	創建Internet網關。
`ec2: CreateNatGateway`	NatGateway	創建NAT網關
`ec2: CreateRoute`	路線	在工作空間設置期間創建路由
`ec2: CreateRouteTable`	RouteTable	在工作空間設置期間創建路由
`ec2: CreateServiceLinkedRole`	ServiceLinkedRole	設置對現貨實例的支持。
`ec2: CreateSecurityGroup`	SecurityGroup	在初始設置期間創建安全組
`ec2: CreateSubnet`	子網	在創建工作空間的過程中，為VPC創建子網。
`ec2: CreateTags`	標簽	在Databricks資源上添加標簽。
`ec2: CreateVolume`	EBS卷	創建卷。
`ec2: CreateVpc`	VPC	創建數據庫管理VPC。
`ec2: CreateVpcEndpoint`	VPCEndpoint	創建VPC端點作為配置VPC的一部分。
`ec2: DeleteDhcpOptions`	DHCPOptions	刪除DHCPOptions
`ec2: DeleteInternetGateway`	InternetGateway	刪除工作區期間刪除Internet網關。
`ec2: DeleteNatGateway`	NatGateway	根據需要刪除NAT網關，以設置安全集群連接中繼。
`ec2: DeleteRoute`	路線	刪除航線。
`ec2: DeleteRouteTable`	RouteTable	刪除路由表。
`ec2: DeleteSecurityGroup`	SecurityGroup	刪除工作空間時刪除安全組。
`ec2: DeleteSubnet`	子網	刪除子網。
`ec2: DeleteTags`	標簽	從集群資源中移除標記，以允許Databricks池實例被具有不同標記的集群重用。
`ec2: DeleteVolume`	EBS卷	刪除用於EBS自動伸縮的卷。請看本頁。
`ec2: DeleteVpc`	VPC	刪除工作空間時，刪除VPC。beplay体育app下载地址
`ec2: DeleteVpcEndpoints`	VPCEndpoints	刪除工作空間時，刪除VPC端點
`ec2: DescribeAvailabilityZones`	AvailabilityZones	獲取區域中的可用分區列表，以便Databricks可以在該區域中部署資源。
`ec2: DescribeIamInstanceProfileAssociations`	InstanceProfile	檢查在EC2實例上設置的當前實例概要，以便在Databricks池實例被集群重用之前在該實例上設置正確的概要。
`ec2: DescribeInstanceStatus`	實例	確認Databricks AWS實例正常運行。
`ec2: DescribeInstances`	實例	確認Databricks AWS實例正常運行。
`ec2: DescribeInternetGateways`	InternetGateway	描述InternetGateway以確認Databricks AWS實例具有到internet的路由。
`ec2: DescribeNatGateways`	NATGateway	描述用於確認Databricks AWS實例在安全集群連接架構中具有到internet的路由的NAT網關。
`ec2: DescribePrefixLists`	PrefixList	創建前綴列表ID，創建出站安全組規則，允許流量從VPC中通過網關VPC端點訪問AWS服務。
`ec2: DescribeReservedInstancesOfferings`	實例	描述支持AWS現貨實例定價的保留實例定價。
`ec2: DescribeRouteTables`	RouteTable	確認在納管VPC中路由表是否正確建立。
`ec2: DescribeSecurityGroups`	SecurityGroup	確認AWS安全組已正確設置。
`ec2: DescribeSpotInstanceRequests`	實例	描述現場實例。
`ec2: DescribeSpotPriceHistory`	SpotInstance	描述現場實例。
`ec2: DescribeSubnets`	子網	確認在“數據庫VPC”中已正確設置子網。
`ec2: DescribeVolumes`	體積	列出卷。
`ec2: DescribeVpcs`	VPC	確認工作空間的VPC已正確設置。
`ec2: DetachInternetGateway`	InternetGateway	在刪除工作區期間分離創建的Internet網關的數據庫。
`ec2: DisassociateIamInstanceProfile`	InstanceProfile	解除實例概要文件與EC2實例的關聯，以便具有不同實例概要文件的集群可以使用xDatabricks池實例。
`ec2: DisassociateRouteTable`	RouteTable	刪除工作空間時分離Databricks創建的路由表。
`ec2: ModifyVpcAttribute`	VPCAttribute	配置數據庫管理VPC。
`ec2: PutRolePolicy`	RolePolicy	配置Databricks使用現貨實例。
`ec2: ReleaseAddress`	地址	在刪除工作區期間分離Databricks創建的地址。
`ec2: ReplaceIamInstanceProfileAssociation`	InstanceProfile	將EC2實例上的一個實例概要交換為另一個實例概要，這樣Databricks池實例可以被具有不同實例概要的集群使用。
`ec2: RequestSpotInstances`	SpotInstance	請求點實例。
`ec2: RevokeSecurityGroupEgress`	SecurityGroup	如果需要，更新databicks管理的安全組。
`ec2: RevokeSecurityGroupIngress`	SecurityGroup	更新安全組。
`ec2: RunInstances`	實例	啟動AWS實例創建Spark集群。在擴大現有Spark集群時也可以利用。
`ec2: TerminateInstances`	實例	在集群縮減期間終止Spark EC2節點或終止給定的Spark集群。

客戶管理VPC的IAM權限

如果你使用customer-managed VPC在美國，跨帳戶IAM角色需要的權限較少。此功能需要高級或企業級。

如需創建AWS跨帳戶角色策略，供客戶管理VPC使用，請參見由客戶管理的VPC，默認策略限製．

如果需要，可以進一步縮小權限範圍。若要創建AWS跨帳戶角色策略，以便在客戶管理的VPC中使用，並對資源進行其他自定義限製，請參見由客戶管理的VPC，自定義策略限製．

下表列出了客戶管理的VPC中Databricks IAM跨帳戶角色的權限、所控製的資源以及每個權限的用途。

AWS IAM權限	AWS資源	目的
`ec2: AssociateIamInstanceProfile`	InstanceProfile	將實例概要文件與正在運行的EC2實例關聯，這樣Databricks池實例在池中的整個生命周期中都可以被具有不同實例概要文件的集群使用。
`ec2: AttachVolume`	體積	附加卷。
`ec2: AuthorizeSecurityGroupEgress`	SecurityGroup	可根據需要，為安全組添加出口規則。
`ec2: AuthorizeSecurityGroupIngress`	SecurityGroup	向安全組添加入口規則。
`ec2: CancelSpotInstanceRequests`	SpotInstance	取消現場實例。
`ec2: CreateTags`	標簽	在Databricks資源上添加標簽。
`ec2: CreateVolume`	體積	創建卷。
`ec2: DeleteTags`	標簽	從集群資源中刪除標記，以便Databricks池實例可以被具有不同標記的集群重用。
`ec2: DeleteVolume`	體積	刪除卷。
`ec2: DescribeAvailabilityZones`	AvailabilityZones	獲取區域中的可用分區列表，以便Databricks可以在該區域中部署資源。
`ec2: DescribeIamInstanceProfileAssociations`	InstanceProfile	在集群重用Databricks池實例之前，檢查在EC2實例上設置的當前實例概要，以確認在Databricks池實例上設置了正確的概要。
`ec2: DescribeInstanceStatus`	實例	確認Databricks AWS實例正常運行。
`ec2: DescribeInstances`	實例	確認Databricks AWS實例正常運行。
`ec2: DescribeInternetGateways`	InternetGateway	描述InternetGateway以確認Databricks AWS實例具有到internet的路由。
`ec2: DescribeNatGateways`	NATGateway	描述NATGateway，以確認Databricks AWS實例在安全集群連接架構中具有到internet的路由。
`ec2: DescribeNetworkAcls`	NetworkAcl	確認正確的網絡ACL設置。
`ec2: DescribePrefixLists`	PrefixList	獲取前綴列表id列表，用於創建出站安全組規則，允許VPC中的流量通過網關VPC端點訪問AWS服務。
`ec2: DescribeReservedInstancesOfferings`	實例	獲取保留實例定價作為AWS現貨實例定價的起點。
`ec2: DescribeRouteTables`	RouteTable	確認VPC中路由表是否正確建立。
`ec2: DescribeSecurityGroups`	SecurityGroup	確認AWS安全組已正確設置。
`ec2: DescribeSpotInstanceRequests`	實例	描述現貨實例。
`ec2: DescribeSpotPriceHistory`	SpotInstance	描述現場實例。
`ec2: DescribeSubnets`	子網	確認VPC中的子網已正確設置。
`ec2: DescribeVolumes`	體積	卷列表。
`ec2: DescribeVpcAttribute`	VPC	描述VPC屬性，包括但不限於`enableDnsHostnames`．
`ec2: DescribeVpcs`	VPC	確認已創建Databricks工作區VPC。
`ec2: DetachVolume`	體積	在集群關閉期間從EC2實例中分離EBS卷。
`ec2: DisassociateIamInstanceProfile`	InstanceProfile	將實例概要文件與EC2實例解除關聯，以便具有不同實例概要文件的集群可以使用池實例。
`ec2: ReplaceIamInstanceProfileAssociation`	InstanceProfile	將EC2實例上的一個實例概要交換為另一個實例概要，以便具有不同實例概要的集群可以使用池實例。
`ec2: RequestSpotInstances`	SpotInstance	請求點實例。
`ec2: RevokeSecurityGroupEgress`	SecurityGroup	如果需要，更新databicks管理的安全組
`ec2: RevokeSecurityGroupIngress`	SecurityGroup	更新安全組。
`ec2: RunInstances`	實例	啟動AWS實例創建Spark集群。也可用於擴展現有Spark集群。
`ec2: TerminateInstances`	實例	在集群縮減或終止Spark集群時，終止Spark EC2節點。