启用 Lake 查询联合身份验证

您可以使用 CloudTrail 控制台启用 Lake 查询联合 AWS CLI、或 EnableFederationAPI操作。启用 Lake 查询联合后， CloudTrail 将在 AWS Glue 数据目录中创建一个名为aws:cloudtrail（如果该数据库尚不存在）的托管数据库和一个托管联合表。事件数据存储 ID 用于表名。 CloudTrail 在中注册联合角色ARN和事件数据存储 AWS Lake Formation，该服务负责允许对 AWS Glue 数据目录中的联合资源进行精细的访问控制。

本节介绍如何使用 CloudTrail 控制台和启用联合 AWS CLI。

CloudTrail console

以下过程演示了如何对现有事件数据存储启用 Lake 查询联合身份验证。

登录 AWS Management Console 并打开 CloudTrail 控制台，网址为https://console.aws.amazon.com/cloudtrail/。
在导航窗格中，在 Lake 下，选择事件数据存储。
选择要更新的事件数据存储。此操作会打开事件数据存储的详细信息页面。
在 Lake 查询联合身份验证中，选择编辑，然后选择启用。
选择是创建新IAM角色还是使用现有角色。创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您使用现有角色，请确保该角色的策略提供所需的最低权限。
如果您要创建新IAM角色，请输入该角色的名称。
如果您选择的是现有IAM角色，请选择要使用的角色。角色必须存在于您的账户中。
选择 Save changes（保存更改）。联合身份验证状态更改为 Enabled。

AWS CLI

要启用联合身份验证，请运行 aws cloudtrail enable-federation 命令，以提供所需的 --event-data-store 和 --role 参数。对于--event-data-store，请提供事件数据存储ARN（或的 ID 后缀ARN）。对于--role，请ARN为您的联盟角色提供。该角色必须存在于您的账户中，并提供所需的最低权限。


aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

此示例说明委派管理员如何通过指定管理账户中的事件数据存储和委派管理员账户中的联合角色来启用组织事件数据存储ARN的联合。ARN


aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

联合事件数据存储

禁用 Lake 查询联合身份验证