啟用 Lake 查詢聯合

您可以使用 CloudTrail 主控台來啟用 Lake 查詢聯合 AWS CLI，或 EnableFederation API 操作。當您啟用 Lake 查詢聯合時，會在 AWS Glue Data Catalog 中 CloudTrail 建立名為的受管資料庫 aws:cloudtrail（如果資料庫不存在）和受管聯合資料表。事件資料存放區 ID 用於資料表名稱。會在中 CloudTrail 註冊聯合角色ARN和事件資料存放區AWS Lake Formation，該服務負責允許對 AWS Glue 資料目錄中的聯合資源進行精細存取控制。

本節說明如何使用 CloudTrail 主控台和啟用聯合 AWS CLI。

CloudTrail console

下列程序展示如何在現有事件資料存放區上啟用 Lake 查詢聯合。

登入 AWS Management Console 並在開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/。
在導覽窗格中，選擇 Lake 下方的事件資料存放區。
選擇您要更新的事件資料存放區。這會開啟事件資料存放區的詳細資訊頁面。
在 Lake 查詢聯合中，選擇編輯，然後選擇啟用。
選擇是否要建立新IAM角色，或使用現有角色。當您建立新的角色時， CloudTrail 會自動建立具有所需許可的角色。如果您使用現有角色，請確認該角色的政策可提供所需的最低許可。
如果您要建立新IAM角色，請輸入角色的名稱。
如果您正在選擇現有IAM角色，請選擇要使用的角色。該角色必須存在於您的帳戶中。
選擇 Save changes (儲存變更)。聯合狀態會變更為 Enabled。

AWS CLI

若要啟用聯合，請執行 aws cloudtrail enable-federation 命令，並提供必要的 --event-data-store 和 --role 參數。對於 --event-data-store，請提供事件資料存放區 ARN（或的 ID 尾碼ARN）。針對 --role，ARN為您的聯合角色提供。該角色必須存在於您的帳戶中，並提供所需的最低許可。


aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

此範例顯示委派管理員如何透過在管理帳戶中指定事件資料存放ARN區的，以及在委派管理員帳戶中指定聯合角色ARN的來啟用組織事件資料存放區的聯合。


aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

聯合事件資料存放區

停用 Lake 查詢聯合