Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用 Lake 查询联合身份验证
您可以使用 CloudTrail 控制台、或 EnableFederationAPI 操作启用 Lak Amazon CLI e 查询联合。启用 Lake 查询联合后, CloudTrail 将在 Amazon Glue 数据目录中创建一个名为aws:cloudtrail
(如果该数据库尚不存在)的托管数据库和一个托管联合表。事件数据存储 ID 用于表名。 CloudTrail 在中注册联合角色 ARN 和事件数据存储 Amazon Lake Formation,该服务负责允许对数据目录中的联合资源进行精细的访问控制。 Amazon Glue
本节介绍如何使用 CloudTrail 控制台和启用联合 Amazon CLI。
- CloudTrail console
-
以下过程演示了如何对现有事件数据存储启用 Lake 查询联合身份验证。
-
登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/。
-
在导航窗格中,在 Lake 下,选择事件数据存储。
-
选择要更新的事件数据存储。此操作会打开事件数据存储的详细信息页面。
-
在 Lake 查询联合身份验证中,选择编辑,然后选择启用。
-
选择是创建新的 IAM 角色还是使用现有角色。创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您使用现有角色,请确保该角色的策略提供所需的最低权限。
如果您在创建新的 IAM 角色,请为该角色输入名称。
-
如果您选择现有的 IAM 角色,请选择要使用的角色。角色必须存在于您的账户中。
-
选择保存更改。联合身份验证状态更改为 Enabled
。
- Amazon CLI
-
要启用联合身份验证,请运行 aws cloudtrail
enable-federation 命令,以提供所需的 --event-data-store 和 --role 参数。对于 --event-data-store,请提供事件数据存储 ARN(或 ARN 的 ID 后缀)。对于 --role,请提供您的联合身份验证角色的 ARN。该角色必须存在于您的账户中,并提供所需的最低权限。
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region
:account-id
:eventdatastore/eds-id
--role arn:aws:iam::account-id
:role/federation-role-name
此示例说明委托管理员如何通过在管理账户中指定事件数据存储的 ARN 和在委托管理员账户中指定联合身份验证角色的 ARN 来在组织事件数据存储上启用联合身份验证。
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region
:management-account-id
:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id
:role/federation-role-name