启用 Lake 查询联合身份验证 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用 Lake 查询联合身份验证

您可以使用 CloudTrail 控制台、或 EnableFederationAPI 操作启用 Lak Amazon CLI e 查询联合。启用 Lake 查询联合后, CloudTrail 将在 Amazon Glue 数据目录中创建一个名为aws:cloudtrail(如果该数据库尚不存在)的托管数据库和一个托管联合表。事件数据存储 ID 用于表名。 CloudTrail 在中注册联合角色 ARN 和事件数据存储 Amazon Lake Formation,该服务负责允许对数据目录中的联合资源进行精细的访问控制。 Amazon Glue

本节介绍如何使用 CloudTrail 控制台和启用联合 Amazon CLI。

CloudTrail console

以下过程演示了如何对现有事件数据存储启用 Lake 查询联合身份验证。

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,在 Lake 下,选择事件数据存储

  3. 选择要更新的事件数据存储。此操作会打开事件数据存储的详细信息页面。

  4. Lake 查询联合身份验证中,选择编辑,然后选择启用

  5. 选择是创建新的 IAM 角色还是使用现有角色。创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您使用现有角色,请确保该角色的策略提供所需的最低权限

  6. 如果您在创建新的 IAM 角色,请为该角色输入名称。

  7. 如果您选择现有的 IAM 角色,请选择要使用的角色。角色必须存在于您的账户中。

  8. 选择保存更改联合身份验证状态更改为 Enabled

Amazon CLI

要启用联合身份验证,请运行 aws cloudtrail enable-federation 命令,以提供所需的 --event-data-store--role 参数。对于 --event-data-store,请提供事件数据存储 ARN(或 ARN 的 ID 后缀)。对于 --role,请提供您的联合身份验证角色的 ARN。该角色必须存在于您的账户中,并提供所需的最低权限

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

此示例说明委托管理员如何通过在管理账户中指定事件数据存储的 ARN 和在委托管理员账户中指定联合身份验证角色的 ARN 来在组织事件数据存储上启用联合身份验证。

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name