本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用 Lake 查询联合身份验证
<a name="query-enable-federation"></a>

**注意**  
Amazon CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

您可以使用 CloudTrail 控制台、或 [https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_EnableFederation.html](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_EnableFederation.html)API 操作启用 Lak Amazon CLI e 查询联合。启用 Lake 查询联合后， CloudTrail 将在 Amazon Glue 数据目录中创建一个名为`aws:cloudtrail`（如果该数据库尚不存在）的托管数据库和一个托管联合表。事件数据存储 ID 用于表名。 CloudTrail 在中注册联合角色 ARN 和事件数据存储 [Amazon Lake Formation](query-federation-lake-formation.md)，该服务负责允许对数据目录中的联合资源进行精细的访问控制。 Amazon Glue 

本节介绍如何使用 CloudTrail 控制台和启用联合 Amazon CLI。

------
#### [ CloudTrail console ]

以下过程演示了如何对现有事件数据存储启用 Lake 查询联合身份验证。

1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择要更新的事件数据存储。此操作会打开事件数据存储的详细信息页面。

1. 在 **Lake 查询联合身份验证**中，选择**编辑**，然后选择**启用**。

1. 选择是创建新的 IAM 角色还是使用现有角色。创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您使用现有角色，请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。

1.  如果您在创建新的 IAM 角色，请为该角色输入名称。

1.  如果您选择现有的 IAM 角色，请选择要使用的角色。角色必须存在于您的账户中。

1. 选择**保存更改**。**联合身份验证状态**更改为 `Enabled`。

------
#### [ Amazon CLI ]

要启用联合身份验证，请运行 **aws cloudtrail enable-federation** 命令，以提供所需的 **--event-data-store** 和 **--role** 参数。对于 **--event-data-store**，请提供事件数据存储 ARN（或 ARN 的 ID 后缀）。对于 **--role**，请提供您的联合身份验证角色的 ARN。该角色必须存在于您的账户中，并提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。

```
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name
```

此示例说明委托管理员如何通过在管理账户中指定事件数据存储的 ARN 和在委托管理员账户中指定联合身份验证角色的 ARN 来在组织事件数据存储上启用联合身份验证。

```
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
```

------