本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 啟用 Lake 查詢聯合 **注意** AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。 您可以使用 CloudTrail 主控台或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html) API 操作 AWS CLI來啟用 Lake 查詢聯合。當您啟用 Lake 查詢聯合時,CloudTrail 會在 AWS Glue Data Catalog 中建立名為 的受管資料庫 `aws:cloudtrail`(如果資料庫不存在) 和受管聯合資料表。事件資料存放區 ID 會用於資料表名稱。CloudTrail 會在 中註冊聯合角色 ARN 和事件資料存放區[AWS Lake Formation](query-federation-lake-formation.md),該服務負責允許對 AWS Glue 資料目錄中的聯合資源進行精細存取控制。 本節說明如何使用 CloudTrail 主控台和 啟用聯合 AWS CLI。 ------ #### [ CloudTrail console ] 下列程序展示如何在現有事件資料存放區上啟用 Lake 查詢聯合。 1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。 1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。 1. 選擇您要更新的事件資料存放區。這會開啟事件資料存放區的詳細資訊頁面。 1. 在 **Lake 查詢聯合**中,選擇**編輯**,然後選擇**啟用**。 1. 選擇是要建立新的 IAM 角色,還是使用現有角色。當您建立新角色時,CloudTrail 會自動建立具有所需許可的角色。如果您使用現有角色,請確認該角色的政策可提供[所需的最低許可](query-federation.md#query-federation-permissions-role)。 1. 如果您要建立新的 IAM 角色,請輸入角色的名稱。 1. 如果您要選擇現有的 IAM 角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。 1. 選擇**儲存變更**。**聯合狀態**會變更為 `Enabled`。 ------ #### [ AWS CLI ] 若要啟用聯合,請執行 **aws cloudtrail enable-federation** 命令,並提供必要的 **--event-data-store** 和 **--role** 參數。針對 **--event-data-store**,提供事件資料存放區 ARN (或 ARN 的 ID 尾碼)。針對 **--role**,提供您的聯合角色 ARN。該角色必須存在於您的帳戶中,並提供[所需的最低許可](query-federation.md#query-federation-permissions-role)。 ``` aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:{{region}}:{{account-id}}:eventdatastore/{{eds-id}} --role arn:aws:iam::{{account-id}}:role/{{federation-role-name}} ``` 此範例展示委派管理員如何在管理帳戶中指定事件資料存放區的 ARN,以及在委派管理員帳戶中指定聯合角色的 ARN,進而在組織事件資料存放區上啟用聯合。 ``` aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:{{region}}:{{management-account-id}}:eventdatastore/{{eds-id}} --role arn:aws:iam::{{delegated-administrator-account-id}}:role/{{federation-role-name}} ``` ------