Benutzer- und Gruppenzugriff auf Amazon Managed Grafana-Workspaces verwalten - Amazon Managed Grafana
Erteilen Sie einem Benutzer oder einer Gruppe BerechtigungenFehler bei nicht übereinstimmenden BerechtigungenHäufig gestellte Fragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzer- und Gruppenzugriff auf Amazon Managed Grafana-Workspaces verwalten

Sie greifen auf Amazon Managed Grafana-Workspaces mit Benutzern zu, die in Ihrem Identity Provider (IdP) eingerichtet sind oder. AWS IAM Identity Center Sie müssen diesen Benutzern (oder Gruppen, denen sie angehören) Berechtigungen für den Workspace erteilen. Du kannst ihnen User oder Admin Berechtigungen geben. Editor

Erteilen Sie einem Benutzer oder einer Gruppe Berechtigungen

Voraussetzungen

  • Um einem Benutzer oder einer Benutzergruppe Zugriff auf Amazon Managed Grafana-Workspaces zu gewähren, muss der Benutzer oder die Gruppe zunächst in einem Identity Provider (IdP) oder in bereitgestellt werden. AWS IAM Identity Center Weitere Informationen finden Sie unter Authentifizieren Sie Benutzer in Amazon Managed Grafana-Arbeitsbereichen.

  • Um den Benutzer- und Gruppenzugriff zu verwalten, müssen Sie als Benutzer angemeldet sein, der über die AWS Identity and Access Management (IAM-) Richtlinie AWSGrafanaWorkspacePermissionManagementV2 oder gleichwertige Berechtigungen verfügt. Wenn Sie Benutzer mit IAM Identity Center verwalten, müssen Sie auch über die Richtlinien AWSSSOMemberAccountAdministratorund AWSSSODirectoryReadOnlyIAM oder entsprechende Berechtigungen verfügen. Weitere Informationen finden Sie unter Benutzerzugriff auf Amazon Managed Grafana zuweisen und die Zuweisung aufheben.

Um den Benutzerzugriff auf einen Grafana-Workspace mithilfe der Amazon Managed Grafana-Konsole zu verwalten

  1. Öffnen Sie die Amazon Managed Grafana-Konsole unter https://console.aws.amazon.com/grafana/.

  2. Wählen Sie im linken Navigationsbereich das Menüsymbol.

  3. Wählen Sie Alle Workspaces.

  4. Wählen Sie den Namen des Workspace, den Sie verwalten möchten.

  5. Wählen Sie den Tab Authentifizierung.

  6. Wenn Sie IAM Identity Center in diesem Arbeitsbereich verwenden, wählen Sie Benutzer und Benutzergruppen konfigurieren und führen Sie einen oder mehrere der folgenden Schritte aus:

    • Um einem Benutzer Zugriff auf den Amazon Managed Grafana-Arbeitsbereich zu gewähren, aktivieren Sie das Kontrollkästchen neben dem Benutzer und wählen Sie Benutzer zuweisen.

    • Um einen Benutzer zum Mitglied Admin des Workspace zu machen, wählen Sie Zum Administrator ernennen.

    • Um einem Benutzer den Workspace-Zugriff zu entziehen, wähle Benutzerzuweisung aufheben.

    • Um Benutzergruppen wie eine LDAP-Gruppe hinzuzufügen, wähle den Tab Zugewiesene Benutzergruppen. Führen Sie dann einen der folgenden Schritte aus:

      • Um allen Mitgliedern einer Gruppe Zugriff auf den Amazon Managed Grafana-Workspace zu gewähren, aktivieren Sie das Kontrollkästchen neben der Gruppe und wählen Sie Gruppe zuweisen aus.

      • Um allen Mitgliedern einer Gruppe die Admin Rolle im Workspace zuzuweisen, wählen Sie Zum Administrator ernennen.

      • Um allen Mitgliedern einer Gruppe den Workspace-Zugriff zu entziehen, wähle Gruppe zuweisen aus.

    Anmerkung

    Wenn Sie IAM Identity Center zur Verwaltung von Benutzern verwenden, verwenden Sie die IAM Identity Center-Konsole nur, um neue Benutzer und Gruppen bereitzustellen. Verwenden Sie die Amazon Managed Grafana-Konsole oder die APIs, um Zugriff auf Ihre Grafana-Workspaces zu gewähren oder zu entfernen.

    Wenn IAM Identity Center und Amazon Managed Grafana nicht mehr synchron sind, wird Ihnen die Option zur Lösung aller Konflikte angezeigt. Weitere Informationen finden Sie weiter untenBei der Konfiguration von Benutzern und Gruppen treten Fehler aufgrund fehlender Rechteübereinstimmungen auf.

  7. Wenn Sie SAML in diesem Workspace verwenden, wählen Sie SAML-Konfiguration und führen Sie einen oder mehrere der folgenden Schritte aus:

    • Führen Sie für die Importmethode einen der folgenden Schritte aus:

      • Wählen Sie URL und geben Sie die URL der IdP-Metadaten ein.

      • Wählen Sie Hochladen oder Kopieren/Einfügen. Wenn Sie die Metadaten hochladen, wählen Sie Datei auswählen und wählen Sie die Metadatendatei aus. Oder, wenn Sie Kopieren und Einfügen verwenden, kopieren Sie die Metadaten in den Ordner Metadaten importieren.

    • Geben Sie unter Assertion-Attributrolle den Namen des SAML-Assertion-Attributs ein, aus dem Rolleninformationen extrahiert werden sollen.

    • Geben Sie für Admin-Rollenwerte entweder die Benutzerrollen Ihres IdP ein, denen alle die Admin Rolle im Amazon Managed Grafana-Workspace zugewiesen werden sollen, oder wählen Sie Ich möchte die Zuweisung von Admins zu meinem Workspace deaktivieren.

      Anmerkung

      Wenn du möchtest, möchte ich die Zuweisung von Admins zu meinem Workspace abbestellen. , können Sie die Amazon Managed Grafana-Konsole nicht zur Verwaltung des Workspace verwenden, einschließlich Aufgaben wie der Verwaltung von Datenquellen, Benutzern und Dashboard-Berechtigungen. Sie können administrative Änderungen am Workspace nur mithilfe von Amazon Managed Grafana-APIs vornehmen.

    • (Optional) Um zusätzliche SAML-Einstellungen einzugeben, wählen Sie Zusätzliche Einstellungen und führen Sie eine oder mehrere der folgenden Aktionen aus. Wählen Sie dann SAML-Konfiguration speichern aus. Alle diese Felder sind optional.

      • Geben Sie unter Assertion-Attributname den Namen des Attributs innerhalb der SAML-Assertion an, das für den Benutzer verwendet werden soll. Vollständige „benutzerfreundliche“ Namen für SAML-Benutzer.

      • Geben Sie für die Anmeldung mit dem Assertion-Attribut den Namen des Attributs innerhalb der SAML-Assertion an, das für die Benutzeranmeldenamen für SAML-Benutzer verwendet werden soll.

      • Geben Sie für E-Mail mit Assertion-Attributen den Namen des Attributs innerhalb der SAML-Assertion an, das für die Benutzer-E-Mail-Namen für SAML-Benutzer verwendet werden soll.

      • Geben Sie für die Gültigkeitsdauer der Anmeldung (in Minuten) an, wie lange die Anmeldung eines SAML-Benutzers gültig ist, bevor sich der Benutzer erneut anmelden muss.

      • Geben Sie unter Organisation des Assertion-Attributs den Namen des Attributs innerhalb der SAML-Assertion an, das als „benutzerfreundlicher“ Name für Benutzerorganisationen verwendet werden soll.

      • Geben Sie für Assertion-Attributgruppen den Namen des Attributs innerhalb der SAML-Assertion an, das als „benutzerfreundlicher“ Name für Benutzergruppen verwendet werden soll.

      • Für zugelassene Organisationen können Sie den Benutzerzugriff auf Benutzer beschränken, die Mitglieder bestimmter Organisationen im IdP sind. Geben Sie eine oder mehrere Organisationen ein, die Sie zulassen möchten, und trennen Sie sie durch Kommas.

      • Geben Sie für Editor-Rollenwerte die Benutzerrollen Ihres IdP ein, denen alle die Editor Rolle im Amazon Managed Grafana-Arbeitsbereich zugewiesen werden sollen. Geben Sie eine oder mehrere Rollen ein, getrennt durch Kommas.

  8. Um Benutzergruppen, z. B. eine LDAP-Gruppe, hinzuzufügen, wählen Sie alternativ die Registerkarte Benutzergruppe. Führen Sie dann einen der folgenden Schritte aus:

    • Um allen Mitgliedern einer Gruppe Zugriff auf den Amazon Managed Grafana-Workspace zu gewähren, aktivieren Sie das Kontrollkästchen neben der Gruppe und wählen Sie Gruppe zuweisen aus.

    • Um allen Mitgliedern einer Gruppe die Admin Rolle im Workspace zuzuweisen, wählen Sie Zum Administrator ernennen.

    • Um allen Mitgliedern einer Gruppe den Workspace-Zugriff zu entziehen, wähle Gruppe zuweisen aus.

Bei der Konfiguration von Benutzern und Gruppen treten Fehler aufgrund fehlender Rechteübereinstimmungen auf

Bei der Konfiguration von Benutzern und Gruppen in der Amazon Managed Grafana-Konsole können Fehler auftreten, die nicht übereinstimmen. Dies weist darauf hin, dass Amazon Managed Grafana und IAM Identity Center nicht synchron sind. In diesem Fall zeigt Amazon Managed Grafana eine Warnung und die Möglichkeit, die Diskrepanz zu beheben, an. Wenn Sie Resolve wählen, zeigt Amazon Managed Grafana ein Dialogfeld mit einer Liste von Benutzern an, deren Berechtigungen nicht synchron sind.

Benutzer, die aus IAM Identity Center entfernt wurden, werden im Dialogfeld alsUnknown user, mit einer numerischen ID angezeigt. Für diese Benutzer besteht die einzige Möglichkeit, die Diskrepanz zu beheben, darin, Resolve zu wählen und ihnen die entsprechenden Berechtigungen zu entziehen.

Benutzer, die sich noch im IAM Identity Center befinden, aber nicht mehr zu einer Gruppe mit den Zugriffsrechten gehören, die sie zuvor hatten, werden mit ihrem Benutzernamen in der Resolve-Liste angezeigt. Es gibt zwei Möglichkeiten, dieses Problem zu beheben. Sie können das Dialogfeld „Auflösen“ verwenden, um ihnen den Zugriff zu entziehen oder einzuschränken, oder Sie können ihnen Zugriff gewähren, indem Sie den Anweisungen im vorherigen Abschnitt folgen.

Häufig gestellte Fragen zu nicht übereinstimmenden Berechtigungen

Warum erhalte ich im Abschnitt „Benutzer und Gruppen konfigurieren“ der Amazon Managed Grafana-Konsole eine Fehlermeldung, die darauf hinweist, dass die Berechtigungen nicht übereinstimmen?

Sie sehen diese Meldung, weil bei den Benutzer- und Gruppenzuordnungen in IAM Identity Center und den Berechtigungen in Amazon Managed Grafana für Ihren Workspace eine Diskrepanz festgestellt wurde. Sie können Benutzer zu Ihrem Grafana-Workspace über die Amazon Managed Grafana-Konsole (auf der Registerkarte „Benutzer und Gruppen konfigurieren“) oder über die IAM Identity Center-Konsole (Seite „Anwendungszuweisungen“) hinzufügen oder entfernen. Die Grafana-Benutzerberechtigungen können jedoch nur von Amazon Managed Grafana aus (mithilfe der Amazon Managed Grafana-Konsole oder der APIs) definiert werden, indem dem Benutzer oder der Gruppe Viewer -, Editor - oder Admin-Rechte zugewiesen werden. Ein Benutzer kann mehreren Gruppen mit unterschiedlichen Berechtigungen angehören. In diesem Fall basiert seine Berechtigung auf der höchsten Zugriffsebene für alle Gruppen und Berechtigungen, denen der Benutzer angehört.

Nicht übereinstimmende Datensätze können folgende Ursachen haben:

  • Ein Benutzer oder eine Gruppe wird aus dem IAM Identity Center gelöscht, jedoch nicht in Amazon Managed Grafana. Diese Datensätze werden in der Amazon Managed Grafana-Konsole als Unbekannte Benutzer angezeigt.

  • Die Zuordnung eines Benutzers oder einer Gruppe zu Grafana wird im IAM Identity Center (unter Anwendungszuweisungen) gelöscht, nicht jedoch in Amazon Managed Grafana.

  • Benutzerberechtigungen wurden zuvor direkt im Grafana-Arbeitsbereich aktualisiert. Updates aus dem Grafana-Arbeitsbereich werden in Amazon Managed Grafana nicht unterstützt.

Um diese Diskrepanzen zu vermeiden, verwenden Sie die Amazon Managed Grafana-Konsole oder die Amazon Managed Grafana-APIs, um Benutzer- und Gruppenberechtigungen für Ihren Workspace zu verwalten.

Ich habe zuvor die Zugriffsebenen für einige meiner Teammitglieder aus dem Grafana-Arbeitsbereich aktualisiert. Jetzt sehe ich, dass ihre Zugriffsebenen auf ihre ältere Zugriffsebene zurückgesetzt wurden. Warum sehe ich das und wie behebe ich das?

Dies ist höchstwahrscheinlich auf eine Diskrepanz zurückzuführen, die zwischen der Benutzer- und Gruppenverknüpfung in IAM Identity Center und den Berechtigungsdatensätzen Amazon Managed Grafana für Ihren Workspace festgestellt wurde. Wenn Ihre Teammitglieder unterschiedliche Zugriffsebenen haben, haben Sie oder ein Administrator für Ihr Amazon Managed Grafana die Diskrepanz möglicherweise über die Amazon Managed Grafana-Konsole behoben und die nicht übereinstimmenden Datensätze entfernt. Sie können die erforderlichen Zugriffsebenen über die Amazon Managed Grafana-Konsole oder die APIs neu zuweisen, um die gewünschten Berechtigungen wiederherzustellen.

Anmerkung

Die Benutzerzugriffsverwaltung wird vom Grafana-Arbeitsbereich aus nicht unterstützt. Verwenden Sie die Amazon Managed Grafana-Konsole oder die APIs, um Benutzer- oder Gruppenberechtigungen zuzuweisen.

Warum bemerke ich Änderungen in meinen Zugriffsebenen? Zum Beispiel hatte ich zuvor Administratorzugriff, habe aber jetzt nur noch Editor-Rechte.

Ein Administrator für deinen Workspace hat möglicherweise deine Berechtigungen geändert. Dies kann versehentlich passieren, wenn Ihre Benutzer- und Gruppenzuordnungen in IAM Identity Center und Ihren Berechtigungen in Amazon Managed Grafana nicht übereinstimmen. In diesem Fall könnten Ihre höheren Zugriffsberechtigungen durch die Behebung der Diskrepanz aufgehoben worden sein. Sie können einen Administrator bitten, die erforderliche Zugriffsebene über die Amazon Managed Grafana-Konsole neu zuzuweisen.