Úsalo AWS IAM Identity Center con tu espacio de trabajo de Grafana gestionado por Amazon - Amazon Managed Grafana
Permisos necesarios para los escenarios en los que se utiliza el Centro de Identidad de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Úsalo AWS IAM Identity Center con tu espacio de trabajo de Grafana gestionado por Amazon

Amazon Managed Grafana se integra AWS IAM Identity Center para proporcionar una federación de identidades a sus empleados. Mediante el uso de Grafana gestionado por Amazon y el Centro de Identidad de IAM, se redirige a los usuarios al directorio de su empresa actual para que inicien sesión con sus credenciales actuales. Luego, inician sesión sin problemas en su espacio de trabajo de Grafana gestionado por Amazon. Esto garantiza que se apliquen los ajustes de seguridad, como las políticas de contraseñas y la autenticación de dos factores. El uso del Centro de identidad de IAM no afecta a la configuración de IAM actual.

Si no tiene un directorio de usuarios existente o prefiere no federarlo, IAM Identity Center ofrece un directorio de usuarios integrado que puede usar para crear usuarios y grupos para Amazon Managed Grafana. Amazon Managed Grafana no admite el uso de usuarios y roles de IAM para asignar permisos dentro de un espacio de trabajo de Amazon Managed Grafana.

Para obtener más información sobre el Centro de identidad de IAM, consulte Qué es. AWS IAM Identity Center Para obtener más información sobre cómo empezar a utilizar el Centro de identidades de IAM, consulte Primeros pasos.

Para utilizar el Centro de identidades de IAM, también debe haber AWS Organizations activado la cuenta. Si es necesario, Amazon Managed Grafana puede activar Organizations por usted al crear su primer espacio de trabajo que esté configurado para usar IAM Identity Center.

Permisos necesarios para los escenarios en los que se utiliza el Centro de Identidad de IAM

En esta sección se explican las políticas necesarias para utilizar Amazon Managed Grafana con IAM Identity Center. Las políticas necesarias para administrar Amazon Managed Grafana varían en función de si tu AWS cuenta forma parte de una organización o no.

Crear un administrador de Grafana en las cuentas AWS Organizations

Para conceder permisos para crear y gestionar espacios de trabajo de Grafana gestionados por Amazon en una organización y permitir dependencias como, por ejemplo AWS IAM Identity Center, asignar las siguientes políticas a un rol.

  • Asigne la política de AWSGrafanaAccountAdministratorIAM para permitir la administración de los espacios de trabajo de Grafana gestionados por Amazon.

  • AWSSSODirectoryAdministratorpermite que el rol utilice el Centro de identidad de IAM al configurar los espacios de trabajo de Grafana gestionados por Amazon.

  • Para permitir la creación y la gestión de espacios de trabajo de Grafana gestionados por Amazon en toda la organización, asigne a la función la AWSSSOMasterAccountAdministratorpolítica de IAM. Como alternativa, asigne al rol la política de AWSSSOMemberAccountAdministratorIAM para permitir la creación y administración de espacios de trabajo dentro de una sola cuenta de miembro de la organización.

  • También puedes asignar al rol la política de AWSMarketplaceManageSubscriptionsIAM (o permisos equivalentes) si quieres permitir que el rol actualice un espacio de trabajo de Grafana gestionado por Amazon a Grafana enterprise.

Si quieres usar permisos gestionados por el servicio al crear un espacio de trabajo de Grafana gestionado por Amazon, el rol que crea el espacio de trabajo también debe tener los permisosiam:CreateRole, yiam:CreatePolicy. iam:AttachRolePolicy Estos son necesarios para poder implementar AWS CloudFormation StackSets políticas que te permitan leer las fuentes de datos en las cuentas de la organización.

importante

Otorgar a un usuario los permisos iam:CreateRole, iam:CreatePolicy e iam:AttachRolePolicy proporciona a ese usuario acceso administrativo a su cuenta de AWS . Por ejemplo, un usuario con estos permisos puede crear una política que tenga permisos completos para todos los recursos y asociarla a cualquier rol. Sea muy cauteloso en lo referente a la persona a la que concede estos permisos.

Para ver los permisos concedidos a AWSGrafanaAccountAdministrator, consulte AWS política gestionada: AWSGrafanaAccountAdministrator

Crea y gestiona los espacios de trabajo y los usuarios de Grafana gestionados por Amazon en una única cuenta independiente

Una AWS cuenta independiente es una cuenta que no es miembro de una organización. Para obtener más información al respecto AWS Organizations, consulte ¿Qué es? AWS Organizations

Para conceder permiso para crear y gestionar espacios de trabajo y usuarios de Grafana gestionados por Amazon en una cuenta independiente, asigne las siguientes políticas de IAM a un rol:

  • AWSGrafanaAccountAdministrator

  • AWSSSOMasterAccountAdministrator

  • AWSOrganizationsFullAccess

  • AWSSSODirectoryAdministrator

importante

Al conceder un rol, la AWSOrganizationsFullAccesspolítica otorga a ese rol acceso administrativo total a su cuenta. AWS Sea muy cauteloso en lo referente a la persona a la que concede estos permisos.

Para ver los permisos concedidos a AWSGrafanaAccountAdministrator, consulta AWS política gestionada: AWSGrafanaAccountAdministrator