Configuración de Grafana de código abierto o Grafana Enterprise para su uso con Amazon Managed Service para Prometheus

Amazon Managed Service para Prometheus admite el uso de la versión 7.3.5 y posteriores de Grafana para consultar métricas en un espacio de trabajo. Las versiones 7.3.5 y posteriores incluyen soporte para la autenticación AWS Signature Version 4 (SiGv4).

Para obtener instrucciones sobre cómo configurar una versión independiente de Grafana mediante el archivo tar.gz o zip, consulte Instalación de Grafana en la documentación de Grafana. Si instala una nueva versión independiente de Grafana, se le solicitará el nombre de usuario y la contraseña. El valor predeterminado es admin/admin. Se le pedirá que cambie la contraseña después de iniciar sesión por primera vez. Para obtener más información, consulte Introducción a Grafana en la documentación de Grafana.

Para verificar la versión del Grafana, ejecute el siguiente comando.

grafana_install_directory/bin/grafana-server -v

Para configurar Grafana para que funcione con Amazon Managed Service for Prometheus, debes iniciar sesión en una cuenta que tenga la AmazonPrometheusQueryAccesspolítica o los aps:QueryMetrics permisos,, y. aps:GetMetricMetadata aps:GetSeries aps:GetLabels Para obtener más información, consulte Permisos y políticas de IAM.

Configure AWS SigV4

Amazon Managed Service for Prometheus funciona AWS Identity and Access Management con (IAM) para proteger todas las llamadas a las API de Prometheus con credenciales de IAM. De forma predeterminada, el origen de datos de Prometheus en Grafana presupone que Prometheus no requiere autenticación. Para permitir que Grafana aproveche las capacidades de autenticación y autorización de Amazon Managed Service para Prometheus, necesitará habilitar el soporte de autenticación SigV4 en el origen de datos de Grafana. Siga los pasos de esta página al utilizar un servidor autoadministrado de Grafana de código abierto o un servidor empresarial de Grafana. Si utiliza Amazon Managed Grafana, la autenticación SigV4 está totalmente automatizada. Para obtener más información sobre Amazon Managed Grafana, consulte ¿Qué es Amazon Managed Grafana?.

Para habilitar SigV4 en Grafana, inicie Grafana con las variables de entorno AWS_SDK_LOAD_CONFIG y GF_AUTH_SIGV4_AUTH_ENABLED configuradas como true. La variable de entorno GF_AUTH_SIGV4_AUTH_ENABLED anula la configuración predeterminada de Grafana para habilitar la compatibilidad con SigV4. Para obtener más información, consulte Configuración en la documentación de Grafana.

Linux

Para habilitar SigV4 en un servidor de Grafana independiente en Linux, introduzca los siguientes comandos.

export AWS_SDK_LOAD_CONFIG=true

export GF_AUTH_SIGV4_AUTH_ENABLED=true

cd grafana_install_directory

./bin/grafana-server

Windows

Para habilitar SigV4 en una versión independiente de Grafana en Windows mediante la línea de comandos de Windows, introduzca los siguientes comandos.

set AWS_SDK_LOAD_CONFIG=true

set GF_AUTH_SIGV4_AUTH_ENABLED=true

cd grafana_install_directory

.\bin\grafana-server.exe

Adición del origen de datos de Prometheus en Grafana

En los siguientes pasos se explica cómo configurar el origen de datos de Prometheus en Grafana para consultar las métricas de Amazon Managed Service para Prometheus.

Para agregar el origen de datos de Prometheus al servidor de Grafana

1. Abra la consola de Grafana.

2. En Configuraciones, elija Orígenes de datos.

3. Elija Agregar origen de datos.

4. Elija Prometheus.

5. Para la URL HTTP, especifique el Punto de conexión: URL de consulta que figura en la página de detalles del espacio de trabajo de la consola de Amazon Managed Service para Prometheus.

6. En la URL HTTP que acaba de especificar, elimine la cadena /api/v1/query que se adjunta a la URL, ya que el origen de datos de Prometheus la anexará automáticamente.

   La URL correcta debe tener un aspecto similar a https://aps-workspaces.us-west-2.amazonaws.com/workspaces/ws-1234a5b6-78cd-901e-2fgh-3i45j6k178l9.

7. En Autenticación, seleccione la opción Autenticación SigV4 para habilitarla.

8. Puede configurar la autorización de SigV4 especificando las credenciales a largo plazo directamente en Grafana o utilizando una cadena de proveedores predeterminada. Si especifica las credenciales a largo plazo directamente, podrá empezar más rápido. Además, en los siguientes pasos encontrará esas instrucciones en primer lugar. Una vez que esté más familiarizado con el uso de Grafana con Amazon Managed Service para Prometheus, le recomendamos que utilice una cadena de proveedores predeterminada, ya que proporciona una mayor flexibilidad y seguridad. Para obtener más información acerca de cómo configurar la cadena de proveedores predeterminada, consulte Especificación de credenciales.

   • Para utilizar sus credenciales a largo plazo directamente, haga lo siguiente:

     1. En Detalles de autenticación de SigV4, en Proveedor de autenticación, seleccione Acceso y clave secreta.

     2. En ID de clave de acceso, introduzca el ID de clave de acceso de AWS .

     3. En Clave de acceso secreta, introduzca la clave de acceso secreta de AWS .

     4. Deje en blanco los campos ARN de rol de asunción e ID externo.

     5. En Región predeterminada, seleccione la región del espacio de trabajo de Amazon Managed Service para Prometheus. Esta región debe coincidir con la región que figura en la URL indicada en el paso 5.

     6. Elija Guardar y probar.

        Debería ver el siguiente mensaje: El origen de datos funciona

        La siguiente captura de pantalla muestra la configuración detallada de autenticación SigV4 de la clave de acceso y la clave secreta.

        

   • Para utilizar una cadena de proveedores predeterminada en su lugar (recomendada para un entorno de producción), haga lo siguiente:

     1. En Detalles de autenticación de SigV4, en Proveedor de autenticación, elija Predeterminado del SDK de AWS .

     2. Deje en blanco los campos ARN de rol de asunción e ID externo.

     3. En Región predeterminada, seleccione la región del espacio de trabajo de Amazon Managed Service para Prometheus. Esta región debe coincidir con la región que figura en la URL indicada en el paso 5.

     4. Elija Guardar y probar.

        Debería ver el siguiente mensaje: El origen de datos funciona

        La siguiente captura de pantalla muestra la configuración detallada de autenticación SigV4 predeterminada del SDK.

        

9. Pruebe una consulta de PromQL con el nuevo origen de datos:

   1. Elija Explorar.

   2. Ejecute una consulta de PromQL de ejemplo, como:

      prometheus_tsdb_head_series

Solución de problemas si Guardar y probar no funciona

En el procedimiento anterior, si ve un error al seleccionar Guardar y probar, compruebe lo siguiente.

HTTP Error Not Found

Asegúrese de que el ID del espacio de trabajo de la URL es correcto.

HTTP Error Forbidden

Este error indica que las credenciales no son válidas. Compruebe lo siguiente:

• Compruebe que la región especificada en Región predeterminada es correcta.

• Compruebe que no haya errores tipográficos en las credenciales.

• Asegúrese de que la credencial que está utilizando cumpla con la política. AmazonPrometheusQueryAccess Para obtener más información, consulte Permisos y políticas de IAM.

• Asegúrese de que la credencial que está utilizando tenga acceso a este espacio de trabajo de Amazon Managed Service para Prometheus.

HTTP Error Bad Gateway

Consulte el registro del servidor de Grafana para solucionar este error. Para obtener más información, consulte Solución de problemas en la documentación de Grafana.

Si lo veError http: proxy error: NoCredentialProviders: no valid providers in chain, la cadena de proveedores de credenciales predeterminada no pudo encontrar una AWS credencial válida para usarla. Asegúrese de haber configurado las credenciales tal y como se indica en Especificación de credenciales. Si desea utilizar una configuración compartida, asegúrese de que el entorno AWS_SDK_LOAD_CONFIG esté configurado como true.