Gérez l'accès des utilisateurs et des groupes aux espaces de travail Amazon Managed Grafana - Amazon Managed Grafana
Accorder des autorisations à un utilisateur ou à un groupeErreurs de non-concordance des autorisationsQuestions fréquemment posées sur les incohérences entre les autorisations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérez l'accès des utilisateurs et des groupes aux espaces de travail Amazon Managed Grafana

Vous accédez aux espaces de travail Amazon Managed Grafana avec des utilisateurs configurés dans votre fournisseur d'identité (IdP) ou. AWS IAM Identity Center Vous devez accorder à ces utilisateurs (ou aux groupes auxquels ils appartiennent) des autorisations d'accès à l'espace de travail. Vous pouvez leur donner UserEditor, ou Admin des autorisations.

Accorder des autorisations à un utilisateur ou à un groupe

Prérequis

  • Pour accorder à un utilisateur ou à un groupe d'utilisateurs l'accès aux espaces de travail Amazon Managed Grafana, l'utilisateur ou le groupe doit d'abord être configuré auprès d'un fournisseur d'identité (IdP) ou dans. AWS IAM Identity Center Pour plus d’informations, consultez Authentifier les utilisateurs dans les espaces de travail Amazon Managed Grafana.

  • Pour gérer l'accès des utilisateurs et des groupes, vous devez être connecté en tant qu'utilisateur disposant de la politique AWS Identity and Access Management (IAM) AWSGrafanaWorkspacePermissionManagementV2 ou d'autorisations équivalentes. Si vous gérez des utilisateurs avec IAM Identity Center, vous devez également disposer des politiques AWSSSOMemberAccountAdministratoret AWSSSODirectoryReadOnlyIAM, ou d'autorisations équivalentes. Pour plus d’informations, consultez Attribuer et annuler l'accès des utilisateurs à Amazon Managed Grafana.

Pour gérer l'accès des utilisateurs à un espace de travail Grafana à l'aide de la console Amazon Managed Grafana

  1. Ouvrez la console Amazon Managed Grafana à l'adresse https://console.aws.amazon.com/grafana/.

  2. Dans le volet de navigation de gauche, choisissez l'icône du menu.

  3. Sélectionnez All workspaces.

  4. Choisissez le nom de l'espace de travail que vous souhaitez gérer.

  5. Choisissez l'onglet Authentification.

  6. Si vous utilisez IAM Identity Center dans cet espace de travail, choisissez Configurer les utilisateurs et les groupes d'utilisateurs et effectuez une ou plusieurs des opérations suivantes :

    • Pour autoriser un utilisateur à accéder à l'espace de travail Amazon Managed Grafana, cochez la case à côté de l'utilisateur, puis choisissez Attribuer un utilisateur.

    • Pour faire d'un utilisateur un membre Admin de l'espace de travail, choisissez Make admin.

    • Pour supprimer l'accès à l'espace de travail d'un utilisateur, choisissez Annuler l'attribution d'un utilisateur.

    • Pour ajouter des groupes d'utilisateurs tels qu'un groupe LDAP, choisissez l'onglet Groupes d'utilisateurs assignés. Ensuite, effectuez l'une des actions suivantes :

      • Pour permettre à tous les membres d'un groupe d'accéder à l'espace de travail Amazon Managed Grafana, cochez la case à côté du groupe, puis choisissez Attribuer un groupe.

      • Pour attribuer un Admin rôle à tous les membres d'un groupe dans l'espace de travail, choisissez Make admin.

      • Pour supprimer l'accès à l'espace de travail pour tous les membres d'un groupe, choisissez Annuler l'attribution du groupe.

    Note

    Si vous utilisez IAM Identity Center pour gérer les utilisateurs, utilisez la console IAM Identity Center uniquement pour configurer de nouveaux utilisateurs et groupes. Utilisez la console Amazon Managed Grafana ou les API pour accorder ou supprimer l'accès à vos espaces de travail Grafana.

    Si IAM Identity Center et Amazon Managed Grafana ne sont pas synchronisés, une option vous est proposée pour résoudre les conflits. Pour plus d'informationsErreurs de non-concordance des autorisations lors de la configuration des utilisateurs et des groupes, voir ci-dessous.

  7. Si vous utilisez le protocole SAML dans cet espace de travail, choisissez la configuration SAML et effectuez une ou plusieurs des opérations suivantes :

    • Pour Méthode d'importation, effectuez l'une des opérations suivantes :

      • Choisissez URL et entrez l'URL des métadonnées de l'IdP.

      • Choisissez Téléverser ou copier/coller. Si vous chargez les métadonnées, choisissez Choisir un fichier, puis sélectionnez le fichier de métadonnées. Ou, si vous utilisez le copier-coller, copiez les métadonnées dans Importer les métadonnées.

    • Pour le rôle d'attribut d'assertion, entrez le nom de l'attribut d'assertion SAML à partir duquel vous souhaitez extraire les informations de rôle.

    • Pour les valeurs des rôles d'administrateur, saisissez les rôles utilisateur de votre IdP qui devraient tous se voir attribuer le Admin rôle dans l'espace de travail Amazon Managed Grafana, ou sélectionnez Je souhaite désactiver l'attribution d'administrateurs à mon espace de travail.

      Note

      Si vous choisissez, je souhaite refuser d'affecter des administrateurs à mon espace de travail. , vous ne pourrez pas utiliser la console Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide des API Amazon Managed Grafana.

    • (Facultatif) Pour saisir des paramètres SAML supplémentaires, choisissez Paramètres supplémentaires et effectuez une ou plusieurs des opérations suivantes, puis sélectionnez Enregistrer la configuration SAML. Tous ces champs sont facultatifs.

      • Pour le nom de l'attribut d'assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms complets « conviviaux » pour les utilisateurs SAML.

      • Pour la connexion à l'attribut Assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms de connexion des utilisateurs SAML.

      • Pour l'e-mail d'attribut d'assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms d'e-mail des utilisateurs SAML.

      • Pour la durée de validité de la connexion (en minutes), spécifiez la durée de validité de la connexion d'un utilisateur SAML avant que celui-ci ne doive se reconnecter.

      • Pour l'organisation de l'attribut Assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les organisations d'utilisateurs.

      • Pour les groupes d'attributs Assertion, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les groupes d'utilisateurs.

      • Pour les organisations autorisées, vous pouvez limiter l'accès des utilisateurs aux seuls utilisateurs membres de certaines organisations de l'IdP. Entrez une ou plusieurs organisations à autoriser, en les séparant par des virgules.

      • Pour les valeurs des rôles d'éditeur, entrez les rôles utilisateur de votre IdP qui devraient tous se voir attribuer le Editor rôle dans l'espace de travail Amazon Managed Grafana. Entrez un ou plusieurs rôles, séparés par des virgules.

  8. Sinon, pour ajouter des groupes d'utilisateurs tels qu'un groupe LDAP, choisissez l'onglet Groupe d'utilisateurs. Ensuite, effectuez l'une des actions suivantes :

    • Pour permettre à tous les membres d'un groupe d'accéder à l'espace de travail Amazon Managed Grafana, cochez la case à côté du groupe, puis choisissez Attribuer un groupe.

    • Pour attribuer un Admin rôle à tous les membres d'un groupe dans l'espace de travail, choisissez Make admin.

    • Pour supprimer l'accès à l'espace de travail pour tous les membres d'un groupe, choisissez Annuler l'attribution du groupe.

Erreurs de non-concordance des autorisations lors de la configuration des utilisateurs et des groupes

Vous pouvez rencontrer des erreurs de non-concordance lors de la configuration des utilisateurs et des groupes dans la console Amazon Managed Grafana. Cela indique qu'Amazon Managed Grafana et IAM Identity Center ne sont pas synchronisés. Dans ce cas, Amazon Managed Grafana affiche un avertissement et une option permettant de résoudre le problème d'incompatibilité. Si vous choisissez Résoudre, Amazon Managed Grafana affiche une boîte de dialogue contenant la liste des utilisateurs dont les autorisations ne sont pas synchronisées.

Les utilisateurs qui ont été supprimés d'IAM Identity Center apparaissent sous la formeUnknown user, avec un identifiant numérique dans la boîte de dialogue. Pour ces utilisateurs, le seul moyen de corriger l'incompatibilité est de choisir Résoudre et de supprimer leurs autorisations.

Les utilisateurs qui se trouvent toujours dans IAM Identity Center, mais qui n'appartiennent plus à un groupe disposant des droits d'accès qu'ils détenaient auparavant, apparaissent avec leur nom d'utilisateur dans la liste Résoudre. Il existe deux manières de résoudre ce problème. Vous pouvez utiliser la boîte de dialogue Résoudre pour supprimer ou réduire leur accès, ou vous pouvez leur donner accès en suivant les instructions de la section précédente.

Questions fréquemment posées sur les incohérences entre les autorisations

Pourquoi est-ce que je vois un message d'erreur indiquant une incompatibilité entre les autorisations dans la section Configurer les utilisateurs et les groupes de la console Amazon Managed Grafana ?

Ce message s'affiche car une incompatibilité a été identifiée entre les associations d'utilisateurs et de groupes dans IAM Identity Center et les autorisations dans Amazon Managed Grafana pour votre espace de travail. Vous pouvez ajouter ou supprimer des utilisateurs dans votre espace de travail Grafana depuis la console Amazon Managed Grafana (dans l'onglet Configurer les utilisateurs et les groupes) ou depuis la console IAM Identity Center (page d'attribution des applications). Toutefois, les autorisations utilisateur de Grafana ne peuvent être définies qu'à partir d'Amazon Managed Grafana (à l'aide de la console Amazon Managed Grafana ou des API), en attribuant des autorisations de visionneur, d'éditeur ou d'administrateur à l'utilisateur ou au groupe. Un utilisateur peut appartenir à plusieurs groupes avec des autorisations différentes, auquel cas son autorisation est basée sur le niveau d'accès le plus élevé parmi tous les groupes et autorisations auxquels l'utilisateur appartient.

Les enregistrements non concordants peuvent résulter des facteurs suivants :

  • Un utilisateur ou un groupe est supprimé d'IAM Identity Center, mais pas d'Amazon Managed Grafana. Ces enregistrements apparaissent comme des utilisateurs inconnus dans la console Amazon Managed Grafana.

  • L'association d'un utilisateur ou d'un groupe avec Grafana est supprimée dans IAM Identity Center (sous Attributions d'applications), mais pas dans Amazon Managed Grafana.

  • Les autorisations des utilisateurs étaient précédemment mises à jour directement depuis l'espace de travail Grafana. Les mises à jour depuis l'espace de travail Grafana ne sont pas prises en charge dans Amazon Managed Grafana.

Pour éviter ces incohérences, utilisez la console Amazon Managed Grafana ou les API Amazon Managed Grafana pour gérer les autorisations des utilisateurs et des groupes pour votre espace de travail.

J'ai déjà mis à jour les niveaux d'accès de certains membres de mon équipe depuis l'espace de travail Grafana. Je constate maintenant que leurs niveaux d'accès sont revenus à leur ancien niveau d'accès. Pourquoi est-ce que je vois ce problème et comment puis-je le résoudre ?

Cela est probablement dû à une incohérence identifiée entre l'association d'utilisateurs et de groupes dans IAM Identity Center et les enregistrements d'autorisations Amazon Managed Grafana pour votre espace de travail. Si les membres de votre équipe ont des niveaux d'accès différents, vous ou un administrateur de votre Amazon Managed Grafana avez peut-être résolu le problème depuis la console Amazon Managed Grafana, en supprimant les enregistrements incompatibles. Vous pouvez réattribuer les niveaux d'accès requis depuis la console Amazon Managed Grafana ou les API pour rétablir les autorisations souhaitées.

Note

La gestion des accès des utilisateurs n'est pas prise en charge depuis l'espace de travail Grafana. Utilisez la console ou les API Amazon Managed Grafana pour attribuer des autorisations aux utilisateurs ou aux groupes.

Pourquoi est-ce que je remarque des changements dans mes niveaux d'accès ? Par exemple, j'avais auparavant un accès administrateur, mais je n'ai plus que des autorisations d'éditeur.

L'administrateur de votre espace de travail a peut-être modifié vos autorisations. Cela peut se produire par inadvertance en cas d'incompatibilité entre vos associations d'utilisateurs et de groupes dans IAM Identity Center et vos autorisations dans Amazon Managed Grafana. Dans ce cas, la résolution de l'incompatibilité a peut-être supprimé vos autorisations d'accès supérieures. Vous pouvez demander à un administrateur de réattribuer le niveau d'accès requis depuis la console Amazon Managed Grafana.