Gunakan AWS IAM Identity Center dengan ruang kerja Grafana Terkelola Amazon Anda - Amazon Managed Grafana

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan AWS IAM Identity Center dengan ruang kerja Grafana Terkelola Amazon Anda

Grafana yang Dikelola Amazon terintegrasi dengan AWS IAM Identity Center untuk memberikan federasi identitas bagi tenaga kerja Anda. Menggunakan Grafana Terkelola Amazon dan Pusat Identitas IAM, pengguna diarahkan ke direktori perusahaan yang ada untuk masuk dengan kredensialnya yang ada. Kemudian, mereka masuk dengan mulus ke ruang kerja Grafana yang Dikelola Amazon mereka. Ini memastikan bahwa pengaturan keamanan seperti kebijakan kata sandi dan otentikasi dua faktor diberlakukan. Menggunakan IAM Identity Center tidak memengaruhi konfigurasi IAM Anda yang ada.

Jika Anda tidak memiliki direktori pengguna yang ada atau memilih untuk tidak bergabung, IAM Identity Center menawarkan direktori pengguna terintegrasi yang dapat Anda gunakan untuk membuat pengguna dan grup untuk Grafana Terkelola Amazon. Grafana Terkelola Amazon tidak mendukung penggunaan pengguna dan peran IAM untuk menetapkan izin dalam ruang kerja Grafana Terkelola Amazon.

Untuk informasi selengkapnya tentang Pusat Identitas IAM, lihat Apa itu AWS IAM Identity Center. Untuk informasi selengkapnya tentang memulai dengan IAM Identity Center, lihat Memulai.

Untuk menggunakan Pusat Identitas IAM, Anda juga harus AWS Organizations mengaktifkan akun tersebut. Jika diperlukan, Grafana Terkelola Amazon dapat mengaktifkan Organizations untuk Anda saat Anda membuat ruang kerja pertama yang dikonfigurasi untuk menggunakan IAM Identity Center.

Izin yang diperlukan untuk skenario menggunakan IAM Identity Center

Bagian ini menjelaskan kebijakan yang diperlukan untuk menggunakan Grafana Terkelola Amazon dengan Pusat Identitas IAM. Kebijakan yang diperlukan untuk mengelola Grafana Terkelola Amazon berbeda berdasarkan apakah akun AWS Anda merupakan bagian dari organisasi atau bukan.

Buat administrator Grafana di akun AWS Organizations

Untuk memberikan izin untuk membuat dan mengelola ruang kerja Grafana Terkelola Amazon di organisasi, dan untuk mengizinkan dependensi AWS IAM Identity Center seperti, tetapkan kebijakan berikut ke peran.

  • Tetapkan kebijakan AWSGrafanaAccountAdministratorIAM untuk mengizinkan pengelolaan ruang kerja Grafana yang Dikelola Amazon.

  • AWSSSODirectoryAdministratormemungkinkan peran untuk menggunakan Pusat Identitas IAM saat menyiapkan ruang kerja Grafana yang Dikelola Amazon.

  • Untuk memungkinkan pembuatan dan pengelolaan ruang kerja Grafana yang Dikelola Amazon di seluruh organisasi, berikan peran kebijakan IAM. AWSSSOMasterAccountAdministrator Sebagai alternatif, berikan peran kebijakan AWSSSOMemberAccountAdministratorIAM untuk memungkinkan pembuatan dan pengelolaan ruang kerja dalam satu akun anggota organisasi.

  • Anda juga dapat memberikan peran kebijakan AWSMarketplaceManageSubscriptionsIAM (atau izin yang setara) secara opsional jika Anda ingin mengizinkan peran untuk meningkatkan ruang kerja Grafana Terkelola Amazon ke perusahaan Grafana.

Jika Anda ingin menggunakan izin yang dikelola layanan saat membuat ruang kerja Grafana Terkelola Amazon, peran yang membuat ruang kerja juga harus memiliki,, dan izin. iam:CreateRole iam:CreatePolicy iam:AttachRolePolicy Ini wajib digunakan AWS CloudFormation StackSets untuk menerapkan kebijakan yang memungkinkan Anda membaca sumber data di akun organisasi.

penting

Memberikan iam:CreateRole, iam:CreatePolicy, dan iam:AttachRolePolicy kepada pengguna akan memberikan akses administratif penuh ke akun AWS Anda kepada pengguna tersebut. Misalnya, pengguna dengan izin ini dapat membuat kebijakan yang memiliki izin penuh untuk semua sumber daya, dan melampirkan kebijakan tersebut ke peran apa pun. Berhati-hati dengan siapa Anda memberikan izin ini.

Untuk melihat izin yang diberikan AWSGrafanaAccountAdministrator, lihat AWS kebijakan terkelola: AWSGrafanaAccountAdministrator

Membuat dan mengelola ruang kerja dan pengguna Grafana yang Dikelola Amazon dalam satu akun mandiri

AWS Akun mandiri adalah akun yang bukan anggota organisasi. Untuk informasi lebih lanjut tentang AWS Organizations, lihat Apa itu AWS Organizations?

Untuk memberikan izin untuk membuat dan mengelola ruang kerja Grafana Terkelola Amazon dan pengguna di akun mandiri, tetapkan kebijakan IAM berikut ke peran:

  • AWSGrafanaAccountAdministrator

  • AWSSSOMasterAccountAdministrator

  • AWSOrganizationsFullAccess

  • AWSSSODirectoryAdministrator

penting

Pemberian peran AWSOrganizationsFullAccesskebijakan memberikan peran tersebut akses administratif penuh ke AWS akun Anda. Berhati-hatilah dengan orang yang Anda berikan izin ini.

Untuk melihat izin yang diberikan AWSGrafanaAccountAdministrator, lihat AWS kebijakan terkelola: AWSGrafanaAccountAdministrator