Concedere le autorizzazioni a un utente o a un gruppo Errori di mancata corrispondenza delle autorizzazioni Domande frequenti sulla mancata corrispondenza delle autorizzazioni

Gestisci l'accesso di utenti e gruppi alle aree di lavoro Amazon Managed Grafana

Accedi agli spazi di lavoro di Amazon Managed Grafana con utenti configurati nel tuo provider di identità (IdP) o. AWS IAM Identity Center Devi concedere agli utenti (o ai gruppi a cui appartengono) le autorizzazioni per accedere all'area di lavoro. Puoi concedere loro o User Editor Admin autorizzazioni.

Concedere le autorizzazioni a un utente o a un gruppo

Prerequisiti

Per concedere a un utente o a un gruppo di utenti l'accesso alle aree di lavoro Amazon Managed Grafana, l'utente o il gruppo deve prima essere fornito in un provider di identità (IdP) o in. AWS IAM Identity Center Per ulteriori informazioni, consulta Autentica gli utenti nelle aree di lavoro Amazon Managed Grafana.
Per gestire l'accesso di utenti e gruppi, devi accedere come utente con la policy AWSGrafanaWorkspacePermissionManagementV2 AWS Identity and Access Management (IAM) o autorizzazioni equivalenti. Se gestisci utenti con IAM Identity Center, devi disporre anche delle AWSSSODirectoryReadOnlypolicy AWSSSOMemberAccountAdministratore IAM o di autorizzazioni equivalenti. Per ulteriori informazioni, consulta Assegna e annulla l'assegnazione dell'accesso degli utenti ad Amazon Managed Grafana.

Per gestire l'accesso degli utenti a un'area di lavoro Grafana utilizzando la console Amazon Managed Grafana

Apri la console Amazon Managed Grafana all'indirizzo https://console.aws.amazon.com/grafana/.
Nel riquadro di navigazione a sinistra, scegli l'icona del menu.
Seleziona Tutte le aree di lavoro.
Scegli il nome dell'area di lavoro che desideri gestire.
Scegli la scheda Autenticazione.
Se utilizzi IAM Identity Center in questo spazio di lavoro, scegli Configura utenti e gruppi di utenti ed esegui una o più delle seguenti operazioni:
- Per consentire a un utente di accedere all'area di lavoro di Amazon Managed Grafana, seleziona la casella di controllo accanto all'utente e scegli Assegna utente.
- Per rendere un utente parte dello spazio Admin di lavoro, scegli Rendi amministratore.
- Per rimuovere l'accesso allo spazio di lavoro per un utente, scegli Annulla assegnazione utente.
- Per aggiungere gruppi di utenti come un gruppo LDAP, scegli la scheda Gruppi di utenti assegnati. Effettua quindi una delle seguenti operazioni:
  - Per consentire a tutti i membri di un gruppo di accedere all'area di lavoro di Amazon Managed Grafana, seleziona la casella di controllo accanto al gruppo e scegli Assegna gruppo.
  - Per assegnare a tutti i membri di un gruppo il Admin ruolo nell'area di lavoro, scegli Rendi amministratore.
  - Per rimuovere l'accesso allo spazio di lavoro per tutti i membri di un gruppo, scegli Annulla assegnazione al gruppo.
Nota
Se utilizzi IAM Identity Center per gestire gli utenti, utilizza la console IAM Identity Center solo per fornire nuovi utenti e gruppi. Usa la console o le API di Amazon Managed Grafana per concedere o rimuovere l'accesso alle tue aree di lavoro Grafana.
Se IAM Identity Center e Amazon Managed Grafana non sono sincronizzati, ti viene presentata un'opzione per risolvere eventuali conflitti. Per ulteriori informazioni, consulta la sezione Errori di mancata corrispondenza delle autorizzazioni durante la configurazione di utenti e gruppi seguente.
Se utilizzi SAML in questo spazio di lavoro, scegli la configurazione SAML ed esegui una o più delle seguenti operazioni:
- Per il metodo di importazione, esegui una delle seguenti operazioni:
  - Scegli URL e inserisci l'URL dei metadati IdP.
  - Scegli Carica o copia/incolla. Se stai caricando i metadati, scegli Scegli file e seleziona il file di metadati. Oppure, se utilizzi il copia e incolla, copia i metadati in Importa i metadati.
- Per il ruolo dell'attributo Assertion, inserisci il nome dell'attributo di asserzione SAML da cui estrarre le informazioni sul ruolo.
- Per i valori dei ruoli di amministratore, inserisci i ruoli utente del tuo IdP a cui dovrebbe essere concesso il Admin ruolo nell'area di lavoro di Amazon Managed Grafana, oppure seleziona Desidero disattivare l'assegnazione di amministratori al mio spazio di lavoro.
  
  Nota
  Se scegli, voglio rinunciare all'assegnazione di amministratori al mio spazio di lavoro. , non potrai utilizzare la console Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. Puoi apportare modifiche amministrative all'area di lavoro solo utilizzando le API Amazon Managed Grafana.
- (Facoltativo) Per inserire impostazioni SAML aggiuntive, scegli Impostazioni aggiuntive ed esegui una o più delle seguenti operazioni, quindi scegli Salva configurazione SAML. Tutti questi campi sono opzionali.
  - Per il nome dell'attributo Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per l'utente nomi «descrittivi» completi per gli utenti SAML.
  - Per l'accesso all'attributo Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi di accesso degli utenti SAML.
  - Per l'e-mail dell'attributo Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi e-mail degli utenti SAML.
  - Per la durata della validità dell'accesso (in minuti), specifica per quanto tempo è valido l'accesso di un utente SAML prima che l'utente debba accedere nuovamente.
  - Per l'organizzazione degli attributi Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per le organizzazioni di utenti.
  - Per i gruppi di attributi Assertion, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per i gruppi di utenti.
  - Per le organizzazioni consentite, puoi limitare l'accesso degli utenti solo agli utenti che sono membri di determinate organizzazioni nell'IdP. Inserisci una o più organizzazioni da consentire, separandole con virgole.
  - Per i valori del ruolo Editor, inserisci i ruoli utente del tuo IdP a cui dovrebbe essere assegnato il Editor ruolo nell'area di lavoro di Amazon Managed Grafana. Inserisci uno o più ruoli, separati da virgole.
In alternativa, per aggiungere gruppi di utenti come un gruppo LDAP, scegli la scheda Gruppo utenti. Effettua quindi una delle seguenti operazioni:
- Per consentire a tutti i membri di un gruppo di accedere all'area di lavoro di Amazon Managed Grafana, seleziona la casella di controllo accanto al gruppo e scegli Assegna gruppo.
- Per assegnare a tutti i membri di un gruppo il Admin ruolo nell'area di lavoro, scegli Rendi amministratore.
- Per rimuovere l'accesso allo spazio di lavoro per tutti i membri di un gruppo, scegli Annulla assegnazione al gruppo.

Errori di mancata corrispondenza delle autorizzazioni durante la configurazione di utenti e gruppi

Potresti riscontrare errori di mancata corrispondenza durante la configurazione di utenti e gruppi nella console Amazon Managed Grafana. Ciò indica che Amazon Managed Grafana e IAM Identity Center non sono sincronizzati. In questo caso, Amazon Managed Grafana visualizza un avviso e l'opzione Risolvi la mancata corrispondenza. Se scegli Resolve, Amazon Managed Grafana visualizza una finestra di dialogo con un elenco di utenti con autorizzazioni non sincronizzate.

Gli utenti che sono stati rimossi da IAM Identity Center vengono visualizzati comeUnknown user, con un ID numerico nella finestra di dialogo. Per questi utenti, l'unico modo per correggere la mancata corrispondenza è scegliere Resolve e rimuovere le loro autorizzazioni.

Gli utenti che si trovano ancora in IAM Identity Center, ma che non appartengono più a un gruppo con i diritti di accesso di cui disponevano in precedenza, vengono visualizzati con il proprio nome utente nell'elenco Resolve. Esistono due modi per risolvere questo problema. Puoi utilizzare la finestra di dialogo Risolvi per rimuovere o ridurre il loro accesso oppure puoi concedere loro l'accesso seguendo le istruzioni nella sezione precedente.

Domande frequenti sulla mancata corrispondenza delle autorizzazioni

Perché visualizzo un errore che indica la mancata corrispondenza delle autorizzazioni nella sezione Configura utenti e gruppi della console Amazon Managed Grafana?

Stai visualizzando questo messaggio perché è stata identificata una mancata corrispondenza nelle associazioni di utenti e gruppi in IAM Identity Center e nelle autorizzazioni in Amazon Managed Grafana per il tuo spazio di lavoro. Puoi aggiungere o rimuovere utenti al tuo spazio di lavoro Grafana dalla console Amazon Managed Grafana (nella scheda Configure Users and Groups) o dalla console IAM Identity Center (pagina Application assignments). Tuttavia, le autorizzazioni utente Grafana possono essere definite solo da Amazon Managed Grafana (utilizzando la console o le API di Amazon Managed Grafana), assegnando le autorizzazioni di Viewer, Editor o Admin all'utente o al gruppo. Un utente può appartenere a più gruppi con autorizzazioni diverse, nel qual caso la sua autorizzazione si basa sul livello di accesso più elevato tra tutti i gruppi e le autorizzazioni a cui appartiene l'utente.

I record non corrispondenti possono derivare da:

Un utente o un gruppo viene eliminato da IAM Identity Center, ma non in Amazon Managed Grafana. Questi record vengono visualizzati come utenti sconosciuti nella console Amazon Managed Grafana.
L'associazione di un utente o di un gruppo con Grafana viene eliminata in IAM Identity Center (sotto Application assignments), ma non in Amazon Managed Grafana.
Le autorizzazioni degli utenti venivano precedentemente aggiornate direttamente dall'area di lavoro Grafana. Gli aggiornamenti dall'area di lavoro Grafana non sono supportati in Amazon Managed Grafana.

Per evitare queste discrepanze, usa la console Amazon Managed Grafana o le API Amazon Managed Grafana per gestire le autorizzazioni di utenti e gruppi per il tuo spazio di lavoro.

In precedenza ho aggiornato i livelli di accesso per alcuni membri del mio team dall'area di lavoro di Grafana. Ora vedo che i loro livelli di accesso sono tornati al livello di accesso precedente. Perché vedo questo problema e come posso risolverlo?

Ciò è probabilmente dovuto a una mancata corrispondenza identificata tra l'associazione di utenti e gruppi in IAM Identity Center e i record di autorizzazione Amazon Managed Grafana per il tuo spazio di lavoro. Se i membri del tuo team hanno livelli di accesso diversi, tu o un amministratore di Amazon Managed Grafana potreste aver risolto la mancata corrispondenza dalla console Amazon Managed Grafana, rimuovendo i record non corrispondenti. Puoi riassegnare i livelli di accesso richiesti dalla console o dalle API di Amazon Managed Grafana per ripristinare le autorizzazioni desiderate.

Nota

La gestione degli accessi degli utenti non è supportata dall'area di lavoro Grafana. Usa la console o le API di Amazon Managed Grafana per assegnare autorizzazioni a utenti o gruppi.

Perché noto cambiamenti nei miei livelli di accesso? Ad esempio, in precedenza avevo l'accesso da amministratore, ma ora ho solo le autorizzazioni di modifica.

Un amministratore del tuo spazio di lavoro potrebbe aver modificato le tue autorizzazioni. Ciò può accadere inavvertitamente in caso di mancata corrispondenza tra le associazioni di utenti e gruppi in IAM Identity Center e le autorizzazioni in Amazon Managed Grafana. In questo caso, la risoluzione della mancata corrispondenza potrebbe aver rimosso le tue autorizzazioni di accesso più elevate. Puoi richiedere a un amministratore di riassegnare il livello di accesso richiesto dalla console Amazon Managed Grafana.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Migra i contenuti tra le aree di lavoro

Autorizzazioni per fonti di dati e notifiche