ワークスペースの作成 - Amazon Managed Grafana

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ワークスペースの作成

ワークスペースは論理的な Grafana サーバーです。アカウントの各リージョンには、最大 5 つのワークスペースを設定できます。

ワークスペースでのユーザー認証

ユーザー認証では、Amazon Managed Grafana は次のオプションをサポートしています。

  • Security Assertion Markup Language 2.0 (SAML 2.0) による認証を使用してIdPs、ID プロバイダー () に保存されているユーザー認証情報

  • AWS IAM Identity Center

SAML

SAML を使用する場合、ユーザーは ID プロバイダーで既に作成されている必要があります。Amazon Managed Grafana は、SAML 2.0 をサポートするすべての ID プロバイダーをサポートしています。詳細については、「Amazon Managed Grafana ワークスペースでの SAML の使用」を参照してください。

AWS IAM Identity Center

ワークスペースを作成し、AWS IAM Identity Center認証に を使用することを選択すると、Amazon Managed Grafana はアカウントで IAM Identity Center をまだ使用していない場合にアクティブ化します。IAM Identity Center の詳細については、「 とはAWS IAM Identity Center」を参照してください。

Amazon Managed Grafana で IAM Identity Center を使用するには、アカウントで もAWS Organizations有効化されている必要があります。まだアクティブ化していない場合、Amazon Managed Grafana は IAM Identity Center をアクティブ化するときにアクティブ化します。Amazon Managed Grafana が Organizations を有効にすると、組織も自動的に作成されます。Organizations の詳細については、「 とはAWS Organizations」を参照してください。

注記

すでにAWS組織のメンバーになっているアカウントにワークスペースを作成するには、組織の管理アカウントで IAM Identity Center を有効にする必要があります。2019 年 11 月 25 日より前に管理アカウントで IAM Identity Center を有効にした場合は、管理アカウントで IAM Identity Center 統合アプリケーションも有効にする必要があります。詳細については、「IAM Identity Center 統合アプリケーション」を参照してください。

必要なアクセス許可

認証に IdP と SAML を使用するワークスペースを作成するには、 AWSGrafanaAccountAdministratorポリシーがアタッチされている AWS Identity and Access Management (IAM) プリンシパルにサインオンする必要があります。

認証に IAM Identity Center を使用する最初のワークスペースを作成するには、少なくとも以下のポリシーがアタッチされている IAM プリンシパルにサインオンする必要があります。

  • AWSGrafanaAccountAdministrator

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

詳細については、「IAM Identity Center を使用して、Amazon Managed Grafana ワークスペースとユーザーを 1 つのスタンドアロンアカウントで作成して管理する」を参照してください。

ワークスペースの作成

ワークスペースを作成するには、次の手順に従います。

Amazon Managed Grafana でワークスペースを作成するには
  1. https://console.aws.amazon.com/grafana/ で Amazon Managed Grafana コンソールを開きます。

  2. [ワークスペースを作成する] を選択します。

  3. Workspace の詳細ウィンドウで、Workspace 名 にワークスペースの名前を入力します。

    必要に応じて、ワークスペースの説明を入力します。

    必要に応じて、このワークスペースに関連付けるタグを追加します。タグはワークスペースの識別と整理に役立ち、 AWSリソースへのアクセスを制御するためにも使用できます。例えば、ワークスペースにタグを割り当てることができ、タグを使用してワークスペースにアクセスするアクセス許可を持つことができるのは限定されたグループまたはロールのみです。タグベースのアクセスコントロールの詳細については、「IAM ユーザーガイド」の「タグを使用したAWSリソースへのアクセスの制御」を参照してください。

  4. ワークスペースの Grafana バージョンを選択します。バージョン 8 またはバージョン 9 のいずれかを選択できます。2 つのバージョンの違いについては、「」を参照してくださいGrafana のバージョンについて

  5. [次へ] をクリックします。

  6. 認証アクセス で、AWS IAM Identity Center Security Assertion Markup Language (SAML)、またはその両方を選択します。

    • IAM Identity Center — IAM Identity Center を選択し、アカウントAWS IAM Identity Centerで をまだ有効にしていない場合は、最初の IAM Identity Center ユーザーを作成して有効にするように求められます。IAM Identity Center は、Amazon Managed Grafana ワークスペースへのアクセスのユーザー管理を処理します。

      IAM Identity Center を有効にするには、次の手順に従います。

    1. [ユーザーを作成] を選択します。

    2. ユーザーの E メールアドレス、名、姓を入力し、ユーザーの作成を選択します。このチュートリアルでは、Amazon Managed Grafana の試用に使用するアカウントの名前と E メールアドレスを使用します。IAM Identity Center のこのアカウントのパスワードを作成するよう促す E メールメッセージが届きます。

    重要

    作成したユーザーは、Amazon Managed Grafana ワークスペースに自動的にアクセスすることはできません。後のステップで、ワークスペースの詳細ページでワークスペースへのアクセスをユーザーに許可します。

    • SAMLSAML を選択した場合は、ワークスペースの作成後に SAML 設定を完了します。

  7. サービス管理型またはカスタマー管理型の を選択します。

    サービスマネージド を選択した場合、Amazon Managed Grafana は自動的に IAM ロールを作成し、このワークスペースで使用するこのアカウントのAWSデータソースに必要なアクセス許可をプロビジョニングします。

    これらのロールとアクセス許可を自分で管理する場合は、カスタマー管理の を選択します。

    組織のメンバーアカウントにワークスペースを作成する場合、サービス管理対象 を選択できるようにするには、組織内の委任管理者アカウントである必要があります。委任管理者アカウントの詳細については、「委任管理者の登録」を参照してください。

  8. (オプション) このページで Amazon Virtual Private Cloud (VPC) に接続するか、後で VPC に接続するかを選択できます。詳細については、「Amazon マネージド Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する」を参照してください。

  9. (オプション) このページでは、次のような他のワークスペース設定オプションを選択できます。

    • Grafana アラートを有効にします。

      注記

      Grafana アラートを有効にすると、Grafana (Prometheus ではない) で定義されたアラートルールが、複数の通知をコンタクトセンターに送信します。ネイティブ Grafana アラートを使用している場合は、従来のダッシュボードアラートを維持することをお勧めします (新しい Grafana アラート機能は有効にしないでください)。Prometheus データソースで定義されたアラートを表示する場合は、Grafana アラートを有効にすることをお勧めします。これにより、Prometheus Alertmanager で作成されたアラートに対して 1 つの通知が送信されます。

    • Grafana 管理者がこのワークスペースのプラグインを管理できるようにします。プラグイン管理を有効にしない場合、管理者はワークスペースのプラグインをインストール、アンインストール、または削除することはできません。Amazon Managed Grafana で使用できるデータソースと視覚化パネルのタイプに制限される場合があります。

    ワークスペースを作成した後に、これらの設定を変更することもできます。ワークスペースの設定の詳細については、「」を参照してくださいワークスペースを設定する

  10. (オプション) ワークスペースにネットワークアクセスコントロールを追加できます。ネットワークアクセスコントロールを追加するには、制限付きアクセス を選択します。ワークスペースを作成したら、ネットワークアクセスコントロールを有効にすることもできます。

    ネットワークアクセスコントロールの詳細については、「」を参照してくださいワークスペースへのネットワークアクセスの管理

  11. [次へ] をクリックします。

  12. サービスマネージド を選択した場合は、現在のアカウントを選択して、Amazon Managed Grafana が現在のアカウント内のAWSデータのみを読み取ることを許可するポリシーとアクセス許可を自動的に作成します。

    管理アカウントまたは組織内の委任された管理者アカウントにワークスペースを作成する場合は、指定した組織単位内の他のアカウントのAWSデータを読み取ることができるポリシーとアクセス許可を Amazon Managed Grafana に自動的に作成するように組織を選択できます。委任管理者アカウントの詳細については、「委任管理者の登録」を参照してください。

    注記

    組織の管理アカウントに Amazon Managed Grafana ワークスペースなどのリソースを作成することは、AWSセキュリティのベストプラクティスに違反します。

    1. 組織 を選択し、 を有効にするように求められた場合はAWS CloudFormation StackSets、「信頼されたアクセスを有効にする」を選択します。次に、Amazon Managed Grafana がデータを読み取る元のAWS Organizations組織単位 (OUs) を追加します。Amazon Managed Grafana は、選択した各 OU のすべてのアカウントからデータを読み取ることができます。

    2. 組織 を選択した場合は、データソースと通知チャネル - オプション を選択します。

  13. このワークスペースでクエリを実行するAWSデータソースを選択します。データソースを選択すると、Amazon Managed Grafana は IAM ロールとアクセス許可を作成して、Amazon Managed Grafana がこれらのソースからデータを読み取ることができます。Grafana ワークスペースコンソールにデータソースを追加する必要があります。

  14. (オプション) このワークスペースからの Grafana アラートを Amazon Simple Notification Service (Amazon SNS) 通知チャネルに送信する場合は、Amazon SNS を選択します。これにより、Amazon Managed Grafana は、 で始まるTopicName値を持つアカウントの Amazon SNS トピックに発行する IAM ポリシーを作成できますgrafana。これにより、Amazon SNS がワークスペースの通知チャネルとして完全に設定されるわけではありません。これは、ワークスペースの Grafana コンソールで実行できます。

  15. [次へ] をクリックします。

  16. ワークスペースの詳細を確認し、「ワークスペースの作成」を選択します。

    ワークスペースの詳細ページが表示されます。

    初期状態では、ステータスCREATING です。

    重要

    ステータスが ACTIVE になるまで待ってから、次のいずれかの操作を行います。

    • SAML を使用している場合は、SAML セットアップを完了します。

    • IAM Identity Center を使用している場合は、IAM Identity Center ユーザーにワークスペースへのアクセス権を割り当てます。

    現在のステータスを表示するには、ブラウザを更新する必要がある場合があります。

  17. IAM Identity Center を使用している場合は、次の操作を行います。

    1. 認証 タブで、新しいユーザーまたはグループの割り当て を選択します。

    2. ワークスペースへのアクセスを許可するユーザーの横にあるチェックボックスを選択し、ユーザーの割り当てを選択します。

    3. ユーザーの横にあるチェックボックスを選択し、「管理者にする」を選択します。

      重要

      Grafana ワークスペースコンソールにサインインしてワークスペースを管理するには、ワークスペースAdminごとに少なくとも 1 人のユーザーを として割り当てます。

  18. SAML を使用している場合は、次の操作を行います。

    1. 「認証」タブの「Security Assertion Markup Language (SAML)」で、「セットアップを完了」を選択します。

    2. インポート方法 では、次のいずれかを実行します。

      • URL を選択し、IdP メタデータの URL を入力します。

      • をアップロードまたはコピー/貼り付けを選択します。メタデータをアップロードする場合は、ファイルの選択を選択し、メタデータファイルを選択します。または、コピーアンドペーストを使用している場合は、メタデータをメタデータのインポートにコピーします

    3. アサーション属性ロール には、ロール情報の抽出元となる SAML アサーション属性の名前を入力します。

    4. 管理者ロール値 には、Amazon Managed Grafana ワークスペースでロールをすべて付与する必要がある IdP のユーザーAdminロールを入力するか、ワークスペースへの管理者の割り当てをオプトアウトするかを選択します。

      注記

      ワークスペースへの管理者の割り当てをオプトアウトすることを選択した場合、データソース、ユーザー、ダッシュボードのアクセス許可の管理などのタスクを含め、 コンソールを使用してワークスペースを管理することはできません。ワークスペースの管理変更は、Amazon Managed Grafana APIs を使用してのみ行うことができます。

    5. (オプション) 追加の SAML 設定を入力するには、追加設定 を選択し、以下を実行します。このすべてのフィールドはオプションとなります。

      • アサーション属性名 で、SAML ユーザーのユーザー完全な「わかりやすい」名前に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性ログイン で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性 E メール で、SAML ユーザーのユーザー E メール名に使用する SAML アサーション内の属性の名前を指定します。

      • ログインの有効期間 (分単位) では、SAML ユーザーのサインインが有効である期間を指定してから、再度サインインする必要があります。デフォルトは 1 日で、最大値は 30 日です。

      • アサーション属性組織 で、ユーザー組織の「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性グループ で、ユーザーグループの「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。

      • 許可された組織 の場合、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する組織をカンマで区切って 1 つ以上入力します。

      • エディタロール値 には、IdP のユーザーロールを入力します。Amazon Managed Grafana ワークスペースでEditorロールをすべて付与する必要があります。1 つ以上のロールをカンマで区切って入力します。

    6. SAML 設定の保存を選択します

  19. ワークスペースの詳細ページで、Grafana ワークスペース URL の下に表示される URL を選択します。

  20. ワークスペース URL を選択すると、Grafana ワークスペースコンソールのランディングページが表示されます。次のいずれかを行います:

    • SAML でサインインを選択し、名前とパスワードを入力します。

    • でサインイン AWS IAM Identity Centerを選択し、この手順の前半で作成したユーザーの E メールアドレスとパスワードを入力します。これらの認証情報は、IAM Identity Center のパスワードを作成するよう促す Amazon Managed Grafana からの E メールに応答した場合にのみ機能します。

      これで、Grafana ワークスペース、または論理 Grafana サーバーに移動しました。データソースの追加を開始して、データのクエリ、視覚化、分析を行うことができます。詳細については、「Grafana ワークスペースでの作業」を参照してください。

ヒント

を使用して、Amazon Managed Grafana ワークスペースの作成を自動化できますAWS CloudFormation。詳細については、「」を参照してくださいを使用した Amazon Managed Grafana リソースの作成 AWS CloudFormation