Amazon Managed Grafana ワークスペースを作成する - Amazon Managed Grafana
ワークスペースの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana ワークスペースを作成する

ワークスペースは論理的な Grafana サーバーです。アカウント内の各リージョンには、最大 5 つのワークスペースを設定できます。

必要なアクセス許可

ワークスペースを作成するには、AWSGrafanaAccountAdministratorポリシーがアタッチされている AWS Identity and Access Management (IAM) プリンシパルにサインオンする必要があります。

IAM Identity Center を使用して承認を行う最初のワークスペースを作成するには、IAM プリンシパルに次の追加ポリシー (または同等のアクセス許可) もアタッチされている必要があります。

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

詳細については、「IAM Identity Center を使用して、単一のスタンドアロンアカウントで Amazon Managed Grafana ワークスペースとユーザーを作成および管理します。」を参照してください。

ワークスペースの作成

次の手順では、新しい Amazon Managed Grafana ワークスペースを作成するプロセスについて説明します。

Amazon Managed Grafana でワークスペースを作成するには

  1. https://console.aws.amazon.com/grafana/ で Amazon Managed Grafana コンソールを開きます。

  2. [ワークスペースを作成する] を選択します。

  3. Workspace の詳細ウィンドウで、Workspace 名 にワークスペースの名前を入力します。

    必要に応じて、ワークスペースの説明を入力します。

    必要に応じて、このワークスペースに関連付けるタグを追加します。タグはワークスペースの識別と整理に役立ちます。また、 AWS リソースへのアクセスを制御するためにも使用できます。例えば、ワークスペースにタグを割り当てることができ、タグを使用してワークスペースにアクセスするアクセス許可を持つことができるのは、限定されたグループまたはロールのみです。タグベースのアクセスコントロールの詳細については、IAM ユーザーガイドの「タグを使用した AWS リソースへのアクセスの制御」を参照してください。

  4. ワークスペースの Grafana バージョンを選択します。バージョン 8、9、または 10 を選択できます。バージョンの違いについては、「」を参照してくださいGrafana バージョンの違い

  5. [次へ] をクリックします。

  6. 認証アクセス で、、AWS IAM Identity Center Security Assertion Markup Language (SAML)、またはその両方を選択します。 詳細については、「Amazon Managed Grafana ワークスペースでユーザーを認証する」を参照してください。

    • IAM Identity Center — IAM Identity Center を選択し、アカウント AWS IAM Identity Center で をまだ有効にしていない場合は、最初の IAM Identity Center ユーザーを作成して有効にするように求められます。IAM Identity Center は、Amazon Managed Grafana ワークスペースへのアクセスに関するユーザー管理を処理します。

      IAM Identity Center を有効にするには、次の手順に従います。

    1. [ユーザーの作成] を選択します。

    2. ユーザーの E メールアドレス、名、姓を入力し、ユーザーの作成 を選択します。このチュートリアルでは、Amazon Managed Grafana を試すために使用するアカウントの名前と E メールアドレスを使用します。IAM Identity Center のこのアカウントのパスワードを作成するよう求める E メールメッセージが届きます。

    重要

    作成したユーザーは、Amazon Managed Grafana ワークスペースに自動的にアクセスできません。後のステップで、ワークスペースの詳細ページでワークスペースへのアクセスをユーザーに許可します。

    • SAMLSAML を選択した場合は、ワークスペースの作成後に SAML 設定を完了します。

  7. サービス管理 またはカスタマー管理 を選択します。

    サービスマネージド を選択すると、Amazon Managed Grafana は自動的に IAM ロールを作成し、このワークスペースに使用するこのアカウントの AWS データソースに必要なアクセス許可をプロビジョニングします。

    これらのロールとアクセス許可を自分で管理する場合は、カスタマー管理の を選択します。

    組織のメンバーアカウントにワークスペースを作成する場合、サービス管理 を選択できるようにするには、メンバーアカウントが組織内の委任管理者アカウントである必要があります。委任された管理者アカウントの詳細については、「委任された管理者の登録」を参照してください。

  8. (オプション) このページで Amazon Virtual Private Cloud (VPC) に接続するか、後で VPC に接続するかを選択できます。詳細については、「Amazon Managed Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する」を参照してください。

  9. (オプション) このページでは、以下を含む他のワークスペース設定オプションを選択できます。

    • Grafana アラートを有効にします

      注記

      Grafana アラートを有効にすると、Grafana (Prometheus ではない) で定義されたアラートルールは、複数の通知を連絡先に送信します。ネイティブの Grafana アラートを使用している場合は、従来のダッシュボードアラートを維持することをお勧めします (新しい Grafana アラート機能を有効にしないでください)。Prometheus データソースで定義されたアラートを表示する場合は、Grafana アラートを有効にすることをお勧めします。これにより、Prometheus Alertmanager で作成されたアラートに 1 つの通知が送信されます。

    • Grafana 管理者がこのワークスペースのプラグインを管理できるようにします。プラグイン管理を有効にしない場合、管理者はワークスペースのプラグインをインストール、アンインストール、または削除できなくなります。Amazon Managed Grafana で使用できるデータソースと視覚化パネルのタイプに制限される場合があります。

    ワークスペースの作成後に、これらの設定を変更することもできます。ワークスペースの設定の詳細については、「」を参照してくださいAmazon Managed Grafana ワークスペースを設定する

  10. (オプション) ワークスペースにネットワークアクセスコントロールを追加することもできます。ネットワークアクセスコントロールを追加するには、アクセス制限 を選択します。ワークスペースを作成した後、ネットワークアクセスコントロールを有効にすることもできます。

    ネットワークアクセスコントロールの詳細については、「」を参照してくださいAmazon Managed Grafana ワークスペースへのネットワークアクセスを設定する

  11. [次へ] をクリックします。

  12. サービスマネージド を選択した場合は、現在のアカウントを選択して、現在のアカウントでのみ AWS データを読み取ることができるポリシーとアクセス許可を Amazon Managed Grafana に自動的に作成します。

    管理アカウントまたは組織内の委任された管理者アカウントにワークスペースを作成する場合は、組織を選択して、指定した組織単位内の他のアカウントの AWS データを読み取ることを許可するポリシーとアクセス許可を Amazon Managed Grafana に自動的に作成できます。委任された管理者アカウントの詳細については、「委任された管理者の登録」を参照してください。

    注記

    組織の管理アカウントに Amazon Managed Grafana ワークスペースなどのリソースを作成することは、 AWS セキュリティのベストプラクティスに違反します。

    1. Organization を選択しを有効にするように求められた場合は AWS CloudFormation StackSets、信頼されたアクセスを有効にする を選択します。次に、Amazon Managed Grafana がデータを読み取る組織 AWS Organizations 単位 (OU) を追加します。 OUs Amazon Managed Grafana は、選択した各 OU のすべてのアカウントからデータを読み取ることができます。

    2. Organization を選択した場合データソースと通知チャネル - オプション を選択します。

  13. このワークスペースでクエリを実行する AWS データソースを選択します。データソースを選択すると、Amazon Managed Grafana は、Amazon Managed Grafana がこれらのソースからデータを読み取ることができる IAM ロールとアクセス許可を作成できます。データソースは引き続き Grafana ワークスペースコンソールに追加する必要があります。

  14. (オプション) このワークスペースからの Grafana アラートを Amazon Simple Notification Service (Amazon SNS) 通知チャネルに送信する場合は、Amazon SNSを選択します。これにより、Amazon Managed Grafana は、 で始まるTopicName値を使用して、アカウントの Amazon SNS トピックに発行する IAM ポリシーを作成できますgrafana。これにより、ワークスペースの通知チャネルとして Amazon SNS が完全に設定されるわけではありません。これは、ワークスペースの Grafana コンソールで実行できます。

  15. [次へ] をクリックします。

  16. ワークスペースの詳細を確認し、ワークスペースの作成 を選択します。

    ワークスペースの詳細ページが表示されます。

    初期状態では、ステータスCREATING です。

    重要

    ステータスが ACTIVE になるまで待ってから、次のいずれかを実行します。

    • SAML を使用している場合は、SAML セットアップを完了します。

    • IAM Identity Center を使用している場合は、IAM Identity Center ユーザーにワークスペースへのアクセスを割り当てます。

    現在のステータスを確認するには、ブラウザを更新する必要がある場合があります。

  17. IAM Identity Center を使用している場合は、次の操作を行います。

    1. 認証 タブで、新しいユーザーまたはグループの割り当て を選択します。

    2. ワークスペースへのアクセス権を付与するユーザーの横にあるチェックボックスをオンにし、ユーザーの割り当て を選択します。

    3. ユーザーの横にあるチェックボックスをオンにし、管理者にする を選択します。

      重要

      Grafana ワークスペースコンソールにサインインしてワークスペースを管理するには、ワークスペースAdminごとに少なくとも 1 人のユーザーを として割り当てます。

  18. SAML を使用している場合は、次の操作を行います。

    1. 認証タブの Security Assertion Markup Language (SAML) で、セットアップの完了 を選択します。

    2. インポートメソッド で、次のいずれかを実行します。

      • URL を選択し、IdP メタデータの URL を入力します。

      • をアップロードまたはコピー/貼り付けを選択します。メタデータをアップロードする場合は、ファイルを選択 を選択し、メタデータファイルを選択します。または、コピーアンドペーストを使用している場合は、メタデータ をインポート にコピーします

    3. アサーション属性ロール には、ロール情報を抽出する SAML アサーション属性の名前を入力します。

    4. 管理者ロールの値 には、Amazon Managed Grafana ワークスペースでロールをすべて付与する必要がある IdP のユーザーAdminロールを入力するか、ワークスペースへの管理者の割り当てをオプトアウトするかを選択します。

      注記

      ワークスペースへの管理者の割り当てをオプトアウトすることを選択した場合、データソース、ユーザー、ダッシュボードのアクセス許可の管理などのタスクを含め、コンソールを使用してワークスペースを管理することはできません。ワークスペースの管理上の変更は、Amazon Managed Grafana APIs を使用してのみ行うことができます。

    5. (オプション) 追加の SAML 設定を入力するには、追加設定を選択し、以下を実行します。このすべてのフィールドはオプションとなります。

      • アサーション属性名 には、SAML ユーザーの完全な「わかりやすい」名前に使用する SAML アサーション内の属性名を指定します。

      • アサーション属性ログイン では、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性 E メール では、SAML ユーザーのユーザー E メール名に使用する SAML アサーション内の属性の名前を指定します。

      • ログイン有効期間 (分単位) では、SAML ユーザーのサインインが有効である期間を指定してから、ユーザーが再度サインインする必要があります。デフォルトは 1 日、最大は 30 日です。

      • アサーション属性組織 では、ユーザー組織の「わかりやすい」名前に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性グループ では、ユーザーグループの「わかりやすい」名前に使用する SAML アサーション内の属性の名前を指定します。

      • 許可された組織 の場合、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する組織をカンマで区切って 1 つ以上入力します。

      • エディタのロール値 には、IdP のユーザーロールを入力します。このEditorロールはすべて Amazon Managed Grafana ワークスペースで付与される必要があります。1 つ以上のロールをカンマで区切って入力します。

    6. SAML 設定の保存 を選択します。

  19. ワークスペースの詳細ページで、Grafana ワークスペース URL の下に表示される URL を選択します。

  20. ワークスペース URL を選択すると、Grafana ワークスペースコンソールのランディングページが表示されます。次のいずれかを行います。

    • SAML でサインイン を選択し、名前とパスワードを入力します。

    • でサインインを選択し AWS IAM Identity Center、この手順の前半で作成したユーザーの E メールアドレスとパスワードを入力します。これらの認証情報は、IAM Identity Center のパスワードを作成するよう促す Amazon Managed Grafana からの E メールに応答した場合にのみ機能します。

      これで、Grafana ワークスペースまたは論理 Grafana サーバーにいます。データのクエリ、視覚化、分析にデータソースの追加を開始できます。詳細については、「Grafana ワークスペースを使用する」を参照してください。

の詳細については、「」を参照してください。

ヒント

を使用して、Amazon Managed Grafana ワークスペースの作成を自動化できます AWS CloudFormation。詳細については、「」を参照してくださいを使用した Amazon Managed Grafana リソースの作成 AWS CloudFormation