ワークスペースの作成

ワークスペースは論理的な Grafana サーバーです。アカウント内の各リージョンには最大 5 つのワークスペースを設定できます。

ワークスペースでのユーザー認証

ユーザー認証では、Amazon マネージド Grafana は以下のオプションをサポートしています。

• ID プロバイダー (IdPs) に保存され、セキュリティアサーションマークアップ言語 2.0 (SAML 2.0) による認証を受けたユーザー認証情報

• AWS IAM Identity Center

SAML

SAML を使用する場合、ユーザーはすでに ID プロバイダーで作成されている必要があります。Amazon マネージド Grafana は、SAML 2.0 をサポートするすべての ID プロバイダーをサポートします。詳細については、「Amazon マネージド Grafana ワークスペースで SAML を使用する」を参照してください。

AWS IAM Identity Center

AWS IAM Identity Centerワークスペースを作成して認証に使用することを選択すると、Amazon Managed Grafana はアカウントの IAM ID センターをまだ使用していない場合はアクティベートします。IAM ID センターの詳細については、「とは」を参照してください。AWS IAM Identity Center

Amazon Managed Grafana で IAM アイデンティティセンターを使用するには、AWS Organizationsアカウントでもアクティベーションされている必要があります。まだアクティベートしていない場合は、Amazon Managed Grafana が IAM アイデンティティセンターをアクティベートしたときにアクティベートします。Amazon Managed Grafana がOrganizations を有効にすると、自動的に組織も作成されます。Organizations の詳細については、「とは」を参照してくださいAWS Organizations。

注記

すでに組織のメンバーになっているアカウントでワークスペースを作成するには、AWS組織の管理アカウントで IAM Identity Center を有効にする必要があります。2019 年 11 月 25 日より前に管理アカウントで IAM Identity Center を有効にした場合は、管理アカウントで IAM Identity Center と統合されているアプリケーションも有効にする必要があります。詳細については、「IAM Identity Center と統合されているアプリケーション」を参照してください。

必要なアクセス許可

承認に IdP と SAML を使用するワークスペースを作成するには、ポリシーがアタッチされている AWS Identity and Access Management (IAM) プリンシパルにサインオンする必要があります。AWSGrafanaAccountAdministrator

認証に IAM Identity Center を使用するワークスペースを初めて作成するには、少なくとも以下のポリシーがアタッチされている IAM プリンシパルにサインオンする必要があります。

• AWSGrafanaAccountAdministrator

• AWSSSOMemberAccountAdministrator

• AWSSSODirectoryAdministrator

詳細については、「IAM アイデンティティセンターを使用して、Amazon Managed Grafana のワークスペースとユーザーを 1 つのスタンドアロンアカウントで作成および管理します。」を参照してください。

ワークスペースの作成

ワークスペースを作成するには、次の手順に従います。

Amazon マネージド Grafana でワークスペースを作成するには

1. https://console.aws.amazon.com/grafana/ にある Amazon Managed Grafana コンソールを開きます。

2. [ワークスペースを作成] を選択します。

3. 「ワークスペースの詳細」ウィンドウの「ワークスペース名」に、ワークスペースの名前を入力します。

   オプションで、ワークスペースの説明を入力します。

   必要に応じて、このワークスペースに関連付けるタグを追加します。タグはワークスペースの識別と整理に役立ち、AWSリソースへのアクセスを制御するためにも使用できます。たとえば、ワークスペースにタグを割り当て、そのタグを使用してワークスペースにアクセスする権限を持つことができるのは限られたグループまたはロールだけです。タグベースのアクセス制御の詳細については、IAM User Guide の「AWSタグによるリソースへのアクセスの制御」を参照してください。

   

4. ワークスペース用の Grafana バージョンを選択してください。バージョン 8 またはバージョン 9 のいずれかを選択できます。2 つのバージョンの違いを理解するには、を参照してくださいGrafana バージョンについて。

5. [次へ] をクリックします。

6. 認証アクセスにはAWS IAM Identity Center、セキュリティアサーションマークアップ言語 (SAML)、または両方を選択します。

   • IAM Identity Center — IAM Identity Center を選択し、AWS IAM Identity Centerアカウントでまだ有効にしていない場合は、最初の IAM ID Center ユーザーを作成して有効にするよう求められます。IAM アイデンティティセンターは、Amazon が管理する Grafana ワークスペースにアクセスするためのユーザー管理を行います。

     IAM ID センターを有効にするには、以下の手順に従います。

   1. [Create user] (ユーザーの作成) を選択します。

   2. ユーザーのメールアドレス、名、姓を入力し、「ユーザーを作成」を選択します。このチュートリアルでは、Amazon Managed Grafana を試す際に使用するアカウントの名前と E メールアドレスを使用します。IAM Identity Center 用のこのアカウントのパスワードを作成するように求めるメールメッセージが届きます。

   重要

   作成したユーザーは、Amazon マネージド Grafana ワークスペースに自動的にアクセスすることはできません。ワークスペースへのアクセス権は、後のステップでワークスペースの詳細ページでユーザーに付与します。

   • SAML — SAML を選択した場合、ワークスペースの作成後に SAML 設定を完了します。

7. [サービス管理] または [顧客管理] を選択します。

   サービスマネージドを選択した場合、Amazon Managed Grafana は IAM ロールを自動的に作成し、AWSこのワークスペースに使用することを選択したこのアカウントのデータソースに必要な権限をプロビジョニングします。

   これらのロールと権限を自分で管理したい場合は、「カスタマーマネージド」を選択してください。

   組織のメンバーアカウントでワークスペースを作成する場合、「サービス管理」を選択できるようにするには、メンバーアカウントが組織の委任された管理者アカウントである必要があります。委任管理者アカウントについて詳しくは、「委任管理者の登録」を参照してください。

8. (オプション) このページで Amazon VPC に接続するか、後で Amazon VPC に接続するかを選択できます。Amazon VPC への接続の詳細については、を参照してくださいAmazon マネージド Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する。

9. (オプション) このページでは、Grafana アラートを有効にするかどうかなど、他のワークスペース設定オプションを選択できます。また、ワークスペースの作成後に設定を変更することもできます。ワークスペースの設定について詳しくは、を参照してください。ワークスペースを設定します。

   注記

   Grafana アラートを有効にすると、Prometheus ではなく Grafana で定義されたアラートルールが、連絡先に複数の通知を送信します。ネイティブの Grafana アラートを使用している場合は、従来のダッシュボードアラートをそのまま使用し、新しい Grafana アラート機能を有効にしないことをお勧めします。Prometheus データソースで定義されているアラートを表示したい場合は、Prometheus Alertmanager で作成されたアラートに対して 1 つの通知のみを送信する Grafana アラートを有効にすることをお勧めします。

10. (オプション) ワークスペースにネットワークアクセス制御を追加することもできます。ネットワークアクセス制御を追加するには、「制限付きアクセス」を選択します。ワークスペースを作成した後で、ネットワークアクセス制御を有効にすることもできます。

    ネットワークアクセス制御の詳細については、を参照してくださいワークスペースへのネットワークアクセスの管理。

11. [次へ] をクリックします。

12. [サービスマネージド] を選択した場合は、[現在のアカウント] を選択すると、Amazon Managed Grafana AWS が現在のアカウントのデータのみを読み取ることを許可するポリシーと権限を自動的に作成します。

    管理アカウントでワークスペースを作成する場合、または組織内の委任管理者アカウントを作成する場合、組織を選択すると、AWS指定した組織単位の他のアカウントのデータを読み取ることを許可するポリシーと権限を Amazon Managed Grafana が自動的に作成するようにできます。委任管理者アカウントの詳細については、「委任管理者の登録」を参照してください。

    注記

    組織の管理アカウントに Amazon Managed Grafana ワークスペースなどのリソースを作成することは、AWSセキュリティのベストプラクティスに反します。

    1. [組織] を選択し、有効化を求めるメッセージが表示されたらAWS CloudFormation StackSets、[信頼できるアクセスを有効にする] を選択します。次に、Amazon Managed Grafana AWS Organizations にデータを読み取らせたい組織単位 (OU) を追加します。これにより、Amazon Managed Grafana は、選択した各 OU のすべてのアカウントからデータを読み取ることができます。

    2. [組織] を選択した場合は、[データソースと通知チャネル (オプション)] を選択します。

13. AWSこのワークスペースでクエリするデータソースを選択します。データソースを選択すると、Amazon Managed Grafana は IAM ロールとアクセス権限を作成して、Amazon Managed Grafana がこれらのソースからデータを読み取れるようにします。ただし、Grafana ワークスペースコンソールにデータソースを追加する必要があります。

14. (オプション) このワークスペースからの Grafana アラートを Amazon Simple Notification Service (Amazon SNS) 通知チャネルに送信する場合は、Amazon SNS を選択します。これにより、Amazon Managed Grafana は、TopicNameで始まる値を使用してアカウントの Amazon SNS トピックに公開する IAM ポリシーを作成できます。grafanaこれでは、Amazon SNS がワークスペースの通知チャネルとして完全に設定されるわけではありません。これはワークスペースの Grafana コンソール内で行うことができます。

15. [次へ] をクリックします。

16. ワークスペースの詳細を確認し、[ワークスペースの作成] を選択します。

    ワークスペースの詳細ページが表示されます。

    最初、「ステータス」は「作成中」 です。

    重要

    ステータスが ACTIVE になるまで待ってから、次のいずれかを実行してください。

    • SAML を使用している場合は SAML セットアップを完了します。

    • IAM ID センターを使用している場合は、IAM ID センターのユーザーにワークスペースへのアクセス権を割り当てます。

    現在のステータスを確認するには、ブラウザを更新する必要がある場合があります。

17. IAM ID センターを使用している場合は、次の操作を行います。

    1. 「認証」タブで、「新規ユーザーまたはグループを割り当て」を選択します。

    2. ワークスペースへのアクセス権を付与したいユーザーの横にあるチェックボックスを選択し、「ユーザーを割り当て」を選択します。

    3. ユーザーの横にあるチェックボックスを選択し、「管理者にする」を選択します。

       重要

       Grafana ワークスペースコンソールにサインインしてワークスペースを管理するには、各ワークスペースに少なくとも 1 人のユーザーを割り当てます。Admin

18. SAML を使用している場合は、次の操作を行います。

    1. 「認証」タブの「セキュリティアサーションマークアップ言語 (SAML)」で、「セットアップ完了」を選択します。

    2. [インポート方法] で、次のいずれかを実行します。

       • [URL] を選択し、IdP メタデータの URL を入力します。

       • [アップロード] または [コピー/ペースト] を選択します。メタデータをアップロードする場合は、[Choose file] を選択し、メタデータファイルを選択します。または、コピーアンドペーストを使用している場合は、メタデータをメタデータのインポートにコピーします。

    3. [アサーション属性ロール] には、ロール情報を抽出する SAML アサーション属性の名前を入力します。

    4. 管理者ロールの値には、Amazon Managed Grafana ワークスペースで全員にロールを付与する必要がある IdP Admin のユーザーロールを入力するか、「自分のワークスペースへの管理者の割り当てをオプトアウトしたい」を選択します。

       注記

       選択した場合、自分のワークスペースへの管理者の割り当てをオプトアウトしたいです。 、データソース、ユーザー、ダッシュボード権限の管理などのタスクを含め、コンソールを使用してワークスペースを管理することはできません。ワークスペースに管理上の変更を加えるには、Amazon マネージド Grafana API を使用する必要があります。

    5. (オプション) 追加の SAML 設定を入力するには、[その他の設定] を選択し、次の 1 つまたは複数の操作を行います。このすべてのフィールドはオプションとなります。

       • [アサーション属性名] には、SAML ユーザーの完全な「わかりやすい」名前に使用する SAML アサーション内の属性の名前を指定します。

       • アサーション属性ログインでは、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。

       • アサーション属性メールには、SAML ユーザーのユーザーメールアドレスに使用する SAML アサーション内の属性の名前を指定します。

       • [ログイン有効期間 (分単位)] には、SAML ユーザーのサインインが有効になってからユーザーが再度サインインする必要がある期間を指定します。デフォルトは 1 日で、最長は 30 日です。

       • アサーション属性組織では、ユーザー組織の「わかりやすい」名前に使用する SAML アサーション内の属性の名前を指定します。

       • アサーション属性グループでは、ユーザーグループの「わかりやすい」名前に使用する SAML アサーション内の属性の名前を指定します。

       • 許可された組織では、ユーザーアクセスをIdP内の特定の組織のメンバーであるユーザーのみに制限できます。許可する組織を 1 つ以上入力し、コンマで区切ります。

       • 編集者ロール値には、Amazon Managed Grafana Editor ワークスペースですべてのユーザーにロールを付与する必要がある IdP のユーザーロールを入力します。1 つ以上のロールをカンマで区切って入力します。

    6. [SAML 設定を保存] を選択します。

19. ワークスペースの詳細ページで、Grafana ワークスペース URL の下に表示される URL を選択します。

20. ワークスペース URL を選択すると、Grafana ワークスペースコンソールのランディングページに移動します。以下のいずれかを実行します。

    • [SAML でサインイン] を選択し、名前とパスワードを入力します。

    • [Sign in with] を選択しAWS IAM Identity Center、この手順で以前に作成したユーザーのメールアドレスとパスワードを入力します。これらの認証情報は、Amazon Managed Grafana から送信された IAM Identity Center のパスワードの作成を求めるメールに返信した場合にのみ有効です。

      これで、Grafana ワークスペース、つまり論理的な Grafana サーバーに移動しました。データソースを追加して、データのクエリ、視覚化、分析を開始できます。詳細については、「Grafana ワークスペースでの作業」を参照してください。

ヒント

Amazon マネージド Grafana ワークスペースの作成は、を使用して自動化できます。AWS CloudFormation詳細については、を参照してください。による Amazon マネージド Grafana リソースの作成AWS CloudFormation