Amazon Managed Grafana ワークスペース AWS IAM Identity Center で を使用する - Amazon Managed Grafana
IAM Identity Center を使用するシナリオに必要なアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana ワークスペース AWS IAM Identity Center で を使用する

Amazon Managed Grafana は と統合 AWS IAM Identity Center して、ワークフォースに ID フェデレーションを提供します。Amazon Managed Grafana と IAM Identity Center を使用すると、ユーザーは既存の会社ディレクトリにリダイレクトされ、既存の認証情報でサインインします。その後、Amazon Managed Grafana ワークスペースにシームレスにサインインします。これにより、パスワードポリシーや 2 要素認証などのセキュリティ設定が適用されます。IAM Identity Center を使用しても、既存の IAM 設定には影響しません。

既存のユーザーディレクトリがない場合、またはフェデレーションを希望しない場合、IAM Identity Center は Amazon Managed Grafana のユーザーとグループの作成に使用できる統合ユーザーディレクトリを提供します。Amazon Managed Grafana では、IAM ユーザーとロールを使用して Amazon Managed Grafana ワークスペース内のアクセス許可を割り当てることはサポートされていません。

IAM Identity Center の詳細については、「 とは AWS IAM Identity Center」を参照してください。IAM Identity Center の開始方法の詳細については、「 の開始方法」を参照してください。

IAM Identity Center を使用するには、アカウントで も AWS Organizations アクティブ化されている必要があります。必要に応じて、IAM Identity Center を使用するように設定された最初のワークスペースを作成するときに、Amazon Managed Grafana で Organizations をアクティブ化できます。

IAM Identity Center を使用するシナリオに必要なアクセス許可

このセクションでは、IAM Identity Center で Amazon Managed Grafana を使用するために必要なポリシーについて説明します。Amazon Managed Grafana の管理に必要なポリシーは、 AWS アカウントが組織の一部であるかどうかによって異なります。

アカウントに Grafana AWS Organizations 管理者を作成する

組織内で Amazon Managed Grafana ワークスペースを作成および管理するためのアクセス許可を付与し、 などの依存関係を許可するには AWS IAM Identity Center、次のポリシーをロールに割り当てます。

  • Amazon Managed AWSGrafanaAccountAdministrator Grafana ワークスペースの管理を許可する IAM ポリシーを割り当てます。

  • AWSSSODirectoryAdministrator は、Amazon Managed Grafana ワークスペースを設定するときに、ロールが IAM Identity Center を使用できるようにします。

  • 組織全体で Amazon Managed Grafana ワークスペースの作成と管理を許可するには、ロールに IAM AWSSSOMasterAccountAdministrator ポリシーを付与します。または、組織のAWSSSOMemberAccountAdministrator単一のメンバーアカウント内でワークスペースを作成および管理することを許可する IAM ポリシーをロールに付与します。

  • Amazon Managed Grafana ワークスペースを AWSMarketplaceManageSubscriptions Grafana エンタープライズにアップグレードすることをロールに許可する場合は、オプションで IAM ポリシー (または同等のアクセス許可) をロールに付与することもできます。

Amazon Managed Grafana ワークスペースの作成時にサービス管理アクセス許可を使用する場合は、ワークスペースを作成するロールに iam:CreateRoleiam:CreatePolicy、および アクセスiam:AttachRolePolicy許可も必要です。これらは、 AWS CloudFormation StackSets を使用して、組織のアカウント内のデータソースを読み取ることができるポリシーをデプロイするために必要です。

重要

ユーザーに、iam:CreateRoleiam:CreatePolicy、および iam:AttachRolePolicy アクセス許可を付与すると、そのユーザーには、 AWS アカウントへの完全な管理アクセス許可が与えられます。たとえば、これらのアクセス許可を持つユーザーは、すべてのリソースに対する完全なアクセス許可を持つポリシーを作成し、そのポリシーを任意のロールにアタッチできます。これらのアクセス許可を付与するユーザーには十分注意してください。

に付与されたアクセス許可を確認するにはAWSGrafanaAccountAdministrator、「」を参照してください。 AWS マネージドポリシー: AWSGrafanaAccountAdministrator

単一のスタンドアロンアカウントで Amazon Managed Grafana ワークスペースとユーザーを作成および管理します。

スタンドアロン AWS アカウントは、組織のメンバーではないアカウントです。の詳細については AWS Organizations、「 とは」を参照してください AWS Organizations。

スタンドアロンアカウントで Amazon Managed Grafana ワークスペースとユーザーを作成および管理するためのアクセス許可を付与するには、次の IAM ポリシーをロールに割り当てます。

  • AWSGrafanaAccountAdministrator

  • AWSSSOMasterAccountAdministrator

  • AWSOrganizationsFullAccess

  • AWSSSODirectoryAdministrator

重要

ロールにAWSOrganizationsFullAccessポリシーを付与すると、そのロールに AWS アカウントへの完全な管理アクセスが付与されます。これらのアクセス許可を付与するユーザーには十分注意してください。

に付与されたアクセス許可を確認するにはAWSGrafanaAccountAdministrator、「」を参照してください。 AWS マネージドポリシー: AWSGrafanaAccountAdministrator