Amazon Managed Grafana の開始方法 - Amazon Managed Grafana

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana の開始方法

このチュートリアルは、Amazon Managed Grafana (Amazon Managed Grafana) の使用を開始するのに役立ちます。最初のワークスペースを作成し、そのワークスペースの Grafana コンソールに接続します。

ワークスペースは論理的な Grafana サーバーです。アカウント内の各リージョンには、最大 5 つのワークスペースを設定できます。

ユーザー認証

ユーザー認証では、Amazon Managed Grafana は次のオプションをサポートしています。

  • Security Assertion Markup Language 2.0 (SAML 2.0IdPs) による認証により、ID プロバイダー () に保存されているユーザー認証情報

  • AWS IAM Identity Center

SAML

SAML を使用する場合、ユーザーは ID プロバイダーで作成済みである必要があります。Amazon Managed Grafana は、SAML 2.0 をサポートする ID プロバイダーをサポートしています。詳細については、「Amazon Managed Grafana ワークスペースでの SAML の使用」を参照してください。

AWS IAM Identity Center

ワークスペースを作成し、 AWS IAM Identity Center 認証に を使用することを選択すると、Amazon Managed Grafana は、まだ使用していない場合、アカウントで IAM Identity Center をアクティブ化します。IAM Identity Center の詳細については、「 とは AWS IAM Identity Center」を参照してください。

Amazon Managed Grafana で IAM Identity Center を使用するには、アカウントで も AWS Organizations アクティブ化されている必要があります。まだアクティブ化していない場合、Amazon Managed Grafana は IAM Identity Center をアクティブ化するときにアクティブ化します。Amazon Managed Grafana が Organizations を有効にすると、組織も自動的に作成されます。Organizations の詳細については、「 とは AWS Organizations」を参照してください。

注記

既に組織のメンバー AWS であるアカウントにワークスペースを作成するには、組織の管理アカウントで IAM Identity Center を有効にする必要があります。2019 年 11 月 25 日より前に管理アカウントで IAM Identity Center を有効にした場合は、管理アカウントで IAM Identity Center 統合アプリケーションも有効にする必要があります。詳細については、「IAM Identity Center 統合アプリケーション」を参照してください。

必要なアクセス許可

承認に IdP と SAML を使用するワークスペースを作成するには、AWSGrafanaAccountAdministratorポリシーがアタッチされている IAM プリンシパルにサインオンする必要があります。

認証 AWS IAM Identity Center に を使用する最初のワークスペースを作成するには、少なくとも以下のポリシーがアタッチされている IAM プリンシパルにサインオンする必要があります。

  • AWSGrafanaAccountAdministrator

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

詳細については、「IAM Identity Center を使用して、単一のスタンドアロンアカウントで Amazon Managed Grafana ワークスペースとユーザーを作成および管理します。」を参照してください。

最初のワークスペースを作成する

最初のワークスペースを作成するには、次のステップに従います。

Amazon Managed Grafana でワークスペースを作成するには
  1. https://console.aws.amazon.com/grafana/ で Amazon Managed Grafana コンソールを開きます。

  2. [ワークスペースを作成する] を選択します。

  3. Workspace 名 に、ワークスペースの名前を入力します。

    必要に応じて、ワークスペースの説明を入力します。

  4. [次へ] をクリックします。

  5. 認証アクセス で、AWS IAM Identity Center Security Assertion Markup Language (SAML)、またはその両方を選択します。

    • AWS IAM Identity Center— IAM Identity Center を選択し、アカウントで IAM Identity Center をまだ有効にしていない場合は、最初の IAM Identity Center ユーザーを作成して有効にするように求められます。IAM Identity Center は、Amazon Managed Grafana ワークスペースへのアクセスに関するユーザー管理を処理します。

      IAM Identity Center を有効にするには、次の手順に従います。

    1. [ユーザーの作成] を選択します。

    2. ユーザーの E メールアドレス、名、姓を入力し、ユーザーの作成 を選択します。このチュートリアルでは、Amazon Managed Grafana を試すために使用するアカウントの名前と E メールアドレスを使用します。IAM Identity Center のこのアカウントのパスワードを作成するよう求める E メールメッセージが表示されます。

    重要

    作成したユーザーは、Amazon Managed Grafana ワークスペースに自動的にアクセスできません。後のステップで、ワークスペースの詳細ページのワークスペースへのアクセスをユーザーに許可します。

    • SAMLSAML を選択した場合、ワークスペースの作成後に SAML 設定を完了します。

  6. [次へ] をクリックします。

  7. この最初のワークスペースでは、サービスマネージドアクセス許可タイプ に選択されていることを確認します。この選択により、Amazon Managed Grafana は、このワークスペースに使用する AWS データソースに必要なアクセス許可を自動的にプロビジョニングできます。

  8. このチュートリアルでは、現在のアカウント を選択します。

  9. (オプション) このワークスペースでクエリを実行するデータソースを選択します。この入門チュートリアルでは、データソースを選択する必要はありません。ただし、リストされているデータソースのいずれかでこのワークスペースを使用する場合は、ここで選択します。

    データソースを選択すると、Amazon Managed Grafana はデータソースごとに AWS Identity and Access Management (IAM) ポリシーを作成し、Amazon Managed Grafana がデータを読み取るアクセス許可を持つようにします。これにより、これらのサービスが Grafana ワークスペースのデータソースとして完全に設定されるわけではありません。これは、Grafana ワークスペースコンソールで実行できます。

  10. (オプション) このワークスペースからの Grafana アラートを Amazon Simple Notification Service (Amazon SNS) 通知チャネルに送信する場合は、Amazon SNSを選択します。これにより、Amazon Managed Grafana は、 で始まるTopicName値を使用して、アカウントの Amazon SNS トピックに発行する IAM ポリシーを作成できますgrafana。これにより、ワークスペースの通知チャネルとして Amazon SNS が完全に設定されるわけではありません。これは、ワークスペースの Grafana コンソールで実行できます。

  11. [次へ] をクリックします。

  12. ワークスペースの詳細を確認し、ワークスペースの作成 を選択します。

    ワークスペースの詳細ページが表示されます。

    初期状態では、ステータスCREATING です。

    重要

    ステータスが ACTIVE になるまで待ってから、次のいずれかを実行します。

    • SAML を使用している場合は、SAML セットアップを完了します。

    • IAM Identity Center を使用している場合は、IAM Identity Center ユーザーにワークスペースへのアクセスを割り当てます。

    現在のステータスを確認するには、ブラウザを更新する必要がある場合があります。

  13. IAM Identity Center を使用している場合は、次の操作を行います。

    1. 認証 タブで、新しいユーザーまたはグループの割り当て を選択します。

    2. ワークスペースへのアクセス権を付与するユーザーの横にあるチェックボックスをオンにし、ユーザーの割り当て を選択します。

    3. ユーザーの横にあるチェックボックスをオンにし、アクションドロップダウンリストから管理者アクションの作成を選択します。

      重要

      Grafana ワークスペースコンソールにサインインしてワークスペースを管理するには、ワークスペースAdminごとに少なくとも 1 人のユーザーを として割り当てます。

  14. SAML を使用している場合は、次の操作を行います。

    1. 認証 タブの Security Assertion Markup Language (SAML) で、セットアップの完了 を選択します。

    2. インポートメソッド で、次のいずれかを実行します。

      • URL を選択し、IdP メタデータの URL を入力します。

      • をアップロードまたはコピー/貼り付けを選択します。メタデータをアップロードする場合は、ファイルを選択 を選択し、メタデータファイルを選択します。または、コピーアンドペーストを使用している場合は、メタデータ をインポート にコピーします

    3. アサーション属性ロール には、ロール情報を抽出する SAML アサーション属性の名前を入力します。

    4. 管理者ロールの値 には、Amazon Managed Grafana ワークスペースでロールをすべて付与する必要がある IdP のユーザーAdminロールを入力するか、ワークスペースへの管理者の割り当てをオプトアウトするかを選択します。

      注記

      ワークスペースへの管理者の割り当てをオプトアウトすることを選択した場合、データソース、ユーザー、ダッシュボードのアクセス許可の管理などのタスクを含め、Grafana ワークスペースコンソールを使用してワークスペースを管理することはできません。ワークスペースの管理変更は、Grafana APIs を使用してのみ行うことができます。

    5. (オプション) 追加の SAML 設定を入力するには、追加設定を選択し、以下を 1 つ以上実行します。このすべてのフィールドはオプションとなります。

      • アサーション属性名 には、SAML ユーザーの完全な「わかりやすい」名前に使用する SAML アサーション内の属性名を指定します。

      • アサーション属性ログイン では、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性 E メール では、SAML ユーザーのユーザー E メール名に使用する SAML アサーション内の属性の名前を指定します。

      • ログイン有効期間 (分単位) では、SAML ユーザーのサインインが有効である期間を指定してから、ユーザーが再度サインインする必要があります。

      • アサーション属性組織 では、ユーザー組織の「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性グループ では、ユーザーグループの「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。

      • 許可された組織 の場合、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する組織をカンマで区切って 1 つ以上入力します。

      • エディタのロール値 には、IdP のユーザーロールを入力します。このEditorロールはすべて Amazon Managed Grafana ワークスペースで付与されます。1 つ以上のロールをカンマで区切って入力します。

      注記

      管理者ロールまたはエディタロールが特に割り当てられていないユーザーには、ビューワーとして割り当てられます。

    6. SAML 設定の保存 を選択します。

  15. ワークスペースの詳細ページで、Grafana ワークスペース URL の下に表示される URL を選択します。

  16. ワークスペース URL を選択すると、Grafana ワークスペースコンソールのランディングページが表示されます。次のいずれかを行います。

    • SAML でサインイン を選択し、名前とパスワードを入力します。

    • でサインイン を選択し AWS IAM Identity Center、この手順の前半で作成したユーザーの E メールアドレスとパスワードを入力します。これらの認証情報は、IAM Identity Center のパスワードを作成するよう促した Amazon Managed Grafana からの E メールに応答した場合にのみ機能します。

      これで、Grafana ワークスペースまたは論理 Grafana サーバーにいます。データソースの追加を開始して、データのクエリ、視覚化、分析を行うことができます。詳細については、「Grafana ワークスペースでの作業」を参照してください。