Amazon Managed Grafana の開始方法 - Amazon Managed Grafana
ユーザー認証必要なアクセス許可最初のワークスペースを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana の開始方法

このチュートリアルは、Amazon Managed Grafana (Amazon Managed Grafana) の使用を開始するのに役立ちます。最初のワークスペースを作成し、そのワークスペースの Grafana コンソールに接続します。

ワークスペースは論理的な Grafana サーバーです。アカウントの各リージョンには、最大 5 つのワークスペースを設定できます。

ユーザー認証

ユーザー認証では、Amazon Managed Grafana は次のオプションをサポートしています。

  • Security Assertion Markup Language 2.0 (SAML 2.0) による認証によりIdPs、ID プロバイダー () に保存されているユーザー認証情報

  • AWS IAM Identity Center

SAML

SAML を使用する場合、ユーザーは ID プロバイダーで既に作成されている必要があります。Amazon Managed Grafana は、SAML 2.0 をサポートする ID プロバイダーをサポートしています。詳細については、「Amazon Managed Grafana ワークスペースでの SAML の使用」を参照してください。

AWS IAM Identity Center

ワークスペースを作成し、 AWS IAM Identity Center 認証に を使用することを選択すると、Amazon Managed Grafana はアカウントで IAM Identity Center をまだ使用していない場合にアクティブ化します。IAM Identity Center の詳細については、「 とは AWS IAM Identity Center」を参照してください。

Amazon Managed Grafana で IAM Identity Center を使用するには、アカウントで も AWS Organizations 有効化されている必要があります。まだアクティブ化していない場合、Amazon Managed Grafana は IAM Identity Center をアクティブ化するときにアクティブ化します。Amazon Managed Grafana が Organizations を有効にすると、組織も自動的に作成されます。Organizations の詳細については、「 とは AWS Organizations」を参照してください。

注記

すでに組織のメンバー AWS になっているアカウントにワークスペースを作成するには、組織の管理アカウントで IAM Identity Center を有効にする必要があります。2019 年 11 月 25 日より前に管理アカウントで IAM Identity Center を有効にした場合は、管理アカウントで IAM Identity Center 統合アプリケーションも有効にする必要があります。詳細については、「IAM Identity Center 統合アプリケーション」を参照してください。

必要なアクセス許可

認証に IdP と SAML を使用するワークスペースを作成するには、 AWSGrafanaAccountAdministratorポリシーがアタッチされている IAM プリンシパルにサインオンする必要があります。

が認証 AWS IAM Identity Center に使用する最初のワークスペースを作成するには、少なくとも以下のポリシーがアタッチされている IAM プリンシパルにサインオンする必要があります。

  • AWSGrafanaAccountAdministrator

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

詳細については、「IAM Identity Center を使用して、Amazon Managed Grafana ワークスペースとユーザーを 1 つのスタンドアロンアカウントで作成して管理する」を参照してください。

最初のワークスペースを作成する

最初のワークスペースを作成するには、次の手順に従います。

Amazon Managed Grafana でワークスペースを作成するには

  1. https://console.aws.amazon.com/grafana/ で Amazon Managed Grafana コンソールを開きます。

  2. [ワークスペースを作成する] を選択します。

  3. Workspace 名 には、ワークスペースの名前を入力します。

    必要に応じて、ワークスペースの説明を入力します。

  4. [次へ] を選択します。

  5. 認証アクセス でAWS IAM Identity Center Security Assertion Markup Language (SAML)、またはその両方を選択します。

    • AWS IAM Identity Center— IAM Identity Center を選択し、アカウントで IAM Identity Center をまだ有効にしていない場合は、最初の IAM Identity Center ユーザーを作成して有効にするように求められます。IAM Identity Center は、Amazon Managed Grafana ワークスペースへのアクセスのユーザー管理を処理します。

      IAM Identity Center を有効にするには、次の手順に従います。

    1. [ユーザーの作成] を選択します。

    2. ユーザーの E メールアドレス、名、姓を入力し、ユーザーの作成を選択します。このチュートリアルでは、Amazon Managed Grafana の試用に使用するアカウントの名前と E メールアドレスを使用します。IAM Identity Center のこのアカウントのパスワードを作成するよう促す E メールメッセージが送信されます。

    重要

    作成したユーザーは、Amazon Managed Grafana ワークスペースに自動的にアクセスすることはできません。後のステップで、ワークスペースの詳細ページでワークスペースへのアクセスをユーザーに許可します。

    • SAMLSAML を選択した場合は、ワークスペースの作成後に SAML 設定を完了します。

  6. [次へ] を選択します。

  7. この最初のワークスペースでは、サービス管理アクセス許可タイプ に選択されていることを確認します。この選択により、Amazon Managed Grafana は、このワークスペースで使用する AWS データソースに必要なアクセス許可を自動的にプロビジョニングできます。

  8. このチュートリアルでは、現在のアカウント を選択します。

  9. (オプション) このワークスペースでクエリを実行するデータソースを選択します。この入門チュートリアルでは、データソースを選択する必要はありません。ただし、このワークスペースをリストされているデータソースのいずれかで使用する場合は、ここで選択します。

    データソースを選択すると、Amazon Managed Grafana は各データソースに対して AWS Identity and Access Management (IAM) ポリシーを作成できるため、Amazon Managed Grafana はデータを読み取るアクセス許可を持つことができます。これにより、これらのサービスが Grafana ワークスペースのデータソースとして完全に設定されるわけではありません。これは Grafana ワークスペースコンソール内で行うことができます。

  10. (オプション) このワークスペースからの Grafana アラートを Amazon Simple Notification Service (Amazon SNS) 通知チャネルに送信する場合は、Amazon SNS を選択します。これにより、Amazon Managed Grafana は、 で始まるTopicName値を持つアカウントの Amazon SNS トピックに発行する IAM ポリシーを作成できますgrafana。これにより、Amazon SNS がワークスペースの通知チャネルとして完全に設定されるわけではありません。これは、ワークスペースの Grafana コンソールで実行できます。

  11. [次へ] を選択します。

  12. ワークスペースの詳細を確認し、「ワークスペースの作成」を選択します。

    ワークスペースの詳細ページが表示されます。

    初期状態では、ステータスCREATING です。

    重要

    ステータスが ACTIVE になるまで待ってから、次のいずれかの操作を行います。

    • SAML を使用している場合は、SAML セットアップを完了します。

    • IAM Identity Center を使用している場合は、IAM Identity Center ユーザーにワークスペースへのアクセス権を割り当てます。

    現在のステータスを表示するには、ブラウザを更新する必要がある場合があります。

  13. IAM Identity Center を使用している場合は、次の操作を行います。

    1. 認証 タブで、新しいユーザーまたはグループの割り当て を選択します。

    2. ワークスペースへのアクセスを許可するユーザーの横にあるチェックボックスを選択し、ユーザーの割り当てを選択します。

    3. ユーザーの横にあるチェックボックスを選択し、「アクション」ドロップダウンリストから「管理アクションの作成」を選択します。

      重要

      Grafana ワークスペースコンソールにサインインしてワークスペースを管理するには、ワークスペースAdminごとに少なくとも 1 人のユーザーを として割り当てます。

  14. SAML を使用している場合は、次の操作を行います。

    1. 「認証」タブの「Security Assertion Markup Language (SAML)」で、「セットアップを完了」を選択します。

    2. インポート方法 では、次のいずれかを実行します。

      • URL を選択し、IdP メタデータの URL を入力します。

      • をアップロードまたはコピー/貼り付けを選択します。メタデータをアップロードする場合は、ファイルの選択を選択し、メタデータファイルを選択します。または、コピーアンドペーストを使用している場合は、メタデータを「メタデータのインポート」にコピーします

    3. アサーション属性ロール には、ロール情報の抽出元となる SAML アサーション属性の名前を入力します。

    4. 管理者ロール値 には、Amazon Managed Grafana ワークスペースでロールをすべて付与する必要がある IdP のユーザーAdminロールを入力するか、ワークスペースへの管理者の割り当てをオプトアウトするかを選択します。

      注記

      ワークスペースへの管理者の割り当てをオプトアウトすることを選択した場合、データソース、ユーザー、ダッシュボードのアクセス許可の管理などのタスクを含め、Grafana ワークスペースコンソールを使用してワークスペースを管理することはできません。ワークスペースの管理変更は、Grafana APIs を使用してのみ行うことができます。

    5. (オプション) 追加の SAML 設定を入力するには、追加設定 を選択し、以下を実行します。このすべてのフィールドはオプションとなります。

      • アサーション属性名 には、SAML ユーザーのユーザー完全な「わかりやすい」名前に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性ログイン で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性 E メール で、SAML ユーザーのユーザー E メール名に使用する SAML アサーション内の属性の名前を指定します。

      • ログインの有効期間 (分単位) には、SAML ユーザーのサインインが有効である期間を指定してから、ユーザーが再度サインインする必要があります。

      • アサーション属性組織 で、ユーザー組織の「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性グループ で、ユーザーグループの「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。

      • 許可された組織 の場合、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する組織をカンマで区切って 1 つ以上入力します。

      • エディタロール値 には、IdP のユーザーロールを入力します。Amazon Managed Grafana ワークスペースでEditorロールをすべて付与する必要があります。1 つ以上のロールをカンマで区切って入力します。

      注記

      管理者ロールまたはエディタロールが特に割り当てられていないユーザーには、ビューワーとして割り当てられます。

    6. SAML 設定の保存を選択します

  15. ワークスペースの詳細ページで、Grafana ワークスペース URL の下に表示される URL を選択します。

  16. ワークスペース URL を選択すると、Grafana ワークスペースコンソールのランディングページが表示されます。次のいずれかを行います。

    • SAML でサインインを選択し、名前とパスワードを入力します。

    • でサインイン AWS IAM Identity Center を選択し、この手順の前半で作成したユーザーの E メールアドレスとパスワードを入力します。これらの認証情報は、IAM Identity Center のパスワードを作成するよう促す Amazon Managed Grafana からの E メールに応答した場合にのみ機能します。

      これで、Grafana ワークスペース、または論理 Grafana サーバーに移動しました。データソースの追加を開始して、データのクエリ、視覚化、分析を行うことができます。詳細については、「Grafana ワークスペースでの作業」を参照してください。