Amazon 관리형 Grafana 워크스페이스에 대한 사용자 및 그룹 액세스를 관리합니다.

자격 증명 공급자 (IdP) 에 설정된 사용자와 함께 Amazon Managed Grafana 워크스페이스에 액세스하거나 AWS IAM Identity Center해당 사용자 (또는 사용자가 속한 그룹) 에게 워크스페이스에 대한 권한을 부여해야 합니다. 사용자에게 UserEditor, 또는 Admin 권한을 부여할 수 있습니다.

사용자 또는 그룹에 권한 부여

사전 조건 

• 사용자 또는 사용자 그룹에 Amazon Managed Grafana 작업 영역에 대한 액세스 권한을 부여하려면 먼저 사용자 또는 그룹을 ID 공급자 (IdP) 또는 내부에서 프로비저닝해야 합니다. AWS IAM Identity Center자세한 정보는 아마존 매니지드 Grafana 워크스페이스에서 사용자 인증을 참조하세요.

• 사용자 및 그룹 액세스를 관리하려면 AWS Identity and Access Management (IAM) 정책 2 또는 이와 동등한 권한을 가진 사용자로 로그인해야 합니다. AWSGrafanaWorkspacePermissionManagementV2 IAM Identity Center로 사용자를 관리하는 경우, AWSSSOMemberAccountAdministrator및 AWSSSODirectoryReadOnlyIAM 정책 또는 이에 상응하는 권한도 있어야 합니다. 자세한 정보는 Amazon Managed Grafana에 대한 사용자 액세스 할당 및 할당 취소을 참조하세요.

Amazon 관리형 Grafana 콘솔을 사용하여 Grafana 작업 공간에 대한 사용자 액세스를 관리하려면

1. https://console.aws.amazon.com/grafana/ 에서 아마존 매니지드 그라파나 콘솔을 엽니다.

2. 왼쪽 탐색 창에서 메뉴 아이콘을 선택합니다.

3. 모든 워크스페이스를 선택합니다.

4. 관리하려는 작업 영역의 이름을 선택합니다.

5. 인증 탭을 선택합니다.

6. 이 작업 영역에서 IAM Identity Center를 사용하는 경우 사용자 및 사용자 그룹 구성을 선택하고 다음 중 하나 이상을 수행하십시오.

   • 사용자에게 Amazon Managed Grafana 작업 영역에 대한 액세스 권한을 부여하려면 사용자 옆의 확인란을 선택하고 사용자 할당을 선택합니다.

   • 사용자를 Admin 워크스페이스의 일원으로 지정하려면 관리자로 지정을 선택합니다.

   • 사용자의 작업 영역 액세스 권한을 제거하려면 사용자 할당 취소를 선택합니다.

   • LDAP 그룹과 같은 사용자 그룹을 추가하려면 할당된 사용자 그룹 탭을 선택합니다. 그런 다음, 다음 중 하나를 수행합니다.

     • 그룹의 모든 구성원에게 Amazon Managed Grafana 작업 영역에 대한 액세스 권한을 부여하려면 그룹 옆의 확인란을 선택하고 그룹 할당을 선택합니다.

     • 그룹의 모든 구성원에게 작업 영역에서의 Admin 역할을 부여하려면 관리자로 지정을 선택합니다.

     • 그룹의 모든 구성원에 대한 작업 영역 액세스 권한을 제거하려면 그룹 할당 취소를 선택합니다.

   참고

   IAM Identity Center를 사용하여 사용자를 관리하는 경우 새 사용자 및 그룹을 프로비저닝할 때만 IAM Identity Center 콘솔을 사용하십시오. Amazon 관리형 Grafana 콘솔 또는 API를 사용하여 Grafana 워크스페이스에 대한 액세스 권한을 부여하거나 제거할 수 있습니다.

   IAM ID 센터와 Amazon Managed Grafana가 동기화되지 않는 경우 충돌을 해결할 수 있는 옵션이 제공됩니다. 자세한 내용은 아래를 참조하십시오사용자 및 그룹을 구성할 때 권한 불일치 오류가 발생합니다..

7. 이 작업 영역에서 SAML을 사용하는 경우 SAML 구성을 선택하고 다음 중 하나 이상을 수행하십시오.

   • 가져오기 방법의 경우 다음 중 하나를 수행하십시오.

     • URL을 선택하고 IdP 메타데이터의 URL을 입력합니다.

     • 업로드 또는 복사/붙여넣기를 선택합니다. 메타데이터를 업로드하는 경우 파일 선택을 선택하고 메타데이터 파일을 선택합니다. 또는 복사 및 붙여넣기를 사용하는 경우 메타데이터를 메타데이터 가져오기에 복사하십시오.

   • 어설션 속성 역할에는 역할 정보를 추출할 SAML 어설션 속성의 이름을 입력합니다.

   • 관리자 역할 값에는 Amazon Managed Grafana 작업 영역에서 모두 역할을 부여받아야 하는 IdP의 사용자 Admin 역할을 입력하거나, 내 작업 공간에 관리자를 할당하지 않겠습니다를 선택합니다.

     참고

     선택하시면 제 작업 공간에 관리자를 배정하는 것을 거부하고 싶습니다. Amazon Managed Grafana 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 작업을 포함한 작업 공간을 관리할 수 없습니다. Amazon 관리형 Grafana API를 사용해야만 워크스페이스를 관리적으로 변경할 수 있습니다.

   • (선택 사항) 추가 SAML 설정을 입력하려면 추가 설정을 선택하고 다음을 하나 이상 수행한 다음 SAML 구성 저장을 선택합니다. 이 모든 필드는 선택 사항입니다.

     • 어설션 속성 이름의 경우 SAML 어설션 내의 속성 이름을 지정하여 사용자가 SAML 사용자를 위한 “친숙한” 전체 이름을 사용할 수 있도록 합니다.

     • 어설션 속성 로그인의 경우 SAML 사용자의 사용자 로그인 이름에 사용할 SAML 어설션 내 속성 이름을 지정합니다.

     • 어설션 속성 이메일의 경우 SAML 사용자의 사용자 이메일 이름에 사용할 SAML 어설션 내 속성 이름을 지정합니다.

     • 로그인 유효 기간 (분) 의 경우 사용자가 다시 로그인해야 하기 전까지 SAML 사용자의 로그인이 유효한 기간을 지정합니다.

     • 어설션 속성 조직의 경우 사용자 조직에 “친숙한” 이름으로 사용할 SAML 어설션 내 속성 이름을 지정합니다.

     • 어설션 속성 그룹의 경우 사용자 그룹의 “친숙한” 이름으로 사용할 SAML 어설션 내 속성 이름을 지정합니다.

     • 허용된 조직의 경우 IdP에 속한 특정 조직의 구성원인 사용자로만 사용자 액세스를 제한할 수 있습니다. 허용할 하나 이상의 조직을 쉼표로 구분하여 입력합니다.

     • 편집자 역할 값에는 Amazon Managed Grafana 작업 영역에서 역할을 모두 부여받아야 하는 IdP의 사용자 Editor 역할을 입력합니다. 하나 이상의 역할을 쉼표로 구분하여 입력합니다.

8. 또는 LDAP 그룹과 같은 사용자 그룹을 추가하려면 사용자 그룹 탭을 선택합니다. 그런 다음, 다음 중 하나를 수행합니다.

   • 그룹의 모든 구성원에게 Amazon Managed Grafana 작업 영역에 대한 액세스 권한을 부여하려면 그룹 옆의 확인란을 선택하고 그룹 할당을 선택합니다.

   • 그룹의 모든 구성원에게 작업 영역에서의 Admin 역할을 부여하려면 관리자로 지정을 선택합니다.

   • 그룹의 모든 구성원에 대한 작업 영역 액세스 권한을 제거하려면 그룹 할당 취소를 선택합니다.

사용자 및 그룹을 구성할 때 권한 불일치 오류가 발생합니다.

Amazon Managed Grafana 콘솔에서 사용자와 그룹을 구성할 때 불일치 오류가 발생할 수 있습니다. 이는 아마존 매니지드 Grafana와 IAM 아이덴티티 센터가 동기화되지 않았음을 나타냅니다. 이 경우 Amazon Managed Grafana는 경고를 표시하고 불일치 해결을 위한 선택 항목을 표시합니다. 해결을 선택하면 Amazon Managed Grafana는 동기화되지 않은 권한을 가진 사용자 목록이 포함된 대화 상자를 표시합니다.

IAM ID 센터에서 제거된 사용자는 대화 상자에 숫자 ID와 함께 로 표시됩니다. Unknown user 이러한 사용자의 경우 불일치를 수정할 수 있는 유일한 방법은 해결을 선택하고 권한을 제거하는 것입니다.

아직 IAM Identity Center에 있지만 이전에 가졌던 액세스 권한을 가진 그룹에 더 이상 속하지 않는 사용자는 해결 목록에 사용자 이름과 함께 표시됩니다. 이 문제를 해결하는 방법은 두 가지가 있습니다. 해결 대화 상자를 사용하여 액세스 권한을 제거 또는 축소하거나 이전 섹션의 지침에 따라 액세스 권한을 부여할 수 있습니다.

권한 불일치에 대한 자주 묻는 질문 (FAQ)

Amazon Managed Grafana 콘솔의 사용자 및 그룹 구성 섹션에서 권한 불일치를 나타내는 오류가 표시되는 이유는 무엇입니까?

이 메시지가 표시되는 이유는 IAM ID 센터의 사용자 및 그룹 연결과 Amazon Managed Grafana에 있는 작업 공간의 권한에서 불일치가 확인되었기 때문입니다. Amazon Managed Grafana 콘솔 (사용자 및 그룹 구성 탭) 또는 IAM ID 센터 콘솔 (애플리케이션 할당 페이지) 에서 Grafana 작업 공간에 사용자를 추가하거나 제거할 수 있습니다. 하지만 Grafana 사용자 권한은 Amazon Managed Grafana 콘솔 또는 API 사용 (Amazon Managed Grafana 콘솔 또는 API 사용) 에서 사용자 또는 그룹에 뷰어, 편집자 또는 관리자 권한을 할당하는 방식으로만 정의할 수 있습니다. 사용자는 다양한 권한을 가진 여러 그룹에 속할 수 있습니다. 이 경우 모든 그룹에서 가장 높은 액세스 수준과 사용자가 속한 권한을 기반으로 권한이 부여됩니다.

일치하지 않는 레코드는 다음과 같은 원인으로 발생할 수 있습니다.

• 사용자 또는 그룹이 IAM ID 센터에서 삭제되지만 Amazon Managed Grafana에서는 삭제되지 않습니다. 이러한 레코드는 Amazon Managed Grafana 콘솔에서 알 수 없는 사용자로 표시됩니다.

• 사용자 또는 그룹과 Grafana의 관계는 IAM ID 센터 (애플리케이션 할당 아래) 에서 삭제되지만 Amazon Managed Grafana에서는 삭제되지 않습니다.

• 사용자 권한은 이전에 Grafana 작업 영역에서 직접 업데이트되었습니다. Grafana 워크스페이스의 업데이트는 아마존 관리형 Grafana에서 지원되지 않습니다.

이러한 불일치를 방지하려면 Amazon Managed Grafana 콘솔 또는 Amazon Managed Grafana API를 사용하여 작업 공간에 대한 사용자 및 그룹 권한을 관리하십시오.

이전에 Grafana 작업 공간에서 일부 팀원의 액세스 수준을 업데이트했습니다. 이제 액세스 수준이 이전 액세스 수준으로 되돌아간 것을 확인할 수 있습니다. 왜 이런 현상이 나타나고 이 문제를 해결하려면 어떻게 해야 하나요?

이는 IAM ID 센터의 사용자 및 그룹 연결과 작업 공간의 Amazon Managed Grafana 권한 레코드 간에 불일치가 확인되었기 때문일 가능성이 큽니다. 팀 구성원의 액세스 수준이 다른 경우, 귀하 또는 Amazon Managed Grafana 관리자가 Amazon Managed Grafana 콘솔에서 불일치를 해결하여 일치하지 않는 레코드를 제거했을 수 있습니다. Amazon Managed Grafana 콘솔 또는 API에서 필요한 액세스 수준을 다시 할당하여 원하는 권한을 복원할 수 있습니다.

참고

Grafana 작업 공간에서는 사용자 액세스 관리가 지원되지 않습니다. Amazon 관리형 Grafana 콘솔 또는 API를 사용하여 사용자 또는 그룹 권한을 할당할 수 있습니다.

액세스 수준의 변화를 감지하는 이유는 무엇입니까? 예를 들어 이전에는 관리자 액세스 권한이 있었는데 지금은 편집자 권한만 있습니다.

작업 영역 관리자가 권한을 변경했을 수 있습니다. 이는 IAM ID 센터의 사용자 및 그룹 연결과 Amazon Managed Grafana에서의 권한 간에 불일치가 발생하는 경우 의도치 않게 발생할 수 있습니다. 이 경우 불일치를 해결하면 상위 액세스 권한이 제거되었을 수 있습니다. Amazon Managed Grafana 콘솔에서 관리자에게 필요한 액세스 수준을 다시 할당하도록 요청할 수 있습니다.