Como o Amazon Managed Grafana funciona AWS Organizations para acesso à fonte AWS de dados - Amazon Managed Grafana

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Amazon Managed Grafana funciona AWS Organizations para acesso à fonte AWS de dados

ComAWS Organizations, você pode gerenciar centralmente a configuração da fonte de dados e as configurações de permissão para várias AWS contas. Em um espaço Conta da AWS de trabalho do Amazon Managed Grafana, você pode especificar outras unidades organizacionais para disponibilizar suas fontes de AWS dados para visualização na conta principal.

Por exemplo, você pode usar uma conta na organização como uma conta de gerenciamento do Amazon Managed Grafana e dar a essa conta acesso às fontes de dados em outras contas na organização. Na conta de gerenciamento, liste todas as unidades organizacionais que têm fontes de AWS dados que você deseja acessar com a conta de gerenciamento. Isso cria automaticamente as políticas de funções e permissões necessárias para configurar essas fontes de dados, que você pode ver no console do Grafana no espaço de trabalho Amazon Managed Grafana.

Para obter mais informações sobre Organizations, consulte O que é AWS Organizations.

O Amazon Managed Grafana usa AWS CloudFormation StackSets para criar automaticamente as funções AWS Identity and Access Management (IAM) necessárias para que o Amazon Managed Grafana se conecte às fontes de dados em toda a sua organização. AWS Antes que o Amazon Managed Grafana possa gerenciar suas políticas do IAM para acessar fontes de dados em toda a sua organização, você deve ativar AWS CloudFormation StackSets a conta de gerenciamento da sua organização. O Amazon Managed Grafana habilita isso automaticamente na primeira vez em que é necessário.

Cenários de implantação para integração com AWS IAM Identity Center e Organizations

Se você estiver usando o Amazon Managed Grafana com o Amazon Managed Grafana e o AWS IAM Identity Center Organizations, recomendamos que você crie um espaço de trabalho do Amazon Managed Grafana em sua organização usando um dos três cenários a seguir. Para cada cenário, você precisa estar conectado a uma conta com permissões suficientes. Para obter mais informações, consulte Exemplos de políticas para Amazon Managed Grafana.

Conta autônoma

Uma conta autônoma é uma AWS conta que não é membro de uma organização em Organizations. Esse é um cenário provável se você estiver experimentando AWS pela primeira vez.

Nesse cenário, o Amazon Managed Grafana ativa automaticamente e AWS IAM Identity Center Organizations quando você está conectado a uma conta que tem as AWSGrafanaAccountAdministratorpolíticas AWSSSOMemberAccountAdministrator, e. AWSSSODirectoryAdministrator Para obter mais informações, consulte Crie e gerencie espaços de trabalho e usuários do Amazon Managed Grafana em uma única conta autônoma usando o IAM Identity Center.

Conta de membro de uma organização existente na qual o IAM Identity Center já está configurado

Para criar um espaço de trabalho em uma conta de membro, você deve estar conectado a uma conta que tenha as AWSSSODirectoryAdministratorpolíticas AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator, e. Para obter mais informações, consulte Administrador da Grafana em uma conta de membro usando o IAM Identity Center.

Se você criar um espaço de trabalho em uma conta de membro e quiser que esse espaço de trabalho acesse recursos de outras AWS contas em sua organização, você deve usar as permissões gerenciadas pelo cliente no espaço de trabalho. Para obter mais informações, consulte Permissões gerenciadas pelo cliente.

Para usar as permissões gerenciadas pelo serviço para permitir que um espaço de trabalho acesse recursos de outras AWS contas na organização, você precisaria criar o espaço de trabalho na conta de gerenciamento da organização. No entanto, não é uma prática recomendada criar espaços de trabalho Amazon Managed Grafana ou outros recursos na conta de gerenciamento de uma organização. Para obter mais informações sobre as melhores práticas da Organizations, consulte Melhores práticas para a conta de gerenciamento.

nota

Se você AWS IAM Identity Center ativou a conta de gerenciamento antes de 25 de novembro de 2019, também deverá habilitar os aplicativos integrados ao IAM Identity Center na conta de gerenciamento. Opcionalmente, você também pode ativar os aplicativos integrados ao IAM Identity Center nas contas dos membros depois de fazer isso na conta de gerenciamento. Para habilitar esses aplicativos, escolha Habilitar acesso na página Configurações do IAM Identity Center na seção Aplicativos integrados ao IAM Identity Center. Para obter mais informações, consulte Ativação de aplicativos integrados ao IAM Identity Center.

Conta de membro de uma organização existente na qual o IAM Identity Center ainda não está implantado

Nesse cenário, entre primeiro como administrador da organização e habilite o IAM Identity Center na organização. Em seguida, crie o espaço de trabalho Amazon Managed Grafana em uma conta membro na organização.

Se você não for administrador da organização, entre em contato com um administrador da Organizations e solicite que ele habilite o IAM Identity Center. Depois que o IAM Identity Center for ativado, você poderá criar o espaço de trabalho em uma conta de membro.

Se você criar um espaço de trabalho em uma conta de membro e quiser que esse espaço de trabalho acesse recursos de outras AWS contas em sua organização, você deve usar as permissões gerenciadas pelo cliente no espaço de trabalho. Para obter mais informações, consulte Permissões gerenciadas pelo cliente.

Para criar um espaço de trabalho em uma conta de membro, você deve estar conectado a uma conta que tenha as AWSSSODirectoryAdministratorpolíticas AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator, e. Para obter mais informações, consulte Administrador da Grafana em uma conta de membro usando o IAM Identity Center.