Gerenciando o acesso de usuários e grupos ao Amazon Managed Grafana - Amazon Managed Grafana

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando o acesso de usuários e grupos ao Amazon Managed Grafana

Você acessa o Amazon Managed Grafana com usuários que estão configurados em seu provedor de identidade (IdP) ou. AWS IAM Identity Center Você deve conceder a esses usuários (ou grupos aos quais eles pertencem) permissões para o espaço de trabalho. Você pode conceder User a Editor eles ou Admin permissões.

Conceder permissões a um usuário ou grupo

Pré-requisitos

  • Para conceder a um usuário ou grupo de usuários acesso aos espaços de trabalho Amazon Managed Grafana, o usuário ou grupo deve primeiro ser provisionado em um provedor de identidade (IdP) ou em. AWS IAM Identity Center Para ter mais informações, consulte Autenticação de usuário no Amazon Managed Grafana.

  • Para gerenciar o acesso de usuários e grupos, você deve estar conectado como um usuário que tenha a política AWS Identity and Access Management (IAM) AWSGrafanaWorkspacePermissionManagementV2 ou permissões equivalentes. Se você estiver gerenciando usuários com o IAM Identity Center, você também deve ter as políticas AWSSSOMemberAccountAdministratore o AWSSSODirectoryReadOnlyIAM, ou permissões equivalentes. Para ter mais informações, consulte Atribua e cancele a atribuição de acesso de usuários ao Amazon Managed Grafana.

Para gerenciar o acesso do usuário a um espaço de trabalho do Grafana usando o console Amazon Managed Grafana
  1. Abra o console Amazon Managed Grafana em https://console.aws.amazon.com/grafana/.

  2. No painel de navegação esquerdo, escolha o ícone do menu.

  3. Escolha Todos os espaços de trabalho.

  4. Escolha o nome do espaço de trabalho que você deseja gerenciar.

  5. Escolha a guia Autenticação.

  6. Se você estiver usando o IAM Identity Center nesse espaço de trabalho, escolha Configurar usuários e grupos de usuários e faça um ou mais dos seguintes:

    • Para conceder a um usuário acesso ao espaço de trabalho Amazon Managed Grafana, marque a caixa de seleção ao lado do usuário e escolha Atribuir usuário.

    • Para tornar um usuário um membro Admin do espaço de trabalho, escolha Tornar administrador.

    • Para remover o acesso ao espaço de trabalho de um usuário, escolha Cancelar atribuição de usuário.

    • Para adicionar grupos de usuários, como um grupo LDAP, escolha a guia Grupos de usuários atribuídos. Depois, siga um destes procedimentos:

      • Para dar a todos os membros de um grupo acesso ao espaço de trabalho Amazon Managed Grafana, marque a caixa de seleção ao lado do grupo e escolha Atribuir grupo.

      • Para atribuir a todos os membros de um grupo a Admin função no espaço de trabalho, escolha Tornar administrador.

      • Para remover o acesso ao espaço de trabalho de todos os membros de um grupo, escolha Cancelar atribuição de grupo.

    nota

    Se você estiver usando o IAM Identity Center para gerenciar usuários, use o console do IAM Identity Center somente para provisionar novos usuários e grupos. Use o console ou as APIs do Amazon Managed Grafana para conceder ou remover o acesso aos seus espaços de trabalho do Grafana.

    Se o IAM Identity Center e o Amazon Managed Grafana ficarem fora de sincronia, você terá a opção de resolver quaisquer conflitos. Para obter mais informaçõesErros de incompatibilidade de permissões ao configurar usuários e grupos, consulte abaixo.

  7. Se você estiver usando o SAML nesse espaço de trabalho, escolha a configuração do SAML e faça um ou mais dos seguintes:

    • Para o método de importação, faça o seguinte:

      • Escolha URL e insira a URL dos metadados do IdP.

      • Escolha Carregar ou copiar/colar. Se você estiver fazendo o upload dos metadados, escolha Escolher arquivo e selecione o arquivo de metadados. Ou, se você estiver usando copiar e colar, copie os metadados em Importar os metadados.

    • Em Função do atributo Assertion, insira o nome do atributo de asserção SAML do qual extrair as informações da função.

    • Para valores da função de administrador, insira as funções de usuário do seu IdP, às quais todas devem ser concedidas a Admin função no espaço de trabalho Amazon Managed Grafana, ou selecione Quero optar por não atribuir administradores ao meu espaço de trabalho.

      nota

      Se você escolher, quero optar por não atribuir administradores ao meu espaço de trabalho. , você não poderá usar o console Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do painel. Você pode fazer alterações administrativas no espaço de trabalho somente usando as APIs Amazon Managed Grafana.

    • (Opcional) Para inserir configurações adicionais de SAML, escolha Configurações adicionais, faça uma ou mais das ações a seguir e, em seguida, escolha Salvar configuração de SAML. Todos esses campos são opcionais.

      • Em Nome do atributo Assertion, especifique o nome do atributo na asserção SAML a ser usado para o usuário com nomes “amigáveis” completos para usuários SAML.

      • Para login do atributo Assertion, especifique o nome do atributo na asserção SAML a ser usado para os nomes de login dos usuários do SAML.

      • Para e-mail de atributo de afirmação, especifique o nome do atributo na declaração SAML a ser usado para os nomes de e-mail de usuário para usuários SAML.

      • Para a duração da validade do login (em minutos), especifique por quanto tempo o login de um usuário do SAML é válido antes que o usuário precise entrar novamente.

      • Para Organização do atributo Assertion, especifique o nome do atributo na asserção SAML a ser usado como nome “amigável” para organizações de usuários.

      • Para grupos de atributos de asserção, especifique o nome do atributo na declaração SAML a ser usado como nome “amigável” para grupos de usuários.

      • Para organizações permitidas, você pode limitar o acesso do usuário somente aos usuários que são membros de determinadas organizações no IdP. Insira uma ou mais organizações para permitir, separando-as com vírgulas.

      • Para valores da função Editor, insira as funções de usuário do seu IdP, às quais todas devem ser concedidas a Editor função no espaço de trabalho Amazon Managed Grafana. Insira uma ou mais funções, separadas por vírgulas.

  8. Como alternativa, para adicionar grupos de usuários, como um grupo LDAP, escolha a guia Grupo de usuários. Depois, siga um destes procedimentos:

    • Para dar a todos os membros de um grupo acesso ao espaço de trabalho Amazon Managed Grafana, marque a caixa de seleção ao lado do grupo e escolha Atribuir grupo.

    • Para atribuir a todos os membros de um grupo a Admin função no espaço de trabalho, escolha Tornar administrador.

    • Para remover o acesso ao espaço de trabalho de todos os membros de um grupo, escolha Cancelar atribuição de grupo.

Erros de incompatibilidade de permissões ao configurar usuários e grupos

Você pode encontrar erros de incompatibilidade ao configurar usuários e grupos no console Amazon Managed Grafana. Isso indica que o Amazon Managed Grafana e o IAM Identity Center estão fora de sincronia. Nesse caso, o Amazon Managed Grafana exibe um aviso e uma opção para resolver a incompatibilidade. Se você escolher Resolver, o Amazon Managed Grafana exibirá uma caixa de diálogo com uma lista de usuários que têm permissões que estão fora de sincronia.

Os usuários que foram removidos do IAM Identity Center aparecem comoUnknown user, com um ID numérico na caixa de diálogo. Para esses usuários, a única maneira de corrigir a incompatibilidade é escolher Resolver e remover suas permissões.

Os usuários que ainda estão no IAM Identity Center, mas não pertencem mais a um grupo com os direitos de acesso que tinham anteriormente, aparecem com seu nome de usuário na lista Resolve. Há duas maneiras de corrigir esse problema. Você pode usar a caixa de diálogo Resolver para remover ou reduzir o acesso, ou pode conceder acesso a eles seguindo as instruções na seção anterior.

Perguntas frequentes sobre incompatibilidades de permissões

Por que estou vendo um erro incompatível nas permissões na seção Configurar usuários e grupos do console Amazon Managed Grafana?

Você está vendo essa mensagem porque foi identificada uma incompatibilidade nas associações de usuários e grupos no IAM Identity Center e nas permissões do Amazon Managed Grafana para seu espaço de trabalho. Você pode adicionar ou remover usuários do seu espaço de trabalho do Grafana a partir do console Amazon Managed Grafana (na guia Configurar usuários e grupos) ou do console do IAM Identity Center (página de atribuições de aplicativos). No entanto, as permissões de usuário do Grafana só podem ser definidas a partir do Amazon Managed Grafana (usando o console Amazon Managed Grafana ou as APIs), atribuindo permissões de Visualizador, Editor ou Administrador ao usuário ou grupo. Um usuário pode pertencer a vários grupos com permissões variadas. Nesse caso, sua permissão é baseada no nível de acesso mais alto em todos os grupos e permissões aos quais o usuário pertence.

Registros incompatíveis podem resultar de:

  • Um usuário ou grupo é excluído do IAM Identity Center, mas não no Amazon Managed Grafana. Esses registros são exibidos como usuários desconhecidos no console Amazon Managed Grafana.

  • A associação de um usuário ou grupo com o Grafana é excluída no IAM Identity Center (em Atribuições de aplicativos), mas não no Amazon Managed Grafana.

  • As permissões do usuário foram atualizadas anteriormente diretamente do espaço de trabalho da Grafana. As atualizações do espaço de trabalho do Grafana não são suportadas no Amazon Managed Grafana.

Para evitar essas incompatibilidades, use o console Amazon Managed Grafana ou as APIs Amazon Managed Grafana para gerenciar permissões de usuários e grupos para seu espaço de trabalho.

Eu já atualizei os níveis de acesso de alguns dos membros da minha equipe no espaço de trabalho da Grafana. Agora vejo que seus níveis de acesso foram revertidos para o nível de acesso antigo. Por que estou vendo isso e como faço para resolver isso?

Provavelmente, isso se deve a uma incompatibilidade identificada entre a associação de usuários e grupos no IAM Identity Center e os registros de permissão Amazon Managed Grafana para seu espaço de trabalho. Se os membros da sua equipe estiverem enfrentando níveis de acesso diferentes, você ou um administrador do Amazon Managed Grafana pode ter resolvido a incompatibilidade no console do Amazon Managed Grafana, removendo os registros incompatíveis. Você pode reatribuir os níveis de acesso necessários no console ou nas APIs do Amazon Managed Grafana para restaurar as permissões desejadas.

nota

O gerenciamento de acesso do usuário não é suportado no espaço de trabalho da Grafana. Use o console ou as APIs do Amazon Managed Grafana para atribuir permissões de usuários ou grupos.

Por que estou percebendo mudanças nos meus níveis de acesso? Por exemplo, eu já tinha acesso de administrador, mas agora só tenho permissões de editor.

Um administrador do seu espaço de trabalho pode ter alterado suas permissões. Isso pode acontecer inadvertidamente no caso de uma incompatibilidade entre suas associações de usuários e grupos no IAM Identity Center e suas permissões no Amazon Managed Grafana. Nesse caso, resolver a incompatibilidade pode ter removido suas permissões de acesso mais altas. Você pode solicitar que um administrador reatribua o nível de acesso necessário no console Amazon Managed Grafana.