本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Managed Grafana 如何与 AWS Organizations 配合使用,实现对 AWS 数据来源的访问
使用 AWS Organizations,您可以集中管理多个 AWS 账户的数据来源配置和权限设置。在具有 Amazon Managed Grafana 工作区的 AWS 账户 中,您可以指定其他组织单位,使其 AWS 数据来源可供主账户查看。
例如,您可以将组织中的一个账户用作 Amazon Managed Grafana 管理账户,并赋予该账户访问组织中其他账户数据来源的权限。在管理账户中,列出所有包含您希望使用管理账户访问的 AWS 数据来源的组织单元。这将自动创建设置这些数据来源所需的角色和权限策略,您可以在 Amazon Managed Grafana 工作区的 Grafana 控制台中看到这些策略。
有关 Organizations 的详细信息,请参阅什么是 AWS Organizations。
Amazon Managed Grafana 使用 AWS CloudFormation StackSets 自动创建 Amazon Managed Grafana 连接到整个 AWS Identity and Access Management 组织的数据来源所需的 AWS(IAM)角色。在 Amazon Managed Grafana 管理您的 IAM 策略以访问整个组织的数据来源之前,您必须在组织的管理账户中启用 AWS CloudFormation StackSets。Amazon Managed Grafana 会在第一次需要时自动启用此功能。
与 AWS IAM Identity Center 和 Organizations 集成的部署场景
如果您将 Amazon Managed Grafana 与 AWS IAM Identity Center 和 Organizations 一起使用,我们建议您根据以下三种场景之一,在组织中创建 Amazon Managed Grafana 工作区。对于每种场景,您都需要登录到具有足够权限的账户。有关更多信息,请参阅 Amazon Managed Grafana 的示例策略。
独立账户
独立账户是不属于 Organizations 中某个组织成员的 AWS 账户。如果您是第一次尝试使用 AWS,这可能是一个常见场景。
在此场景中,当您登录到一个具有 AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator 和 AWSSSODirectoryAdministrator 策略的账户时,Amazon Managed Grafana 会自动启用 AWS IAM Identity Center 和 Organizations。有关更多信息,请参阅 使用身份中心在单个独立账户中创建和管理 Amazon Managed Grafana 工作空间和用户 IAM。
已在其中配置 IAM Identity Center 的现有组织成员账户
要在成员账户中创建工作区,您必须登录到具有 AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator 和 AWSSSODirectoryAdministrator 策略的账户。有关更多信息,请参阅 使用身份中心的成员账户中的 Grafana 管理员 IAM。
如果您在成员账户中创建工作区,并希望该工作区访问组织中其他 AWS 账户的资源,则必须在工作区中使用客户管理的权限。有关更多信息,请参阅 客户管理的权限。
要使用服务管理的权限允许工作区访问组织中其他 AWS 账户的资源,您必须在组织的管理账户中创建工作区。但是,在组织的管理账户中创建 Amazon Managed Grafana 工作区或其他资源并非最佳实践。有关 Organizations 最佳实践的更多信息,请参阅管理账户的最佳实践。
注意
如果您在 2019 年 11 月 25 日之前在管理账户中启用了 AWS IAM Identity Center,您还必须在管理账户中启用集成了 IAM Identity Center 的应用程序。您也可以先在管理账户中启用集成了 IAM Identity Center 的应用程序,再在成员账户中选择启用它们。要启用这些应用程序,请在 IAM Identity Center 设置页面的“集成了 IAM Identity Center 的应用程序”部分,选择启用访问权限。有关更多信息,请参阅启用集成了 IAM Identity Center 的应用程序。
尚未在其中部署 IAM Identity Center 的现有组织成员账户
在此场景中,请先以组织管理员身份登录,并在组织中启用 IAM Identity Center。然后,在组织的成员账户中创建 Amazon Managed Grafana 工作区。
如果您不是组织管理员,则必须联系 Organizations 管理员,要求其启用 IAM Identity Center。启用 IAM Identity Center 后,您就可以在成员账户中创建工作区。
如果您在成员账户中创建工作区,并希望该工作区访问组织中其他 AWS 账户的资源,则必须在工作区中使用客户管理的权限。有关更多信息,请参阅 客户管理的权限。
要在成员账户中创建工作区,您必须登录到具有 AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator 和 AWSSSODirectoryAdministrator 策略的账户。有关更多信息,请参阅 使用身份中心的成员账户中的 Grafana 管理员 IAM。
