创建亚马逊托管 Grafana 工作空间 - Amazon Managed Grafana
创建工作空间

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建亚马逊托管 Grafana 工作空间

工作空间是一个逻辑上的 Grafana 服务器。您的账户中的每个区域最多可以有五个工作空间。

必要的权限

要创建工作空间,您必须登录已附加AWSGrafanaAccountAdministrator策略的 AWS Identity and Access Management (IAM) 委托人。

要创建第一个使用 IAM Identity Center 进行授权的工作空间,您的 IAM 委托人还必须附加以下额外策略(或等效权限):

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

有关更多信息,请参阅 使用 IAM 身份中心在单个独立账户中创建和管理 Amazon Managed Grafana 工作空间和用户

创建工作空间

以下步骤将引导您完成创建新的亚马逊托管 Grafana 工作区的过程。

在 Amazon Managed Grafana 中创建工作空间

  1. 打开 Amazon Managed Grafana 控制台,网址为 https://console.aws.amazon.com/grafana/。

  2. 选择创建工作区

  3. 工作区详细信息窗口中,在工作区名称中输入工作区的名称。

    (可选)输入工作空间的描述。

    (可选)添加要与此工作空间关联的标签。标签有助于识别和组织工作空间,也可用于控制对 AWS 资源的访问权限。例如,您可以为工作空间分配标签,只有有限的群组或角色才有权使用该标签访问工作空间。有关基于标签的访问控制的更多信息,请参阅 IAM 用户指南中的使用标签控制对 AWS 资源的访问权限

    Workspace details form with name field and optional tags section highlighted.

  4. 为工作空间选择一个 Grafana 版本。您可以选择版本 8、9 或 10。要了解版本之间的差异,请参阅Grafana 版本之间的区别

  5. 选择下一步

  6. 要进行身份验证访问 AWS IAM Identity Center ,请选择 “安全断言标记语言 (SAML)”,或两者兼而有之。有关更多信息,请参阅 对亚马逊托管 Grafana 工作空间中的用户进行身份验证

    • IAM Identit y Center — 如果您选择 IAM 身份中心但尚未在账户 AWS IAM Identity Center 中启用,则系统会提示您通过创建您的第一个 IAM Identity Center 用户来启用该中心。IAM 身份中心负责管理访问亚马逊托管 Grafana 工作空间的用户。

      要启用 IAM 身份中心,请执行以下步骤:

    1. 选择 创建用户

    2. 输入用户的电子邮件地址、名字和姓氏,然后选择创建用户。在本教程中,请使用您想要试用 Amazon Managed Grafana 的账户的名称和电子邮件地址。您将收到一封电子邮件,提示您为该账户创建 IAM Identity Center 的密码。

    重要

    您创建的用户不会自动访问您的亚马逊托管 Grafana 工作空间。在稍后的步骤中,您将在工作空间详细信息页面中为用户提供工作区的访问权限。

    • SAML — 如果选择 SAML,则在创建工作区后完成 SAML 设置。

  7. 选择 “服务管理” 或 “客户管理”。

    如果您选择服务托管,Amazon Managed Grafana 会自动创建 IAM 角色并为您选择用于 AWS 此工作空间的该账户中的数据源配置所需的权限。

    如果您想自己管理这些角色和权限,请选择客户管理

    如果您要在组织的成员帐户中创建工作空间,则成员帐户必须是组织中的委托管理员帐户才能选择 Servic e managed。有关委派管理员账户的更多信息,请参阅注册委派管理员

  8. (可选)您可以在此页面上选择连接到 Amazon 虚拟私有云 (VPC),也可以稍后连接到 VPC。要了解更多信息,请参阅从亚马逊托管 Grafana 连接到亚马逊 VPC 中的数据源或通知渠道

  9. (可选)您可以在此页面上选择其他工作区配置选项,包括以下选项:

    • 启用 Grafana 警报

      注意

      启用 Grafana 警报后,Grafana(不是 Prometheus)中定义的警报规则会向您的联系人发送多条通知。如果您使用的是原生 Grafana 警报,我们建议您保留传统控制面板警报(不要启用新的 Grafana 警报功能)。如果您想查看 Prometheus 数据源中定义的警报,我们建议您启用 Grafana 警报。这会针对在 Prometheus Alertmanager 中创建的警报发送一条通知。

    • 允许 Grafana 管理员管理此工作空间的插件。如果您不启用插件管理,您的管理员将无法为您的工作区安装、卸载或移除插件。您可能仅限于在 Amazon Managed Grafana 中使用的数据源和可视化面板的类型。

    您也可以在创建工作区后进行这些配置更改。要了解有关配置工作空间的更多信息,请参阅配置亚马逊托管 Grafana 工作空间

  10. (可选)您可以选择为工作区添加网络访问控制。要添加网络访问控制,请选择受限访问。您也可以在创建工作区后启用网络访问控制。

    有关网络访问控制的更多信息,请参阅配置对您的亚马逊托管 Grafana 工作空间的网络访问权限

  11. 选择下一步

  12. 如果您选择服务托管,请选择 “当前账户”,让 Amazon Managed Grafana 自动创建策略和权限,使其只能 AWS 读取当前账户中的数据。

    如果您要在管理账户中创建工作空间或在组织中创建委托管理员账户,则可以选择 “组织”,让 Amazon Managed Grafana 自动创建策略和权限,允许其 AWS 读取您指定的组织单位中其他账户中的数据。有关委派管理员账户的更多信息,请参阅注册委派管理员

    注意

    在组织的管理账户中创建诸如 Amazon Managed Grafana 工作空间之类的资源违背了安全最佳实践。 AWS

    1. 如果您选择了 “组织”,并且系统提示您启用 AWS CloudFormation StackSets,请选择 “启用可信访问”。然后,添加您希望 Amazon Managed Grafana 从中读取数据的 AWS Organizations 组织单位 (OU)。然后,Amazon Managed Grafana 可以从您选择的每个 OU 中的所有账户中读取数据。

    2. 如果您选择组织,请选择数据源和通知渠道-可选

  13. 选择要在此工作空间中查询 AWS 的数据源。选择数据源可以让 Amazon Managed Grafana 创建 IAM 角色和权限,允许亚马逊托管 Grafana 从这些来源读取数据。您仍然必须在 Grafana 工作空间控制台中添加数据源。

  14. (可选)如果您希望将来自此工作空间的 Grafana 警报发送到亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 的通知渠道,请选择亚马逊 SNS。这样,Amazon Managed Grafana 就可以创建一个 IAM 策略,以将值以开头的值发布到您账户TopicName中的亚马逊 SNS 主题。grafana这并不能完全将 Amazon SNS 设置为工作空间的通知渠道。你可以在工作区的 Grafana 控制台中执行此操作。

  15. 选择下一步

  16. 确认工作空间的详细信息,然后选择创建工作空间

    此时将会显示工作区详细信息页面。

    最初,状态创建中。

    重要

    等到状态变为 ACTIV E 后再执行以下任一操作:

    • 如果您使用的是 SAML,请完成 SAML 设置。

    • 如果您使用的是 IAM 身份中心,则为您的 IAM 身份中心用户分配工作区的访问权限。

    您可能需要刷新浏览器才能看到当前状态。

  17. 如果您使用的是 IAM 身份中心,请执行以下操作:

    1. 在 “身份验证” 选项卡中,选择 “分配新用户或组”。

    2. 选中要向其授予工作区访问权限的用户旁边的复选框,然后选择分配用户

    3. 选中用户旁边的复选框,然后选择设为管理员

      重要

      Admin为每个工作区分配至少一个用户,以便登录 Grafana 工作区控制台来管理工作空间。

  18. 如果您使用的是 SAML,请执行以下操作:

    1. 在 “身份验证” 选项卡的 “安全断言标记语言 (SAML)” 下,选择 “完成设置”。

    2. 对于 “导入方法”,请执行以下任一操作:

      • 选择 URL 并输入 IdP 元数据的网址。

      • 选择 “上传” 或 “复制/粘贴”。如果您要上传元数据,请选择选择文件并选择元数据文件。或者,如果您使用的是复制和粘贴,请将元数据复制到 “导入元数据” 中

    3. 断言属性角色中,输入要从中提取角色信息的 SAML 断言属性的名称。

    4. 对于管理员角色值,请输入您的 IdP 的用户角色,他们都应在 Amazon Managed Grafana 工作区中获得该Admin角色,或者选择不向我的工作空间分配管理员。

      注意

      如果你选择,我想选择不为我的工作区分配管理员。 ,您将无法使用控制台管理工作空间,包括管理数据源、用户和仪表板权限等任务。您只能使用亚马逊托管 Grafana API 对工作空间进行管理更改。

    5. (可选)要输入其他 SAML 设置,请选择其他设置并执行以下一项或多项操作。所有这些字段均为可选字段。

      • “断言属性名称” 中,指定 SAML 断言中要用于用户完整 “友好” 名称的 SAML 用户的属性名称。

      • 对于断言属性登录,请在 SAML 断言中指定要用作 SAML 用户的用户登录名的属性的名称。

      • 对于断言属性电子邮件,在 SAML 断言中指定要用于 SAML 用户的用户电子邮件名称的属性的名称。

      • 在 “登录有效期(以分钟为单位)” 中,指定 SAML 用户的登录有效期多长时间后用户必须重新登录。默认值为 1 天,最长为 30 天。

      • 对于断言属性组织,在 SAML 断言中指定要用作用户组织的 “友好” 名称的属性的名称。

      • 对于 Ass ertion 属性组,在 SAML 断言中指定要用作用户组的 “友好” 名称的属性的名称。

      • 对于允许的组织,您可以将用户访问权限限制为仅限身为 IdP 中某些组织成员的用户。输入一个或多个允许的组织,用逗号分隔。

      • 对于编辑角色值,请输入来自您的 IdP 的用户角色,他们都应在 Amazon Managed Grafana 工作区中获得该Editor角色。输入一个或多个角色,用逗号分隔。

    6. 选择 “保存 SAML 配置”。

  19. 在工作空间详情页面中,选择 Grafana 工作空间 URL 下显示的网址。

  20. 选择工作空间 URL 会将您带到 Grafana 工作区控制台的登录页面。请执行以下操作之一:

    • 选择 “使用 SAML 登录”,然后输入用户名和密码。

    • 选择 “登录方式” AWS IAM Identity Center,然后输入您之前在此过程中创建的用户的电子邮件地址和密码。只有在您回复了 Amazon Managed Grafana 发送的提示您为 IAM Identity Center 创建密码的电子邮件后,这些凭证才有效。

      现在,您已进入您的 Grafana 工作空间或逻辑 Grafana 服务器。您可以开始添加数据源以查询、可视化和分析数据。有关更多信息,请参阅 使用你的 Grafana 工作空间

有关

提示

您可以使用自动创建 Amazon 托管 Grafana 工作空间。 AWS CloudFormation有关更多详细信息,请参阅使用创建亚马逊托管 Grafana 资源 AWS CloudFormation