管理用户和群组对亚马逊托管 Grafana 工作空间的访问权限 - Amazon Managed Grafana
向用户或组授予权限权限不匹配错误权限不匹配常见问题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理用户和群组对亚马逊托管 Grafana 工作空间的访问权限

您可以使用在您的身份提供商 (IdP) 中设置的用户访问亚马逊托管 Grafana 工作空间,或者。 AWS IAM Identity Center您必须向这些用户(或他们所属的组)授予工作区的权限。您可以授予他们UserEditor、或Admin权限。

向用户或组授予权限

先决条件

  • 要向用户或用户组授予对 Amazon Managed Grafana 工作空间的访问权限,必须先在身份提供商 (IdP) 中或中配置该用户或群组。 AWS IAM Identity Center有关更多信息,请参阅 对亚马逊托管 Grafana 工作空间中的用户进行身份验证

  • 要管理用户和群组访问权限,您必须以拥有 AWS Identity and Access Management (IAM) 策略 AWSGrafanaWorkspacePermissionManagementV2 或同等权限的用户身份登录。如果您使用 IAM Identity Center 管理用户,则还必须拥有AWSSSOMemberAccountAdministratorAWSSSODirectoryReadOnlyIAM 策略或同等权限。有关更多信息,请参阅 为用户分配和取消分配对亚马逊托管 Grafana 的访问权限

使用亚马逊托管 Grafana 控制台管理用户对 Grafana 工作空间的访问权限

  1. 打开亚马逊托管 Grafana 控制台,网址为 https://console.aws.amazon.com/grafana/。

  2. 在左侧导航窗格中,选择菜单图标。

  3. 选择所有工作区

  4. 选择要管理的工作空间的名称。

  5. 选择 “身份验证” 选项卡。

  6. 如果您在此工作空间中使用 IAM Identity Center,请选择配置用户和用户组,然后执行以下一项或多项操作:

    • 要允许用户访问 Amazon Managed Grafana 工作空间,请选中用户旁边的复选框,然后选择分配用户。

    • 要将用户设为Admin工作区用户,请选择设为管理员

    • 要删除用户的工作区访问权限,请选择取消分配用户

    • 要添加用户组,例如 LDAP 组,请选择分配的用户组选项卡。然后,执行以下操作之一:

      • 要允许群组中的所有成员访问 Amazon Managed Grafana 工作空间,请选中群组旁边的复选框,然后选择分配群组。

      • 要为群组的所有成员提供工作区中的Admin角色,请选择设为管理员

      • 要删除群组中所有成员的工作空间访问权限,请选择取消分配群组

    注意

    如果您使用 IAM Identity Center 管理用户,请仅使用 IAM 身份中心控制台来配置新用户和群组。使用亚马逊托管 Grafana 控制台或 API 授予或移除对您的 Grafana 工作空间的访问权限。

    如果 IAM Identity Center 和 Amazon Managed Grafana 不同步,则可以选择解决任何冲突。有关更多信息配置用户和组时出现权限不匹配错误,请参见下文。

  7. 如果您在此工作区中使用 SAML,请选择 SAML 配置并执行以下一项或多项操作:

    • 对于 “导入方法”,请执行以下任一操作:

      • 选择 URL 并输入 IdP 元数据的网址。

      • 选择上传或复制/粘贴。如果您要上传元数据,请选择选择文件并选择元数据文件。或者,如果您使用的是复制和粘贴,请将元数据复制到导入元数据中

    • 断言属性角色中,输入要从中提取角色信息的 SAML 断言属性的名称。

    • 对于管理员角色值,请输入您的 IdP 的用户角色,他们都应在 Amazon Managed Grafana 工作区中获得该Admin角色,或者选择不向我的工作空间分配管理员。

      注意

      如果你选择,我想选择不为我的工作区分配管理员。 ,您将无法使用 Amazon Managed Grafana 控制台来管理工作空间,包括管理数据源、用户和控制面板权限等任务。您只能使用亚马逊托管 Grafana API 对工作空间进行管理更改。

    • (可选)要输入其他 SAML 设置,请选择其他设置并执行以下一项或多项操作,然后选择保存 SAML 配置。所有这些字段均为可选字段。

      • “断言属性名称” 中,指定 SAML 断言中要用于用户完整 “友好” 名称的 SAML 用户的属性名称。

      • 对于断言属性登录,请在 SAML 断言中指定要用作 SAML 用户的用户登录名的属性的名称。

      • 对于断言属性电子邮件,在 SAML 断言中指定要用于 SAML 用户的用户电子邮件名称的属性的名称。

      • 在 “登录有效期(以分钟为单位)” 中,指定 SAML 用户的登录有效期多长时间后用户必须重新登录。

      • 对于断言属性组织,在 SAML 断言中指定要用作用户组织的 “友好” 名称的属性的名称。

      • 对于 Ass ertion 属性组,在 SAML 断言中指定要用作用户组的 “友好” 名称的属性的名称。

      • 对于允许的组织,您可以将用户访问权限限制为仅限身为 IdP 中某些组织成员的用户。输入允许的一个或多个组织,用逗号分隔。

      • 对于编辑角色值,请输入来自您的 IdP 的用户角色,他们都应在 Amazon Managed Grafana 工作区中获得该Editor角色。输入一个或多个角色,用逗号分隔。

  8. 或者,要添加用户组,例如 LDAP 组,请选择用户组选项卡。然后,执行以下操作之一:

    • 要允许群组中的所有成员访问 Amazon Managed Grafana 工作空间,请选中群组旁边的复选框,然后选择分配群组。

    • 要为群组的所有成员提供工作区中的Admin角色,请选择设为管理员

    • 要删除群组中所有成员的工作空间访问权限,请选择取消分配群组

配置用户和组时出现权限不匹配错误

在 Amazon Managed Grafana 控制台中配置用户和群组时,您可能会遇到不匹配错误。这表明 Amazon Managed Grafana 和 IAM 身份中心不同步。在这种情况下,Amazon Managed Grafana 会显示一条警告并选择解决不匹配问题。如果您选择 “解决”,Amazon Managed Grafana 会显示一个对话框,其中列出了权限不同步的用户。

已从 IAM Identity Center 中移除的用户显示为Unknown user,对话框中带有数字 ID。对于这些用户,修复不匹配问题的唯一方法是选择 “解决”,然后移除他们的权限。

仍在 IAM Identity Center 中,但不再属于具有以前访问权限的群组的用户,其用户名将显示在 R esol ve 列表中。有两种方法可以解决此问题。您可以使用 “解决” 对话框来删除或减少他们的访问权限,也可以按照上一节中的说明向他们授予访问权限。

有关权限不匹配的常见问题

为什么我在 Amazon Managed Grafana 控制台的 “配置用户和群组” 部分看到一条错误提示权限不匹配?

您之所以看到此消息,是因为在 IAM Identity Center 的用户和群组关联以及 Amazon Managed Grafana 中发现工作空间的权限不匹配。您可以从 Amazon Managed Grafana 控制台(在 “配置用户和群组” 选项卡中)或 IAM Identity Center 控制台(应用程序分配页面)向 Grafana 工作空间添加或删除用户但是,Grafana 用户权限只能通过向用户或群组分配查看者、编辑或管理员权限,从亚马逊托管 Grafana(使用亚马逊托管 Grafana 控制台或 API)中定义。一个用户可以属于具有不同权限的多个群组,在这种情况下,他们的权限基于该用户所属的所有群组的最高访问级别和权限。

不匹配的记录可能由以下原因导致:

  • 用户或群组已从 IAM 身份中心删除,但不会在 Amazon Managed Grafana 中删除。这些记录在亚马逊托管 Grafana 控制台中显示为未知用户

  • 用户或群组与 Grafana 的关联会在 IAM 身份中心(在 “应用程序分配” 下)中删除,但不会在亚马逊托管 Grafana 中删除。

  • 用户权限之前是直接从 Grafana 工作区更新的。亚马逊托管 Grafana 不支持从 Grafana 工作区进行更新。

为避免这些不匹配,请使用亚马逊托管 Grafana 控制台或亚马逊托管 Grafana API 来管理您的工作空间的用户和群组权限。

我之前已经在 Grafana 工作区更新了一些团队成员的访问级别。现在我看到他们的访问级别已恢复到以前的访问级别。我为什么会看到这个?我该如何解决这个问题?

这很可能是由于 IAM Identity Center 中的用户和群组关联与 Amazon Managed Grafana 工作空间的权限记录不匹配所致。如果您的团队成员遇到不同的访问级别,则您或您的亚马逊托管 Grafana 管理员可能已通过亚马逊托管 Grafana 控制台解决了不匹配的问题,删除了不匹配的记录。您可以通过 Amazon Managed Grafana 控制台或 API 重新分配所需的访问级别,以恢复所需的权限。

注意

Grafana 工作区不支持用户访问管理。使用亚马逊托管 Grafana 控制台或 API 分配用户或群组权限。

为什么我注意到我的访问级别发生了变化? 例如,我以前拥有管理员权限,但现在只有编辑权限。

您的工作空间管理员可能更改了您的权限。如果您在 IAM Identity Center 中的用户和群组关联与您在 Amazon Managed Grafana 中的权限不匹配,则可能会无意中发生这种情况。在这种情况下,解决不匹配问题可能会移除您的更高访问权限。您可以从亚马逊托管 Grafana 控制台请求管理员重新分配所需的访问级别。