了解如何创建和使用亚马逊托管 Grafana 资源 - Amazon Managed Grafana
用户身份验证必要的权限创建您的第一个工作空间

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解如何创建和使用亚马逊托管 Grafana 资源

本教程可帮助您开始使用亚马逊托管 Grafana。创建您的第一个工作空间,然后连接到该工作区中的 Grafana 控制台。

工作空间是一个逻辑上的 Grafana 服务器。您的账户中的每个区域最多可以有五个工作空间。

注意

如果您没有 AWS 账户,请先学习如何设置 AWS 以使用亚马逊托管 Grafana

主题

用户身份验证

对于工作空间内的用户身份验证,Amazon Managed Grafana 支持以下选项:

  • 用户凭证存储在身份提供商 (IdPs) 中,通过安全断言标记语言 2.0 (SAML 2.0) 进行身份验证

  • AWS IAM Identity Center

SAML

如果您使用 SAML,则您的用户必须已在身份提供商中创建。Amazon Managed Grafana 支持支持 SAML 2.0 的身份提供商。有关更多信息,请参阅 在您的亚马逊托管 Grafana 工作空间中使用 SAML

AWS IAM Identity Center

当您创建工作空间并选择使用身份验证时,如果您尚未使用 AWS IAM Identity Center 它,Amazon Managed Grafana 会在您的账户中激活 IAM 身份中心。有关 IAM 身份中心的更多信息,请参阅什么是 AWS IAM Identity Center

要将 IAM 身份中心与 Amazon Managed Grafana 一起使用,您还必须 AWS Organizations 已在账户中激活。如果您尚未激活它,Amazon Managed Grafana 会在激活 IAM 身份中心时将其激活。如果 Amazon Managed Grafana 启用了组织,它还会为您创建一个组织。有关 Organizations 的更多信息,请参阅什么是 AWS Organizations

注意

要在已经是组织成员的账户中创建工作空间,必须在 AWS 组织的管理账户中启用 IAM Identity Center。如果您在 2019 年 11 月 25 日之前在管理账户中启用了 IAM Identity Center,则还必须在管理账户中启用与 IAM 身份中心集成的应用程序。有关更多信息,请参阅集成 IAM 身份中心的应用程序

必要的权限

要创建使用 IdP 和 SAML 进行授权的工作空间,您必须登录已附加策略的 IAM 委托人。AWSGrafanaAccountAdministrator

要创建第一个 AWS IAM Identity Center 用于授权的工作空间,您必须登录至少附加了以下策略的 IAM 委托人:

  • AWSGrafanaAccountAdministrator

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

有关更多信息,请参阅 使用 IAM 身份中心在单个独立账户中创建和管理 Amazon Managed Grafana 工作空间和用户

创建您的第一个工作空间

使用以下步骤创建您的第一个工作空间。

在 Amazon Managed Grafana 中创建工作空间

  1. 打开 Amazon Managed Grafana 控制台,网址为 https://console.aws.amazon.com/grafana/。

  2. 选择创建工作区

  3. 工作区名称中,输入工作区的名称。

    (可选)输入工作空间的描述。

  4. 选择下一步

  5. 要进行身份验证访问 AWS IAM Identity Center ,请选择 “安全断言标记语言 (SAML)”,或两者兼而有之。

    • AWS IAM Identity Center— 如果您选择 IAM Identity Center,但尚未在账户中启用 IAM 身份中心,则系统会提示您通过创建您的第一个 IAM 身份中心用户来启用该中心。IAM 身份中心负责管理访问亚马逊托管 Grafana 工作空间的用户。

      要启用 IAM 身份中心,请执行以下步骤:

    1. 选择 创建用户

    2. 输入用户的电子邮件地址、名字和姓氏,然后选择创建用户。在本教程中,请使用您想要试用 Amazon Managed Grafana 的账户的名称和电子邮件地址。系统会发送一封电子邮件,提示您为该账户创建 IAM Identity Center 的密码。

    重要

    您创建的用户不会自动访问您的亚马逊托管 Grafana 工作空间。在稍后的步骤中,您将在工作空间详细信息页面中为用户提供工作区的访问权限。

    • SAML — 如果选择 SAML,则在创建工作区后完成 SAML 设置。

  6. 选择下一步

  7. 对于第一个工作区,请确认权限类型选为服务托管。此选择使 Amazon Managed Grafana 能够自动为您选择用于此 AWS 工作空间的数据源配置所需的权限。

  8. 在本教程中,选择 “往来账户”。

  9. (可选)选择要在此工作空间中查询的数据源。在本入门教程中,您无需选择任何数据源。但是,如果您计划将此工作空间用于列出的任何数据源,请在此处选择它们。

    选择数据源使亚马逊托管 Grafana 能够为每个数据源 AWS Identity and Access Management 创建 (IAM) 策略,以便亚马逊托管 Grafana 有权读取其数据。这并不能将这些服务完全设置为 Grafana 工作空间的数据源。你可以在 Grafana 工作区控制台中执行此操作。

  10. (可选)如果您希望将来自此工作空间的 Grafana 警报发送到亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 的通知渠道,请选择亚马逊 SNS。这样,Amazon Managed Grafana 就可以创建一个 IAM 策略,以将值以开头的值发布到您账户TopicName中的亚马逊 SNS 主题。grafana这并不能完全将 Amazon SNS 设置为工作空间的通知渠道。你可以在工作区的 Grafana 控制台中执行此操作。

  11. 选择下一步

  12. 确认工作空间的详细信息,然后选择创建工作空间

    此时将会显示工作区详细信息页面。

    最初,状态创建中。

    重要

    等到状态变为 ACTIV E 后再执行以下任一操作:

    • 如果您使用的是 SAML,请完成 SAML 设置。

    • 如果您使用的是 IAM 身份中心,则为您的 IAM 身份中心用户分配工作区的访问权限。

    您可能需要刷新浏览器才能看到当前状态。

  13. 如果您使用的是 IAM 身份中心,请执行以下操作:

    1. 在 “身份验证” 选项卡中,选择 “分配新用户或组”。

    2. 选中要向其授予工作区访问权限的用户旁边的复选框,然后选择分配用户

    3. 选中用户旁边的复选框,然后从 “操作” 下拉列表中选择 “进行管理员操作”。

      重要

      Admin为每个工作空间分配至少一个用户,以便登录 Grafana 工作区控制台来管理工作空间。

  14. 如果您使用的是 SAML,请执行以下操作:

    1. 在 “身份验证” 选项卡的 “安全断言标记语言 (SAML)” 下,选择 “完成设置”。

    2. 对于 “导入方法”,请执行以下任一操作:

      • 选择 URL 并输入 IdP 元数据的网址。

      • 选择 “上传” 或 “复制/粘贴”。如果您要上传元数据,请选择选择文件并选择元数据文件。或者,如果您使用的是复制和粘贴,请将元数据复制到 “导入元数据” 中

    3. 断言属性角色中,输入要从中提取角色信息的 SAML 断言属性的名称。

    4. 对于管理员角色值,请输入您的 IdP 的用户角色,他们都应在 Amazon Managed Grafana 工作区中获得该Admin角色,或者选择不向我的工作空间分配管理员。

      注意

      如果你选择,我想选择不为我的工作区分配管理员。 ,您将无法使用 Grafana 工作区控制台来管理工作空间,包括管理数据源、用户和仪表板权限等任务。您只能通过使用 Grafana API 对工作空间进行管理更改。

    5. (可选)要输入其他 SAML 设置,请选择其他设置并执行以下一项或多项操作。所有这些字段均为可选字段。

      • “断言属性名称” 中,指定 SAML 断言中要用于用户完整 “友好” 名称的 SAML 用户的属性名称。

      • 对于断言属性登录,请在 SAML 断言中指定要用作 SAML 用户的用户登录名的属性的名称。

      • 对于断言属性电子邮件,在 SAML 断言中指定要用于 SAML 用户的用户电子邮件名称的属性的名称。

      • 在 “登录有效期(以分钟为单位)” 中,指定 SAML 用户的登录有效期多长时间后用户必须重新登录。

      • 对于断言属性组织,在 SAML 断言中指定要用作用户组织的 “友好” 名称的属性的名称。

      • 对于 Ass ertion 属性组,在 SAML 断言中指定要用作用户组的 “友好” 名称的属性的名称。

      • 对于允许的组织,您可以将用户访问权限限制为仅限身为 IdP 中某些组织成员的用户。输入一个或多个允许的组织,用逗号分隔。

      • 对于编辑角色值,请输入来自您的 IdP 的用户角色,他们都应在 Amazon Managed Grafana 工作区中获得该Editor角色。输入一个或多个角色,用逗号分隔。

      注意

      任何未特别分配管理员或编辑角色的用户都被指定为查看者。

    6. 选择 “保存 SAML 配置”。

  15. 在工作空间详情页面中,选择 Grafana 工作空间 URL 下显示的网址。

  16. 选择工作空间 URL 会将您带到 Grafana 工作区控制台的登录页面。请执行以下操作之一:

    • 选择 “使用 SAML 登录”,然后输入用户名和密码。

    • 选择 “登录方式” AWS IAM Identity Center,然后输入您之前在此过程中创建的用户的电子邮件地址和密码。只有在您回复了 Amazon Managed Grafana 发送的提示您为 IAM 身份中心创建密码的电子邮件后,这些证书才有效。

      现在,您已进入您的 Grafana 工作空间或逻辑 Grafana 服务器。您可以开始添加数据源以查询、可视化和分析数据。有关更多信息,请参阅 使用你的 Grafana 工作空间