創建一個 Amazon 受管的 Grafana 工作區 - Amazon Managed Grafana
建立工作區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

創建一個 Amazon 受管的 Grafana 工作區

工作區是一個邏輯的 Grafana 伺服器。您的帳戶中每個區域最多可以有五個工作區。

必要的權限

若要建立工作區,您必須登入已附加AWSGrafanaAccountAdministrator政策的 AWS Identity and Access Management (IAM) 主體。

若要建立第一個使用 IAM 身分中心進行授權的工作區,您的 IAM 主體還必須附加下列額外政策 (或同等許可):

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

如需詳細資訊,請參閱 使用 IAM 身分中心,在單一獨立帳戶中建立和管理 Amazon 受管的 Grafana 工作區和使用者

建立工作區

下列步驟會引導您完成建立新的 Amazon 受管 Grafana 工作區的程序。

在 Amazon 託管的 Grafana 中創建一個工作區

  1. 打開 Amazon 託管 Grafana 控制台,網址為 https://console.aws.amazon.com/grafana/。

  2. 選擇建立工作區

  3. 在「工作區詳細資訊」視窗中,對於「工作區名稱」,輸入工作區的名稱。

    或者,輸入工作區的描述。

    選擇性地新增您要與此工作區關聯的標籤。標籤有助於識別和組織工作區,也可用於控制對 AWS 資源的存取。例如,您可以將標籤指派給工作區,而且只有有限的群組或角色可以擁有使用該標籤存取工作區的權限。如需有關以標籤為基礎的存取控制的詳細資訊,請參閱 IAM 使用者指南中的使用標籤控制 AWS 資源存取。

    Workspace details form with name field and optional tags section highlighted.

  4. 選擇工作區的 Grafana 版本。您可以選擇版本 8、9 或 10。若要瞭解版本之間的差異,請參閱Grafana 版本之間的差異

  5. 選擇下一步

  6. 對於驗證存取 AWS IAM Identity Center ,請選取「安全性宣告標記語言 (SAML)」或兩者。如需詳細資訊,請參閱 在 Amazon 受管的 Grafana 工作區中驗證使用者

    • IAM 身分中心 — 如果您選取 IAM 身分中心,但您尚未 AWS IAM Identity Center 在帳戶中啟用,系統會提示您建立第一個 IAM 身分中心使用者來啟用此功能。IAM 身分識別中心負責處理使用者管理,以存取 Amazon 受管的 Grafana 工作區。

      若要啟用 IAM 身分中心,請依照下列步驟執行:

    1. 選擇 Create user (建立使用者)。

    2. 輸入使用者的電子郵件地址、名字和姓氏,然後選擇 [建立使用者]。在本教學課程中,請使用您想要用來試用 Amazon 受管 Grafana 的帳戶的名稱和電子郵件地址。您將收到一封電子郵件訊息,提示您為 IAM 身分中心建立此帳戶的密碼。

    重要

    您建立的使用者無法自動存取您的 Amazon 受管 Grafana 工作區。您可以在稍後的步驟中提供使用者存取工作區詳細資訊頁面中的工作區。

    • SAML — 如果您選取 SAML,則會在建立工作區後完成 SAML 設定。

  7. 選擇「服務管理」或「客戶管理

    如果您選擇受管服務,Amazon Managed Grafana 會自動建立 IAM 角色,並為此帳戶中選擇用於此工作區的 AWS 資料來源佈建所需的許可。

    如果您想要自行管理這些角色和權限,請選擇「客戶管理」。

    如果您要在組織的成員帳戶中建立工作區,若要選擇「服務管理」,成員帳戶必須是組織中的委派管理員帳戶。如需委派管理員帳戶的相關資訊,請參閱註冊委派的系統管理員

  8. (可選)您可以選擇在此頁面上連接到 Amazon 虛擬私有雲 (VPC),也可以稍後連接到 VPC。如需進一步了解,請參閱從 Amazon 受管 Grafana Connect 到 Amazon VPC 中的資料來源或通知渠道

  9. (選擇性) 您可以在此頁面上選擇其他工作區組態選項,包括下列項目:

    • 啟用 Grafana 警報。

      注意

      當您啟用 Grafana 警示時,Grafana (而非 Prometheus) 中定義的警示規則會傳送多個通知至您的聯絡人。如果您使用的是原生 Grafana 警示,建議您保留傳統儀表板警示功能 (不要啟用新的 Grafana 警示功能)。如果您想要檢視 Prometheus 資料來源中定義的警示,建議您啟用 Grafana 警示功能。這將為在 Prometheus 警報管理器中創建的警報發送單個通知。

    • 允許 Grafana 管理員管理此工作區的外掛程式。如果您未啟用外掛程式管理,您的管理員將無法安裝、解除安裝或移除工作區的外掛程式。您可能僅限於可與 Amazon 受管 Grafana 搭配使用的資料來源和視覺化面板的類型。

    您也可以在建立工作區之後進行這些組態變更。若要瞭解有關設定工作區的更多資訊,請參閱設定 Amazon 受管的 Grafana 工作區

  10. (選擇性) 您可以選擇為工作區新增網路存取控制。若要新增網路存取控制,請選擇 [限制存取]。您也可以在建立工作區之後啟用網路存取控制。

    如需有關網路存取控制的更多資訊,請參閱設定對您 Amazon 受管的 Grafana 工作區的網路存取

  11. 選擇下一步

  12. 如果您選擇「服務受管」,請選擇「目前帳戶」,讓 Amazon Managed Grafana 自動建立政策和許可,讓它只能讀取目前帳戶中的 AWS 資料。

    如果您要在管理帳戶中建立工作區,或在組織中建立委派的管理員帳戶,您可以選擇組織讓 Amazon Managed Grafana 自動建立政策和許可,以便讀取您指定組織單位中其他帳戶中的 AWS 資料。如需委派管理員帳戶的相關資訊,請參閱註冊委派的系統管理員

    注意

    在組織的管理帳戶中建立資源 (例如 Amazon Managed Grafana 工作區) 是違反 AWS 安全最佳實務的做法。

    1. 如果您選擇 [組織],且系統提示您啟用 AWS CloudFormation StackSets,請選擇 [啟用信任的存取]。然後,新增您希望 Amazon 受管 Grafana 讀取資料的 AWS Organizations 組織單位 (OU)。然後,Amazon 受管的 Grafana 就可以從您選擇的每個 OU 中的所有帳戶讀取資料。

    2. 如果您選擇 [組織],請選擇 [資料來源和通知通道-選用]。

  13. 選 AWS 取您要在此工作區中查詢的資料來源。選取資料來源可讓 Amazon 受管 Grafana 建立 IAM 角色和許可,讓 Amazon 受管 Grafana 從這些來源讀取資料。您仍然必須在 Grafana 工作區主控台中新增資料來源。

  14. (選擇性) 如果您希望將來自此工作區的 Grafana 警示傳送至亞馬遜簡單通知服務 (Amazon SNS) 通知通道,請選取 Amazon SNS。如此一來,Amazon 受管 Grafana 就能建立 IAM 政策,以便以開頭的TopicName值發佈到帳戶中的 Amazon SNS 主題。grafana這並不會將 Amazon SNS 完全設定為工作區的通知通道。您可以在工作區的 Grafana 控制台中執行此操作。

  15. 選擇下一步

  16. 確認工作區詳細資訊,然後選擇建立工作區

    隨即顯示工作區詳細資訊頁面。

    最初,「狀況」 為「建立」。

    重要

    請等待狀態為「作用中」,然後再執行下列其中一項作業:

    • 如果您使用的是 SAML,請完成 SAML 設定。

    • 如果您使用 IAM 身分中心,請指派 IAM 身分中心使用者對工作區的存取權限。

    您可能需要重新整理瀏覽器才能查看目前的狀態。

  17. 如果您使用的是 IAM 身分中心,請執行以下操作:

    1. 在 [驗證] 索引標籤中,選擇 [指派新使用者或群組]。

    2. 選取您要授與工作區存取權的使用者旁邊的核取方塊,然後選擇指派使用者

    3. 選取使用者旁邊的核取方塊,然後選擇 [設為管理員]。

      重要

      Admin每個工作區指派至少一位使用者,以登入 Grafana 工作區主控台以管理工作區。

  18. 如果您使用的是 SAML,請執行下列動作:

    1. 在 [驗證] 索引標籤的 [安全性宣告標記語言 (SAML)] 下,選擇 [完成設定]。

    2. 對於匯入方法,請執行下列其中一項作業:

      • 選擇 URL,然後輸入 IdP 中繼資料的 URL。

      • 選擇上傳或複製/貼上。如果您要上傳中繼資料,請選擇「選擇檔案」,然後選取中繼資料檔案。或者,如果您使用複製和貼上,請將中繼資料複製到「匯入中繼資料」中

    3. 對於宣告屬性角色,請輸入要從中擷取角色資訊的 SAML 宣告屬性名稱。

    4. 對於管理員角色值,請輸入 IdP 中的使用者角色,這些使用者Admin角色都應該被授與 Amazon Managed Grafana 工作區中的角色,或選取我想選擇退出將管理員指派給我的工作區。

      注意

      如果您選擇我想選擇退出將管理員指派至我的工作區。 ,您將無法使用主控台來管理工作區,包括管理資料來源、使用者和儀表板權限等工作。您只能使用 Amazon 受管的 Grafana API 對工作區進行管理變更。

    5. (選擇性) 若要輸入其他 SAML 設定,請選擇「其他設定」,然後執行下列一或多個動作。所有這些欄位都是選擇性的。

      • 對於宣告屬性名稱,請在 SAML 宣告中指定要用於 SAML 使用者完整「易記」名稱的屬性名稱。

      • 對於宣告屬性登入,請在 SAML 宣告中指定屬性的名稱,以用於 SAML 使用者的使用者登入名稱。

      • 對於宣告屬性電子郵件,請在 SAML 宣告中指定要用於 SAML 使用者的使用者電子郵件名稱的屬性名稱。

      • 對於登入有效期間 (以分鐘為單位),請指定 SAML 使用者登入的有效時間長度,使用者必須重新登入。預設值為 1 天,最長為 30 天。

      • 對於宣告屬性組織,請在 SAML 宣告中指定要用於使用者組織「易記」名稱的屬性名稱。

      • 對於宣告屬性群組,請在 SAML 宣告中指定要用於使用者群組「易記」名稱的屬性名稱。

      • 對於「允許的組織」,您可以將使用者存取限制為只有身為 IdP 中某些組織成員的使用者。輸入要允許的一或多個組織,並以逗號分隔。

      • 對於編輯者角色值,請輸入 IdP 中的使用者角色,這些使用者角色都應該被授與 Amazon 受管 Grafana 工Editor作區中的角色。輸入一或多個角色 (以逗號分隔)。

    6. 選擇「儲存 SAML 組態」。

  19. 在工作區詳細資訊頁面中,選擇顯示在 Grafana 工作區 URL 下方的 URL。

  20. 選擇工作區 URL 會帶您前往 Grafana 工作區主控台的登陸頁面。執行以下任意一項:

    • 選擇「使用 SAML 登入」,然後輸入名稱和密碼。

    • 選擇 [登入方式] AWS IAM Identity Center,然後輸入您先前在此程序中建立之使用者的電子郵件地址和密碼。這些登入資料只有在您已回覆 Amazon Managed Grafana 提示您建立 IAM 身分中心密碼的電子郵件時才有效。

      您現在位於 Grafana 工作區或邏輯 Grafana 伺服器中。您可以開始新增資料來源以查詢、視覺化和分析資料。如需詳細資訊,請參閱 使用您的 Grafana 工作區

有關更多信息

提示

您可以使用自動化 Amazon 受管的 Grafana 工作區的建立。 AWS CloudFormation如需詳細資訊,請參閱使用建立 Amazon 受管的 Grafana 資源 AWS CloudFormation