了解如何建立和使用 Amazon 受管的 Grafana 資源 - Amazon Managed Grafana
使用者身分驗證必要的許可建立第一個工作區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解如何建立和使用 Amazon 受管的 Grafana 資源

本教程可幫助您開始使用 Amazon 託管 Grafana。建立您的第一個工作區,然後連線至該工作區中的 Grafana 主控台。

工作區是一個邏輯的 Grafana 伺服器。您的帳戶中每個區域最多可以有五個工作區。

注意

如果您沒有 AWS 帳戶,請先學習如何設定使 AWS 用 Amazon 受管 Graf ana。

主題

使用者身分驗證

對於工作區內的使用者身份驗證,Amazon 受管 Grafana 支援下列選項:

  • 儲存在身分識別提供者 (IdPs) 中的使用者認證,並透過安全性宣告標記語言 2.0 (SAML 2.0) 進行驗證

  • AWS IAM Identity Center

SAML

如果您使用 SAML,您的使用者必須已在身分識別提供者中建立。Amazon 受管的 Grafana 支援支援 SAML 2.0 的身分供應商。如需詳細資訊,請參閱 將 SAML 與您的 Amazon 受管 Grafana 工作區搭配使用

AWS IAM Identity Center

當您建立工作區並選擇用 AWS IAM Identity Center 於身份驗證時,如果您尚未使用,Amazon Managed Grafana 會在您的帳戶中啟用 IAM 身分中心。如需 IAM 身分中心的詳細資訊,請參閱什麼是 AWS IAM Identity Center

若要將 IAM 身分中心與 Amazon 受管的 Grafana 搭配使用,您也必須在帳戶中 AWS Organizations 啟用。如果您尚未啟用此功能,Amazon 受管的 Grafana 會在啟用 IAM 身分中心時啟用它。如果 Amazon 受管 Grafana 啟用組 Organizations 功能,它也會為您建立組織。如需有關 Organizations 的詳細資訊,請參閱什麼是組織 AWS Organizations。

注意

若要在已經是組織成員的帳戶中建立工作區,必須在 AWS 組織的管理帳戶中啟用 IAM 身分中心。如果您在 2019 年 11 月 25 日之前在管理帳戶中啟用 IAM 身分中心,則還必須在管理帳戶中啟用 IAM 身分中心整合應用程式。如需詳細資訊,請參閱 IAM 身分中心整合應用程式

必要的許可

若要建立使用 IdP 和 SAML 進行授權的工作區,您必須登入已附加AWSGrafanaAccountAdministrator政策的 IAM 主體。

若要建立第一個用 AWS IAM Identity Center 於授權的工作區,您必須登入至少已附加下列政策的 IAM 主體:

  • AWSGrafanaAccountAdministrator

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

如需詳細資訊,請參閱 使用 IAM 身分中心,在單一獨立帳戶中建立和管理 Amazon 受管的 Grafana 工作區和使用者

建立第一個工作區

使用下列步驟建立您的第一個工作區。

在 Amazon 託管的 Grafana 中創建一個工作區

  1. 打開 Amazon 託管 Grafana 控制台,網址為 https://console.aws.amazon.com/grafana/。

  2. 選擇建立工作區

  3. 在「工作區名稱」 中,輸入工作區的名稱。

    或者,輸入工作區的描述。

  4. 選擇下一步

  5. 對於驗證存取權 AWS IAM Identity Center ,請選取安全性宣告標記語言 (SAML) 或兩者。

    • AWS IAM Identity Center— 如果您選取 IAM 身分中心,但尚未在帳戶中啟用 IAM 身分中心,系統會提示您透過建立第一個 IAM 身分中心使用者來啟用它。IAM 身分識別中心負責處理使用者管理,以存取 Amazon 受管的 Grafana 工作區。

      若要啟用 IAM 身分中心,請依照下列步驟執行:

    1. 選擇 Create user (建立使用者)。

    2. 輸入使用者的電子郵件地址、名字和姓氏,然後選擇 [建立使用者]。在本教學課程中,請使用您想要用來試用 Amazon 受管 Grafana 的帳戶的名稱和電子郵件地址。系統會傳送電子郵件訊息,提示您為 IAM 身分中心建立此帳戶的密碼。

    重要

    您建立的使用者無法自動存取您的 Amazon 受管 Grafana 工作區。您可以在稍後的步驟中提供使用者存取工作區詳細資訊頁面中的工作區。

    • SAML — 如果您選取 SAML,則會在建立工作區後完成 SAML 設定。

  6. 選擇下一步

  7. 對於此第一個工作區,請確認已針對「權限」類型選取「服務管理」。此選項可讓 Amazon Managed Grafana 自動為您選擇用於此工作區的 AWS 資料來源佈建所需的許可。

  8. 在本教學課程中,選擇 [目前帳戶]。

  9. (選擇性) 選取您要在此工作區中查詢的資料來源。對於此入門教學課程,您不需要選取任何資料來源。但是,如果您打算將此工作區與任何列出的資料來源搭配使用,請在此處選取它們。

    選取資料來源可讓 Amazon 受管 Grafana 為每個資料來源建立 AWS Identity and Access Management (IAM) 政策,以便 Amazon 受管 Grafana 有權讀取其資料。這並不會將這些服務完全設定為 Grafana 工作區的資料來源。您可以在 Grafana 工作區主控台中執行此操作。

  10. (選擇性) 如果您希望將來自此工作區的 Grafana 警示傳送至亞馬遜簡單通知服務 (Amazon SNS) 通知通道,請選取 Amazon SNS。如此一來,Amazon 受管 Grafana 就能建立 IAM 政策,以便以開頭的TopicName值發佈到帳戶中的 Amazon SNS 主題。grafana這並不會將 Amazon SNS 完全設定為工作區的通知通道。您可以在工作區的 Grafana 控制台中執行此操作。

  11. 選擇下一步

  12. 確認工作區詳細資訊,然後選擇建立工作區

    隨即顯示工作區詳細資訊頁面。

    最初,「狀況」 為「建立」。

    重要

    請等待狀態為「作用中」,然後再執行下列任一項作業:

    • 如果您使用的是 SAML,請完成 SAML 設定。

    • 如果您使用 IAM 身分中心,請指派 IAM 身分中心使用者對工作區的存取權限。

    您可能需要重新整理瀏覽器才能查看目前的狀態。

  13. 如果您使用的是 IAM 身分中心,請執行以下操作:

    1. 在 [驗證] 索引標籤中,選擇 [指派新使用者或群組]。

    2. 選取您要授與工作區存取權的使用者旁邊的核取方塊,然後選擇指派使用者

    3. 選取使用者旁邊的核取方塊,然後從「動作」下拉式清單中選擇「執行管理員動作」。

      重要

      Admin每個工作區指派至少一位使用者,以登入 Grafana 工作區主控台以管理工作區。

  14. 如果您使用的是 SAML,請執行下列動作:

    1. 在 [驗證] 索引標籤的 [安全性宣告標記語言 (SAML)] 下,選擇 [完成設定]。

    2. 對於匯入方法,請執行下列其中一項作業:

      • 選擇 URL,然後輸入 IdP 中繼資料的 URL。

      • 選擇上傳或複製/貼上。如果您要上傳中繼資料,請選擇「選擇檔案」,然後選取中繼資料檔案。或者,如果您使用複製和貼上,請將中繼資料複製到「匯入中繼資料」中

    3. 對於宣告屬性角色,請輸入要從中擷取角色資訊的 SAML 宣告屬性名稱。

    4. 對於管理員角色值,請輸入 IdP 中的使用者角色,這些使用者Admin角色都應該被授與 Amazon Managed Grafana 工作區中的角色,或選取我想選擇退出將管理員指派給我的工作區。

      注意

      如果您選擇我想選擇退出將管理員指派至我的工作區。 時,您將無法使用 Grafana 工作區主控台來管理工作區,包括管理資料來源、使用者和儀表板權限等工作。您只能使用 Grafana API 對工作區進行管理變更。

    5. (選擇性) 若要輸入其他 SAML 設定,請選擇「其他設定」,然後執行下列一或多個動作。所有這些欄位都是選擇性的。

      • 對於宣告屬性名稱,請在 SAML 宣告中指定要用於 SAML 使用者完整「易記」名稱的屬性名稱。

      • 對於宣告屬性登入,請在 SAML 宣告中指定屬性的名稱,以用於 SAML 使用者的使用者登入名稱。

      • 對於宣告屬性電子郵件,請在 SAML 宣告中指定要用於 SAML 使用者的使用者電子郵件名稱的屬性名稱。

      • 對於登入有效期間 (以分鐘為單位),請指定 SAML 使用者登入的有效時間長度,使用者必須重新登入。

      • 對於宣告屬性組織,請在 SAML 宣告中指定要用於使用者組織「易記」名稱的屬性名稱。

      • 對於宣告屬性群組,請在 SAML 宣告中指定要用於使用者群組「易記」名稱的屬性名稱。

      • 對於「允許的組織」,您可以將使用者存取限制為只有身為 IdP 中某些組織成員的使用者。輸入要允許的一或多個組織,並以逗號分隔。

      • 對於編輯者角色值,請輸入 IdP 中的使用者角色,這些使用者角色都應該被授與 Amazon 受管 Grafana 工Editor作區中的角色。輸入一或多個角色 (以逗號分隔)。

      注意

      未特別指派「管理員」或「編輯者」角色的任何使用者都會指派為「檢視者」。

    6. 選擇「儲存 SAML 組態」。

  15. 在工作區詳細資訊頁面中,選擇顯示在 Grafana 工作區 URL 下方的 URL。

  16. 選擇工作區 URL 會帶您前往 Grafana 工作區主控台的登陸頁面。執行以下任意一項:

    • 選擇「使用 SAML 登入」,然後輸入名稱和密碼。

    • 選擇 [登入方式] AWS IAM Identity Center,然後輸入您先前在此程序中建立之使用者的電子郵件地址和密碼。這些登入資料只有在您已回覆 Amazon Managed Grafana 提示您建立 IAM 身分中心密碼的電子郵件時才有效。

      您現在位於 Grafana 工作區或邏輯 Grafana 伺服器中。您可以開始新增資料來源以查詢、視覺化和分析資料。如需更多詳細資訊,請參閱 使用您的 Grafana 工作區