Cómo funciona Amazon Managed Grafana con AWS Organizations para el acceso a los orígenes de datos de AWS - Amazon Managed Grafana

Cómo funciona Amazon Managed Grafana con AWS Organizations para el acceso a los orígenes de datos de AWS

Con AWS Organizations, puede administrar de forma centralizada la configuración de los orígenes de datos y los ajustes de permisos para varias cuentas de AWS. En una Cuenta de AWS con un espacio de trabajo de Amazon Managed Grafana, puede especificar otras unidades organizativas para que sus orígenes de datos de AWS estén disponibles para su visualización en la cuenta principal.

Por ejemplo, puede usar una cuenta de la organización como cuenta de administración de Amazon Managed Grafana y dar a esta cuenta acceso a los orígenes de datos de otras cuentas de la organización. En la cuenta de administración, enumere todas las unidades organizativas que tienen orígenes de datos de AWS a los que quiere acceder con la cuenta de administración. Esto crea automáticamente las políticas de roles y permisos que necesita para configurar estos orígenes de datos, que puede ver en la consola de Grafana en el espacio de trabajo de Amazon Managed Grafana.

Para obtener más información sobre Organizations, consulte What is AWS Organizations.

Amazon Managed Grafana usa StackSets de AWS CloudFormation para crear automáticamente los roles de AWS Identity and Access Management (IAM) necesarios para que Amazon Managed Grafana se conecte a los orígenes de datos de toda la organización de AWS. Antes de que Amazon Managed Grafana pueda administrar las políticas de IAM para acceder a los orígenes de datos de toda su organización, debe habilitar los StackSets de AWS CloudFormation en la cuenta de administración de su organización. Amazon Managed Grafana los habilita automáticamente la primera vez que se necesitan.

Escenarios de implementación para la integración con AWS IAM Identity Center y Organizations

Si utiliza Amazon Managed Grafana con AWS IAM Identity Center y Organizations, le recomendamos que cree un espacio de trabajo de Amazon Managed Grafana en su organización mediante uno de los tres escenarios siguientes. Para cada escenario, debe iniciar sesión en una cuenta con los permisos suficientes. Para obtener más información, consulte Políticas de muestra para Amazon Managed Grafana.

Cuenta independiente

Una cuenta independiente es una cuenta de AWS que no forma parte de ninguna organización de Organizations. Este es un escenario probable si está probando AWS por primera vez.

En este escenario, Amazon Managed Grafana habilita automáticamente AWS IAM Identity Center y Organizations al iniciar sesión en una cuenta que tenga las políticas AWSGrafanaAccountAdministrator, AWSSSOMemberAccountAdministrator y AWSSSODirectoryAdministrator. Para obtener más información, consulte Creación y administración de espacios de trabajo y usuarios de Amazon Managed Grafana en una única cuenta independiente mediante IAM Identity Center.

Cuenta de miembro de una organización existente en la que IAM Identity Center ya está configurado

Para crear un espacio de trabajo en una cuenta de miembro, debe iniciar sesión en una cuenta que tenga las políticas AWSGrafanaAccountAdministrator, AWSSSOMemberAccountAdministrator y AWSSSODirectoryAdministrator. Para obtener más información, consulte Administrador de Grafana en una cuenta de miembro usando IAM Identity Center.

Si crea un espacio de trabajo en una cuenta de miembro y desea que ese espacio de trabajo acceda a los recursos de otras cuentas de AWS de su organización, debe usar los permisos administrados por el cliente en el espacio de trabajo. Para obtener más información, consulte Permisos administrados por el cliente.

Para usar los permisos administrados por el servicio para permitir que un espacio de trabajo acceda a los recursos de otras cuentas de AWS de la organización, tendrá que crear el espacio de trabajo en la cuenta de administración de la organización. Sin embargo, no se recomienda crear espacios de trabajo de Amazon Managed Grafana u otros recursos en la cuenta de administración de una organización. Para obtener más información acerca de las prácticas recomendadas de Organizations, consulte Best practices for the management account.

nota

Si habilitó AWS IAM Identity Center en la cuenta de administración antes del 25 de noviembre de 2019, también debe habilitar las aplicaciones integradas en IAM Identity Center en la cuenta de administración. Si lo desea, también puede habilitar las aplicaciones integradas en IAM Identity Center en las cuentas de los miembros después de hacerlo en la cuenta de administración. Para habilitar estas aplicaciones, seleccione Habilitar el acceso en la página Configuración de IAM Identity Center, en la sección de aplicaciones integradas en IAM Identity Center. Para obtener más información, consulte IAM Identity Center-integrated application enablement.

Cuenta de miembro de una organización existente en la que IAM Identity Center aún no se ha implementado

En este escenario, inicie sesión primero como administrador de la organización y habilite IAM Identity Center en la organización. A continuación, cree el espacio de trabajo de Amazon Managed Grafana en una cuenta de miembro de la organización.

Si no es administrador de una organización, debe ponerse en contacto con un administrador de Organizations y solicitar que habilite IAM Identity Center. Una vez habilitado IAM Identity Center, podrá crear el espacio de trabajo en una cuenta de miembro.

Si crea un espacio de trabajo en una cuenta de miembro y desea que ese espacio de trabajo acceda a los recursos de otras cuentas de AWS de su organización, debe usar los permisos administrados por el cliente en el espacio de trabajo. Para obtener más información, consulte Permisos administrados por el cliente.

Para crear un espacio de trabajo en una cuenta de miembro, debe iniciar sesión en una cuenta que tenga las políticas AWSGrafanaAccountAdministrator, AWSSSOMemberAccountAdministrator y AWSSSODirectoryAdministrator. Para obtener más información, consulte Administrador de Grafana en una cuenta de miembro usando IAM Identity Center.