Gestione el acceso de usuarios y grupos a los espacios de trabajo de Grafana gestionados por Amazon - Amazon Managed Grafana

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestione el acceso de usuarios y grupos a los espacios de trabajo de Grafana gestionados por Amazon

Accede a los espacios de trabajo de Grafana gestionados por Amazon con usuarios configurados en tu proveedor de identidad (IdP) o. AWS IAM Identity Center Debes conceder a esos usuarios (o grupos a los que pertenezcan) permisos para acceder al espacio de trabajo. Puedes concederles UserEditor, o Admin permisos.

Otorgue permisos a un usuario o grupo

Requisitos previos 

  • Para conceder a un usuario o a un grupo de usuarios acceso a los espacios de trabajo de Grafana gestionados por Amazon, el usuario o grupo debe aprovisionarse primero en un proveedor de identidad (IdP) o en. AWS IAM Identity Center Para obtener más información, consulte Autentica a los usuarios en los espacios de trabajo de Grafana gestionados por Amazon.

  • Para gestionar el acceso de usuarios y grupos, debe iniciar sesión como usuario que tenga la política AWSGrafanaWorkspacePermissionManagementV2 AWS Identity and Access Management (IAM) o permisos equivalentes. Si administra usuarios con el Centro de identidad de IAM, también debe tener las AWSSSOMemberAccountAdministratorpolíticas de AWSSSODirectoryReadOnlyIAM o permisos equivalentes. Para obtener más información, consulte Asigne y desasigne el acceso de los usuarios a Amazon Managed Grafana.

Para gestionar el acceso de los usuarios a un espacio de trabajo de Grafana mediante la consola de Grafana gestionada por Amazon
  1. Abra la consola de Amazon Managed Grafana en https://console.aws.amazon.com/grafana/.

  2. En el panel de navegación izquierdo, selecciona el icono del menú.

  3. Elija Todos los espacios de trabajo.

  4. Elige el nombre del espacio de trabajo que quieres gestionar.

  5. Seleccione la pestaña Autenticación.

  6. Si utiliza el Centro de identidad de IAM en este espacio de trabajo, elija Configurar usuarios y grupos de usuarios y realice una o varias de las siguientes acciones:

    • Para conceder a un usuario acceso al espacio de trabajo de Grafana gestionado por Amazon, selecciona la casilla de verificación situada junto al usuario y selecciona Asignar usuario.

    • Para convertir a un usuario en miembro del espacio Admin de trabajo, selecciona Convertir a un usuario en administrador.

    • Para eliminar el acceso de un usuario al espacio de trabajo, selecciona Cancelar la asignación del usuario.

    • Para añadir grupos de usuarios, como un grupo LDAP, seleccione la pestaña Grupos de usuarios asignados. A continuación, lleve a cabo alguna de las operaciones siguientes:

      • Para dar a todos los miembros de un grupo acceso al espacio de trabajo de Grafana gestionado por Amazon, selecciona la casilla de verificación situada junto al grupo y selecciona Asignar grupo.

      • Para asignar a todos los miembros de un grupo la Admin función en el espacio de trabajo, selecciona Convertir en administradores.

      • Para eliminar el acceso al espacio de trabajo para todos los miembros de un grupo, selecciona Anular la asignación del grupo.

    nota

    Si utiliza el Centro de identidad de IAM para administrar los usuarios, utilice la consola del Centro de identidades de IAM únicamente para aprovisionar nuevos usuarios y grupos. Usa la consola o las API de Amazon Managed Grafana para conceder o eliminar el acceso a tus espacios de trabajo de Grafana.

    Si IAM Identity Center y Amazon Managed Grafana no están sincronizados, se te presenta la opción de resolver cualquier conflicto. Para obtener más información, consulte a continuaciónErrores de discordancia de permisos al configurar usuarios y grupos.

  7. Si utiliza SAML en este espacio de trabajo, elija la configuración de SAML y lleve a cabo una o varias de las siguientes acciones:

    • Para el método de importación, realice una de las siguientes acciones:

      • Elija la URL e introduzca la URL de los metadatos del IdP.

      • Elija Cargar o copiar/pegar. Si va a cargar los metadatos, elija Elegir archivo y seleccione el archivo de metadatos. O bien, si utiliza copiar y pegar, copie los metadatos en Importar los metadatos.

    • En la función del atributo de aserción, introduzca el nombre del atributo de aserción de SAML del que se va a extraer la información del rol.

    • Para los valores de las funciones de administrador, introduce las funciones de usuario de tu IdP, a las que se les debería conceder la Admin función en el espacio de trabajo de Grafana gestionado por Amazon, o selecciona Quiero excluirme de la asignación de administradores a mi espacio de trabajo.

      nota

      Si eliges, quiero excluirme de la asignación de administradores a mi espacio de trabajo. , no podrás utilizar la consola de Grafana gestionada por Amazon para administrar el espacio de trabajo, incluidas tareas como la gestión de las fuentes de datos, los usuarios y los permisos del panel de control. Solo puede realizar cambios administrativos en el espacio de trabajo mediante las API de Grafana gestionadas por Amazon.

    • (Opcional) Para introducir ajustes de SAML adicionales, selecciona Ajustes adicionales, realiza una o varias de las siguientes acciones y, a continuación, selecciona Guardar configuración de SAML. Todos estos campos son opcionales.

      • En el nombre del atributo de aserción, especifique el nombre del atributo dentro de la aserción de SAML para usar los nombres completos «fáciles de entender» para los usuarios de SAML.

      • Para iniciar sesión con el atributo de aserción, especifique el nombre del atributo de la aserción de SAML que se va a utilizar como nombre de inicio de sesión para los usuarios de SAML.

      • En el caso del correo electrónico con el atributo de aserción, especifique el nombre del atributo de la aserción de SAML que se va a utilizar como nombre de correo electrónico de usuario para los usuarios de SAML.

      • Para ver la duración de la validez del inicio de sesión (en minutos), especifique cuánto tiempo es válido el inicio de sesión de un usuario de SAML antes de que el usuario deba volver a iniciar sesión.

      • Para la organización de atributos de aserción, especifique el nombre del atributo dentro de la aserción de SAML para usarlo como nombre «descriptivo» para las organizaciones de usuarios.

      • En el caso de los grupos de atributos de aserción, especifique el nombre del atributo dentro de la aserción de SAML que se utilizará como nombre «descriptivo» para los grupos de usuarios.

      • En el caso de las organizaciones permitidas, puede limitar el acceso de los usuarios únicamente a los usuarios que son miembros de determinadas organizaciones del IdP. Introduzca una o más organizaciones para permitir su autorización, separándolas con comas.

      • Para los valores de las funciones de editor, introduce las funciones de usuario de tu IdP, a las que se les debe conceder la Editor función en el espacio de trabajo de Grafana gestionado por Amazon. Introduce uno o más roles, separados por comas.

  8. Como alternativa, para añadir grupos de usuarios, como un grupo LDAP, elija la pestaña Grupo de usuarios. A continuación, lleve a cabo alguna de las operaciones siguientes:

    • Para dar a todos los miembros de un grupo acceso al espacio de trabajo de Grafana gestionado por Amazon, selecciona la casilla de verificación situada junto al grupo y selecciona Asignar grupo.

    • Para asignar a todos los miembros de un grupo la Admin función en el espacio de trabajo, selecciona Convertir en administradores.

    • Para eliminar el acceso al espacio de trabajo para todos los miembros de un grupo, selecciona Anular la asignación del grupo.

Errores de discordancia de permisos al configurar usuarios y grupos

Es posible que se produzcan errores de discordancia al configurar usuarios y grupos en la consola de Grafana gestionada por Amazon. Esto indica que Grafana gestionado por Amazon e IAM Identity Center no están sincronizados. En este caso, Amazon Managed Grafana muestra una advertencia y una opción para resolver la discrepancia. Si eliges Resolver, Amazon Managed Grafana mostrará un cuadro de diálogo con una lista de usuarios que tienen permisos que no están sincronizados.

Los usuarios que se han eliminado del centro de identidad de IAM aparecen comoUnknown user, con un ID numérico en el cuadro de diálogo. Para estos usuarios, la única forma de corregir la discrepancia es elegir Resolver y eliminar sus permisos.

Los usuarios que siguen en el Centro de Identidad de IAM, pero que ya no pertenecen a un grupo con los derechos de acceso que tenían anteriormente, aparecen con su nombre de usuario en la lista Resolve. Hay dos formas de solucionar este problema. Puede usar el cuadro de diálogo Resolver para eliminar o reducir su acceso, o puede darles acceso siguiendo las instrucciones de la sección anterior.

Preguntas frecuentes sobre las discordancias de permisos

¿Por qué aparece un error que indica una discrepancia en los permisos en la sección Configurar usuarios y grupos de la consola de Grafana gestionada por Amazon?

Estás viendo este mensaje porque se ha identificado una discrepancia en las asociaciones de usuarios y grupos del Centro de Identidad de IAM y en los permisos de Grafana gestionada por Amazon para tu espacio de trabajo. Puede añadir o eliminar usuarios de su espacio de trabajo de Grafana desde la consola de Grafana gestionada por Amazon (en la pestaña Configurar usuarios y grupos) o desde la consola del IAM Identity Center (página de asignaciones de aplicaciones). Sin embargo, los permisos de usuario de Grafana solo se pueden definir desde Amazon Managed Grafana (mediante la consola o las API de Amazon Managed Grafana), mediante la asignación de permisos de visor, editor o administrador al usuario o grupo. Un usuario puede pertenecer a varios grupos con distintos permisos, en cuyo caso su permiso se basa en el nivel de acceso más alto de todos los grupos y permisos a los que pertenece el usuario.

Los registros no coincidentes pueden deberse a:

  • Se elimina un usuario o un grupo del Centro de Identidad de IAM, pero no en Grafana gestionada por Amazon. Estos registros aparecen como usuarios desconocidos en la consola de Grafana gestionada por Amazon.

  • La asociación de un usuario o grupo con Grafana se elimina en el Centro de identidad de IAM (en Asignaciones de aplicaciones), pero no en Grafana gestionada por Amazon.

  • Los permisos de los usuarios se actualizaban previamente directamente desde el espacio de trabajo de Grafana. Las actualizaciones del espacio de trabajo de Grafana no se admiten en Amazon Managed Grafana.

Para evitar estos desajustes, utiliza la consola de Amazon Managed Grafana o las API de Amazon Managed Grafana para gestionar los permisos de usuarios y grupos de tu espacio de trabajo.

Actualicé previamente los niveles de acceso de algunos de los miembros de mi equipo desde el espacio de trabajo de Grafana. Ahora veo que sus niveles de acceso han vuelto a su nivel de acceso anterior. ¿Por qué veo esto y cómo lo soluciono?

Lo más probable es que esto se deba a una discrepancia que se identificó entre la asociación de usuarios y grupos en el Centro de Identidad de IAM y los registros de permisos de Grafana gestionados por Amazon para su espacio de trabajo. Si los miembros de tu equipo tienen diferentes niveles de acceso, es posible que tú o un administrador de tu Grafana gestionado por Amazon hayas resuelto la discrepancia desde la consola de Grafana gestionada por Amazon y hayas eliminado los registros no coincidentes. Puede volver a asignar los niveles de acceso necesarios desde la consola o las API de Amazon Managed Grafana para restaurar los permisos deseados.

nota

El espacio de trabajo de Grafana no admite la gestión del acceso de los usuarios. Usa la consola o las API de Amazon Managed Grafana para asignar permisos de usuario o grupo.

¿Por qué noto cambios en mis niveles de acceso? Por ejemplo, antes tenía acceso de administrador, pero ahora solo tengo permisos de editor.

Es posible que un administrador de tu espacio de trabajo haya cambiado tus permisos. Esto puede ocurrir de forma inadvertida si no coinciden tus asociaciones de usuarios y grupos en el Centro de Identidad de IAM y tus permisos en Amazon Managed Grafana. En este caso, es posible que al resolver la discrepancia se hayan eliminado tus permisos de acceso superiores. Puedes solicitar a un administrador que reasigne el nivel de acceso requerido desde la consola de Grafana gestionada por Amazon.