Administración del acceso de usuarios y grupos a los espacios de trabajo de Amazon Managed Grafana - Amazon Managed Grafana
Concesión de permisos a un usuario o grupoErrores de discrepancia de permisosPreguntas frecuentes de discrepancias de permisos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración del acceso de usuarios y grupos a los espacios de trabajo de Amazon Managed Grafana

Acceda a los espacios de trabajo de Amazon Managed Grafana con usuarios configurados en su proveedor de identidades (IdP) o AWS IAM Identity Center. Debe conceder a esos usuarios (o grupos a los que pertenezcan) permisos para acceder al espacio de trabajo. Puede concederles los permisos User, Editor o Admin.

Concesión de permisos a un usuario o grupo

Requisitos previos 

  • Para conceder a un usuario o un grupo de usuarios acceso a los espacios de trabajo de Amazon Managed Grafana, el usuario o grupo debe aprovisionarse primero en un proveedor de identidades (IdP) o en AWS IAM Identity Center. Para obtener más información, consulte Autenticación de usuarios en los espacios de trabajo de Amazon Managed Grafana.

  • Para administrar el acceso de usuarios y grupos, debe iniciar sesión como usuario que tenga la política de AWS Identity and Access Management (IAM) AWSGrafanaWorkspacePermissionManagementV2 o permisos equivalentes. Si administra usuarios con IAM Identity Center, también debe tener las políticas de IAM AWSSSOMemberAccountAdministrator y AWSSSODirectoryReadOnly o permisos equivalentes. Para obtener más información, consulte Asignación a los usuarios de acceso a Amazon Managed Grafana y anulación de la asignación.

Administración del acceso de los usuarios a un espacio de trabajo de Grafana mediante la consola de Amazon Managed Grafana

  1. Abra la consola de Amazon Managed Grafana en https://console.aws.amazon.com/grafana/.

  2. En el panel de navegación de la izquierda, elija el icono del menú.

  3. Elija Todos los espacios de trabajo.

  4. Elija el nombre del espacio de trabajo que desea administrar.

  5. Seleccione la pestaña Autenticación.

  6. Si utiliza IAM Identity Center en este espacio de trabajo, elija Configurar usuarios y grupos de usuarios y lleve a cabo una o varias de las siguientes acciones:

    • Para conceder a un usuario acceso al espacio de trabajo de Amazon Managed Grafana, seleccione la casilla de verificación situada junto al usuario y seleccione Asignar usuario.

    • Para convertir a un usuario en Admin del espacio de trabajo, seleccione Hacer administrador.

    • Para eliminar el acceso de un usuario al espacio de trabajo, seleccione Anular la asignación de usuario.

    • Para agregar grupos de usuarios, como un grupo de LDAP, seleccione la pestaña Grupos de usuarios asignados. A continuación, lleve a cabo alguna de las operaciones siguientes:

      • Para conceder a todos los miembros de un grupo acceso al espacio de trabajo de Amazon Managed Grafana, seleccione la casilla de verificación situada junto al grupo y seleccione Asignar grupo.

      • Para conceder a todos los miembros de un grupo el rol Admin en el espacio de trabajo, seleccione Hacer administrador.

      • Para eliminar el acceso al espacio de trabajo para todos los miembros de un grupo, seleccione Anular la asignación del grupo.

    nota

    Si utiliza IAM Identity Center para administrar los usuarios, utilice la consola de IAM Identity Center únicamente para aprovisionar nuevos usuarios y grupos. Use la consola o las API de Amazon Managed Grafana para conceder o eliminar el acceso a sus espacios de trabajo de Grafana.

    Si IAM Identity Center y Amazon Managed Grafana no están sincronizados, se le presenta la opción de resolver cualquier conflicto. Para obtener más información, consulte Errores de discrepancia de permisos al configurar usuarios y grupos más abajo.

  7. Si utiliza SAML en este espacio de trabajo, elija Configuración de SAML y lleve a cabo una o varias de las siguientes acciones:

    • Para Método de importación, lleve a cabo una de las siguientes acciones:

      • Elija URL e ingrese la URL de los metadatos del IdP.

      • Elija Cargar o copiar y pegar. Si va a cargar los metadatos, seleccione Elegir archivo y elija el archivo de metadatos. O bien, si utiliza copiar y pegar, copie los metadatos en Importar los metadatos.

    • En Rol de atributo de confirmación, ingrese el nombre del atributo de aserción de SAML del que se va a extraer la información del rol.

    • Para Valores de rol de administrador, ingrese los roles de usuario de su IdP, a los que se les debería conceder el rol Admin en el espacio de trabajo de Amazon Managed Grafana, o seleccione Quiero excluirme de la asignación de administradores a mi espacio de trabajo.

      nota

      Si elige Quiero excluirme de la asignación de administradores en mi espacio de trabajo, no podrá usar la consola de Amazon Managed Grafana para administrar el espacio de trabajo, incluidas tareas como la administración de los orígenes de datos, los usuarios y los permisos del panel. Solo puede hacer cambios administrativos en el espacio de trabajo mediante las API de Amazon Managed Grafana.

    • (Opcional) Para ingresar ajustes de SAML adicionales, seleccione Configuración adicional y lleve a cabo una o varias de las siguientes acciones y elija Guardar la configuración de SAML. Todos estos campos son opcionales.

      • En el caso de Nombre de atributo de confirmación, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres completos “descriptivos” de los usuarios de SAML.

      • En el caso de Inicio de sesión de atributo de confirmación, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres de inicio de sesión de los usuarios de SAML.

      • En el caso de Email de atributo de confirmación, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres de correo electrónico de los usuarios de SAML.

      • En el caso de Duración de validez de inicio de sesión (en minutos), especifique cuánto tiempo es válido el inicio de sesión de un usuario de SAML antes de que el usuario deba volver a iniciar sesión.

      • En el caso de Organización de atributos de confirmación, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para el nombre “descriptivo” de las organizaciones de usuarios.

      • En el caso de Grupos de atributos de confirmación, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para el nombre “descriptivo” de los grupos de usuarios.

      • En el caso de Organizaciones permitidas, puede limitar el acceso de los usuarios únicamente a los usuarios que son miembros de determinadas organizaciones del IdP. Ingrese una o más organizaciones para permitirlas y sepárelas con comas.

      • En el caso de Valores de rol del editor, ingrese los roles de usuario de su IdP a los que se les debe conceder el rol Editor en el espacio de trabajo de Amazon Managed Grafana. Ingrese uno o más roles y sepárelos por comas.

  8. Para agregar grupos de usuarios, como un grupo de LDAP, también puede seleccionar la pestaña Grupos de usuarios. A continuación, lleve a cabo alguna de las operaciones siguientes:

    • Para conceder a todos los miembros de un grupo acceso al espacio de trabajo de Amazon Managed Grafana, seleccione la casilla de verificación situada junto al grupo y seleccione Asignar grupo.

    • Para conceder a todos los miembros de un grupo el rol Admin en el espacio de trabajo, seleccione Hacer administrador.

    • Para eliminar el acceso al espacio de trabajo para todos los miembros de un grupo, seleccione Anular la asignación del grupo.

Errores de discrepancia de permisos al configurar usuarios y grupos

Es posible que se produzcan errores de discrepancia al configurar usuarios y grupos en la consola de Amazon Managed Grafana. Esto indica que Amazon Managed Grafana y IAM Identity Center no están sincronizados. En este caso, Amazon Managed Grafana muestra una advertencia y una opción para resolver la discrepancia. Si elige Resolver, Amazon Managed Grafana mostrará un cuadro de diálogo con una lista de usuarios que tienen permisos que no están sincronizados.

Los usuarios que se han eliminado de IAM Identity Center aparecen como Unknown user, con un ID numérico en el cuadro de diálogo. Para estos usuarios, la única forma de corregir la discrepancia es elegir Resolver y eliminar sus permisos.

Los usuarios que siguen en IAM Identity Center, pero que ya no pertenecen a un grupo con los derechos de acceso que tenían anteriormente, aparecen con su nombre de usuario en la lista Resolver. Existen dos maneras de resolver este problema. Puede utilizar el cuadro de diálogo Resolver para eliminar o reducir su acceso, o bien puede concedérselo siguiendo las instrucciones de la sección anterior.

Preguntas frecuentes sobre discrepancias de permisos

¿Por qué aparece un error que indica una discrepancia en los permisos en la sección Configurar usuarios y grupos de la consola de Amazon Managed Grafana?

Está viendo este mensaje porque se ha identificado una discrepancia en las asociaciones de usuarios y grupos de IAM Identity Center y en los permisos de Amazon Managed Grafana para su espacio de trabajo. Puede agregar o eliminar usuarios de su espacio de trabajo de Grafana desde la consola de Amazon Managed Grafana (en la pestaña Configurar usuarios y grupos) o desde la consola de IAM Identity Center (página Asignaciones de aplicaciones). Sin embargo, los permisos de usuario de Grafana solo se pueden definir desde Amazon Managed Grafana (mediante la consola o las API de Amazon Managed Grafana), mediante la asignación de permisos de espectador, editor o administrador al usuario o grupo. Un usuario puede pertenecer a varios grupos con distintos permisos, en cuyo caso su permiso se basa en el nivel de acceso más alto de todos los grupos y permisos a los que pertenece el usuario.

Los registros discrepantes pueden deberse a los siguientes motivos:

  • Se elimina un usuario o un grupo de IAM Identity Center, pero no en Amazon Managed Grafana. Estos registros aparecen como Usuarios desconocidos en la consola de Amazon Managed Grafana.

  • La asociación de un usuario o grupo con Grafana se elimina en IAM Identity Center (en Asignaciones de aplicaciones), pero no en Amazon Managed Grafana.

  • Los permisos de los usuarios se actualizaban previamente directamente desde el espacio de trabajo de Grafana. Las actualizaciones del espacio de trabajo de Grafana no se admiten en Amazon Managed Grafana.

Para evitar estas discrepancias, utilice la consola de Amazon Managed Grafana o las API de Amazon Managed Grafana para administrar los permisos de usuarios y grupos de su espacio de trabajo.

Actualicé previamente los niveles de acceso de algunos de los miembros de mi equipo desde el espacio de trabajo de Grafana. Ahora veo que sus niveles de acceso han vuelto a su nivel de acceso anterior. ¿Por qué veo esto y cómo lo soluciono?

Lo más probable es que esto se deba a una discrepancia que se identificó entre la asociación de usuarios y grupos en IAM Identity Center y los registros de permisos de Amazon Managed Grafana para su espacio de trabajo. Si los miembros de su equipo tienen diferentes niveles de acceso, es posible que usted o un administrador de Amazon Managed Grafana hayan resuelto la discrepancia desde la consola de Amazon Managed Grafana y hayan eliminado los registros discrepantes. Puede volver a asignar los niveles de acceso necesarios desde la consola o las API de Amazon Managed Grafana para restaurar los permisos deseados.

nota

El espacio de trabajo de Grafana no admite la administración del acceso de los usuarios. Use la consola o las API de Amazon Managed Grafana para asignar permisos de usuario o grupo.

¿Por qué noto cambios en mis niveles de acceso? Por ejemplo, antes tenía acceso de administrador, pero ahora solo tengo permisos de editor.

Es posible que un administrador de su espacio de trabajo haya cambiado sus permisos. Esto puede ocurrir de forma inadvertida si no coinciden sus asociaciones de usuarios y grupos en IAM Identity Center y sus permisos en Amazon Managed Grafana. En este caso, es posible que, al resolver la discrepancia, se hayan eliminado sus permisos de acceso superiores. Puede solicitar a un administrador que reasigne el nivel de acceso requerido desde la consola de Amazon Managed Grafana.