Uso de AWS IAM Identity Center con su espacio de trabajo de Amazon Managed Grafana - Amazon Managed Grafana
Permisos necesarios para los escenarios de IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de AWS IAM Identity Center con su espacio de trabajo de Amazon Managed Grafana

Amazon Managed Grafana se integra con AWS IAM Identity Center para proporcionar federación de identidades a sus empleados. Mediante Amazon Managed Grafana y IAM Identity Center, se redirige a los usuarios al directorio de su empresa actual para que inicien sesión con sus credenciales actuales. Luego, inician sesión sin problemas en su espacio de trabajo de Amazon Managed Grafana. Esto garantiza que se apliquen los ajustes de seguridad, como las políticas de contraseñas y la autenticación en dos fases. El uso de IAM Identity Center no afecta a la configuración de IAM actual.

Si no tiene un directorio de usuarios existente o prefiere no federarlo, IAM Identity Center ofrece un directorio de usuarios integrado que puede usar para crear usuarios y grupos para Amazon Managed Grafana. Amazon Managed Grafana no admite el uso de usuarios y roles de IAM para asignar permisos dentro de un espacio de trabajo de Amazon Managed Grafana.

Para obtener más información sobre IAM Identity Center, consulte What is AWS IAM Identity Center. Para obtener más información sobre los primeros pasos con IAM Identity Center, consulte Introducción.

Para utilizar IAM Identity Center, debe tener activado AWS Organizations en su cuenta. Si es necesario, Amazon Managed Grafana puede activar Organizations por usted al crear su primer espacio de trabajo que esté configurado para usar IAM Identity Center.

Permisos necesarios para los escenarios de IAM Identity Center

En esta sección se explican las políticas necesarias para utilizar Amazon Managed Grafana con IAM Identity Center. Las políticas necesarias para administrar Amazon Managed Grafana varían en función de si su cuenta de AWS forma parte de una organización o no.

Creación de un administrador de Grafana en cuentas de AWS Organizations

Para conceder permisos para crear y administrar espacios de trabajo de Amazon Managed Grafana en una organización y permitir dependencias como, por ejemplo AWS IAM Identity Center, asigne las siguientes políticas a un rol.

  • Asigne la política de IAM AWSGrafanaAccountAdministrator para permitir la administración de los espacios de trabajo de Amazon Managed Grafana.

  • AWSSSODirectoryAdministrator permite que el rol utilice IAM Identity Center al configurar los espacios de trabajo de Amazon Managed Grafana.

  • Para poder crear y administrar espacios de trabajo de Amazon Managed Grafana en toda la organización, asigne al rol la política de IAM AWSSSOMasterAccountAdministrator. Como alternativa, asigne al rol la política de IAM AWSSSOMemberAccountAdministrator para permitir la creación y administración de espacios de trabajo dentro de una sola cuenta de miembro de la organización.

  • Si lo desea, también puede asignar al rol la política de IAM AWSMarketplaceManageSubscriptions (o permisos equivalentes) si quiere permitir que el rol actualice un espacio de trabajo de Amazon Managed Grafana a Grafana Enterprise.

Si quiere usar permisos administrados por el servicio al crear un espacio de trabajo de Amazon Managed Grafana , el rol que crea el espacio de trabajo también debe tener los permisos iam:CreateRole, iam:CreatePolicy y iam:AttachRolePolicy. Son necesarios para usar los StackSets de AWS CloudFormation para implementar políticas que le permitan leer los orígenes de datos en las cuentas de la organización.

importante

Otorgar a un usuario los permisos iam:CreateRole, iam:CreatePolicy e iam:AttachRolePolicy proporciona a ese usuario acceso administrativo a su cuenta de AWS. Por ejemplo, un usuario con estos permisos puede crear una política que tenga permisos completos para todos los recursos y asociarla a cualquier rol. Sea muy cauteloso en lo referente a la persona a la que concede estos permisos.

Para ver los permisos concedidos a AWSGrafanaAccountAdministrator, consulte Política administrada por AWS: AWSGrafanaAccountAdministrator

Creación y administración de espacios de trabajo y usuarios de Amazon Managed Grafana en una única cuenta independiente

Una cuenta independiente de AWS es una cuenta que no forma parte de ninguna organización. Para obtener más información acerca del AWS Organizations, consulte ¿Qué es el AWS Organizations?

Para conceder permiso para crear y administrar espacios de trabajo y usuarios de Amazon Managed Grafana en una cuenta independiente, asigne las siguientes políticas de IAM a un rol:

  • AWSGrafanaAccountAdministrator

  • AWSSSOMasterAccountAdministrator

  • AWSOrganizationsFullAccess

  • AWSSSODirectoryAdministrator

importante

Al conceder un rol, la política AWSOrganizationsFullAccess otorga a ese rol acceso administrativo total a su cuenta de AWS. Sea muy cauteloso en lo referente a la persona a la que concede estos permisos.

Para ver los permisos concedidos a AWSGrafanaAccountAdministrator, consulte Política administrada por AWS: AWSGrafanaAccountAdministrator