À utiliser AWS IAM Identity Center avec votre espace de travail Amazon Managed Grafana - Amazon Managed Grafana
Autorisations requises pour les scénarios utilisant IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

À utiliser AWS IAM Identity Center avec votre espace de travail Amazon Managed Grafana

Amazon Managed Grafana s'intègre AWS IAM Identity Center pour fournir une fédération d'identité à votre personnel. À l'aide d'Amazon Managed Grafana et d'IAM Identity Center, les utilisateurs sont redirigés vers le répertoire de leur entreprise existant pour se connecter avec leurs informations d'identification existantes. Ils sont ensuite facilement connectés à leur espace de travail Amazon Managed Grafana. Cela garantit que les paramètres de sécurité tels que les politiques de mot de passe et l'authentification à deux facteurs sont appliqués. L'utilisation d'IAM Identity Center n'a aucune incidence sur votre configuration IAM existante.

Si vous n'avez pas d'annuaire d'utilisateurs existant ou si vous préférez ne pas vous fédérer, IAM Identity Center propose un annuaire d'utilisateurs intégré que vous pouvez utiliser pour créer des utilisateurs et des groupes pour Amazon Managed Grafana. Amazon Managed Grafana ne prend pas en charge l'utilisation d'utilisateurs et de rôles IAM pour attribuer des autorisations au sein d'un espace de travail Amazon Managed Grafana.

Pour plus d'informations sur IAM Identity Center, consultez Qu'est-ce AWS IAM Identity Center que. Pour plus d'informations sur la prise en main d'IAM Identity Center, consultez Getting started.

Pour utiliser IAM Identity Center, vous devez également avoir AWS Organizations activé le compte. Si nécessaire, Amazon Managed Grafana peut activer Organizations pour vous lorsque vous créez votre premier espace de travail configuré pour utiliser IAM Identity Center.

Autorisations requises pour les scénarios utilisant IAM Identity Center

Cette section explique les politiques requises pour utiliser Amazon Managed Grafana avec IAM Identity Center. Les politiques nécessaires pour administrer Amazon Managed Grafana varient selon que votre AWS compte fait partie d'une organisation ou non.

Créez un administrateur Grafana dans les comptes AWS Organizations

Pour accorder les autorisations nécessaires à la création et à la gestion des espaces de travail Amazon Managed Grafana dans une organisation, et pour autoriser les dépendances, par exemple AWS IAM Identity Center, attribuez les politiques suivantes à un rôle.

  • Attribuez la politique AWSGrafanaAccountAdministratorIAM pour autoriser l'administration des espaces de travail Amazon Managed Grafana.

  • AWSSSODirectoryAdministratorpermet au rôle d'utiliser IAM Identity Center lors de la configuration des espaces de travail Amazon Managed Grafana.

  • Pour permettre la création et la gestion des espaces de travail Amazon Managed Grafana dans l'ensemble de l'organisation, attribuez au rôle la AWSSSOMasterAccountAdministratorpolitique IAM. Vous pouvez également attribuer au rôle la politique AWSSSOMemberAccountAdministratorIAM afin de permettre la création et la gestion d'espaces de travail au sein d'un compte membre unique de l'organisation.

  • Vous pouvez également éventuellement attribuer au rôle la politique AWSMarketplaceManageSubscriptionsIAM (ou des autorisations équivalentes) si vous souhaitez autoriser le rôle à mettre à niveau un espace de travail Grafana géré par Amazon vers Grafana enterprise.

Si vous souhaitez utiliser les autorisations gérées par les services lorsque vous créez un espace de travail Grafana géré par Amazon, le rôle qui crée l'espace de travail doit également disposer des autorisationsiam:CreateRole, iam:CreatePolicy et. iam:AttachRolePolicy Ils sont nécessaires pour AWS CloudFormation StackSets déployer des politiques qui vous permettent de lire les sources de données dans les comptes de l'organisation.

Important

L'octroi à un utilisateur des autorisations iam:CreateRole, iam:CreatePolicy et iam:AttachRolePolicy lui permet de bénéficier d'un accès administratif complet à votre compte AWS . Par exemple, un utilisateur disposant de ces autorisations peut créer une politique disposant d'autorisations complètes pour toutes les ressources et attacher cette politique à n'importe quel rôle. Sélectionnez attentivement les personnes auxquelles vous accordez ces autorisations.

Pour voir les autorisations accordées à AWSGrafanaAccountAdministrator, voir AWS politique gérée : AWSGrafanaAccountAdministrator

Créez et gérez les espaces de travail et les utilisateurs Amazon Managed Grafana dans un seul compte autonome

Un AWS compte autonome est un compte qui n'est pas membre d'une organisation. Pour plus d'informations AWS Organizations, voir Qu'est-ce que c'est AWS Organizations ?

Pour autoriser la création et la gestion d'espaces de travail et d'utilisateurs Amazon Managed Grafana dans un compte autonome, attribuez les politiques IAM suivantes à un rôle :

  • AWSGrafanaAccountAdministrator

  • AWSSSOMasterAccountAdministrator

  • AWSOrganizationsFullAccess

  • AWSSSODirectoryAdministrator

Important

L'attribution de cette AWSOrganizationsFullAccesspolitique à un rôle donne à ce rôle un accès administratif complet à votre AWS compte. Sélectionnez attentivement les personnes auxquelles vous accordez ces autorisations.

Pour voir les autorisations accordées à AWSGrafanaAccountAdministrator, voir AWS politique gérée : AWSGrafanaAccountAdministrator