Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana Amazon Managed Grafana bekerja dengan AWS Organizations untuk akses sumber AWS data
Dengan AWS Organizations, Anda dapat mengelola konfigurasi sumber data dan pengaturan izin secara terpusat untuk beberapa AWS akun. Di ruang kerja Grafana yang Dikelola Amazon, Anda dapat menentukan unit organisasi lain agar sumber AWS datanya tersedia untuk dilihat di akun utama. Akun AWS
Misalnya, Anda dapat menggunakan satu akun di organisasi sebagai akun manajemen Grafana Terkelola Amazon, dan memberikan akses akun ini ke sumber data di akun lain di organisasi. Di akun manajemen, daftarkan semua unit organisasi yang memiliki sumber AWS data yang ingin Anda akses dengan akun manajemen. Ini secara otomatis membuat kebijakan peran dan izin yang Anda perlukan untuk menyiapkan sumber data ini, yang dapat Anda lihat di konsol Grafana di ruang kerja Grafana yang Dikelola Amazon.
Untuk informasi selengkapnya tentang Organizations, lihat Apa itu AWS Organizations.
Grafana Terkelola Amazon menggunakan AWS CloudFormation StackSets untuk secara otomatis membuat peran AWS Identity and Access Management (IAM) yang diperlukan untuk Grafana Terkelola Amazon untuk terhubung ke sumber data di seluruh organisasi Anda. AWS Sebelum Amazon Managed Grafana dapat mengelola kebijakan IAM Anda untuk mengakses sumber data di seluruh organisasi, Anda harus mengaktifkan AWS CloudFormation StackSets di akun manajemen organisasi Anda. Grafana yang Dikelola Amazon secara otomatis mengaktifkan ini saat pertama kali diperlukan.
Skenario penyebaran untuk integrasi dengan AWS IAM Identity Center dan Organizations
Jika Anda menggunakan Grafana Terkelola Amazon dengan keduanya dan AWS IAM Identity Center Organizations, sebaiknya Anda membuat ruang kerja Grafana Terkelola Amazon di organisasi Anda menggunakan salah satu dari tiga skenario berikut. Untuk setiap skenario, Anda harus masuk ke akun dengan izin yang memadai. Untuk informasi selengkapnya, lihat Contoh kebijakan untuk Grafana yang Dikelola Amazon.
Akun mandiri
Akun mandiri adalah AWS akun yang bukan anggota organisasi di Organizations. Ini adalah skenario yang mungkin terjadi jika Anda mencoba AWS untuk pertama kalinya.
Dalam skenario ini, Grafana Terkelola Amazon secara otomatis mengaktifkan dan AWS IAM Identity Center Organizations saat Anda masuk ke akun yang memiliki AWSGrafanaAccountAdministrator, AWSSSOMemberAccountAdministrator, dan AWSSSODirectoryAdministratorkebijakan. Untuk informasi selengkapnya, lihat Membuat dan mengelola ruang kerja Grafana yang Dikelola Amazon dan pengguna dalam satu akun mandiri menggunakan IAM Identity Center.
Akun anggota dari organisasi yang ada di mana Pusat Identitas IAM sudah dikonfigurasi
Untuk membuat ruang kerja di akun anggota, Anda harus masuk ke akun yang memiliki kebijakan AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator, dan AWSSSODirectoryAdministratorkebijakan. Untuk informasi selengkapnya, lihat Administrator Grafana di akun anggota menggunakan IAM Identity Center.
Jika Anda membuat ruang kerja di akun anggota dan ingin ruang kerja tersebut mengakses sumber daya dari AWS akun lain di organisasi, Anda harus menggunakan izin yang dikelola pelanggan di ruang kerja. Untuk informasi selengkapnya, lihat Izin yang dikelola pelanggan.
Untuk menggunakan izin yang dikelola layanan untuk memungkinkan ruang kerja mengakses sumber daya dari AWS akun lain di organisasi, Anda harus membuat ruang kerja di akun manajemen organisasi. Namun, bukan praktik terbaik untuk membuat ruang kerja Grafana yang Dikelola Amazon atau sumber daya lain di akun manajemen suatu organisasi. Untuk informasi selengkapnya tentang praktik terbaik Organizations, lihat Praktik terbaik untuk akun manajemen.
catatan
Jika Anda mengaktifkan AWS IAM Identity Center akun manajemen sebelum 25 November 2019, Anda juga harus mengaktifkan aplikasi terintegrasi Pusat Identitas IAM di akun manajemen. Secara opsional, Anda juga dapat mengaktifkan aplikasi terintegrasi Pusat Identitas IAM di akun anggota setelah Anda melakukannya di akun manajemen. Untuk mengaktifkan aplikasi ini, pilih Aktifkan akses di halaman Pengaturan Pusat Identitas IAM di bagian aplikasi terintegrasi Pusat Identitas IAM. Untuk informasi selengkapnya, lihat Pengaktifan aplikasi terintegrasi Pusat Identitas IAM.
Akun anggota dari organisasi yang ada di mana Pusat Identitas IAM belum digunakan
Dalam skenario ini, masuk sebagai administrator organisasi terlebih dahulu, dan aktifkan Pusat Identitas IAM di organisasi. Kemudian, buat ruang kerja Grafana Terkelola Amazon di akun anggota di organisasi.
Jika Anda bukan administrator organisasi, Anda harus menghubungi administrator untuk Organizations dan meminta mereka mengaktifkan IAM Identity Center. Setelah Pusat Identitas IAM diaktifkan, Anda kemudian dapat membuat ruang kerja di akun anggota.
Jika Anda membuat ruang kerja di akun anggota dan ingin ruang kerja tersebut mengakses sumber daya dari AWS akun lain di organisasi, Anda harus menggunakan izin yang dikelola pelanggan di ruang kerja. Untuk informasi selengkapnya, lihat Izin yang dikelola pelanggan.
Untuk membuat ruang kerja di akun anggota, Anda harus masuk ke akun yang memiliki kebijakan AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator, dan AWSSSODirectoryAdministratorkebijakan. Untuk informasi selengkapnya, lihat Administrator Grafana di akun anggota menggunakan IAM Identity Center.
