Kelola akses pengguna dan grup ke ruang kerja Grafana yang Dikelola Amazon - Amazon Managed Grafana
Berikan izin kepada pengguna atau grupKesalahan ketidakcocokan izinIzin ketidakcocokan pertanyaan yang sering diajukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola akses pengguna dan grup ke ruang kerja Grafana yang Dikelola Amazon

Anda mengakses ruang kerja Grafana Terkelola Amazon dengan pengguna yang disiapkan di penyedia Identitas (iDP) atau. AWS IAM Identity Center Anda harus memberikan izin kepada pengguna (atau grup tempat mereka berada) ke ruang kerja. Anda dapat memberi merekaUser,Editor, atau Admin izin.

Berikan izin kepada pengguna atau grup

Prasyarat

  • Untuk memberikan pengguna atau grup pengguna akses ke ruang kerja Grafana yang Dikelola Amazon, pengguna atau grup harus terlebih dahulu disediakan di penyedia Identitas (iDP) atau di dalamnya. AWS IAM Identity Center Untuk informasi selengkapnya, lihat Mengautentikasi pengguna di ruang kerja Grafana Terkelola Amazon.

  • Untuk mengelola akses pengguna dan grup, Anda harus masuk sebagai pengguna yang memiliki kebijakan AWS Identity and Access Management (IAM) AWSGrafanaWorkspacePermissionManagementV2, atau izin yang setara. Jika Anda mengelola pengguna dengan IAM Identity Center, Anda juga harus memiliki kebijakan AWSSSOMemberAccountAdministratordan AWSSSODirectoryReadOnlyIAM, atau izin yang setara. Untuk informasi selengkapnya, lihat Tetapkan dan batalkan penetapan akses pengguna ke Grafana Terkelola Amazon.

Untuk mengelola akses pengguna ke ruang kerja Grafana menggunakan konsol Grafana yang Dikelola Amazon

  1. Buka konsol Grafana Terkelola Amazon di https://console.aws.amazon.com/grafana/.

  2. Di panel navigasi kiri, pilih ikon menu.

  3. Pilih Semua ruang kerja.

  4. Pilih nama ruang kerja yang ingin Anda kelola.

  5. Pilih tab Otentikasi.

  6. Jika Anda menggunakan Pusat Identitas IAM di ruang kerja ini, pilih Konfigurasikan pengguna dan grup pengguna dan lakukan satu atau beberapa hal berikut:

    • Untuk memberi pengguna akses ke ruang kerja Grafana Terkelola Amazon, pilih kotak centang di sebelah pengguna, dan pilih Tetapkan pengguna.

    • Untuk menjadikan pengguna sebagai Admin ruang kerja, pilih Jadikan admin.

    • Untuk menghapus akses ruang kerja bagi pengguna, pilih Unassign user.

    • Untuk menambahkan grup pengguna seperti grup LDAP, pilih tab Grup pengguna yang ditugaskan. Kemudian, lakukan salah satu hal berikut:

      • Untuk memberi semua anggota grup akses ke ruang kerja Grafana Terkelola Amazon, pilih kotak centang di samping grup, lalu pilih Tetapkan grup.

      • Untuk memberi semua anggota grup Admin peran di ruang kerja, pilih Buat admin.

      • Untuk menghapus akses ruang kerja untuk semua anggota grup, pilih Batalkan penetapan grup.

    catatan

    Jika Anda menggunakan Pusat Identitas IAM untuk mengelola pengguna, gunakan konsol Pusat Identitas IAM hanya untuk menyediakan pengguna dan grup baru. Gunakan konsol Grafana yang Dikelola Amazon atau API untuk memberikan atau menghapus akses ke ruang kerja Grafana Anda.

    Jika Pusat Identitas IAM dan Grafana Terkelola Amazon tidak sinkron, Anda akan diberikan opsi untuk Menyelesaikan konflik apa pun. Untuk informasi lebih lanjut, lihatKesalahan ketidakcocokan izin saat mengonfigurasi pengguna dan grup, di bawah.

  7. Jika Anda menggunakan SAMP di ruang kerja ini, pilih konfigurasi SAMP dan lakukan satu atau beberapa hal berikut:

    • Untuk metode Impor, lakukan salah satu hal berikut:

      • Pilih URL dan masukkan URL metadata iDP.

      • Pilih Unggah atau salin/tempel. Jika Anda mengunggah metadata, pilih Pilih file dan pilih file metadata. Atau, jika Anda menggunakan salin dan tempel, salin metadata ke Impor metadata.

    • Untuk peran atribut Assertion, masukkan nama atribut pernyataan SAMP untuk mengekstrak informasi peran.

    • Untuk nilai peran Admin, masukkan peran pengguna dari IDP Anda yang semuanya harus diberikan Admin peran di ruang kerja Grafana Terkelola Amazon, atau pilih Saya ingin menolak menetapkan admin ke ruang kerja saya.

      catatan

      Jika Anda memilih, saya ingin memilih untuk tidak menetapkan admin ke ruang kerja saya. , Anda tidak akan dapat menggunakan konsol Grafana Terkelola Amazon untuk mengelola ruang kerja, termasuk tugas seperti mengelola sumber data, pengguna, dan izin dasbor. Anda dapat membuat perubahan administratif pada ruang kerja hanya dengan menggunakan Amazon Managed Grafana API.

    • (Opsional) Untuk memasukkan pengaturan SAMP tambahan, pilih Pengaturan tambahan dan lakukan satu atau beberapa hal berikut, lalu pilih Simpan konfigurasi SAMP. Semua bidang ini opsional.

      • Untuk nama atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama “ramah” lengkap pengguna untuk pengguna SAMP.

      • Untuk login atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama login pengguna untuk pengguna SAMP.

      • Untuk email atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama email pengguna untuk pengguna SAMP.

      • Untuk durasi validitas Login (dalam hitungan menit), tentukan berapa lama login pengguna SAMP valid sebelum pengguna harus masuk lagi.

      • Untuk organisasi atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama “ramah” untuk organisasi pengguna.

      • Untuk grup atribut Assertion, tentukan nama atribut dalam pernyataan SAMP yang akan digunakan untuk nama “ramah” untuk grup pengguna.

      • Untuk organisasi yang Diizinkan, Anda dapat membatasi akses pengguna hanya ke pengguna yang merupakan anggota organisasi tertentu di IDP. Masukkan satu atau lebih organisasi untuk mengizinkan, pisahkan dengan koma.

      • Untuk nilai peran Editor, masukkan peran pengguna dari IDP Anda yang semuanya harus diberikan Editor peran di ruang kerja Grafana Terkelola Amazon. Masukkan satu atau lebih peran, dipisahkan dengan koma.

  8. Atau, untuk menambahkan grup pengguna seperti grup LDAP, pilih tab Grup Pengguna. Kemudian, lakukan salah satu hal berikut:

    • Untuk memberi semua anggota grup akses ke ruang kerja Grafana Terkelola Amazon, pilih kotak centang di samping grup, lalu pilih Tetapkan grup.

    • Untuk memberi semua anggota grup Admin peran di ruang kerja, pilih Buat admin.

    • Untuk menghapus akses ruang kerja untuk semua anggota grup, pilih Batalkan penetapan grup.

Kesalahan ketidakcocokan izin saat mengonfigurasi pengguna dan grup

Anda mungkin mengalami kesalahan ketidakcocokan saat mengonfigurasi pengguna dan grup di konsol Grafana Terkelola Amazon. Ini menunjukkan bahwa Grafana Terkelola Amazon dan Pusat Identitas IAM tidak sinkron. Dalam hal ini, Grafana Terkelola Amazon menampilkan peringatan dan pilihan untuk Mengatasi ketidakcocokan. Jika Anda memilih Selesaikan, Grafana Terkelola Amazon menampilkan dialog dengan daftar pengguna yang memiliki izin yang tidak sinkron.

Pengguna yang telah dihapus dari IAM Identity Center muncul sebagaiUnknown user, dengan ID numerik dalam dialog. Untuk pengguna ini, satu-satunya cara untuk memperbaiki ketidakcocokan adalah dengan memilih Resolve, dan menghapus izin mereka.

Pengguna yang masih berada di Pusat Identitas IAM, tetapi tidak lagi menjadi anggota grup dengan hak akses yang mereka miliki sebelumnya, muncul dengan nama pengguna mereka di daftar Selesaikan. Ada dua cara untuk memperbaiki masalah ini. Anda dapat menggunakan dialog Resolve untuk menghapus atau mengurangi aksesnya, atau Anda dapat memberi mereka akses dengan mengikuti petunjuk di bagian sebelumnya.

Pertanyaan yang sering diajukan tentang ketidakcocokan izin

Mengapa saya melihat kesalahan yang menyatakan ketidakcocokan dalam izin di bagian Konfigurasi Pengguna dan Grup di konsol Grafana Terkelola Amazon?

Anda melihat pesan ini karena ketidakcocokan telah diidentifikasi di pengguna dan asosiasi grup di Pusat Identitas IAM dan izin di Grafana Terkelola Amazon untuk ruang kerja Anda. Anda dapat menambahkan atau menghapus pengguna ke ruang kerja Grafana dari konsol Grafana Terkelola Amazon (di tab Konfigurasi Pengguna dan Grup), atau dari konsol Pusat Identitas IAM (halaman penetapan aplikasi). Namun, izin pengguna Grafana hanya dapat ditentukan dari Grafana Terkelola Amazon (menggunakan konsol atau API Grafana yang Dikelola Amazon), dengan menetapkan izin Penampil, Editor, atau Admin ke pengguna atau grup. Seorang pengguna dapat menjadi bagian dari beberapa grup dengan berbagai izin, dalam hal ini izin mereka didasarkan pada tingkat akses tertinggi di semua grup dan izin yang dimiliki pengguna.

Catatan yang tidak cocok dapat dihasilkan dari:

  • Pengguna atau grup dihapus dari Pusat Identitas IAM, tetapi tidak di Grafana Terkelola Amazon. Catatan ini ditampilkan sebagai Pengguna tidak dikenal di konsol Grafana yang Dikelola Amazon.

  • Asosiasi pengguna atau grup dengan Grafana dihapus di Pusat Identitas IAM (di bawah penetapan Aplikasi), tetapi tidak di Grafana Terkelola Amazon.

  • Izin pengguna sebelumnya diperbarui dari ruang kerja Grafana secara langsung. Pembaruan dari ruang kerja Grafana tidak didukung di Grafana Terkelola Amazon.

Untuk menghindari ketidakcocokan ini, gunakan konsol Grafana Terkelola Amazon atau API Grafana yang Dikelola Amazon untuk mengelola izin pengguna dan grup untuk ruang kerja Anda.

Saya sebelumnya telah memperbarui level akses untuk beberapa anggota tim saya dari ruang kerja Grafana. Sekarang saya melihat bahwa tingkat akses mereka dikembalikan ke tingkat akses mereka yang lebih lama. Mengapa saya melihat ini dan bagaimana saya menyelesaikannya?

Hal ini kemungkinan besar disebabkan oleh ketidakcocokan yang diidentifikasi antara asosiasi pengguna dan grup di Pusat Identitas IAM dan izin mencatat Grafana Terkelola Amazon untuk ruang kerja Anda. Jika anggota tim Anda mengalami tingkat akses yang berbeda, Anda atau admin untuk Grafana Terkelola Amazon Anda mungkin telah menyelesaikan ketidakcocokan dari konsol Grafana Terkelola Amazon, menghapus catatan yang tidak cocok. Anda dapat menetapkan kembali tingkat akses yang diperlukan dari konsol Grafana yang Dikelola Amazon atau API untuk memulihkan izin yang diinginkan.

catatan

Manajemen akses pengguna tidak didukung dari ruang kerja Grafana. Gunakan konsol Grafana yang Dikelola Amazon atau API untuk menetapkan izin pengguna atau grup.

Mengapa saya melihat perubahan pada tingkat akses saya? Misalnya, saya sebelumnya memiliki akses admin, tetapi sekarang hanya memiliki izin editor.

Admin untuk ruang kerja Anda mungkin telah mengubah izin Anda. Ini dapat terjadi secara tidak sengaja jika terjadi ketidakcocokan antara pengguna dan asosiasi grup Anda di Pusat Identitas IAM dan izin Anda di Grafana Terkelola Amazon. Dalam hal ini, menyelesaikan ketidakcocokan mungkin telah menghapus izin akses Anda yang lebih tinggi. Anda dapat meminta admin untuk menetapkan kembali tingkat akses yang diperlukan dari konsol Grafana Terkelola Amazon.