Utilizzalo AWS IAM Identity Center con il tuo spazio di lavoro Amazon Managed Grafana - Grafana gestito da Amazon
Autorizzazioni richieste per scenari che utilizzano IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzalo AWS IAM Identity Center con il tuo spazio di lavoro Amazon Managed Grafana

Amazon Managed Grafana si integra con AWS IAM Identity Center per fornire la federazione delle identità per la tua forza lavoro. Utilizzando Amazon Managed Grafana e IAM Identity Center, gli utenti vengono reindirizzati all'elenco aziendale esistente per accedere con le credenziali esistenti. Quindi, accedono senza problemi al loro spazio di lavoro Amazon Managed Grafana. Ciò garantisce l'applicazione di impostazioni di sicurezza come le politiche sulle password e l'autenticazione a due fattori. L'utilizzo di IAM Identity Center non influisce sulla configurazione IAM esistente.

Se non disponi di una directory utenti esistente o preferisci non eseguire la federazione, IAM Identity Center offre una directory utenti integrata che puoi utilizzare per creare utenti e gruppi per Amazon Managed Grafana. Amazon Managed Grafana non supporta l'uso di utenti e ruoli IAM per assegnare autorizzazioni all'interno di uno spazio di lavoro Amazon Managed Grafana.

Per ulteriori informazioni su IAM Identity Center, consulta What is. AWS IAM Identity Center Per ulteriori informazioni su come iniziare a usare IAM Identity Center, consulta Guida introduttiva.

Per utilizzare IAM Identity Center, devi aver AWS Organizations attivato anche l'account. Se necessario, Amazon Managed Grafana può attivare Organizations for you quando crei il tuo primo spazio di lavoro configurato per utilizzare IAM Identity Center.

Autorizzazioni richieste per scenari che utilizzano IAM Identity Center

Questa sezione spiega le politiche necessarie per utilizzare Amazon Managed Grafana con IAM Identity Center. Le politiche necessarie per amministrare Amazon Managed Grafana variano a seconda che l' AWS account faccia parte di un'organizzazione o meno.

Crea un amministratore Grafana negli account AWS Organizations

Per concedere le autorizzazioni per creare e gestire aree di lavoro Amazon Managed Grafana in un'organizzazione e per consentire dipendenze AWS IAM Identity Center come, assegna le seguenti politiche a un ruolo.

  • Assegna la policy AWSGrafanaAccountAdministratorIAM per consentire l'amministrazione degli spazi di lavoro Amazon Managed Grafana.

  • AWSSSODirectoryAdministratorconsente al ruolo di utilizzare IAM Identity Center durante la configurazione degli spazi di lavoro Amazon Managed Grafana.

  • Per consentire la creazione e la gestione di aree di lavoro Amazon Managed Grafana in tutta l'organizzazione, assegna al ruolo la AWSSSOMasterAccountAdministratorpolicy IAM. In alternativa, assegna al ruolo la policy AWSSSOMemberAccountAdministratorIAM per consentire la creazione e la gestione di spazi di lavoro all'interno di un unico account membro dell'organizzazione.

  • Facoltativamente, puoi anche assegnare al ruolo la policy AWSMarketplaceManageSubscriptionsIAM (o autorizzazioni equivalenti) se desideri consentire al ruolo di aggiornare uno spazio di lavoro Amazon Managed Grafana a Grafana enterprise.

Se desideri utilizzare le autorizzazioni gestite dal servizio quando crei un'area di lavoro Amazon Managed Grafana, il ruolo che crea l'area di lavoro deve avere anche le autorizzazioni, e. iam:CreateRole iam:CreatePolicy iam:AttachRolePolicy Questi sono necessari per implementare politiche che consentano di leggere le fonti di dati negli account dell'organizzazione. AWS CloudFormation StackSets

Importante

Se si concedono a un utente le autorizzazioni iam:AttachRolePolicy, iam:CreateRole e iam:CreatePolicy, questo disporrà dell'accesso amministrativo completo all'account AWS . Ad esempio, un utente con queste autorizzazioni può creare una policy che dispone di autorizzazioni complete per tutte le risorse e collegare tale policy a qualsiasi ruolo. Presta molta attenzione a chi concedi queste autorizzazioni.

Per vedere le autorizzazioni concesse a AWSGrafanaAccountAdministrator, vedi AWS politica gestita: AWSGrafanaAccountAdministrator

Crea e gestisci gli spazi di lavoro e gli utenti di Amazon Managed Grafana in un unico account indipendente

Un AWS account autonomo è un account che non è membro di un'organizzazione. Per ulteriori informazioni su AWS Organizations, vedi Cos'è AWS Organizations?

Per concedere l'autorizzazione a creare e gestire gli spazi di lavoro e gli utenti di Amazon Managed Grafana in un account autonomo, assegna le seguenti politiche IAM a un ruolo:

  • AWSGrafanaAccountAdministrator

  • AWSSSOMasterAccountAdministrator

  • AWSOrganizationsFullAccess

  • AWSSSODirectoryAdministrator

Importante

Concedendo un ruolo, la AWSOrganizationsFullAccesspolicy offre a tale ruolo l'accesso amministrativo completo al tuo account. AWS Presta molta attenzione a chi concedi queste autorizzazioni.

Per vedere le autorizzazioni concesse a AWSGrafanaAccountAdministrator, vedi AWS politica gestita: AWSGrafanaAccountAdministrator