翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana が AWS データソースアクセス AWS Organizations のために と連携する方法

を使用すると AWS Organizations、複数の AWS アカウントのデータソース設定とアクセス許可設定を一元管理できます。Amazon Managed Grafana ワークスペース AWS アカウント を使用する では、他の組織単位を指定して、 AWS データソースをプライマリアカウントで表示できるようにします。

例えば、組織内の 1 つのアカウントに組織内の他のアカウントのデータソースへのアクセス権を付与して、これを Amazon Managed Grafana の管理アカウントとして使用することができます。管理アカウントで、管理アカウントでアクセスする AWS データソースを持つすべての組織単位を一覧表示します。これらのデータソースの設定に必要なロールとアクセス許可ポリシーが自動的に作成され、Amazon Managed Grafana ワークスペースの Grafana コンソールに表示されます。

Organizations の詳細については、「AWS Organizationsとは」を参照してください。

Amazon Managed Grafana は、 AWS CloudFormation StackSets を使用して、Amazon Managed Grafana が AWS 組織全体のデータソースに接続するために必要な AWS Identity and Access Management (IAM) ロールを自動的に作成します。Amazon Managed Grafana が IAM ポリシーを管理して組織全体のデータソースにアクセスする前に、組織の管理アカウントで AWS CloudFormation StackSets を有効にする必要があります。Amazon Managed Grafana は、初めて必要になったときにこれを自動的に有効にします。

AWS IAM Identity Center および Organizations との統合のためのデプロイシナリオ

AWS IAM Identity Center と Organizations の両方で Amazon Managed Grafana を使用している場合は、次の 3 つのシナリオのいずれかを使用して、組織内に Amazon Managed Grafana ワークスペースを作成することをお勧めします。シナリオごとに、十分なアクセス許可を持つアカウントにサインインする必要があります。詳細については、「Amazon Managed Grafana のサンプルポリシー」を参照してください。

スタンドアロンアカウント

スタンドアロンアカウントは、Organizations の組織のメンバーではない AWS アカウントです。これは、初めて試す場合 AWS のシナリオです。

このシナリオでは、AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator、 AWS IAM Identity Center および AWSSSODirectoryAdministrator ポリシーを持つアカウントにサインインすると、Amazon Managed Grafana が自動的に と Organizations を有効にします。 AWSGrafanaAccountAdministrator 詳細については、「Amazon Managed Grafana ワークスペースとユーザーを IAM Identity Center を使用する単一スタンドアロンアカウントで作成および管理する」を参照してください。

IAM Identity Center が既に設定されている既存の組織のメンバーアカウント

メンバーアカウントでワークスペースを作成するには、AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator、およびAWSSSODirectoryAdministrator ポリシーを持つアカウントでサインインする必要があります。詳細については、「IAM Identity Center を使用するメンバーアカウントの Grafana 管理者」を参照してください。

メンバーアカウントにワークスペースを作成し、そのワークスペースから組織内の他の AWS アカウントのリソースにアクセスできるようにするには、ワークスペースでカスタマー管理アクセス許可を使用する必要があります。詳細については、「「カスタマー管理」のアクセス許可」を参照してください。

サービスマネージド型のアクセス許可を使用して、ワークスペースが組織内の他の AWS アカウントからリソースにアクセスできるようにするには、組織の管理アカウントにワークスペースを作成する必要があります。ただし、組織の管理アカウントに Amazon Managed Grafana ワークスペースやその他のリソースを作成することはベストプラクティスではありません。Organizations のベストプラクティスの詳細については、「管理アカウントのベストプラクティス」を参照してください。

IAM Identity Center がまだデプロイされていない既存の組織のメンバーアカウント

このシナリオでは、まず組織管理者としてサインインし、組織内で IAM Identity Center を有効にします。次に、組織内のメンバーアカウントに Amazon Managed Grafana ワークスペースを作成します。

おなたが組織の管理者でない場合、Organizations の管理者に連絡して、IAM Identity Center を有効にするように依頼する必要があります。IAM Identity Center が有効になったら、メンバーアカウントにワークスペースを作成できます。

メンバーアカウントにワークスペースを作成し、そのワークスペースから組織内の他の AWS アカウントのリソースにアクセスできるようにするには、ワークスペースでカスタマー管理アクセス許可を使用する必要があります。詳細については、「「カスタマー管理」のアクセス許可」を参照してください。

メンバーアカウントでワークスペースを作成するには、AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator、およびAWSSSODirectoryAdministrator ポリシーを持つアカウントでサインインする必要があります。詳細については、「IAM Identity Center を使用するメンバーアカウントの Grafana 管理者」を参照してください。