翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana が AWS データソースアクセス AWS Organizations のために と連携する方法

を使用すると AWS Organizations、複数の AWS アカウントのデータソース設定とアクセス許可設定を一元管理できます。Amazon Managed Grafana ワークスペース AWS アカウント を使用する では、他の組織単位を指定して、プライマリアカウントで AWS データソースを表示できるようにします。

例えば、組織内の 1 つのアカウントを Amazon Managed Grafana 管理アカウント として使用し、このアカウントに組織内の他のアカウントのデータソースへのアクセスを許可できます。管理アカウントで、管理アカウントでアクセスする AWS データソースを持つすべての組織単位を一覧表示します。これにより、これらのデータソースの設定に必要なロールとアクセス許可ポリシーが自動的に作成されます。このポリシーは、Amazon Managed Grafana ワークスペースの Grafana コンソールに表示されます。

Organizations の詳細については、「 とは AWS Organizations」を参照してください。

Amazon Managed Grafana は AWS CloudFormation StackSets を使用して、Amazon Managed Grafana が AWS 組織全体のデータソースに接続するために必要な AWS Identity and Access Management (IAM) ロールを自動的に作成します。Amazon Managed Grafana が組織全体のデータソースにアクセスするための IAM ポリシーを管理できるようにするには、組織の管理アカウント AWS CloudFormation StackSets で を有効にする必要があります。Amazon Managed Grafana は、初めて必要になったときにこれを自動的に有効にします。

AWS IAM Identity Center および Organizations との統合のためのデプロイシナリオ

AWS IAM Identity Center と Organizations の両方で Amazon Managed Grafana を使用している場合は、次の 3 つのシナリオのいずれかを使用して、組織内に Amazon Managed Grafana ワークスペースを作成することをお勧めします。シナリオごとに、十分なアクセス許可を持つアカウントにサインインする必要があります。詳細については、「Amazon Managed Grafana のサンプルポリシー」を参照してください。

スタンドアロンアカウント

スタンドアロンアカウントは、Organizations の組織のメンバーではない AWS アカウントです。これは、初めて試す場合 AWS のシナリオである可能性があります。

このシナリオでは、、、 AWS IAM Identity Center および AWSSSODirectoryAdministratorポリシーを持つアカウントにサインインするとAWSGrafanaAccountAdministrator、Amazon Managed Grafana によって AWSSSOMemberAccountAdministratorおよび Organizations が自動的に有効になります。詳細については、「IAM Identity Center を使用して、単一のスタンドアロンアカウントで Amazon Managed Grafana ワークスペースとユーザーを作成および管理します。」を参照してください。

IAM Identity Center が既に設定されている既存の組織のメンバーアカウント

メンバーアカウントにワークスペースを作成するには、、AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministratorおよび AWSSSODirectoryAdministratorポリシーを持つアカウントにサインインする必要があります。詳細については、「IAM Identity Center を使用するメンバーアカウントの Grafana 管理者」を参照してください。

メンバーアカウントでワークスペースを作成し、そのワークスペースから組織内の他の AWS アカウントのリソースにアクセスする場合は、ワークスペースでカスタマー管理アクセス許可を使用する必要があります。詳細については、「カスタマー管理アクセス許可」を参照してください。

サービス管理アクセス許可を使用して、ワークスペースが組織内の他の AWS アカウントからリソースにアクセスできるようにするには、組織の管理アカウントにワークスペースを作成する必要があります。ただし、組織の管理アカウントに Amazon Managed Grafana ワークスペースやその他のリソースを作成するのはベストプラクティスではありません。Organizations のベストプラクティスの詳細については、「管理アカウントのベストプラクティス」を参照してください。

IAM Identity Center がまだデプロイされていない既存の組織のメンバーアカウント

このシナリオでは、まず組織管理者としてサインインし、組織内で IAM Identity Center を有効にします。次に、組織のメンバーアカウントに Amazon Managed Grafana ワークスペースを作成します。

組織の管理者でない場合は、Organizations の管理者に連絡して、IAM Identity Center を有効にするようにリクエストする必要があります。IAM Identity Center を有効にしたら、メンバーアカウントにワークスペースを作成できます。

メンバーアカウントでワークスペースを作成し、そのワークスペースから組織内の他の AWS アカウントのリソースにアクセスする場合は、ワークスペースでカスタマー管理アクセス許可を使用する必要があります。詳細については、「カスタマー管理アクセス許可」を参照してください。

メンバーアカウントにワークスペースを作成するには、、AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministratorおよび AWSSSODirectoryAdministratorポリシーを持つアカウントにサインインする必要があります。詳細については、「IAM Identity Center を使用するメンバーアカウントの Grafana 管理者」を参照してください。