Amazon Managed Grafana ワークスペースに対するユーザーとグループのアクセス権を管理する
Amazon Managed Grafana ワークスペースには、ID プロバイダー (IdP) または AWS IAM Identity Center で設定されたユーザーを使用してアクセスします。これらのユーザー (またはユーザーが属するグループ) にワークスペースへのアクセス権限を付与する必要があります。付与する権限は、User
、Editor
、または Admin
から選択します。
ユーザーまたはグループにアクセス権限を付与する
前提条件
-
ユーザーまたはユーザーグループに Amazon Managed Grafana ワークスペースに対するアクセス権を付与するには、まずユーザーまたはグループが ID プロバイダー (IdP) または AWS IAM Identity Center に設定されている必要があります。詳細については、「Amazon Managed Grafana ワークスペースでユーザーを認証する」を参照してください。
-
ユーザーやグループのアクセス権を管理するには、 AWS Identity and Access Management (IAM) ポリシー AWSGrafanaWorkspacePermissionManagementV2、またはそれと同等のアクセス権限を持つユーザーとしてサインインする必要があります。IAM Identity Center でユーザーを管理する場合、AWSSSOMemberAccountAdministrator および AWSSSODirectoryReadOnly の IAM ポリシー、または同等の権限も必要です。詳細については、「Amazon Managed Grafana に対するアクセス許可のユーザーへの割り当ておよび割り当て解除」を参照してください。
Amazon Managed Grafana コンソールを使用して Grafana ワークスペースに対するユーザーのアクセス権を管理する方法
-
Amazon Managed Grafana コンソール (https://console.aws.amazon.com/grafana/
) を開きます。 -
左側のナビゲーションペインで、メニューアイコンを選択します。
-
[すべての WorkSpaces] を選択します。
-
管理するワークスペースの名前を選択します。
-
[認証] タブを選択します。
-
このワークスペースで IAM Identity Center を使用している場合は、[ユーザーとユーザーグループの設定] を選択し、次のいずれか、または複数の操作を行います。
-
ユーザーに Amazon Managed Grafana ワークスペースへのアクセス権を付与するには、該当するユーザーのチェックボックスを選択し、[ユーザーを割り当て]] を選択します。
-
ユーザーをワークスペースの
Admin
にするには、[管理者にする] を選択します。 -
ユーザーのワークスペースに対するアクセス権を削除するには、[ユーザーの割り当てを解除]] を選択します。
-
ユーザーのグループ (LDAP グループなど) を追加するには、[割り当てられたユーザーグループ]] タブを選択します。次に、以下のいずれかを行います。
-
グループのメンバー全員に Amazon Managed Grafana ワークスペースに対するアクセス権を付与するには、グループの横にあるチェックボックスをオンにしてから、[グループの割り当て] を選択します。
-
グループのメンバー全員にワークスペース内の
Admin
ロールを付与するには、[管理者にする] を選択します。 -
グループのメンバー全員のワークスペースに対するアクセス権を削除するには、[グループの割り当てを解除] を選択します。
-
注記
IAM Identity Center を使用してユーザーを管理する場合、新しいユーザーやグループのプロビジョニングのみ IAM Identity Center コンソールで行います。Grafana ワークスペースに対するアクセス権の付与または削除は、Amazon Managed Grafana コンソールまたは API を使用して行います。
IAM Identity Center と Amazon Managed Grafana の間で同期が取れなくなった場合、競合を解決するためのオプションが表示されます。詳細については、以下の ユーザーおよびグループの設定時の権限不一致エラー を参照してください。
-
-
このワークスペースで SAML を使用している場合、[SAML 設定] を選択し、次のいずれかを実行します。
-
[インポート方法] に、以下のいずれかを選択します。
-
[URL] を選択して、IdP メタデータの URL を入力します。
-
[アップロードまたはコピー/貼り付け] を選択します。メタデータをアップロードする場合は、[ファイルを選択] を選択してメタデータファイルを選択します。または、コピーアンドペーストを使用する場合は、メタデータを [メタデータをインポート] にコピーします。
-
-
[アサーション属性ロール] に、ロール情報を抽出する SAML アサーション属性の名前を入力します。
-
[管理者ロール値] に、Amazon Managed Grafana ワークスペースの
Admin
ロールをすべて付与する必要がある IdP のユーザーロールを入力、または [ワークスペースへの管理者の割り当てをオプトアウトする] を選択します。注記
[ワークスペースへの管理者の割り当てをオプトアウトする] を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana コンソールを使用してワークスペースを管理することはできません。ワークスペースに対する管理変更は、Amazon Managed Grafana API を使用してのみ実行できます。
-
(任意) さらに SAML 設定を入力するには、[追加設定] を選択し、以下の 1 つ以上の操作を行い、[SAML 設定の保存]を選択します。このすべてのフィールドはオプションとなります。
-
[アサーション属性名] で、SAML ユーザーの完全な「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
-
[アサーション属性ログイン] で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。
-
[アサーション属性電子メール] で、SAML ユーザーの電子メール名として使用する SAML アサーション内の属性の名前を指定します。
-
[ログイン有効期間 (分単位)] で、それを過ぎると再度サインインする必要がある、SAML ユーザーのサインイン有効期間を指定しします。
-
[アサーション属性組織] で、ユーザー組織の「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
-
[アサーション属性グループ] で、ユーザーグループの「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
-
[許可される組織] では、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する 1 つ以上の組織を、カンマで区切って入力します。
-
[エディタロールの値] で、Amazon Managed Grafana ワークスペースで
Editor
ロールをすべて付与する必要がある IdP のユーザーロールを入力します。1 つ以上のロールを、カンマで区切って入力します。
-
-
-
または、ユーザーのグループ (LDAP グループなど) を追加するには、[ユーザーグループ] タブを選択します。次に、以下のいずれかを行います。
-
グループのメンバー全員に Amazon Managed Grafana ワークスペースに対するアクセス権を付与するには、グループの横にあるチェックボックスをオンにしてから、[グループの割り当て] を選択します。
-
グループのメンバー全員にワークスペース内の
Admin
ロールを付与するには、[管理者にする] を選択します。 -
グループのメンバー全員のワークスペースに対するアクセス権を削除するには、[グループの割り当てを解除] を選択します。
-
ユーザーおよびグループの設定時の権限不一致エラー
Amazon Managed Grafana コンソールでユーザーやグループを設定する際に、権限不一致エラーが発生することがあります。これは、Amazon Managed Grafana と IAM Identity Center が同期していないことを示します。この場合、Amazon Managed Grafana から警告と不一致を解決するための選択肢が表示されます。[解決]] を選択すると、Amazon Managed Grafana から同期されていないアクセス権限を持つユーザーが記載されたダイアログが表示されます。
IAM Identity Center から削除されたユーザーは、ダイアログで Unknown user
として表示され、数値 ID が表示されます。これらのユーザーに対する不一致の修正方法は、[解決]] を選択してアクセス権を削除する以外にありません。
IAM Identity Center にまだ存在するが、以前に持っていたアクセス権を持つグループに属していないユーザーは、解決リストにそのユーザー名が表示されます。この問題を解決する方法は 2 つあります。[解決]] ダイアログを使用してアクセス権を削除または制限するか、前のセクションの手順に従ってアクセス権を付与することです。
アクセス許可の不一致に関するよくある質問
Amazon Managed Grafana コンソールの「ユーザーとグループの設定」セクションで、アクセス許可の不一致を示すエラーが表示される理由は何ですか?
このメッセージが表示される理由は、IAM Identity Center のユーザーとグループの関連付けと、ワークスペースの Amazon Managed Grafana のアクセス権限に不一致が見つかったためです。Grafana ワークスペースへのユーザーの追加または削除は、Amazon Managed Grafana コンソール ([ユーザーとグループの設定] タブ) または IAM Identity Center コンソール (アプリケーションの割り当てページ) から行うことができます。ただし、Grafana ユーザーの権限設定は、(Amazon Managed Grafana コンソールまたは API を使用して) ユーザーまたはグループに [閲覧者]、[編集者]、または [管理者] 権限を割り当てることによって、Amazon Managed Grafana からのみ行うことができます。ユーザーは、異なる権限を持つ複数のグループに属することができます。この場合、ユーザーの権限は、そのユーザーが属するすべてのグループと権限の中で最も高いアクセスレベルが適用されます。
不一致の記録が発生する原因は以下が考えられます:
-
IAM Identity Center からユーザーまたはグループが削除されたが、Amazon Managed Grafana では削除されていない場合。この場合、Amazon Managed Grafana コンソールで [不明なユーザー] として表示されます。
-
IAM Identity Center ([アプリケーションの割り当て] の下) でユーザーまたはグループの Grafana との関連付けが削除されたが、Amazon Managed Grafana では削除されていない場合。
-
ユーザーの権限が以前、Grafana ワークスペースから直接更新された場合。Amazon Managed Grafana では Grafana ワークスペースからの更新はサポートされていません。
これらの不一致を回避するために、Amazon Managed Grafana コンソールまたは Amazon Managed Grafana API を使用して、ワークスペースのユーザーおよびグループの権限を管理することをお勧めします。
以前、Grafana ワークスペースから一部のチームメンバーのアクセスレベルを更新しましたが、現在、アクセスレベルが古いアクセスレベルに戻ってしまいました。このような現象が発生する理由と解決方法は?
これは、IAM Identity Center のユーザーとグループの関連付けと、ワークスペースの Amazon Managed Grafana の権限レコードの間で不一致が確認されたことが原因である可能性が高いと考えられます。チームメンバーに異なるアクセスレベルが割り当てられていて、お客様または Amazon Managed Grafana の管理者が Amazon Managed Grafana コンソールから不一致を解決するために不一致レコードを削除した可能性があります。Amazon Managed Grafana コンソールまたは API から必要なアクセスレベルを再度割り当てることで、必要な権限を復元することができます。
注記
Grafana ワークスペースからのユーザーアクセス管理はサポートされていません。ユーザーやグループの権限は、Amazon Managed Grafana コンソールまたは API を使用して割り当ててください。
アクセスレベルが変更されることがありますがその理由は何ですか? 例えば、以前は管理者権限がありましたが、現在は編集者権限になっています。
ワークスペースの管理者によって権限が変更された可能性があります。これは、IAM Identity Center のユーザーとグループの関連付けと、Amazon Managed Grafana の権限に不一致が生じた場合に起こることがあります。この場合、不一致を解消する過程で、より高い権限が削除された可能性があります。Amazon Managed Grafana コンソールから必要なアクセスレベルを再度割り当てるよう、管理者に依頼してください。