Amazon Managed Grafana ワークスペースへのユーザーおよびグループのアクセスを管理する - Amazon Managed Grafana

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana ワークスペースへのユーザーおよびグループのアクセスを管理する

ID プロバイダー (IdP) または で設定されたユーザーを使用して Amazon Managed Grafana ワークスペースにアクセスします AWS IAM Identity Center。これらのユーザー (またはそれらが属するグループ) にワークスペースへのアクセス許可を付与する必要があります。、UserEditorまたは のAdminアクセス許可を付与できます。

ユーザーまたはグループにアクセス許可を付与する

前提条件

  • Amazon Managed Grafana ワークスペースへのアクセス権をユーザーまたはユーザーグループに付与するには、まずユーザーまたはグループを ID プロバイダー (IdP) または でプロビジョニングする必要があります AWS IAM Identity Center。詳細については、「Amazon Managed Grafana ワークスペースでユーザーを認証する」を参照してください。

  • ユーザーとグループのアクセスを管理するには、 AWS Identity and Access Management (IAM) ポリシー AWSGrafanaWorkspacePermissionManagementV2、または同等のアクセス許可を持つユーザーとしてサインインする必要があります。IAM Identity Center でユーザーを管理する場合は、 AWSSSOMemberAccountAdministratorおよび IAM AWSSSODirectoryReadOnly ポリシー、または同等のアクセス許可も必要です。詳細については、「Amazon Managed Grafana へのユーザーアクセスの割り当てと割り当て解除」を参照してください。

Amazon Managed Grafana コンソールを使用して Grafana ワークスペースへのユーザーアクセスを管理するには
  1. https://console.aws.amazon.com/grafana/ で Amazon Managed Grafana コンソールを開きます。

  2. 左側のナビゲーションペインで、メニューアイコンを選択します。

  3. [すべての WorkSpaces] を選択します。

  4. 管理するワークスペースの名前を選択します。

  5. 認証タブを選択します。

  6. このワークスペースで IAM Identity Center を使用している場合は、ユーザーとユーザーグループの設定を選択し、次のいずれかを実行します。

    • Amazon Managed Grafana ワークスペースへのアクセス権をユーザーに付与するには、ユーザーの横にあるチェックボックスをオンにし、ユーザーの割り当て を選択します。

    • ユーザーをワークスペースAdminの にするには、管理者にする を選択します。

    • ユーザーのワークスペースアクセスを削除するには、ユーザーの割り当て解除 を選択します。

    • LDAP グループなどのユーザーのグループを追加するには、割り当てられたユーザーグループタブを選択します。次に、以下のいずれかを行います。

      • Amazon Managed Grafana ワークスペースへのアクセス権をグループのメンバー全員に付与するには、グループの横にあるチェックボックスを選択し、グループの割り当て を選択します。

      • グループのすべてのメンバーにワークスペース内のAdminロールを付与するには、管理者にする を選択します。

      • グループ のすべてのメンバーのワークスペースアクセスを削除するには、グループ の割り当て解除 を選択します。

    注記

    IAM Identity Center を使用してユーザーを管理する場合は、IAM Identity Center コンソールを使用して新しいユーザーとグループをプロビジョニングするだけです。Amazon Managed Grafana コンソールまたは APIs を使用して、Grafana ワークスペースへのアクセスを許可または削除します。

    IAM Identity Center と Amazon Managed Grafana が同期しなくなった場合は、競合を解決するオプションが表示されます。詳細については、以下のユーザーとグループの設定時のアクセス許可の不一致エラー「」を参照してください。

  7. このワークスペースで SAML を使用している場合は、SAML 設定を選択し、次のいずれかを実行します。

    • インポートメソッド で、次のいずれかを実行します。

      • URL を選択し、IdP メタデータの URL を入力します。

      • をアップロードまたはコピー/貼り付けを選択します。メタデータをアップロードする場合は、ファイルを選択 を選択し、メタデータファイルを選択します。または、コピーアンドペーストを使用している場合は、メタデータ をインポート にコピーします

    • アサーション属性ロール には、ロール情報を抽出する SAML アサーション属性の名前を入力します。

    • 管理者ロールの値 には、Amazon Managed Grafana ワークスペースでロールをすべて付与する必要がある IdP のユーザーAdminロールを入力するか、ワークスペースへの管理者の割り当てをオプトアウトするかを選択します。

      注記

      ワークスペースへの管理者の割り当てをオプトアウトすることを選択した場合、データソース、ユーザー、ダッシュボードのアクセス許可の管理などのタスクを含め、Amazon Managed Grafana コンソールを使用してワークスペースを管理することはできません。ワークスペースの管理上の変更は、Amazon Managed Grafana APIs を使用してのみ行うことができます。

    • (オプション) 追加の SAML 設定を入力するには、追加設定 を選択し、次の操作を 1 つ以上実行してから、SAML 設定の保存 を選択します。このすべてのフィールドはオプションとなります。

      • アサーション属性名 には、SAML ユーザーの完全な「わかりやすい」名前に使用する SAML アサーション内の属性名を指定します。

      • アサーション属性ログイン では、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性 E メール では、SAML ユーザーのユーザー E メール名に使用する SAML アサーション内の属性の名前を指定します。

      • ログイン有効期間 (分単位) では、SAML ユーザーのサインインが有効である期間を指定してから、ユーザーが再度サインインする必要があります。

      • アサーション属性組織 では、ユーザー組織の「フレンドリ」名に使用する SAML アサーション内の属性の名前を指定します。

      • アサーション属性グループ では、ユーザーグループの「わかりやすい」名前に使用する SAML アサーション内の属性の名前を指定します。

      • 許可された組織 の場合、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する組織をカンマで区切って 1 つ以上入力します。

      • エディタのロール値 には、IdP のユーザーロールを入力します。このEditorロールはすべて Amazon Managed Grafana ワークスペースで付与される必要があります。1 つ以上のロールをカンマで区切って入力します。

  8. または、LDAP グループなどのユーザーのグループを追加するには、ユーザーグループタブを選択します。次に、以下のいずれかを行います。

    • Amazon Managed Grafana ワークスペースへのアクセス権をグループのメンバー全員に付与するには、グループの横にあるチェックボックスを選択し、グループの割り当て を選択します。

    • グループのすべてのメンバーにワークスペース内のAdminロールを付与するには、管理者にする を選択します。

    • グループ のすべてのメンバーのワークスペースアクセスを削除するには、グループ の割り当て解除 を選択します。

ユーザーとグループの設定時のアクセス許可の不一致エラー

Amazon Managed Grafana コンソールでユーザーとグループを設定するときに、不一致エラーが発生する可能性があります。これは、Amazon Managed Grafana と IAM Identity Center が同期していないことを示します。この場合、Amazon Managed Grafana は警告と不一致を解決する選択肢を表示します。解決 を選択すると、Amazon Managed Grafana は同期されていないアクセス許可を持つユーザーのリストを含むダイアログを表示します。

IAM Identity Center から削除されたユーザーは、 として表示されUnknown user、ダイアログに数値 ID が表示されます。これらのユーザーの場合、不一致を修正する唯一の方法は、解決 を選択し、アクセス許可を削除することです。

IAM Identity Center にまだいるが、以前に持っていたアクセス権を持つグループに属していないユーザーは、Resolve リストにユーザー名が表示されます。この問題を解決するには、2 つの方法があります。Resolve ダイアログを使用してアクセスを削除または減らすか、前のセクションの指示に従ってアクセスを許可できます。

アクセス許可の不一致に関するよくある質問

Amazon Managed Grafana コンソールの「ユーザーとグループの設定」セクションで、アクセス許可が一致しないというエラーが表示されるのはなぜですか?

このメッセージが表示されるのは、IAM Identity Center のユーザーとグループの関連付けと、ワークスペースの Amazon Managed Grafana のアクセス許可が一致していないためです。Amazon Managed Grafana コンソール (ユーザーとグループの設定タブ) または IAM Identity Center コンソール (アプリケーションの割り当てページ) から、Grafana ワークスペースにユーザーを追加または削除できます。ただし、Grafana ユーザーアクセス許可は、ビューワー 、エディタ 、または管理者アクセス許可をユーザーまたはグループに割り当てることによって、Amazon Managed Grafana から (Amazon Managed Grafana コンソールまたは APIs を使用して) のみ定義できます。 ユーザーは、さまざまなアクセス許可を持つ複数のグループに属すことができます。その場合、そのアクセス許可は、すべてのグループで最高レベルのアクセスレベルと、ユーザーが属するアクセス許可に基づきます。

レコードの不一致は、次の原因によって発生する可能性があります。

  • ユーザーまたはグループは IAM Identity Center から削除されますが、Amazon Managed Grafana では削除されません。これらのレコードは、Amazon Managed Grafana コンソールで不明ユーザーとして表示されます。

  • ユーザーまたはグループの Grafana との関連付けは、IAM Identity Center (アプリケーション割り当て の下) では削除されますが、Amazon Managed Grafana では削除されません。

  • ユーザーアクセス許可は、以前に Grafana ワークスペースから直接更新されました。Grafana ワークスペースからの更新は、Amazon Managed Grafana ではサポートされていません。

これらの不一致を回避するには、Amazon Managed Grafana コンソールまたは Amazon Managed Grafana APIs を使用して、ワークスペースのユーザーおよびグループのアクセス許可を管理します。

以前に Grafana ワークスペースから一部のチームメンバーのアクセスレベルを更新しました。これで、アクセスレベルが古いアクセスレベルに戻ったことがわかります。これが表示される理由と解決方法

これは、ほとんどの場合、IAM Identity Center のユーザーとグループの関連付けと、ワークスペースの Amazon Managed Grafana のアクセス許可レコードとの間に不一致があることが原因です。チームメンバーがさまざまなアクセスレベルを経験している場合、Amazon Managed Grafana の管理者または が Amazon Managed Grafana コンソールから不一致を解決し、一致しないレコードを削除した可能性があります。Amazon Managed Grafana コンソールまたは APIs から必要なアクセスレベルを再割り当てして、必要なアクセス許可を復元できます。

注記

ユーザーアクセス管理は、Grafana ワークスペースではサポートされていません。Amazon Managed Grafana コンソールまたは APIs を使用して、ユーザーまたはグループのアクセス許可を割り当てます。

アクセスレベルの変化に気付くのはなぜですか? 例えば、以前は管理者アクセス権を持っていましたが、現在はエディタ権限しかありませんでした。

ワークスペースの管理者がアクセス許可を変更した可能性があります。これは、IAM Identity Center のユーザーとグループの関連付けと Amazon Managed Grafana のアクセス許可が一致しない場合に、誤って発生する可能性があります。この場合、不一致を解決すると、より高いアクセス許可が削除された可能性があります。Amazon Managed Grafana コンソールから必要なアクセスレベルを再割り当てするように管理者にリクエストできます。