Amazon Managed Grafana ワークスペースで AWS IAM Identity Center を使用する - Amazon Managed Grafana
IAM Identity Center を使用するために必要なアクセス権限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana ワークスペースで AWS IAM Identity Center を使用する

Amazon Managed Grafana は、従業員に ID フェデレーションを提供するために AWS IAM Identity Center と統合してします。Amazon Managed Grafana と IAM Identity Center を使用した場合、ユーザーはまず、自社のディレクトリにリダイレクトされ、既存の認証情報でサインインします。その後、Amazon Managed Grafana ワークスペースにシームレスにサインインされます。これにより、パスワードポリシーや 2 要素認証などのセキュリティ設定が適用されます。IAM Identity Center を使用した場合も、既存の IAM 設定には影響しません。

既存のユーザーディレクトリがない場合、またはフェデレーションを希望しない方のために、IAM Identity Center は Amazon Managed Grafana のユーザーとグループを作成するために使用できる統合ユーザーディレクトリを提供しています。Amazon Managed Grafana では、IAM ユーザーとロールを使用して Amazon Managed Grafana ワークスペース内のアクセス権限を割り当てることはできません。

IAM Identity Center の詳細については、「AWS IAM Identity Center とは」を参照してください。IAM Identity Center を始めるための詳細については、「開始方法」を参照してください。

IAM Identity Center を使用するには、 アカウントでも AWS Organizations が有効化されている必要があります。必要に応じて、Amazon Managed Grafana は、IAM Identity Center を使用するように設定された最初のワークスペースを作成するときに Organizations をアクティブ化することもできます。

IAM Identity Center を使用するために必要なアクセス権限

このセクションでは、Amazon Managed Grafana で IAM Identity Center を使用するために必要なポリシーについて説明します。Amazon Managed Grafana を管理するために必要なポリシーは、AWS アカウントが組織に参加しているかどうかによって異なります。

AWS Organizations アカウントで Grafana 管理者を作成します。

組織内に Amazon Managed Grafana ワークスペースを作成および管理するためのアクセス権限を付与し、AWS IAM Identity Center などの依存関係を許可するには、次のポリシーをロールに割り当てます。

  • AWSGrafanaAccountAdministrator IAM ポリシー: Amazon Managed Grafana ワークスペースの管理を許可します。

  • AWSSSODirectoryAdministrator: Amazon Managed Grafana ワークスペースの設定時に IAM Identity Center の使用を許可します。

  • AWSSSOMasterAccountAdministrator IAM ポリシー: 組織全体の Amazon Managed Grafana ワークスペースの作成と管理を許可する場合、これを付与します。AWSSSOMemberAccountAdministrator IAM ポリシー: 組織の単一のメンバーアカウント内のワークスペースの作成と管理を許可する場合、これを付与します。

  • AWSMarketplaceManageSubscriptions IAM ポリシー (または同等のアクセス許可): Amazon Managed Grafana ワークスペースを Grafana エンタープライズにアップグレードすることを許可します (任意)。

Amazon Managed Grafana ワークスペースの作成時にサービス管理のアクセス許可を使用する場合、ワークスペースを作成するロールに iam:CreateRoleiam:CreatePolicy、および iam:AttachRolePolicy 権限も必要です。これらの権限は、AWS CloudFormation StackSets を使用して、組織のアカウント内のデータソースを読み取ることを許可するポリシーを展開するために必要です。

重要

ユーザーに、iam:CreateRoleiam:CreatePolicy、および iam:AttachRolePolicy アクセス許可を付与すると、そのユーザーには、AWS アカウントへの完全な管理アクセス許可が与えられます。たとえば、これらのアクセス許可を持つユーザーは、すべてのリソースに対する完全なアクセス許可を持つポリシーを作成し、そのポリシーを任意のロールにアタッチできます。これらのアクセス許可を付与するユーザーには十分注意してください。

AWSGrafanaAccountAdministrator に付与された権限を確認するには、「AWS マネージドポリシー: AWSGrafanaAccountAdministrator」を参照してください。

Amazon Managed Grafana ワークスペースとユーザーを単一のスタンドアロンアカウントで作成および管理する

スタンドアロンの AWS アカウントとは、組織のメンバーではないアカウントのことです。AWS Organizations の詳細については、「AWS Organizations とは」を参照してください。

スタンドアロンアカウントで Amazon Managed Grafana ワークスペースとユーザーを作成および管理するための権限を付与するには、次の IAM ポリシーをロールに割り当てます。

  • AWSGrafanaAccountAdministrator

  • AWSSSOMasterAccountAdministrator

  • AWSOrganizationsFullAccess

  • AWSSSODirectoryAdministrator

重要

ロールに AWSOrganizationsFullAccess ポリシーを付与すると、そのロールに AWS アカウントへの完全な管理権限が付与されます。これらのアクセス許可を付与するユーザーには十分注意してください。

AWSGrafanaAccountAdministrator に付与された権限を確認するには、「AWS マネージドポリシー: AWSGrafanaAccountAdministrator」を参照してください。