Amazon Managed Grafana リソースの作成および使用方法について説明します - Amazon Managed Grafana
ユーザー認証必要なアクセス許可最初のワークスペースを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana リソースの作成および使用方法について説明します

このチュートリアルは Amazon Managed Grafana の使用を開始するのに役立ちます。最初のワークスペースを作成してから、そのワークスペースの Grafana コンソールに接続します。

ワークスペースは、論理 Grafana サーバーです。アカウント内の各リージョンには、最大 5 つのワークスペースを設定できます。

注記

AWS アカウント をお持ちでない場合は、AWS を設定して Amazon Managed Grafana を使用する方法を学ぶことから始めます。

トピック

ユーザー認証

Amazon Managed Grafana はワークスペース内のユーザー認証で以下のオプションをサポートしています。

  • ID プロバイダー (IdP) に保存されているユーザー認証情報、Security Assertion Markup Language 2.0 (SAML 2.0) による認証

  • AWS IAM Identity Center

SAML

SAML を使用する場合は、ユーザーを ID プロバイダーで作成済みである必要があります。Amazon Managed Grafana は SAML 2.0 をサポートする ID プロバイダーをサポートしています。詳細については、「Amazon Managed Grafana ワークスペースで SAML を使用する」を参照してください。

AWS IAM Identity Center

ワークスペースを作成して認証に AWS IAM Identity Center の使用を選択すると、Amazon Managed Grafana はご使用のアカウントで IAM Identity Center をアクティブ化します (まだ使用していない場合)。IAM Identity Center の詳細については、「AWS IAM Identity Center とは」を参照してください。

Amazon Managed Grafana で IAM Identity Center を使用するためには、ご使用のアカウントで AWS Organizations もアクティブ化している必要があります。まだアクティブ化していない場合、Amazon Managed Grafana は IAM Identity Center をアクティブ化するときにそれをアクティブ化します。Amazon Managed Grafana が Organizations を有効にすると、お客様の組織も作成されます。Organizations の詳細については、「AWS Organizations とは」を参照してください。

注記

既に AWS 組織のメンバーであるアカウントにワークスペースを作成するには、組織の管理アカウントで IAM Identity Center を有効にする必要があります。お客様が 2019 年 11 月 25 日以前に管理アカウントで IAM Identity Center を有効にした場合、管理アカウントでも IAM Identity Center 統合アプリケーションを有効にする必要があります。詳細については、「IAM Identity Center 統合アプリケーション」を参照してください。

必要なアクセス許可

認証に IdP と SAML を使用するワークスペースを作成するには、AWSGrafanaAccountAdministrator ポリシーがアタッチされた IAM プリンシパルにサインインする必要があります。

認証に AWS IAM Identity Center を使用する最初のワークスペースを作成するには、少なくとも次のポリシーがアタッチされた IAM プリンシパルにサインインする必要があります。

  • AWSGrafanaAccountAdministrator

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

詳細については、「IAM Identity Center を使用して、単一のスタンドアロンアカウントで Amazon Managed Grafana ワークスペースとユーザーを作成および管理します。」を参照してください。

最初のワークスペースを作成する

最初のワークスペースを作成するには、次の手順に従います。

Amazon Managed Grafana でのワークスペースの作成方法

  1. Amazon Managed Grafana コンソール (https://console.aws.amazon.com/grafana/) を開きます。

  2. [ワークスペースを作成する] を選択します。

  3. [WorkSpace 名] ボックスに、ワークスペースの名前を入力します。

    オプションとして、ワークスペースの説明を入力します。

  4. [次へ] を選択します。

  5. [認証アクセス] では、[AWS IAM Identity Center][Security Assertion Markup Language (SAML)]、またはその両方を選択します。

    • AWS IAM Identity Center— IAM Identity Center を選択し、ご使用のアカウントで IAM Identity Center を有効にしていない場合は、最初の IAM Identity Center ユーザーを作成すると、それを有効にするようにプロンプトが表示されます。IAM Identity Center は、Amazon Managed Grafana ワークスペースへのアクセスのユーザー管理を処理します。

      IAM Identity Center を有効にするには、以下の手順に従います。

    1. [ユーザーの作成] を選択します。

    2. ユーザーのメールアドレス、名、姓を入力して、[ユーザーの作成] を選択します。このチュートリアルでは、Amazon Managed Grafana を試すために使用するアカウントの名前とメールアドレスを使用します。メールメッセージが送信され、IAM Identity Center のために、このアカウントのパスワードを作成するようプロンプトが表示されます。

    重要

    作成したユーザーに Amazon Managed Grafana ワークスペースーへのアクセス許可が自動的に付与されるわけではありません。後のステップのワークスペースの詳細ページで、ワークスペースへのアクセス許可をユーザーに付与します。

    • SAMLSAML を選択した場合、ワークスペースの作成後に SAML セットアップを完了します。

  6. [次へ] を選択します。

  7. この最初のワークスペースで、[サービス管理][アクセス許可タイプ] で選択されていることを確認します。これを選択すると、Amazon Managed Grafana はこのワークスペースに使用する AWS データソースに必要なアクセス許可を自動的にプロビジョニングできます。

  8. このチュートリアルでは、[現在のアカウント] を選択します。

  9. (オプション) このワークスペースでクエリするデータソースを選択します。この開始方法のチュートリアルでは、データソースを選択する必要はありません。ただし、リスト内のデータソースのいずれかでこのワークスペースを使用する場合は、ここで選択します。

    データソースを選択すると、Amazon Managed Grafana がデータを読み取るアクセス許可を持てるようにするため、Amazon Managed Grafana は 各データソースの AWS Identity and Access Management (IAM) ポリシーを作成できます。これで、これらのサービスを Grafana ワークスペースのデータソースとして設定することが完了するわけではありません。Grafana ワークスペースのコンソール内で完了できます。

  10. (オプション) このワークスペースの Grafana アラートを Amazon Simple Notification Service (Amazon SNS) 通知チャネルに送信する場合は、[Amazon SNS] を選択します。これにより、Amazon Managed Grafana は、grafana で始まる TopicName 値を使用して、ご使用のアカウントの Amazon SNS トピックに対して発行する IAM ポリシーを作成できます。これで、ワークスペースの通知チャネルとしての Amazon SNSの設定が完了するわけではありません。ワークスペースの Grafana コンソール内で完了できます。

  11. [次へ] を選択します。

  12. ワークスペースの詳細を確認して、[ワークスペースの作成] を選択します。

    ワークスペースの詳細ページが表示されます。

    最初は、[ステータス][作成中] です。

    重要

    ステータスが [アクティブ] になるまで待ってから、次のいずれかを実行します。

    • SAML を使用する場合は、SAML セットアップを完了します。

    • IAM Identity Center を使用する場合は、IAM Identity Center ユーザーにワークスペースへのアクセス許可を割り当てます。

    現在のステータスを表示するには、ブラウザの更新が必要になる場合があります。

  13. IAM Identity Center を使用する場合は、以下を実行します。

    1. [認証] タブで、[新しいユーザーまたはグループを割り当て] を選択します。

    2. ワークスペースへのアクセス許可を付与するユーザーの隣のチェックボックスをオンにして、[ユーザーの割り当て] を選択します。

    3. そのユーザーの隣のチェックボックスをオンにして、[アクション] ドロップダウンリストから [管理者にする] アクションを選択します。

      重要

      Grafana ワークスペースのコンソールにサインインしてワークスペースを管理するには、ワークスペースごとに少なくとも 1 人のユーザーを Admin として割り当てます。

  14. SAML を使用する場合は、次の手順に従います。

    1. [認証] タブの [Security Assertion Markup Language (SAML)] で、[設定を完了] を選択します。

    2. [インポート方法] に、以下のいずれかを選択します。

      • [URL] を選択して、IdP メタデータの URL を入力します。

      • [アップロードまたはコピー/貼り付け] を選択します。メタデータをアップロードする場合は、[ファイルを選択] を選択してメタデータファイルを選択します。または、コピーアンドペーストを使用する場合は、メタデータを [メタデータをインポート] にコピーします。

    3. [アサーション属性ロール] に、ロール情報を抽出する SAML アサーション属性の名前を入力します。

    4. [管理者ロール値] に、Amazon Managed Grafana ワークスペースの Admin ロールをすべて付与する必要がある IdP のユーザーロールを入力、または [ワークスペースへの管理者の割り当てをオプトアウトする] を選択します。

      注記

      [ワークスペースへの管理者の割り当てをオプトアウトする] を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Grafana ワークスペースコンソールを使用してワークスペースを管理することはできません。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。

    5. (オプション) さらに SAML 設定を入力するには、[詳細設定] を選択し、以下を 1 つ以上実行します。このすべてのフィールドはオプションとなります。

      • [アサーション属性名] で、SAML ユーザーの完全な「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。

      • [アサーション属性ログイン] で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。

      • [アサーション属性電子メール] で、SAML ユーザーの電子メール名として使用する SAML アサーション内の属性の名前を指定します。

      • [ログイン有効期間 (分単位)] で、それを過ぎると再度サインインする必要がある、SAML ユーザーのサインイン有効期間を指定しします。

      • [アサーション属性組織] で、ユーザー組織の「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。

      • [アサーション属性グループ] で、ユーザーグループの「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。

      • [許可される組織] では、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する 1 つ以上の組織を、カンマで区切って入力します。

      • [エディタロールの値] で、Amazon Managed Grafana ワークスペースで Editor ロールをすべて付与する必要がある IdP のユーザーロールを入力します。1 つ以上のロールを、カンマで区切って入力します。

      注記

      管理者またはエディタロールを特別に割り当てられていないユーザーは、ビューワーとして割り当てられます。

    6. [SAML 設定の保存] を選択します。

  15. ワークスペースの詳細ページで、[Grafana ワークスペース URL] の下に表示される URL を選択します。

  16. ワークスペースの URL を選択すると、Grafana ワークスペースコンソールのランディングページに移動します。次のいずれかを行います。

    • [SAML でサインイン] を選択し、名前とパスワードを入力します。

    • [AWS IAM Identity Center でサインイン] を選択し、この手順の前半で作成したユーザーのメールアドレスとパスワードを入力します。これらの認証情報は、IAM Identity Center のパスワードを作成するようプロンプトが表示される、Amazon Managed Grafana からのメールに応答した場合にのみ機能します。

      Grafana ワークスペース、または論理 Grafana サーバーに移動しました。データのクエリ、視覚化、分析に対するデータソースの追加を開始できます。詳細については、「Grafana ワークスペースを使用する」を参照してください。