Amazon Managed Grafana가 데이터 소스 액세스를 위해 작동하는 방식 AWS OrganizationsAWS - Amazon Managed Grafana
AWS IAM Identity Center 및 조직과의 통합을 위한 배포 시나리오

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Managed Grafana가 데이터 소스 액세스를 위해 작동하는 방식 AWS OrganizationsAWS

를 사용하면 여러 계정의 데이터 소스 구성 및 권한 설정을 중앙에서 관리할 수 있습니다. AWS Organizations AWS Amazon Managed Grafana 작업 공간을 AWS 계정 사용하는 경우 다른 조직 단위를 지정하여 기본 계정에서 AWS 해당 데이터 소스를 볼 수 있도록 할 수 있습니다.

예를 들어 조직의 한 계정을 Amazon Managed Grafana 관리 계정으로 사용하고 이 계정에 조직 내 다른 계정의 데이터 소스에 대한 액세스 권한을 부여할 수 있습니다. 관리 계정에서 관리 계정으로 액세스하려는 AWS 데이터 소스가 있는 모든 조직 단위를 나열하십시오. 이렇게 하면 이러한 데이터 소스를 설정하는 데 필요한 역할 및 권한 정책이 자동으로 생성되며, Amazon Managed Grafana 작업 공간의 Grafana 콘솔에서 이를 확인할 수 있습니다.

조직에 대한 자세한 내용은 무엇입니까를 참조하십시오 AWS Organizations.

Amazon Managed Grafana는 Amazon Managed AWS Identity and Access Management Grafana가 조직 전체의 데이터 소스에 연결하는 데 필요한 (IAM) 역할을 자동으로 생성하는 데 AWS CloudFormation StackSets 사용합니다. AWS Amazon Managed Grafana가 조직 전체의 데이터 소스에 액세스하기 위한 IAM 정책을 관리할 수 있으려면 먼저 조직의 관리 계정에서 AWS CloudFormation StackSets 활성화해야 합니다. Amazon Managed Grafana는 필요할 때 처음으로 이 기능을 자동으로 활성화합니다.

AWS IAM Identity Center 및 조직과의 통합을 위한 배포 시나리오

Amazon Managed Grafana를 두 조직 AWS IAM Identity Center 모두와 함께 사용하는 경우 다음 세 가지 시나리오 중 하나를 사용하여 조직에 Amazon 관리형 Grafana 작업 공간을 생성하는 것이 좋습니다. 각 시나리오마다 충분한 권한이 있는 계정으로 로그인해야 합니다. 자세한 정보는 아마존 매니지드 Grafana에 대한 샘플 정책을 참조하세요.

독립형 계정

독립형 계정은 Organizations에서 조직의 구성원이 아닌 AWS 계정입니다. 처음 AWS 시도하는 경우 이 시나리오가 발생할 수 있습니다.

이 시나리오에서 Amazon Managed Grafana는, AWS IAM Identity Center 및 정책이 있는 계정에 로그인할 때 자동으로 Organizations를 AWSGrafanaAccountAdministrator활성화합니다 AWSSSOMemberAccountAdministrator. AWSSSODirectoryAdministrator 자세한 정보는 IAM ID 센터를 사용하여 단일 독립 실행형 계정으로 Amazon 관리형 Grafana 작업 공간 및 사용자를 생성하고 관리합니다.을 참조하세요.

IAM ID 센터가 이미 구성되어 있는 기존 조직의 구성원 계정

멤버 계정에 워크스페이스를 생성하려면,, AWSSSODirectoryAdministrator정책이 있는 계정에 로그인해야 합니다. AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator 자세한 정보는 IAM 아이덴티티 센터를 사용하는 멤버 계정의 Grafana 관리자을 참조하세요.

구성원 계정에 작업 영역을 생성하고 이 작업 영역에서 조직 내 다른 AWS 계정의 리소스에 액세스할 수 있게 하려면 작업 영역에서 고객 관리 권한을 사용해야 합니다. 자세한 정보는 고객 관리 권한을 참조하세요.

서비스 관리 권한을 사용하여 작업 영역에서 조직 내 다른 AWS 계정의 리소스에 액세스할 수 있도록 허용하려면 조직의 관리 계정에 작업 영역을 만들어야 합니다. 하지만 조직의 관리 계정에서 Amazon Managed Grafana 작업 영역 또는 기타 리소스를 생성하는 것은 모범 사례가 아닙니다. Organizations 모범 사례에 대한 자세한 내용은 관리 계정의 모범 사례를 참조하십시오.

참고

2019년 11월 25일 이전에 관리 AWS IAM Identity Center 계정에서 활성화한 경우 관리 계정에서 IAM Identity Center 통합 애플리케이션도 활성화해야 합니다. 관리 계정에서 IAM Identity Center 통합 애플리케이션을 활성화한 후 구성원 계정에서 IAM Identity Center 통합 애플리케이션을 활성화할 수도 있습니다. 이러한 애플리케이션을 활성화하려면 IAM Identity Center 통합 애플리케이션 섹션의 IAM ID 센터 설정 페이지에서 액세스 활성화를 선택합니다. 자세한 내용은 IAM Identity Center 통합 애플리케이션 지원을 참조하십시오.

IAM Identity Center가 아직 배포되지 않은 기존 조직의 구성원 계정

이 시나리오에서는 먼저 조직 관리자로 로그인하고 조직에서 IAM Identity Center를 활성화하십시오. 그런 다음 조직의 멤버 계정에 Amazon 관리형 Grafana 워크스페이스를 생성합니다.

조직 관리자가 아닌 경우 Organizations 관리자에게 연락하여 IAM Identity Center를 활성화하도록 요청해야 합니다. IAM Identity Center를 활성화한 후에는 멤버 계정에서 작업 공간을 생성할 수 있습니다.

멤버 계정에 작업 영역을 생성하고 해당 작업 영역에서 조직 내 다른 AWS 계정의 리소스에 액세스하도록 하려면 작업 영역에서 고객 관리 권한을 사용해야 합니다. 자세한 정보는 고객 관리 권한을 참조하세요.

구성원 계정에서 작업 영역을 만들려면,, AWSSSODirectoryAdministrator정책이 있는 계정에 로그인해야 합니다. AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator 자세한 내용은 IAM 아이덴티티 센터를 사용하는 멤버 계정의 Grafana 관리자을(를) 참조하세요.