아마존 매니지드 Grafana AWS IAM Identity Center 워크스페이스와 함께 사용하세요. - Amazon Managed Grafana
IAM ID 센터를 사용하는 시나리오에 필요한 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존 매니지드 Grafana AWS IAM Identity Center 워크스페이스와 함께 사용하세요.

Amazon Managed Grafana는 AWS IAM Identity Center 와 통합되어 직원에게 ID 페더레이션을 제공합니다. Amazon Managed Grafana 및 IAM ID 센터를 사용하면 사용자가 기존 회사 디렉터리로 리디렉션되어 기존 자격 증명으로 로그인할 수 있습니다. 그러면 Amazon Managed Grafana 워크스페이스에 원활하게 로그인할 수 있습니다. 이렇게 하면 암호 정책 및 2단계 인증과 같은 보안 설정이 적용됩니다. IAM ID 센터를 사용해도 기존 IAM 구성에는 영향을 미치지 않습니다.

기존 사용자 디렉터리가 없거나 페더레이션을 원하지 않는 경우, IAM Identity Center는 Amazon Managed Grafana의 사용자 및 그룹을 생성하는 데 사용할 수 있는 통합 사용자 디렉터리를 제공합니다. Amazon Managed Grafana는 Amazon Managed Grafana 워크스페이스 내에서 IAM 사용자 및 역할을 사용하여 권한을 할당하는 것을 지원하지 않습니다.

IAM ID 센터에 대한 자세한 내용은 무엇입니까를 참조하십시오. AWS IAM Identity Center IAM ID 센터를 시작하는 방법에 대한 자세한 내용은 시작하기를 참조하십시오.

IAM ID 센터를 사용하려면 해당 계정도 AWS Organizations 활성화해야 합니다. 필요한 경우 Amazon Managed Grafana가 IAM ID 센터를 사용하도록 구성된 첫 번째 작업 공간을 생성할 때 조직을 활성화할 수 있습니다.

IAM ID 센터를 사용하는 시나리오에 필요한 권한

이 섹션에서는 Amazon Managed Grafana를 IAM ID 센터와 함께 사용하는 데 필요한 정책을 설명합니다. Amazon Managed Grafana를 관리하는 데 필요한 정책은 AWS 계정이 조직의 일부인지 여부에 따라 다릅니다.

계정에서 Grafana 관리자 생성 AWS Organizations

조직에서 Amazon Managed Grafana 작업 영역을 생성 및 관리할 권한을 부여하고 다음과 AWS IAM Identity Center같은 종속성을 허용하려면 다음 정책을 역할에 할당하십시오.

  • Amazon 관리형 Grafana 워크스페이스를 관리할 수 있도록 AWSGrafanaAccountAdministratorIAM 정책을 할당하십시오.

  • AWSSSODirectoryAdministratorAmazon 관리형 Grafana 작업 영역을 설정할 때 역할이 IAM ID 센터를 사용할 수 있도록 허용합니다.

  • 전체 조직에서 Amazon Managed Grafana 작업 영역을 생성하고 관리할 수 있도록 하려면 역할에 IAM 정책을 부여하십시오. AWSSSOMasterAccountAdministrator 또는 조직의 단일 구성원 계정 내에서 작업 공간을 생성하고 관리할 수 있도록 AWSSSOMemberAccountAdministratorIAM 정책을 역할에 부여하십시오.

  • Amazon Managed Grafana 작업 공간을 Grafana 엔터프라이즈로 업그레이드하도록 역할을 허용하려는 경우 역할에게 AWSMarketplaceManageSubscriptionsIAM 정책 (또는 이에 상응하는 권한) 을 부여할 수도 있습니다.

Amazon Managed Grafana 작업 영역을 생성할 때 서비스 관리 권한을 사용하려면 작업 공간을 생성하는 역할에도, 및 권한이 있어야 합니다. iam:CreateRole iam:CreatePolicy iam:AttachRolePolicy 이는 조직 계정의 데이터 소스를 읽을 수 있는 정책을 배포하는 데 필요합니다. AWS CloudFormation StackSets

중요

사용자에게 iam:CreateRole, iam:CreatePolicyiam:AttachRolePolicy 권한을 부여하면 해당 사용자에게 AWS 계정에 대한 전체 관리 액세스 권한이 부여됩니다. 예를 들어 이러한 권한을 가진 사용자는 모든 리소스에 대한 전체 권한을 가진 정책을 생성하고 해당 정책을 모든 역할에 연결할 수 있습니다. 이러한 권한을 부여한 사람에게 매우 주의해야 합니다.

부여된 권한을 보려면 을 AWSGrafanaAccountAdministrator참조하십시오. AWS 관리형 정책: AWSGrafanaAccountAdministrator

단일 독립형 계정으로 Amazon 관리형 Grafana 워크스페이스 및 사용자를 생성하고 관리합니다.

독립형 AWS 계정은 조직의 구성원이 아닌 계정입니다. 에 대한 자세한 내용은 AWS OrganizationsAWS Organizations무엇입니까를 참조하십시오.

독립 실행형 계정에서 Amazon Managed Grafana 작업 영역 및 사용자를 생성하고 관리할 권한을 부여하려면 다음 IAM 정책을 역할에 할당하십시오.

  • AWSGrafanaAccountAdministrator

  • AWSSSOMasterAccountAdministrator

  • AWSOrganizationsFullAccess

  • AWSSSODirectoryAdministrator

중요

AWSOrganizationsFullAccess정책에 따라 역할을 부여하면 해당 역할에 계정에 대한 전체 관리 액세스 권한이 부여됩니다. AWS 이러한 권한을 부여한 사람에게 매우 주의해야 합니다.

부여된 권한을 보려면 을 AWSGrafanaAccountAdministrator참조하십시오. AWS 관리형 정책: AWSGrafanaAccountAdministrator