As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como o Amazon Managed Grafana funciona com o AWS Organizations para ter acesso à fonte de dados da AWS
Com o AWS Organizations, você pode gerenciar de forma centralizada a configuração da fonte de dados e as configurações de permissões para várias contas da AWS. Em uma Conta da AWS com um espaço de trabalho do Amazon Managed Grafana, você pode especificar outras unidades organizacionais para disponibilizar as fontes de dados da AWS para visualização na conta principal.
Por exemplo, você pode usar uma conta na organização como uma conta de gerenciamento do Amazon Managed Grafana e dar a essa conta acesso às fontes de dados em outras contas na organização. Na conta de gerenciamento, liste todas as unidades organizacionais que têm fontes de dados da AWS que você deseja acessar com essa conta de gerenciamento. Isso cria automaticamente as políticas de perfis e permissões necessárias para configurar essas fontes de dados, que você pode ver no console do Grafana no espaço de trabalho do Amazon Managed Grafana.
Para obter mais informações sobre o Organizations, consulte O que é o AWS Organizations?.
O Amazon Managed Grafana usa o AWS CloudFormation StackSets para criar automaticamente os perfis do AWS Identity and Access Management (IAM) necessários para que o Amazon Managed Grafana se conecte às fontes de dados em toda a sua organização da AWS. Antes que o Amazon Managed Grafana possa gerenciar as políticas do IAM para acessar fontes de dados em toda a sua organização, você deve habilitar o AWS CloudFormation StackSets na conta de gerenciamento da organização. O Amazon Managed Grafana o habilita automaticamente na primeira vez em que é necessário.
Cenários de implantação para integração com o AWS IAM Identity Center e o Organizations
Se você estiver usando o Amazon Managed Grafana com o AWS IAM Identity Center e o Organizations, recomendamos que crie um espaço de trabalho do Amazon Managed Grafana em sua organização usando um dos três cenários a seguir. Para cada cenário, você precisa estar conectado a uma conta com permissões suficientes. Para ter mais informações, consulte Exemplos de políticas do Amazon Managed Grafana.
Conta independente
Uma conta independente é uma conta da AWS que não é membro de uma organização no Organizations. Este será um cenário provável se você estiver experimentando a AWS pela primeira vez.
Nesse cenário, o Amazon Managed Grafana habilita automaticamente o AWS IAM Identity Center e o Organizations quando você está conectado a uma conta que tem as políticas AWSGrafanaAccountAdministrator, AWSSSOMemberAccountAdministrator e AWSSSODirectoryAdministrator. Para ter mais informações, consulte Crie e gerencie espaços de trabalho e usuários do Amazon Managed Grafana em uma única conta independente usando o Identity Center IAM.
Conta de membro de uma organização existente em que o Centro de Identidade do IAM já está configurado
Para criar um espaço de trabalho em uma conta de membro, você deve estar conectado a uma conta que tenha as políticas AWSGrafanaAccountAdministrator, AWSSSOMemberAccountAdministrator e AWSSSODirectoryAdministrator. Para ter mais informações, consulte Administrador da Grafana em uma conta de membro usando o Identity Center IAM.
Se você criar um espaço de trabalho em uma conta de membro e quiser que esse espaço de trabalho acesse recursos de outras contas da AWS na organização, você deve usar as permissões gerenciadas pelo cliente no espaço de trabalho. Para ter mais informações, consulte Permissões gerenciadas pelo cliente.
Para usar as permissões gerenciadas por serviço para permitir que um espaço de trabalho acesse recursos de outras contas da AWS na organização, você precisará criar o espaço de trabalho na conta de gerenciamento da organização. No entanto, não é uma prática recomendada criar espaços de trabalho do Amazon Managed Grafana ou outros recursos na conta de gerenciamento de uma organização. Para obter mais informações sobre as práticas recomendadas do Organizations, consulte Best practices for the management account.
nota
Caso tenha habilitado o AWS IAM Identity Center na conta de gerenciamento antes de 25 de novembro de 2019, você também deve habilitar as aplicações integradas do Centro de Identidade do IAM na conta de gerenciamento. Opcionalmente, você também pode habilitar as aplicações integradas do Centro de Identidade do IAM nas contas de membros depois de fazê-lo na conta de gerenciamento. Para habilitar essas aplicações, escolha Habilitar acesso na página de Configurações do Centro de Identidade do IAM na seção de aplicações integradas dele. Para obter mais informações, consulte IAM Identity Center-integrated application enablement.
Conta de membro de uma organização existente em que o Centro de Identidade do IAM ainda não está implantado
Nesse cenário, entre primeiro como administrador da organização e habilite o Centro de Identidade do IAM na organização. Depois, crie o espaço de trabalho do Amazon Managed Grafana em uma conta de membro na organização.
Se você não for administrador da organização, entre em contato com um administrador do Organizations e solicite que ele habilite o Centro de Identidade do IAM. Depois que o Centro de Identidade do IAM for habilitado, você poderá criar o espaço de trabalho em uma conta de membro.
Se você criar um espaço de trabalho em uma conta de membro e quiser que esse espaço de trabalho acesse recursos de outras contas da AWS na organização, você deve usar as permissões gerenciadas pelo cliente no espaço de trabalho. Para ter mais informações, consulte Permissões gerenciadas pelo cliente.
Para criar um espaço de trabalho em uma conta de membro, você deve estar conectado a uma conta que tenha as políticas AWSGrafanaAccountAdministrator, AWSSSOMemberAccountAdministrator e AWSSSODirectoryAdministrator. Para ter mais informações, consulte Administrador da Grafana em uma conta de membro usando o Identity Center IAM.
