Criar um espaço de trabalho do Amazon Managed Grafana
Um espaço de trabalho é um servidor Grafana lógico. Você pode ter até cinco espaços de trabalho em cada região na sua conta.
Permissões necessárias
Para criar um espaço de trabalho, você deve estar conectado a uma entidade principal do AWS Identity and Access Management (IAM) que tenha a política AWSGrafanaAccountAdministrator anexada.
Para criar seu primeiro espaço de trabalho que use o Centro de Identidade do IAM para autorização, a entidade principal do IAM também deve ter essas políticas adicionais (ou permissões equivalentes) anexadas:
AWSSSOMemberAccountAdministrator
AWSSSODirectoryAdministrator
Para ter mais informações, consulte Cria e gerenciar espaços de trabalho e usuários do Amazon Managed Grafana em uma única conta independente usando o Centro de Identidade do IAM.
Criar um espaço de trabalho
As etapas a seguir orientam você no processo de criação de um novo espaço de trabalho do Amazon Managed Grafana.
Para criar um espaço de trabalho no Amazon Managed Grafana
-
Abra o console do Amazon Managed Grafana em https://console.aws.amazon.com/grafana/
. -
Selecione Criar workspace.
-
Na janela Detalhes do espaço de trabalho, em Nome do espaço de trabalho, insira um nome para ele.
Como opção, insira uma descrição para o espaço de trabalho.
Opcionalmente, adicione as tags que deseja associar a esse espaço de trabalho. As tags ajudam a identificar e organizar os espaços de trabalho e também podem ser usadas para controlar o acesso aos recursos da AWS. Por exemplo, você pode atribuir uma tag ao espaço de trabalho e somente grupos ou perfis limitados podem ter a permissão para acessar o espaço de trabalho usando a tag. Para obter mais informações sobre o controle de acesso baseado em tags, consulte Controlar o acesso a recursos da AWS usando tags no Guia do usuário do IAM.
-
Escolha uma versão do Grafana para o espaço de trabalho. Você pode escolher a versão 8, 9 ou 10. Para entender as diferenças entre as versões, consulte Diferenças entre as versões do Grafana.
-
Escolha Próximo.
-
Em Acesso com autenticação , selecione AWS IAM Identity Center, Security Assertion Markup Language (SAML) ou ambos. Para ter mais informações, consulte Autenticar usuários nos espaços de trabalho do Amazon Managed Grafana.
-
Centro de Identidade do IAM: se você selecionar o Centro de Identidade do IAM e ainda não tiver habilitado o AWS IAM Identity Center na conta, será solicitado que você o habilite criando o primeiro usuário do Centro de Identidade do IAM. O Centro de Identidade do IAM lida com o gerenciamento de usuários para acesso aos espaços de trabalho do Amazon Managed Grafana.
Para habilitar o Centro de identidade do IAM, siga as seguintes etapas:
-
Selecione Criar usuário.
-
Insira o endereço de e-mail, nome e sobrenome do usuário e escolha Criar usuário. Para este tutorial, use o nome e o endereço de e-mail da conta que você deseja usar para experimentar o Amazon Managed Grafana. Você receberá uma mensagem de e-mail solicitando que crie uma senha para essa conta no Centro de Identidade do IAM.
Importante
O usuário que você cria não tem acesso automático ao espaço de trabalho do Amazon Managed Grafana. Você fornece ao usuário acesso ao espaço de trabalho na página de detalhes do espaço de trabalho em uma etapa posterior.
-
SAML: caso selecione SAML, você concluirá a configuração do SAML após a criação do espaço de trabalho.
-
-
Escolha Gerenciado por serviço ou Gerenciado pelo cliente.
Se você escolher Gerenciado por serviço, o Amazon Managed Grafana criará automaticamente os perfis do IAM e provisionará as permissões necessárias para as fontes de dados da AWS nessa conta que você escolher para usar no espaço de trabalho.
Se você mesmo quiser gerenciar esses perfis e permissões, escolha Gerenciado pelo cliente.
Caso esteja criando um espaço de trabalho em uma conta de membro de uma organização, para poder escolher Gerenciado por serviço, a conta do membro deverá ser uma conta de administrador delegado em uma organização. Para obter mais informações sobre como delegar contas de administrador, consulte Registrar um administrador delegado.
-
(Opcional) Você pode optar por se conectar a uma nuvem privada virtual (VPC) da Amazon nesta página, ou você pode se conectar a uma VPC mais tarde. Para saber mais, consulte Conectar-se a fontes de dados ou canais de notificação na Amazon VPC no Amazon Managed Grafana.
-
(Opcional) Você pode escolher outras opções de configuração do espaço de trabalho nesta página, incluindo as seguintes:
-
Habilitar o Grafana Alerting. O Grafana Alerting permite que você visualize os alertas do Grafana e os alertas definidos no Prometheus em uma única interface de alertas no espaço de trabalho do Grafana.
Em espaços de trabalho em execução na versão 8 ou 9, isso enviará várias notificações para os alertas do Grafana. Se você usa alertas definidos no Grafana, recomendamos criar o espaço de trabalho como versão 10.4 ou posterior.
-
Permita que os administradores do Grafana gerenciem plug-ins para esse espaço de trabalho. Se você não habilitar o gerenciamento de plug-ins, os administradores não poderão instalar, desinstalar ou remover plug-ins do espaço de trabalho. Você pode ficar limitado aos tipos de fontes de dados e painéis de visualização que você pode usar com o Amazon Managed Grafana.
Você também poderá fazer essas alterações na configuração depois de criar o espaço de trabalho. Para saber mais sobre como configurar o espaço de trabalho, consulte Configurar um espaço de trabalho do Amazon Managed Grafana.
-
-
(Opcional) Você pode optar por adicionar Controle de acesso da rede ao espaço de trabalho. Para adicionar controle de acesso da rede, escolha Acesso restrito. Você também pode habilitar o controle de acesso da rede depois de criar o espaço de trabalho.
Para obter mais informações sobre controle de acesso da rede, consulte Configure o acesso da rede ao espaço de trabalho do Amazon Managed Grafana.
-
Escolha Próximo.
-
Se você escolher Gerenciado por serviço, escolha Conta atual para que o Amazon Managed Grafana crie automaticamente políticas e permissões que permitam que ele leia dados da AWS somente na conta atual.
Se você estiver criando um espaço de trabalho na conta de gerenciamento ou uma conta de administrador delegado em uma organização, você pode escolher Organização para que o Amazon Managed Grafana crie automaticamente políticas e permissões que permitam a leitura de dados da AWS em outras contas nas unidades organizacionais que você especificar. Para obter mais informações sobre como delegar contas de administrador, consulte Registrar um administrador delegado.
nota
Criar recursos como espaços de trabalho do Amazon Managed Grafana na conta de gerenciamento de uma organização é contra as práticas recomendadas de segurança da AWS.
-
Se você escolher Organização e for solicitada a habilitação dos StackSets do AWS CloudFormation, escolha Habilitar acesso confiável. Em seguida, adicione as unidades organizacionais (UOs) do AWS Organizations das quais você deseja que o Amazon Managed Grafana leia os dados. O Amazon Managed Grafana pode então ler dados de todas as contas em cada UO que você escolher.
-
Se você escolher Organização, escolha Fontes de dados e canais de notificação: opcional.
-
-
Selecione as fontes de dados da AWS que deseja consultar no espaço de trabalho. Selecionar fontes de dados possibilita que o Amazon Managed Grafana crie permissões e perfis do IAM que permitem que o Amazon Managed Grafana leia dados dessas fontes. Você ainda deve adicionar as fontes de dados no console do espaço de trabalho do Grafana.
-
(Opcional) Se você quiser que alertas do Grafana desse espaço de trabalho sejam enviados para um canal de notificação do Amazon Simple Notification Service (Amazon SNS), selecione Amazon SNS. Isso permite que o Amazon Managed Grafana crie uma política do IAM para publicar nos tópicos do Amazon SNS na conta com valores
TopicName
que começam comgrafana
. Isso não configura completamente o Amazon SNS como um canal de notificação para o espaço de trabalho. Você pode fazer essa configuração no console do Grafana no espaço de trabalho. -
Escolha Próximo.
-
Confirme os detalhes do espaço de trabalho e escolha Criar espaço de trabalho.
A página de detalhes do workspace é exibida.
Inicialmente, o Status provável é CRIANDO.
Importante
Espere até que o status seja ATIVO antes de fazer o seguinte:
-
Conclua a configuração do SAML, se você estiver usando o SAML.
-
Atribua acesso aos usuários do Centro de Identidade do IAM, caso o esteja usando.
Talvez seja necessário atualizar o navegador para ver o status atual.
-
-
Se você estiver usando o Centro de Identidade do IAM, faça o seguinte:
-
Na guia Autenticação, escolha Atribuir novo usuário ou grupo.
-
Marque a caixa de seleção ao lado do usuário ao qual você deseja conceder acesso ao espaço de trabalho e escolha Atribuir usuário.
-
Marque a caixa de seleção ao lado do usuário e escolha Tornar administrador.
Importante
Atribua pelo menos um usuário como
Admin
para cada espaço de trabalho, a fim de que possa entrar no console do espaço de trabalho do Grafana para gerenciá-lo.
-
-
Se você estiver usando o SAML, faça o seguinte:
-
Na guia Autenticação, em Security Assertion Markup Language (SAML), escolha Configuração completa.
-
Em Método de importação, siga um destes procedimentos:
-
Escolha URL e insira o URL dos metadados do IdP.
-
Escolha Carregar ou copiar e colar. Se você estiver fazendo upload dos metadados, escolha Escolher arquivo e selecione o arquivo de metadados. Ou, se você estiver usando copiar e colar, copie os metadados em Importar os metadados.
-
-
Em Perfil do atributo de declaração, insira o nome do atributo de declaração SAML do qual extrair as informações do perfil.
-
Para Valores do perfil de administrador, insira todos os perfis de usuário do seu IdP que devem receber o perfil de
Admin
no espaço de trabalho do Amazon Managed Grafana, ou selecione Eu quero optar por não atribuir administradores ao meu espaço de trabalho.nota
Se você escolher, Eu quero optar por não atribuir administradores ao meu espaço de trabalho, você não poderá usar o console para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando as APIs do Amazon Managed Grafana.
-
(Opcional) Para inserir configurações adicionais de SAML, escolha Configurações adicionais e faça um ou mais dos procedimentos a seguir. Todos esses campos são opcionais.
-
Em Nome do atributo de declaração, especifique o nome do atributo na declaração SAML para usar nomes completos “amigáveis” de usuário para usuários do SAML.
-
Em Login do atributo de declaração, especifique o nome do atributo na declaração SAML para usar nomes de login de usuário para usuários do SAML.
-
Em E-mail do atributo de declaração, especifique o nome do atributo na declaração SAML para usar nomes de e-mail de usuário para usuários do SAML.
-
Em Duração da validade do login (em minutos), especifique por quanto tempo o login de um usuário do SAML é válido antes que o usuário precise entrar novamente. O padrão é 1 dia e o máximo é 30 dias.
-
Em Organização do atributo de declaração, especifique o nome do atributo na declaração SAML para usar o nome “amigável” para organizações de usuários.
-
Em Grupos do atributo de declaração, especifique o nome do atributo na declaração SAML para usar o nome “amigável” para grupos de usuários.
-
Em Organizações permitidas, você pode limitar o acesso do usuário somente aos usuários que são membros de determinadas organizações no IdP. Insira uma ou mais organizações para permitir, separando-as com vírgulas.
-
Em Valores do perfil de editor, insira os perfis de usuário do IdP que devem receber o perfil de
Editor
no espaço de trabalho do Amazon Managed Grafana. Insira um ou mais perfis, separados por vírgulas.
-
-
Escolha Salvar a configuração SAML.
-
-
Na página de detalhes do espaço de trabalho, escolha o URL exibido em URL do espaço de trabalho do Grafana.
-
Escolher o URL do espaço de trabalho leva você à página inicial do console do espaço de trabalho do Grafana. Execute um destes procedimentos:
-
Escolha Entrar com SAML e insira o nome e a senha.
-
Escolha Entrar com o AWS IAM Identity Center e insira o endereço de e-mail e a senha do usuário que você criou anteriormente neste procedimento. Essas credenciais só funcionarão se você respondeu ao e-mail do Amazon Managed Grafana solicitando que criasse uma senha para o Centro de Identidade do IAM.
Agora você está no espaço de trabalho do Grafana ou no servidor Grafana lógico. Você pode começar a adicionar fontes de dados para consultar, visualizar e analisar dados. Para ter mais informações, consulte Usar o espaço de trabalho do Grafana.
-
Para obter mais informações sobre as
dica
Você pode automatizar a criação de espaços de trabalho do Amazon Managed Grafana usando o AWS CloudFormation. Para obter mais informações detalhadas, consulte Criar recursos do Amazon Managed Grafana com o AWS CloudFormation.