Gerenciar o acesso de usuários e grupos aos espaços de trabalho do Amazon Managed Grafana - Amazon Managed Grafana
Conceder permissões a um grupo ou usuárioErros de incompatibilidade de permissõesPerguntas frequentes sobre incompatibilidade de permissões

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar o acesso de usuários e grupos aos espaços de trabalho do Amazon Managed Grafana

Você acessa os espaços de trabalho do Amazon Managed Grafana com usuários configurados no provedor de identidades (IdP) ou no AWS IAM Identity Center. Você deve conceder a esses usuários (ou grupos aos quais eles pertencem) permissões para o espaço de trabalho. Você pode conceder a eles as permissões User, Editor ou Admin.

Conceder permissões a um grupo ou usuário

Pré-requisitos

  • Para conceder a um usuário ou grupo de usuários acesso aos espaços de trabalho do Amazon Managed Grafana, o usuário ou grupo deve primeiro ser provisionado em um provedor de identidades (IdP) ou no AWS IAM Identity Center. Para obter mais informações, consulte Autenticar usuários nos espaços de trabalho do Amazon Managed Grafana.

  • Para gerenciar o acesso de usuários e grupos, você deve estar conectado como um usuário que tenha a política AWS Identity and Access Management (IAM) AWSGrafanaWorkspacePermissionManagementV2 ou permissões equivalentes. Se você estiver gerenciando usuários com o IAM Identity Center, você também deve ter as políticas AWSSSOMemberAccountAdministratore o AWSSSODirectoryReadOnlyIAM, ou permissões equivalentes. Para obter mais informações, consulte Atribuir e cancelar a atribuição de acesso de usuários ao Amazon Managed Grafana.

Para gerenciar o acesso do usuário a um espaço de trabalho do Grafana usando o console do Amazon Managed Grafana

  1. Abra o console do Amazon Managed Grafana em https://console.aws.amazon.com/grafana/.

  2. No painel de navegação à esquerda, escolha o ícone de menu.

  3. Escolha Todos os espaços de trabalho.

  4. Escolha o nome do espaço de trabalho que você deseja gerenciar.

  5. Escolha a guia Autenticação.

  6. Se você estiver usando o Centro de Identidade do IAM nesse espaço de trabalho, escolha Configurar usuários e grupos de usuários e faça um ou mais dos seguintes:

    • Para conceder acesso do usuário ao espaço de trabalho do Amazon Managed Grafana, marque a caixa de seleção ao lado do usuário e escolha Atribuir usuário.

    • Para tornar um usuário Admin do espaço de trabalho, escolha Tornar administrador.

    • Para remover o acesso ao espaço de trabalho de um usuário, escolha Cancelar atribuição de usuário.

    • Para adicionar grupos de usuários, como um grupo LDAP, escolha a guia Grupos de usuários atribuídos. Depois, siga um destes procedimentos:

      • Para conceder a todos os membros de um grupo acesso ao espaço de trabalho do Amazon Managed Grafana, marque a caixa de seleção ao lado do grupo e escolha Atribuir grupo.

      • Para atribuir a todos os membros de um grupo o perfil Admin no espaço de trabalho, escolha Tornar administrador.

      • Para remover o acesso ao espaço de trabalho de todos os membros de um grupo, escolha Cancelar atribuição de grupo.

    nota

    Se estiver usando o Centro de Identidade do IAM para gerenciar usuários, use o console do Centro de Identidade do IAM somente para provisionar novos usuários e grupos. Use o console Amazon Managed Grafana ou conceda ou remova o acesso APIs aos seus espaços de trabalho do Grafana.

    Se o Centro de Identidade do IAM e o Amazon Managed Grafana ficarem fora de sincronia, você terá a opção de Resolver quaisquer conflitos. Para obter mais informações, consulte Erros de incompatibilidade de permissões ao configurar usuários e grupos abaixo.

  7. Se você estiver usando SAML nesse espaço de trabalho, escolha a configuração SAML e faça um ou mais dos seguintes:

    • Em Método de importação, siga um destes procedimentos:

      • Escolha URL e insira o URL dos metadados do IdP.

      • Escolha Carregar ou copiar e colar. Se você estiver fazendo upload dos metadados, escolha Escolher arquivo e selecione o arquivo de metadados. Ou, se você estiver usando copiar e colar, copie os metadados em Importar os metadados.

    • Em Perfil do atributo de declaração, insira o nome do atributo de declaração SAML do qual extrair as informações do perfil.

    • Para Valores do perfil de administrador, insira todos os perfis de usuário do seu IdP que devem receber o perfil de Admin no espaço de trabalho do Amazon Managed Grafana, ou selecione Eu quero optar por não atribuir administradores ao meu espaço de trabalho.

      nota

      Se você escolher Eu quero optar por não atribuir administradores ao meu espaço de trabalho, você não poderá usar o console do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando o Amazon Managed Grafana APIs.

    • (Opcional) Para inserir configurações SAML adicionais, escolha Configurações adicionais, faça uma ou mais das ações a seguir e, em seguida, escolha Salvar configuração SAML. Todos esses campos são opcionais.

      • Em Nome do atributo de declaração, especifique o nome do atributo na declaração SAML para usar nomes completos “amigáveis” de usuário para usuários do SAML.

      • Em Login do atributo de declaração, especifique o nome do atributo na declaração SAML para usar nomes de login de usuário para usuários do SAML.

      • Em E-mail do atributo de declaração, especifique o nome do atributo na declaração SAML para usar nomes de e-mail de usuário para usuários do SAML.

      • Em Duração da validade do login (em minutos), especifique por quanto tempo o login de um usuário do SAML é válido antes que o usuário precise entrar novamente.

      • Em Organização do atributo de declaração, especifique o nome do atributo na declaração SAML para usar o nome “amigável” para organizações de usuários.

      • Em Grupos do atributo de declaração, especifique o nome do atributo na declaração SAML para usar o nome “amigável” para grupos de usuários.

      • Em Organizações permitidas, você pode limitar o acesso do usuário somente aos usuários que são membros de determinadas organizações no IdP. Insira uma ou mais organizações para permitir, separando-as com vírgulas.

      • Em Valores do perfil de editor, insira os perfis de usuário do IdP que devem receber o perfil de Editor no espaço de trabalho do Amazon Managed Grafana. Insira um ou mais perfis, separados por vírgulas.

  8. Como alternativa, para adicionar grupos de usuários, como um grupo LDAP, escolha a guia Grupo de usuários. Depois, siga um destes procedimentos:

    • Para conceder a todos os membros de um grupo acesso ao espaço de trabalho do Amazon Managed Grafana, marque a caixa de seleção ao lado do grupo e escolha Atribuir grupo.

    • Para atribuir a todos os membros de um grupo o perfil Admin no espaço de trabalho, escolha Tornar administrador.

    • Para remover o acesso ao espaço de trabalho de todos os membros de um grupo, escolha Cancelar atribuição de grupo.

Erros de incompatibilidade de permissões ao configurar usuários e grupos

Você pode encontrar erros de incompatibilidade ao configurar usuários e grupos no console do Amazon Managed Grafana. Isso indica que o Amazon Managed Grafana e o Centro de Identidade do IAM estão fora de sincronia. Nesse caso, o Amazon Managed Grafana exibe um aviso e uma opção de Resolver a incompatibilidade. Se você escolher Resolver, o Amazon Managed Grafana exibirá uma caixa de diálogo com uma lista de usuários que têm permissões que estão fora de sincronia.

Os usuários que foram removidos do Centro de Identidade do IAM aparecem como Unknown user, com um ID numérico na caixa de diálogo. Para esses usuários, a única maneira de corrigir a incompatibilidade é escolher Resolver e remover suas permissões.

Os usuários que ainda estão no Centro de Identidade do IAM, mas não pertencem mais a um grupo com os direitos de acesso que tinham anteriormente, aparecem com seu nome de usuário na lista Resolver. Existem duas maneiras de corrigir esse problema. Você pode usar a caixa de diálogo Resolver para remover ou reduzir o acesso, ou pode conceder acesso a eles seguindo as instruções na seção anterior.

Perguntas frequentes sobre incompatibilidades de permissões

Por que estou vendo um erro indicando incompatibilidade nas permissões na seção Configurar usuários e grupos do console do Amazon Managed Grafana?

Você está vendo essa mensagem porque foi identificada uma incompatibilidade nas associações de usuários e grupos no Centro de Identidade do IAM e nas permissões no Amazon Managed Grafana para o espaço de trabalho. Você pode adicionar ou remover usuários do espaço de trabalho do Grafana no console do Amazon Managed Grafana (na guia Configurar usuários e grupos) ou no console do Centro de Identidade do IAM (página Atribuições de aplicações). No entanto, as permissões de usuário do Grafana só podem ser definidas a partir do Amazon Managed Grafana (usando o console Amazon Managed Grafana ou APIs), atribuindo permissões de Visualizador, Editor ou Administrador ao usuário ou grupo. Um usuário pode pertencer a vários grupos com permissões variadas. Nesse caso, a permissão é baseada no nível de acesso mais alto entre todos os grupos e permissões aos quais o usuário pertence.

Registros incompatíveis podem resultar de:

  • Um usuário ou grupo foi excluído do Centro de Identidade do IAM, mas não do Amazon Managed Grafana. Esses registros são exibidos como usuários desconhecidos no console do Amazon Managed Grafana.

  • A associação de um usuário ou grupo com o Grafana foi excluída no Centro de Identidade do IAM (em Atribuições de aplicações), mas não do Amazon Managed Grafana.

  • As permissões do usuário foram atualizadas anteriormente diretamente no espaço de trabalho do Grafana. As atualizações no espaço de trabalho do Grafana não são compatíveis com o Amazon Managed Grafana.

Para evitar essas incompatibilidades, use o console Amazon Managed Grafana ou o Amazon Managed APIs Grafana para gerenciar permissões de usuários e grupos para seu espaço de trabalho.

Eu já atualizei os níveis de acesso de alguns dos membros da minha equipe no espaço de trabalho do Grafana. Agora vejo que seus níveis de acesso foram revertidos para o nível de acesso antigo. Por que estou vendo isso e como faço para resolver esse problema?

Provavelmente, isso se deve a uma incompatibilidade identificada entre a associação de usuários e grupos no Centro de Identidade do IAM e os registros de permissão do Amazon Managed Grafana para o espaço de trabalho. Se os membros da sua equipe estiverem encontrando níveis de acesso diferentes, você ou um administrador do Amazon Managed Grafana pode ter resolvido a incompatibilidade no console do Amazon Managed Grafana, removendo os registros incompatíveis. Você pode reatribuir os níveis de acesso necessários no console Amazon Managed Grafana APIs ou restaurar as permissões desejadas.

nota

O gerenciamento de acesso do usuário não é compatível com o espaço de trabalho do Grafana. Use o console Amazon Managed Grafana ou APIs para atribuir permissões de usuários ou grupos.

Por que estou notando alterações nos meus níveis de acesso? Por exemplo, eu já tinha acesso de administrador, mas agora só tenho permissões de editor.

Um administrador do espaço de trabalho pode ter alterado suas permissões. Isso pode acontecer inesperadamente no caso de uma incompatibilidade entre as associações dos usuários e grupos no Centro de Identidade do IAM e suas permissões no Amazon Managed Grafana. Nesse caso, resolver a incompatibilidade pode ter removido as permissões de acesso mais elevado. Você pode solicitar que um administrador reatribua o nível de acesso necessário no console do Amazon Managed Grafana.