Use AWS IAM Identity Center com seu espaço de trabalho Amazon Managed Grafana - Amazon Managed Grafana
Permissões necessárias para cenários usando o IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use AWS IAM Identity Center com seu espaço de trabalho Amazon Managed Grafana

O Amazon Managed Grafana se integra AWS IAM Identity Center para fornecer federação de identidade para sua força de trabalho. Usando o Amazon Managed Grafana e o IAM Identity Center, os usuários são redirecionados para o diretório atual da empresa para fazer login com suas credenciais existentes. Em seguida, eles se conectam perfeitamente ao espaço de trabalho Amazon Managed Grafana. Isso garante que as configurações de segurança, como políticas de senha e autenticação de dois fatores, sejam aplicadas. Usar o IAM Identity Center não afeta sua configuração atual do IAM.

Se você não tiver um diretório de usuários existente ou preferir não federar, o IAM Identity Center oferece um diretório de usuários integrado que você pode usar para criar usuários e grupos para o Amazon Managed Grafana. O Amazon Managed Grafana não suporta o uso de usuários e funções do IAM para atribuir permissões em um espaço de trabalho do Amazon Managed Grafana.

Para obter mais informações sobre o IAM Identity Center, consulte O que é AWS IAM Identity Center. Para obter mais informações sobre como começar a usar o IAM Identity Center, consulte Introdução.

Para usar o IAM Identity Center, você também deve ter AWS Organizations ativado a conta. Se necessário, o Amazon Managed Grafana pode ativar Organizations para você ao criar seu primeiro espaço de trabalho configurado para usar o IAM Identity Center.

Permissões necessárias para cenários usando o IAM Identity Center

Esta seção explica as políticas necessárias para usar o Amazon Managed Grafana com o IAM Identity Center. As políticas necessárias para administrar o Amazon Managed Grafana diferem com base no fato de AWS sua conta fazer parte de uma organização ou não.

Crie um administrador da Grafana nas contas AWS Organizations

Para conceder permissões para criar e gerenciar espaços de trabalho Amazon Managed Grafana em uma organização e permitir dependências como, por exemplo AWS IAM Identity Center, atribua as seguintes políticas a uma função.

  • Atribua a política AWSGrafanaAccountAdministratordo IAM para permitir a administração dos espaços de trabalho Amazon Managed Grafana.

  • AWSSSODirectoryAdministratorpermite que a função use o IAM Identity Center ao configurar espaços de trabalho Amazon Managed Grafana.

  • Para permitir a criação e o gerenciamento de espaços de trabalho Amazon Managed Grafana em toda a organização, atribua à função a política do AWSSSOMasterAccountAdministratorIAM. Como alternativa, atribua à função a política do AWSSSOMemberAccountAdministratorIAM para permitir a criação e o gerenciamento de espaços de trabalho em uma única conta membro da organização.

  • Opcionalmente, você também pode atribuir à função a política do AWSMarketplaceManageSubscriptionsIAM (ou permissões equivalentes) se quiser permitir que a função atualize um espaço de trabalho do Amazon Managed Grafana para a empresa Grafana.

Se você quiser usar permissões gerenciadas por serviços ao criar um espaço de trabalho Amazon Managed Grafana, a função que cria o espaço de trabalho também deve ter as permissões, e. iam:CreateRole iam:CreatePolicy iam:AttachRolePolicy Eles devem ser usados AWS CloudFormation StackSets para implantar políticas que permitam ler fontes de dados nas contas da organização.

Importante

Conceder a um usuário as permissões iam:CreateRole, iam:CreatePolicy e iam:AttachRolePolicy concede a esse usuário acesso administrativo total à conta da AWS . Por exemplo, um usuário com essas permissões pode criar uma política com permissões totais para todos os recursos e anexar essa política a qualquer função. Seja muito cuidadoso a quem você concede essas permissões.

Para ver as permissões concedidas a AWSGrafanaAccountAdministrator, consulte AWS política gerenciada: AWSGrafanaAccountAdministrator

Crie e gerencie espaços de trabalho e usuários do Amazon Managed Grafana em uma única conta independente

Uma AWS conta independente é uma conta que não é membro de uma organização. Para obter mais informações sobre AWS Organizations, consulte O que é AWS Organizations?

Para conceder permissão para criar e gerenciar espaços de trabalho e usuários do Amazon Managed Grafana em uma conta independente, atribua as seguintes políticas do IAM a uma função:

  • AWSGrafanaAccountAdministrator

  • AWSSSOMasterAccountAdministrator

  • AWSOrganizationsFullAccess

  • AWSSSODirectoryAdministrator

Importante

Ao conceder uma função, a AWSOrganizationsFullAccesspolítica dá a essa função acesso administrativo total à sua AWS conta. Seja muito cuidadoso a quem você concede essas permissões.

Para ver as permissões concedidas a AWSGrafanaAccountAdministrator, consulte AWS política gerenciada: AWSGrafanaAccountAdministrator