Usar o AWS IAM Identity Center com o espaço de trabalho do Amazon Managed Grafana - Amazon Managed Grafana
Permissões necessárias para cenários usando o Centro de Identidade do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar o AWS IAM Identity Center com o espaço de trabalho do Amazon Managed Grafana

O Amazon Managed Grafana se integra ao AWS IAM Identity Center para fornecer federação de identidades para sua força de trabalho. Usando o Amazon Managed Grafana e o Centro de Identidade do IAM, os usuários são redirecionados para o diretório atual da empresa para fazer login com suas credenciais existentes. Em seguida, eles se conectam sem problemas ao espaço de trabalho do Amazon Managed Grafana. Isso garante que as configurações de segurança, como políticas de senha e autenticação de dois fatores, sejam aplicadas. Usar o Centro de Identidade do IAM não afeta sua configuração atual do IAM.

Se você não tiver um diretório de usuários existente ou preferir não federar, o Centro de Identidade do IAM oferece um diretório de usuários integrado que você pode usar para criar usuários e grupos para o Amazon Managed Grafana. O Amazon Managed Grafana não é compatível com o uso de usuários e perfis do IAM para atribuir permissões em um espaço de trabalho do Amazon Managed Grafana.

Para obter mais informações sobre o Centro de Identidade do IAM, consulte O que é o AWS IAM Identity Center?. Para obter mais informações sobre os conceitos básicos do Centro de Identidade do IAM, consulte a Introdução.

Para usar o Centro de Identidade do IAM, você também deve ter o AWS Organizations ativado para a conta. Se necessário, o Amazon Managed Grafana pode ativar o Organizations para você ao criar o primeiro espaço de trabalho configurado para usar o Centro de Identidade do IAM.

Permissões necessárias para cenários usando o Centro de Identidade do IAM

Esta seção explica as políticas necessárias para usar o Amazon Managed Grafana com o Centro de Identidade do IAM. As políticas necessárias para administrar o Amazon Managed Grafana diferem com base no fato de a conta da AWS fazer parte de uma organização ou não.

Criar um administrador do Grafana nas contas do AWS Organizations

Para conceder permissões para criar e gerenciar espaços de trabalho do Amazon Managed Grafana em uma organização e permitir dependências como AWS IAM Identity Center, atribua as seguintes políticas a um perfil.

  • Atribua a política do IAM do AWSGrafanaAccountAdministrator para permitir a administração dos espaços de trabalho do Amazon Managed Grafana.

  • O AWSSSODirectoryAdministrator permite que o perfil use o Centro de Identidade do IAM ao configurar espaços de trabalho do Amazon Managed Grafana.

  • Para permitir a criação e o gerenciamento de espaços de trabalho do Amazon Managed Grafana em toda a organização, atribua ao perfil a política do IAM AWSSSOMasterAccountAdministrator. Como alternativa, atribua ao perfil a política do IAM AWSSSOMemberAccountAdministrator para permitir a criação e o gerenciamento de espaços de trabalho em uma única conta de membro da organização.

  • Você também pode, opcionalmente, conceder ao perfil a política do IAM AWSMarketplaceManageSubscriptions (ou permissões equivalentes) caso queira permitir que o perfil atualize um espaço de trabalho do Amazon Managed Grafana para o Grafana Enterprise.

Se quiser usar permissões gerenciadas por serviço ao criar um espaço de trabalho do Amazon Managed Grafana, o perfil que cria o espaço de trabalho também deve ter as permissões iam:CreateRole, iam:CreatePolicy e iam:AttachRolePolicy. Elas são necessárias para usar o AWS CloudFormation StackSets para implantar políticas que permitam ler fontes de dados nas contas da organização.

Importante

Conceder a um usuário as permissões iam:CreateRole, iam:CreatePolicy e iam:AttachRolePolicy concede a esse usuário acesso administrativo total à conta da AWS. Por exemplo, um usuário com essas permissões pode criar uma política com permissões totais para todos os recursos e anexar essa política a qualquer função. Seja muito cuidadoso a quem você concede essas permissões.

Para ver as permissões concedidas a AWSGrafanaAccountAdministrator, consulte Política gerenciada pela AWS: AWSGrafanaAccountAdministrator.

Criar e gerenciar espaços de trabalho e usuários do Amazon Managed Grafana em uma única conta independente

Uma conta da AWS independente é uma conta que ainda não é membro de uma organização. Para obter mais informações sobre AWS Organizations, consulte O que é AWS Organizations?

Para conceder permissão para criar e gerenciar espaços de trabalho e usuários do Amazon Managed Grafana em uma conta independente, atribua as seguintes políticas do IAM a um perfil:

  • AWSGrafanaAccountAdministrator

  • AWSSSOMasterAccountAdministrator

  • AWSOrganizationsFullAccess

  • AWSSSODirectoryAdministrator

Importante

Ao conceder a um perfil a política AWSOrganizationsFullAccess, esse perfil obtém acesso administrativo total à conta da AWS. Seja muito cuidadoso a quem você concede essas permissões.

Para ver as permissões concedidas a AWSGrafanaAccountAdministrator, consulte Política gerenciada pela AWS: AWSGrafanaAccountAdministrator.