本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如何使用亚马逊托管 Grafana AWS Organizations 进行数据源访问 AWS
使用 AWS Organizations,您可以集中管理多个 AWS 账户的数据源配置和权限设置。在 AWS 账户 使用 Amazon Managed Grafana 的工作空间中,您可以指定其他组织单位, AWS 使其数据源可在主账户中查看。
例如,您可以将组织中的一个账户用作 Amazon Managed G rafana 管理账户,并允许该账户访问组织中其他账户中的数据源。在管理账户中,列出拥有您要使用管理账户访问 AWS 的数据源的所有组织单位。这会自动创建设置这些数据源所需的角色和权限策略,您可以在亚马逊托管 Grafana 工作区的 Grafana 控制台中查看这些策略。
有关 Organizations 的更多信息,请参阅什么是 AWS Organizations。
Amazon Managed Grafana AWS CloudFormation StackSets 使用自动创建亚马逊托管 Grafana 连接到组织 AWS Identity and Access Management 中的数据源所必需的 (IAM) 角色。 AWS 在 Amazon Managed Grafana 管理您的 IAM 策略以访问组织中的数据源之前,您必须在组织的管理账户中 AWS CloudFormation StackSets 启用。Amazon Managed Grafana 在需要时会自动启用此功能。
与 AWS IAM Identity Center 和 Organizations 集成的部署方案
如果您同时使用亚马逊托管 Grafana AWS IAM Identity Center 和 Organizations,我们建议您使用以下三种情况之一在您的组织中创建亚马逊托管 Grafana 工作空间。对于每种情况,您都需要登录到具有足够权限的账户。有关更多信息,请参阅 亚马逊托管 Grafana 的示例政策。
独立账户
独立账户是指不是 Organizations 中组织成员的 AWS 账户。如果您是第一次尝试 AWS ,则可能出现这种情况。
在这种情况下,当您登录具AWSGrafanaAccountAdministrator有、 AWS IAM Identity Center 和策略的账户时,Amazon Managed Grafana 会自动启用和组织。AWSSSOMemberAccountAdministratorAWSSSODirectoryAdministrator有关更多信息,请参阅 使用 IAM 身份中心在单个独立账户中创建和管理 Amazon Managed Grafana 工作空间和用户。
已在其中配置了 IAM 身份中心的现有组织的成员账户
要在成员账户中创建工作空间,您必须登录到具有AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator、和AWSSSODirectoryAdministrator政策的账户。有关更多信息,请参阅 使用 IAM 身份中心的成员账户中的 Grafana 管理员。
如果您在成员账户中创建工作空间,并且希望该工作空间能够访问组织中其他 AWS 账户的资源,则必须在工作空间中使用客户管理的权限。有关更多信息,请参阅 客户管理的权限。
要使用服务管理权限允许工作空间访问组织中其他 AWS 账户的资源,您必须在组织的管理账户中创建工作空间。但是,在组织的管理账户中创建 Amazon Managed Grafana 工作空间或其他资源并不是最佳做法。有关 Organizations 最佳实践的更多信息,请参阅管理账户的最佳实践。
注意
如果您 AWS IAM Identity Center 在 2019 年 11 月 25 日之前在管理账户中启用,则还必须在管理账户中启用与 IAM Identity Center 集成的应用程序。或者,您也可以在管理账户中启用成员账户中集成了 IAM Identity Center 的应用程序。要启用这些应用程序,请在 IAM Identity Center 集成的应用程序部分的 IAM 身份中心设置页面中选择启用访问权限。有关更多信息,请参阅集成 IAM 身份中心的应用程序启用。
尚未部署 IAM 身份中心的现有组织的成员账户
在这种情况下,请先以组织管理员身份登录,然后在组织中启用 IAM Identity Center。然后,在组织的成员账户中创建 Amazon Managed Grafana 工作空间。
如果您不是组织管理员,则必须联系组织管理员并要求他们启用 IAM Identity Center。启用 IAM Identity Center 后,您可以在成员账户中创建工作空间。
如果您在成员账户中创建工作空间,并且希望该工作空间能够访问组织中其他 AWS 账户的资源,则必须在工作空间中使用客户管理的权限。有关更多信息,请参阅 客户管理的权限。
要在成员账户中创建工作空间,您必须登录到具有AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator、和AWSSSODirectoryAdministrator政策的账户。有关更多信息,请参阅 使用 IAM 身份中心的成员账户中的 Grafana 管理员。
