创建 Amazon Managed Grafana 工作区
工作区是一个逻辑 Grafana 服务器。您在账户的每个区域中最多能有五个工作区。
必要的权限
要创建工作区,您必须登录到附加有 AWSGrafanaAccountAdministrator 策略的 AWS Identity and Access Management(IAM)主体。
要创建第一个使用 IAM Identity Center 进行授权的工作区,您的 IAM 主体还必须额外附加这些策略(或具有同等权限):
AWSSSOMemberAccountAdministrator
AWSSSODirectoryAdministrator
有关更多信息,请参阅 使用 IAM Identity Center 在单个独立账户中创建和管理 Amazon Managed Grafana 工作区和用户。
创建工作区
以下步骤将引导您完成创建新 Amazon Managed Grafana 工作区的过程。
要在 Amazon Managed Grafana 中创建工作区
-
打开 Amazon Managed Grafana 控制台,网址为 https://console.aws.amazon.com/grafana/
。 -
选择创建工作区。
-
在工作区详细信息窗口的工作区名称中,输入工作区的名称。
(可选)输入工作区的描述。
(可选)添加要与此工作区关联的标签。标签有助于识别和组织工作区,也可用于控制对 AWS 资源的访问。例如,您可以为工作区指定标签,只让有限的组或角色有权限使用该标签访问工作区。如需详细了解基于标签的访问控制,请参阅《IAM 用户指南》中的使用标签控制对 AWS 资源的访问。
-
为工作区选择 Grafana 版本。您可以选择版本 8、9 或 10。要了解版本之间的差异,请参阅 Grafana 版本之间的差异。
-
选择下一步。
-
对于身份验证访问权限,请选择 AWS IAM Identity Center 和/或安全断言标记语言(SAML)。有关更多信息,请参阅 在 Amazon Managed Grafana 工作区中对用户进行身份验证。
-
IAM Identity Center:如果您选择了 IAM Identity Center,且尚未在账户中启用 AWS IAM Identity Center,系统会提示您通过创建第一个 IAM Identity Center 用户来启用它。IAM Identity Center 处理与 Amazon Managed Grafana 工作区访问权限相关的用户管理操作。
要启用 IAM Identity Center,请执行以下步骤:
-
选择 创建用户。
-
输入用户的电子邮件地址、名字和姓氏,并选择创建用户。在本教程中,请使用您想要试用 Amazon Managed Grafana 的账户的名称和电子邮件地址。您将收到一封电子邮件,提示您为该账户创建 IAM Identity Center 密码。
重要
您创建的用户不会自动拥有您的 Amazon Managed Grafana 工作区访问权限。在稍后的步骤中,您将在工作区详细信息页面中为用户提供工作区的访问权限。
-
SAML:如果选择 SAML,则在创建工作区后完成 SAML 设置。
-
-
选择服务托管或客户管理。
如果您选择服务托管,Amazon Managed Grafana 会自动创建 IAM 角色,并为您选择用于此工作区的此账户中的 AWS 数据来源预置所需的权限。
如果您想自己管理这些角色和权限,请选择客户管理。
如果您要在组织的成员账户中创建工作区,该成员账户必须是组织中的委托管理员账户,才能够选择服务托管。有关委托管理员账户的更多信息,请参阅注册委托管理员。
-
(可选)您可以选择在此页面上连接到 Amazon Virtual Private Cloud(VPC),也可以稍后连接到 VPC。要了解更多信息,请参阅 从 Amazon Managed Grafana 连接到 Amazon VPC 中的数据来源或通知渠道。
-
(可选)您可以在此页面上选择其他工作区配置选项,包括以下选项:
-
启用 Grafana Alerting。通过 Grafana Alerting,您可以在 Grafana 工作区的单一警报界面中查看 Grafana 警报和在 Prometheus 中定义的警报。
在运行版本 8 或 9 的工作区中,这将为 Grafana 警报发送多个通知。如果使用在 Grafana 中定义的警报,我们建议将工作区创建为 10.4 或更高版本。
-
允许 Grafana 管理员为此工作区管理插件。如果未启用插件管理,管理员将无法为工作区安装、卸载或移除插件。您可以用于 Amazon Managed Grafana 的数据来源和可视化面板类型可能会受到限制。
您也可以在创建工作区后做出这些配置更改。要了解有关配置工作区的更多信息,请参阅 配置 Amazon Managed Grafana 工作区。
-
-
(可选)您可以选择为工作区添加网络访问控制。要添加网络访问控制,请选择受限访问。您也可以在创建工作区后启用网络访问控制。
有关网络访问控制的更多信息,请参阅 配置对 Amazon Managed Grafana 工作区的网络访问权限。
-
选择下一步。
-
如果您选择服务托管,请选择当前账户,让 Amazon Managed Grafana 自动创建策略和权限,使其只能读取当前账户中的 AWS 数据。
如果您在组织中的管理账户或委托管理员账户中创建工作区,可以选择组织,让 Amazon Managed Grafana 自动创建策略和权限,使其能够读取您指定的组织单位中其他账户的 AWS 数据。有关委托管理员账户的更多信息,请参阅注册委托管理员。
注意
在组织的管理账户中创建 Amazon Managed Grafana 工作区等资源违反 AWS 安全最佳实践。
-
如果您选择了组织,系统会提示您启用 AWS CloudFormation StackSets,请选择启用受信任访问。然后,添加您希望 Amazon Managed Grafana 从其读取数据的 AWS Organizations 组织单位(OU)。然后,Amazon Managed Grafana 就可以从您选择的每个 OU 中的所有账户读取数据。
-
如果您选择了组织,请选择数据来源和通知渠道 - 可选。
-
-
选择要在此工作区中查询的 AWS 数据来源。选择数据来源可使 Amazon Managed Grafana 创建允许 Amazon Managed Grafana 从这些来源读取数据的 IAM 角色和权限。您仍必须在 Grafana 工作区控制台中添加数据来源。
-
(可选)如果您希望将来自此工作区的 Grafana 警报发送到 Amazon Simple Notification Service(Amazon SNS)通知渠道,请选择 Amazon SNS。这样,Amazon Managed Grafana 就会创建一个 IAM 策略,向您账户中的 Amazon SNS 主题发布以
grafana
开头的TopicName
值。这并不能完全将 Amazon SNS 设置为工作区的通知渠道。您可以在工作区的 Grafana 控制台中执行此操作。 -
选择下一步。
-
确认工作区的详细信息,然后选择创建工作区。
此时将会显示工作区详细信息页面。
最初,状态为正在创建。
重要
等到状态变为活动后再执行以下任一操作:
-
如果您使用的是 SAML,请完成 SAML 设置。
-
如果您使用的是 IAM Identity Center,请向工作区分配您的 IAM Identity Center 用户访问权限。
您可能需要刷新浏览器来查看当前状态。
-
-
如果您使用的是 IAM Identity Center,请执行以下操作:
-
在身份验证选项卡中,选择分配新用户或组。
-
在要向其授予工作区访问权限的用户旁边,选择其复选框,然后选择分配用户。
-
选择该用户旁边的复选框,然后选择使其成为管理员。
重要
为每个工作区分配至少一个用户(例如
Admin
),以便登录 Grafana 工作区控制台来管理工作区。
-
-
如果您使用的是 SAML,请执行以下操作:
-
在身份验证选项卡的安全断言标记语言(SAML)下,选择完成设置。
-
对于导入方法,执行以下操作之一:
-
选择 URL 并输入 IdP 元数据的 URL。
-
选择上传或复制/粘贴。如果您要上传元数据,请选择选择文件,然后选择元数据文件。或者,如果您使用复制和粘贴,请将元数据复制到导入元数据。
-
-
对于断言属性角色,输入要从中提取角色信息的 SAML 断言属性名称。
-
对于管理员角色值,输入 IdP 中的用户角色,这些角色都应被授予 Amazon Managed Grafana 工作区中的
Admin
角色,或者,选择我希望选择不为工作区分配管理员。注意
如果您选择我希望选择不为工作区分配管理员,您将无法使用控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。您只能使用 Amazon Managed Grafana API 对工作区进行管理更改。
-
(可选)要输入其他 SAML 设置,请选择其他设置,并执行以下一项或多项操作。所有这些字段均为可选字段。
-
对于断言属性名称,指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。
-
对于断言属性登录,指定 SAML 断言中用作 SAML 用户登录名称的属性名称。
-
对于断言属性电子邮件,指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。
-
对于登录有效期(分钟),指定 SAML 用户的登录有效期,在此时间之后,用户必须重新登录。默认值为 1 天,最大值为 30 天。
-
对于断言属性组织,指定 SAML 断言中用作用户组织“友好”名称的属性名称。
-
对于断言属性组,指定 SAML 断言中用作用户组“友好”名称的属性名称。
-
对于允许的组织,您可以限制用户的访问权限,仅允许那些属于 IdP 中特定组织的成员访问。输入一个或多个要允许的组织,用逗号分隔。
-
对于编辑者角色值,输入 IdP 中的用户角色,这些用户角色都将被授予 Amazon Managed Grafana 工作区的
Editor
角色。输入一个或多个角色,用逗号分隔。
-
-
选择保存 SAML 配置。
-
-
在工作区详细信息页面中,选择 Grafana 工作区 URL 下显示的 URL。
-
选择工作区 URL 会将您带到 Grafana 工作区控制台的登录页面。请执行以下操作之一:
-
选择使用 SAML 登录,然后输入名称和密码。
-
选择使用 AWS IAM Identity Center 登录,然后输入您在此过程前面所创建用户的电子邮件地址和密码。在您响应了 Amazon Managed Grafana 提示您为 IAM Identity Center 创建密码的电子邮件后,这些凭证才有效。
现在,您已进入 Grafana 工作区,或者说逻辑 Grafana 服务器。您可以开始添加数据来源,以查询、可视化和分析数据。有关更多信息,请参阅 使用您的 Grafana 工作区。
-
有关
提示
您可以使用 AWS CloudFormation 自动创建 Amazon Managed Grafana 工作区。有关更多详细信息,请参阅 使用 AWS CloudFormation 创建 Amazon Managed Grafana 资源。