创建 Amazon Managed Grafana 工作区 - Amazon Managed Grafana

创建 Amazon Managed Grafana 工作区

工作区是一个逻辑 Grafana 服务器。您在账户的每个区域中最多能有五个工作区。

必要的权限

要创建工作区,您必须登录到附加有 AWSGrafanaAccountAdministrator 策略的 AWS Identity and Access Management(IAM)主体。

要创建第一个使用 IAM Identity Center 进行授权的工作区,您的 IAM 主体还必须额外附加这些策略(或具有同等权限):

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

有关更多信息,请参阅 使用 IAM Identity Center 在单个独立账户中创建和管理 Amazon Managed Grafana 工作区和用户

创建工作区

以下步骤将引导您完成创建新 Amazon Managed Grafana 工作区的过程。

要在 Amazon Managed Grafana 中创建工作区
  1. 打开 Amazon Managed Grafana 控制台,网址为 https://console.aws.amazon.com/grafana/

  2. 选择创建工作区

  3. 工作区详细信息窗口的工作区名称中,输入工作区的名称。

    (可选)输入工作区的描述。

    (可选)添加要与此工作区关联的标签。标签有助于识别和组织工作区,也可用于控制对 AWS 资源的访问。例如,您可以为工作区指定标签,只让有限的组或角色有权限使用该标签访问工作区。如需详细了解基于标签的访问控制,请参阅《IAM 用户指南》中的使用标签控制对 AWS 资源的访问

    Workspace details form with name field and optional tags section highlighted.

  4. 为工作区选择 Grafana 版本。您可以选择版本 8、9 或 10。要了解版本之间的差异,请参阅 Grafana 版本之间的差异

  5. 选择下一步

  6. 对于身份验证访问权限,请选择 AWS IAM Identity Center 和/或安全断言标记语言(SAML)。有关更多信息,请参阅 在 Amazon Managed Grafana 工作区中对用户进行身份验证

    • IAM Identity Center:如果您选择了 IAM Identity Center,且尚未在账户中启用 AWS IAM Identity Center,系统会提示您通过创建第一个 IAM Identity Center 用户来启用它。IAM Identity Center 处理与 Amazon Managed Grafana 工作区访问权限相关的用户管理操作。

      要启用 IAM Identity Center,请执行以下步骤:

    1. 选择 创建用户

    2. 输入用户的电子邮件地址、名字和姓氏,并选择创建用户。在本教程中,请使用您想要试用 Amazon Managed Grafana 的账户的名称和电子邮件地址。您将收到一封电子邮件,提示您为该账户创建 IAM Identity Center 密码。

    重要

    您创建的用户不会自动拥有您的 Amazon Managed Grafana 工作区访问权限。在稍后的步骤中,您将在工作区详细信息页面中为用户提供工作区的访问权限。

    • SAML:如果选择 SAML,则在创建工作区后完成 SAML 设置。

  7. 选择服务托管客户管理

    如果您选择服务托管,Amazon Managed Grafana 会自动创建 IAM 角色,并为您选择用于此工作区的此账户中的 AWS 数据来源预置所需的权限。

    如果您想自己管理这些角色和权限,请选择客户管理

    如果您要在组织的成员账户中创建工作区,该成员账户必须是组织中的委托管理员账户,才能够选择服务托管。有关委托管理员账户的更多信息,请参阅注册委托管理员

  8. (可选)您可以选择在此页面上连接到 Amazon Virtual Private Cloud(VPC),也可以稍后连接到 VPC。要了解更多信息,请参阅 从 Amazon Managed Grafana 连接到 Amazon VPC 中的数据来源或通知渠道

  9. (可选)您可以在此页面上选择其他工作区配置选项,包括以下选项:

    • 启用 Grafana Alerting。通过 Grafana Alerting,您可以在 Grafana 工作区的单一警报界面中查看 Grafana 警报和在 Prometheus 中定义的警报。

      在运行版本 8 或 9 的工作区中,这将为 Grafana 警报发送多个通知。如果使用在 Grafana 中定义的警报,我们建议将工作区创建为 10.4 或更高版本。

    • 允许 Grafana 管理员为此工作区管理插件。如果未启用插件管理,管理员将无法为工作区安装、卸载或移除插件。您可以用于 Amazon Managed Grafana 的数据来源和可视化面板类型可能会受到限制。

    您也可以在创建工作区后做出这些配置更改。要了解有关配置工作区的更多信息,请参阅 配置 Amazon Managed Grafana 工作区

  10. (可选)您可以选择为工作区添加网络访问控制。要添加网络访问控制,请选择受限访问。您也可以在创建工作区后启用网络访问控制。

    有关网络访问控制的更多信息,请参阅 配置对 Amazon Managed Grafana 工作区的网络访问权限

  11. 选择下一步

  12. 如果您选择服务托管,请选择当前账户,让 Amazon Managed Grafana 自动创建策略和权限,使其只能读取当前账户中的 AWS 数据。

    如果您在组织中的管理账户或委托管理员账户中创建工作区,可以选择组织,让 Amazon Managed Grafana 自动创建策略和权限,使其能够读取您指定的组织单位中其他账户的 AWS 数据。有关委托管理员账户的更多信息,请参阅注册委托管理员

    注意

    在组织的管理账户中创建 Amazon Managed Grafana 工作区等资源违反 AWS 安全最佳实践。

    1. 如果您选择了组织,系统会提示您启用 AWS CloudFormation StackSets,请选择启用受信任访问。然后,添加您希望 Amazon Managed Grafana 从其读取数据的 AWS Organizations 组织单位(OU)。然后,Amazon Managed Grafana 就可以从您选择的每个 OU 中的所有账户读取数据。

    2. 如果您选择了组织,请选择数据来源和通知渠道 - 可选

  13. 选择要在此工作区中查询的 AWS 数据来源。选择数据来源可使 Amazon Managed Grafana 创建允许 Amazon Managed Grafana 从这些来源读取数据的 IAM 角色和权限。您仍必须在 Grafana 工作区控制台中添加数据来源。

  14. (可选)如果您希望将来自此工作区的 Grafana 警报发送到 Amazon Simple Notification Service(Amazon SNS)通知渠道,请选择 Amazon SNS。这样,Amazon Managed Grafana 就会创建一个 IAM 策略,向您账户中的 Amazon SNS 主题发布以 grafana 开头的 TopicName 值。这并不能完全将 Amazon SNS 设置为工作区的通知渠道。您可以在工作区的 Grafana 控制台中执行此操作。

  15. 选择下一步

  16. 确认工作区的详细信息,然后选择创建工作区

    此时将会显示工作区详细信息页面。

    最初,状态正在创建

    重要

    等到状态变为活动后再执行以下任一操作:

    • 如果您使用的是 SAML,请完成 SAML 设置。

    • 如果您使用的是 IAM Identity Center,请向工作区分配您的 IAM Identity Center 用户访问权限。

    您可能需要刷新浏览器来查看当前状态。

  17. 如果您使用的是 IAM Identity Center,请执行以下操作:

    1. 身份验证选项卡中,选择分配新用户或组

    2. 在要向其授予工作区访问权限的用户旁边,选择其复选框,然后选择分配用户

    3. 选择该用户旁边的复选框,然后选择使其成为管理员

      重要

      为每个工作区分配至少一个用户(例如 Admin),以便登录 Grafana 工作区控制台来管理工作区。

  18. 如果您使用的是 SAML,请执行以下操作:

    1. 身份验证选项卡的安全断言标记语言(SAML)下,选择完成设置

    2. 对于导入方法,执行以下操作之一:

      • 选择 URL 并输入 IdP 元数据的 URL。

      • 选择上传或复制/粘贴。如果您要上传元数据,请选择选择文件,然后选择元数据文件。或者,如果您使用复制和粘贴,请将元数据复制到导入元数据

    3. 对于断言属性角色,输入要从中提取角色信息的 SAML 断言属性名称。

    4. 对于管理员角色值,输入 IdP 中的用户角色,这些角色都应被授予 Amazon Managed Grafana 工作区中的 Admin 角色,或者,选择我希望选择不为工作区分配管理员

      注意

      如果您选择我希望选择不为工作区分配管理员,您将无法使用控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。您只能使用 Amazon Managed Grafana API 对工作区进行管理更改。

    5. (可选)要输入其他 SAML 设置,请选择其他设置,并执行以下一项或多项操作。所有这些字段均为可选字段。

      • 对于断言属性名称,指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。

      • 对于断言属性登录,指定 SAML 断言中用作 SAML 用户登录名称的属性名称。

      • 对于断言属性电子邮件,指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。

      • 对于登录有效期(分钟),指定 SAML 用户的登录有效期,在此时间之后,用户必须重新登录。默认值为 1 天,最大值为 30 天。

      • 对于断言属性组织,指定 SAML 断言中用作用户组织“友好”名称的属性名称。

      • 对于断言属性组,指定 SAML 断言中用作用户组“友好”名称的属性名称。

      • 对于允许的组织,您可以限制用户的访问权限,仅允许那些属于 IdP 中特定组织的成员访问。输入一个或多个要允许的组织,用逗号分隔。

      • 对于编辑者角色值,输入 IdP 中的用户角色,这些用户角色都将被授予 Amazon Managed Grafana 工作区的 Editor 角色。输入一个或多个角色,用逗号分隔。

    6. 选择保存 SAML 配置

  19. 在工作区详细信息页面中,选择 Grafana 工作区 URL 下显示的 URL。

  20. 选择工作区 URL 会将您带到 Grafana 工作区控制台的登录页面。请执行以下操作之一:

    • 选择使用 SAML 登录,然后输入名称和密码。

    • 选择使用 AWS IAM Identity Center 登录,然后输入您在此过程前面所创建用户的电子邮件地址和密码。在您响应了 Amazon Managed Grafana 提示您为 IAM Identity Center 创建密码的电子邮件后,这些凭证才有效。

      现在,您已进入 Grafana 工作区,或者说逻辑 Grafana 服务器。您可以开始添加数据来源,以查询、可视化和分析数据。有关更多信息,请参阅 使用您的 Grafana 工作区

有关

提示

您可以使用 AWS CloudFormation 自动创建 Amazon Managed Grafana 工作区。有关更多详细信息,请参阅 使用 AWS CloudFormation 创建 Amazon Managed Grafana 资源