管理用户和组对 Amazon Managed Grafana 工作区的访问权限 - Amazon Managed Grafana
向用户组授予权限权限不匹配错误权限不匹配常见问题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理用户和组对 Amazon Managed Grafana 工作区的访问权限

您可以使用在身份提供者(IdP)或 AWS IAM Identity Center 中设置的用户访问 Amazon Managed Grafana 工作区。您必须授予这些用户(或其所属的组)对工作区的权限。您可以授予其 UserEditorAdmin 权限。

向用户组授予权限

先决条件

  • 要授予用户或用户组访问 Amazon Managed Grafana 工作区的权限,必须先在身份提供者(IdP)或 AWS IAM Identity Center 中预置该用户或组。有关更多信息,请参阅 在 Amazon Managed Grafana 工作区中对用户进行身份验证

  • 要管理用户和组的访问权限,您必须以拥有 AWS Identity and Access Management(IAM)策略 AWSGrafanaWorkspacePermissionManagementV2 或同等权限的用户身份登录。如果您使用 IAM Identity Center 管理用户,还必须拥有 AWSSSOMemberAccountAdministratorAWSSSODirectoryReadOnly IAM 策略或同等权限。有关更多信息,请参阅 为用户分配和取消分配对 Amazon Managed Grafana 的访问权限

要使用 Amazon Managed Grafana 控制台管理用户对 Grafana 工作区的访问权限

  1. 打开 Amazon Managed Grafana 控制台,网址为 https://console.aws.amazon.com/grafana/

  2. 在左侧导航窗格中,选择菜单图标。

  3. 选择所有工作区

  4. 选择要管理的工作区的名称。

  5. 选择身份验证选项卡。

  6. 如果您在此工作区中使用 IAM Identity Center,请选择配置用户和用户组,然后执行以下一项或多项操作:

    • 要授予用户访问 Amazon Managed Grafana 工作区的权限,请选择用户旁边的复选框,然后选择分配用户

    • 要使用户成为工作区的 Admin,请选择设为管理员

    • 要移除用户的工作区访问权限,请选择取消分配用户

    • 要添加用户组(如 LDAP 组),请选择分配用户组选项卡。然后,执行以下操作之一:

      • 要授予组中所有成员对 Amazon Managed Grafana 工作区的访问权限,请选择组旁边的复选框,然后选择分配组

      • 要向组中所有成员授予工作区的 Admin 角色,请选择设为管理员

      • 要移除组中所有成员的工作区访问权限,请选择取消分配组

    注意

    如果您使用 IAM Identity Center 管理用户,请仅使用 IAM Identity Center 控制台预置新用户和组。使用 Amazon Managed Grafana 控制台或 API 授予或移除对 Grafana 工作区的访问权限。

    如果 IAM Identity Center 和 Amazon Managed Grafana 不同步,您将看到一个选项,用于解决任何冲突。有关更多信息,请参阅下面的 配置用户和组时出现权限不匹配错误

  7. 如果您在此工作区中使用 SAML,请选择 SAML 配置,并执行以下一项或多项操作:

    • 对于导入方法,执行以下操作之一:

      • 选择 URL 并输入 IdP 元数据的 URL。

      • 选择上传或复制/粘贴。如果您要上传元数据,请选择选择文件,然后选择元数据文件。或者,如果您使用复制和粘贴,请将元数据复制到导入元数据

    • 对于断言属性角色,输入要从中提取角色信息的 SAML 断言属性名称。

    • 对于管理员角色值,输入 IdP 中的用户角色,这些角色都应被授予 Amazon Managed Grafana 工作区中的 Admin 角色,或者,选择我希望选择不为工作区分配管理员

      注意

      如果您选择我希望选择不为工作区分配管理员,您将无法使用 Amazon Managed Grafana 控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。您只能使用 Amazon Managed Grafana API 对工作区进行管理更改。

    • (可选)要输入其他 SAML 设置,请选择其他设置,并执行以下一项或多项操作,然后选择保存 SAML 配置。所有这些字段均为可选字段。

      • 对于断言属性名称,指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。

      • 对于断言属性登录,指定 SAML 断言中用作 SAML 用户登录名称的属性名称。

      • 对于断言属性电子邮件,指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。

      • 对于登录有效期(分钟),指定 SAML 用户的登录有效期,在此时间之后,用户必须重新登录。

      • 对于断言属性组织,指定 SAML 断言中用作用户组织“友好”名称的属性名称。

      • 对于断言属性组,指定 SAML 断言中用作用户组“友好”名称的属性名称。

      • 对于允许的组织,您可以限制用户的访问权限,仅允许那些属于 IdP 中特定组织的成员访问。输入一个或多个要允许的组织,用逗号分隔。

      • 对于编辑者角色值,输入 IdP 中的用户角色,这些用户角色都将被授予 Amazon Managed Grafana 工作区的 Editor 角色。输入一个或多个角色,用逗号分隔。

  8. 或者,要添加用户组(如 LDAP 组),请选择用户组选项卡。然后,执行以下操作之一:

    • 要授予组中所有成员对 Amazon Managed Grafana 工作区的访问权限,请选择组旁边的复选框,然后选择分配组

    • 要向组中所有成员授予工作区的 Admin 角色,请选择设为管理员

    • 要移除组中所有成员的工作区访问权限,请选择取消分配组

配置用户和组时出现权限不匹配错误

在 Amazon Managed Grafana 控制台中配置用户和组时,您可能会遇到权限不匹配错误。这表明 Amazon Managed Grafana 和 IAM Identity Center 不同步。在这种情况下,Amazon Managed Grafana 会显示警告并提供解决不匹配的选项。如果选择解决,Amazon Managed Grafana 会显示一个对话框,其中包含权限不同步的用户列表。

已从 IAM Identity Center 中移除的用户在对话框中将显示为 Unknown user,并带有数字 ID。对于这些用户,修复不匹配的唯一方法是选择解决,并移除其权限。

对于仍在 IAM Identity Center 中的用户,如果不再属于之前拥有访问权限的组,会在解决列表中显示其用户名。可通过两种方式解决此问题。您可以使用解决对话框,移除或减少其访问权限,也可以按照上一节中的说明,向其授予访问权限。

有关权限不匹配的常见问题

为什么我在 Amazon Managed Grafana 控制台的配置用户和组部分看到“权限不匹配”的错误信息?

您看到此消息是因为在 IAM Identity Center 中的用户和组关联与 Amazon Managed Grafana 中的工作区权限之间发现了不匹配。您可以从 Amazon Managed Grafana 控制台(在配置用户和组选项卡中)或 IAM Identity Center 控制台(应用程序分配页面)为 Grafana 工作区添加或移除用户。但是,Grafana 用户权限只能从 Amazon Managed Grafana(使用 Amazon Managed Grafana 控制台或 API),通过为用户或组分配查看者编辑者管理员权限来定义。用户可以属于具有不同权限的多个组,在这种情况下,将基于用户所属的所有组和权限中的最高访问权限级别,确定用户的权限。

以下情况可能导致记录不匹配:

  • 用户或组从 IAM Identity Center 中删除,但未在 Amazon Managed Grafana 中删除。这些记录在 Amazon Managed Grafana 控制台中显示为未知用户

  • 用户或组与 Grafana 的关联在 IAM Identity Center(应用程序分配下)中删除,但未在 Amazon Managed Grafana 中删除。

  • 用户权限先前直接从 Grafana 工作区更新。Amazon Managed Grafana 中不支持从 Grafana 工作区更新。

要避免这些不匹配,请使用 Amazon Managed Grafana 控制台或 Amazon Managed Grafana API 来管理工作区的用户和组权限。

我之前从 Grafana 工作区更新了一些团队成员的访问权限级别。现在,我看到其访问权限级别恢复到了旧的状态。为什么会出现这种情况,如何解决?

造成这种情况的原因很可能是因为 IAM Identity Center 中的用户和组关联与您工作区的 Amazon Managed Grafana 权限记录不匹配。如果您的团队成员遇到访问权限级别不一致的情况,您或 Amazon Managed Grafana 管理员可能已经从 Amazon Managed Grafana 控制台解决了不匹配问题,并移除了不匹配的记录。您可以通过 Amazon Managed Grafana 控制台或 API 重新分配所需的访问权限级别,以恢复所需的权限。

注意

Grafana 工作区不支持用户访问权限管理。请使用 Amazon Managed Grafana 控制台或 API 来分配用户或组权限。

为什么我发现我的访问权限级别发生了变化? 例如,我以前有管理员权限,但现在只有编辑者权限。

您工作区的管理员可能更改了您的权限。如果 IAM Identity Center 中的用户和组关联与 Amazon Managed Grafana 中的权限不匹配,就可能发生这种不经意的操作。在这种情况下,解决不匹配问题可能会移除您较高的访问权限。您可以请求管理员从 Amazon Managed Grafana 控制台重新分配所需的访问权限级别。