本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

在 Amazon Managed Grafana 工作区中使用 AWS IAM Identity Center

Amazon Managed Grafana 与 AWS IAM Identity Center 集成，为您的员工提供身份联合验证。使用 Amazon Managed Grafana 和 IAM Identity Center，用户将被重定向到其现有的公司目录，以使用现有凭证登录。然后，他们会无缝登录到其 Amazon Managed Grafana 工作区。这可确保密码策略和双因素身份验证等安全设置得到强制实施。使用 IAM Identity Center 不会影响现有的 IAM 配置。

如果您没有现有的用户目录，或不想使用联合身份验证，IAM Identity Center 会提供一个集成的用户目录，您可以用它为 Amazon Managed Grafana 创建用户和组。Amazon Managed Grafana 不支持使用 IAM 用户和角色在 Amazon Managed Grafana 工作区内分配权限。

有关 IAM Identity Center 的更多信息，请参阅什么是 AWS IAM Identity Center 有关开始使用 IAM Identity Center 的更多信息，请参阅入门。

要使用 IAM Identity Center，您还必须为账户激活 AWS Organizations。如果需要，Amazon Managed Grafana 可以在您创建第一个配置为使用 IAM Identity Center 的工作区时，为您激活 Organizations。

使用 IAM Identity Center 的场景所需的权限

本节介绍将 Amazon Managed Grafana 和 IAM Identity Center 一起使用时，所需的策略。管理 Amazon Managed Grafana 所需的策略根据您的 AWS 账户是否属于某个组织而有所不同。

在 AWS Organizations 账户中创建 Grafana 管理员

要授予在组织中创建和管理 Amazon Managed Grafana 工作区的权限，并允许 AWS IAM Identity Center 等依赖项，请为角色分配以下策略。

如果要在创建 Amazon Managed Grafana 工作区时使用服务托管权限，则创建工作区的角色还必须拥有 iam:CreateRole、iam:CreatePolicy 和 iam:AttachRolePolicy 权限。使用 AWS CloudFormation StackSets 部署允许您读取组织账户中数据来源的策略时，需要这些权限。

要查看授予 AWSGrafanaAccountAdministrator 的权限，请参阅 AWS 托管策略：AWSGrafanaAccountAdministrator

在单个独立账户中创建和管理 Amazon Managed Grafana 工作区和用户

独立 AWS 账户是指不是组织成员的账户。有关 AWS Organizations 的更多信息，请参阅什么是 AWS Organizations？

要授予在独立账户中创建和管理 Amazon Managed Grafana 工作区和用户的权限，请将以下 IAM 策略分配给角色：

要查看授予 AWSGrafanaAccountAdministrator 的权限，请参阅 AWS 托管策略：AWSGrafanaAccountAdministrator