本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS IAM Identity Center 与您的亚马逊托管 Grafana 工作区配合使用
Amazon Managed Grafana AWS IAM Identity Center 与之集成,为您的员工提供身份联合。使用 Amazon Managed Grafana 和 IAM 身份中心,用户将被重定向到其现有公司名录,然后使用其现有证书登录。然后,他们就可以无缝登录自己的亚马逊托管 Grafana 工作空间。这样可以确保强制执行诸如密码策略和双重身份验证之类的安全设置。使用 IAM 身份中心不会影响您现有的 IAM 配置。
如果您没有现有用户目录或不想联合用户,IAM Identity Center 会提供一个集成的用户目录,您可以使用该目录为 Amazon Managed Grafana 创建用户和群组。亚马逊托管 Grafana 不支持使用 IAM 用户和角色在亚马逊托管 Grafana 工作空间内分配权限。
有关 IAM 身份中心的更多信息,请参阅什么是 AWS IAM Identity Center。有关 IAM Identity Center 入门的更多信息,请参阅入门。
要使用 IAM 身份中心,您还必须为该账户 AWS Organizations 激活。如果需要,Amazon Managed Grafana 可以在您创建第一个配置为使用 IAM 身份中心的工作空间时为您激活 Organizations。
使用 IAM 身份中心的场景所需的权限
本节介绍在 IAM 身份中心中使用亚马逊托管 Grafana 所需的政策。根据 AWS 您的账户是否属于某个组织,管理 Amazon Managed Grafana 所需的政策会有所不同。
在账号中创建 Grafana 管理员 AWS Organizations
要授予在组织中创建和管理 Amazon Managed Grafana 工作空间以及允许依赖关系(例如 AWS IAM Identity Center)的权限,请将以下策略分配给角色。
-
分配 AWSGrafanaAccountAdministratorIAM 策略以允许管理亚马逊托管 Grafana 工作空间。
-
AWSSSODirectoryAdministrator允许该角色在设置 Amazon Managed Grafana 工作空间时使用 IAM 身份中心。
-
要允许在整个组织中创建和管理 Amazon Managed Grafana 工作空间,请为该角色提供 IAM 策略。AWSSSOMasterAccountAdministrator或者,为该角色提供 AWSSSOMemberAccountAdministratorIAM 策略,允许在组织的单个成员账户中创建和管理工作空间。
-
如果您想允许该角色将亚马逊托管 Grafana 工作空间升级到 Grafana 企业,也可以选择向该角色授予 IA AWSMarketplaceManageSubscriptionsM 策略(或同等权限)。
如果您想在创建 Amazon Managed Grafana 工作空间时使用服务托管权限,则创建该工作空间的角色还必须具有iam:CreateRole
、和权限。iam:CreatePolicy
iam:AttachRolePolicy
这些是部署 AWS CloudFormation StackSets 允许您读取组织账户中数据源的策略所必需的。
重要
通过向用户授予 iam:CreateRole
、iam:CreatePolicy
和 iam:AttachRolePolicy
权限,用户将获得对 AWS
账户的完全管理访问权限。例如,具有这些权限的用户可以创建一个对所有资源具有完全权限的策略,并将该策略附加到任何角色。请谨慎地为相关人员授予这些权限。
要查看授予的权限 AWSGrafanaAccountAdministrator,请参阅 AWS 托管策略: AWSGrafanaAccountAdministrator
在单个独立账户中创建和管理 Amazon Managed Grafana 工作空间和用户
独立 AWS 账户是指不是组织成员的账户。有关的更多信息 AWS Organizations,请参阅什么是 AWS Organizations?
要授予在独立账户中创建和管理 Amazon Managed Grafana 工作空间和用户的权限,请为角色分配以下 IAM 策略:
-
AWSGrafanaAccountAdministrator
-
AWSSSOMasterAccountAdministrator
-
AWSOrganizationsFullAccess
-
AWSSSODirectoryAdministrator
重要
该AWSOrganizationsFullAccess策略向角色授予该角色对您的 AWS 账户的完全管理权限。请谨慎地为相关人员授予这些权限。
要查看授予的权限 AWSGrafanaAccountAdministrator,请参阅 AWS 托管策略: AWSGrafanaAccountAdministrator