本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Managed Grafana 如何使用 AWS Organizations 進行 AWS 資料來源存取
使用 AWS Organizations,您可以集中管理多個 AWS 帳戶的資料來源組態和許可設定。在 AWS 帳戶 具有 Amazon Managed Grafana 工作區的 中,您可以指定其他組織單位,使其 AWS 資料來源可用於在主要帳戶中檢視。
例如,您可以使用組織中的一個帳戶作為 Amazon Managed Grafana 管理帳戶,並授予此帳戶對組織中其他帳戶中資料來源的存取權。在 管理帳戶中,列出具有您要透過 管理帳戶存取之 AWS 資料來源的所有組織單位。這會自動建立您設定這些資料來源所需的角色和許可政策,您可以在 Amazon Managed Grafana 工作區的 Grafana 主控台中查看。
如需 Organizations 的詳細資訊,請參閱什麼是 AWS Organizations。
Amazon Managed Grafana 使用 AWS CloudFormation StackSets 自動建立 Amazon Managed Grafana 連線到整個 AWS 組織之資料來源所需的 AWS Identity and Access Management (IAM) 角色。在 Amazon Managed Grafana 可以管理您的 IAM 政策以存取整個組織的資料來源之前,您必須在組織的管理帳戶中啟用 AWS CloudFormation StackSets。Amazon Managed Grafana 會在第一次需要時自動啟用此功能。
與 AWS IAM Identity Center 和 Organizations 整合的部署案例
如果您同時使用 Amazon Managed Grafana 與 AWS IAM Identity Center 和 Organizations,我們建議您使用下列三種案例之一,在組織中建立 Amazon Managed Grafana 工作區。對於每個案例,您需要登入具有足夠許可的帳戶。如需詳細資訊,請參閱Amazon Managed Grafana 的範例政策。
獨立帳戶
獨立帳戶是不屬於 Organizations 中組織成員 AWS 的帳戶。如果您 AWS 第一次嘗試,這可能是這種情況。
在此案例中,當您登入具有 AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator AWS IAM Identity Center 和 AWSSSODirectoryAdministrator 政策的帳戶時,Amazon Managed Grafana 會自動啟用 和 Organizations。 AWSGrafanaAccountAdministrator 如需詳細資訊,請參閱使用 IAM Identity Center 在單一獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者。
已設定 IAM Identity Center 的現有組織的成員帳戶
若要在成員帳戶中建立工作區,您必須登入具有 AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator 和 AWSSSODirectoryAdministrator 政策的帳戶。如需詳細資訊,請參閱使用 IAM Identity Center 的成員帳戶中的 Grafana 管理員。
如果您在成員帳戶中建立工作區,且您希望該工作區從組織中的其他 AWS 帳戶存取資源,則必須在工作區中使用客戶受管許可。如需詳細資訊,請參閱客戶管理的許可。
若要使用服務受管許可允許工作區從組織中的其他 AWS 帳戶存取資源,您必須在組織的管理帳戶中建立工作區。不過,在組織的管理帳戶中建立 Amazon Managed Grafana 工作區或其他資源並非最佳實務。如需 Organizations 最佳實務的詳細資訊,請參閱 管理帳戶的最佳實務。
注意
如果您在 2019 年 11 月 25 日之前 AWS IAM Identity Center 在 管理帳戶中啟用 ,您還必須在 管理帳戶中啟用 IAM Identity Center 整合的應用程式。您也可以選擇在管理帳戶中啟用成員帳戶中的 IAM Identity Center 整合應用程式。若要啟用這些應用程式,請在 IAM Identity Center 整合應用程式區段的 IAM Identity Center 設定頁面中選擇啟用存取權。如需詳細資訊,請參閱 IAM Identity Center 整合的應用程式啟用。
尚未部署 IAM Identity Center 的現有組織的成員帳戶
在此案例中,請先以組織管理員身分登入,並在組織中啟用 IAM Identity Center。然後,在組織中的成員帳戶中建立 Amazon Managed Grafana 工作區。
如果您不是組織管理員,您必須聯絡 Organizations 的管理員,並請求他們啟用 IAM Identity Center。啟用 IAM Identity Center 之後,您就可以在成員帳戶中建立工作區。
如果您在成員帳戶中建立工作區,且您希望該工作區從組織中的其他 AWS 帳戶存取資源,則必須在工作區中使用客戶受管許可。如需詳細資訊,請參閱客戶管理的許可。
若要在成員帳戶中建立工作區,您必須登入具有 AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator 和 AWSSSODirectoryAdministrator 政策的帳戶。如需詳細資訊,請參閱使用 IAM Identity Center 的成員帳戶中的 Grafana 管理員。
