Amazon 受管的 Grafana 如何與 AWS 資料 AWS Organizations 來源存取搭配使用 - Amazon Managed Grafana
與 Organizations 整合的 AWS IAM Identity Center 部署案例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 受管的 Grafana 如何與 AWS 資料 AWS Organizations 來源存取搭配使用

您可以使用 AWS Organizations集中管理多個 AWS 帳戶的資料來源組態和權限設定。在使用 Amazon 受管的 Grafana 工作區中,您可以指定其他組織單位,以便在主帳戶中檢視其 AWS 資料來源。 AWS 帳戶

例如,您可以使用組織中的一個帳戶做為 Amazon Managed Grafana 管理帳戶,並授與此帳戶存取組織中其他帳戶中資料來源的權限。在管理帳戶中,列出具有您要使用管理帳戶存取之 AWS 資料來源的所有組織單位。這會自動建立設定這些資料來源所需的角色和許可政策,您可以在 Amazon 受管 Grafana 工作區的 Grafana 主控台中查看這些資料來源。

如需有關 Organizations 的詳細資訊,請參閱什麼是組織 AWS Organizations。

Amazon 受管的 Grafana 用於自動建立必要的 AWS Identity and Access Management (IAM) 角色, AWS CloudFormation StackSets 讓 Amazon 受管的 Grafana 連接到整個組織的資料來源。 AWS 您必須先在組織的管理帳戶 AWS CloudFormation StackSets 中啟用 Amazon Managed Grafana,才能管理 IAM 政策以存取整個組織的資料來源。Amazon 受管的 Grafana 會在第一次需要時自動啟用此功能。

與 Organizations 整合的 AWS IAM Identity Center 部署案例

如果您在 AWS IAM Identity Center 和組 Organizations 中使用 Amazon 受管 Grafana,建議您使用下列三種情況之一,在組織中建立 Amazon 受管的 Grafana 工作區。針對每個案例,您必須以足夠的權限登入帳戶。如需詳細資訊,請參閱 Amazon 受管 Grafana 的範例政策

獨立帳戶

獨立帳戶是不是「組織」中組織成員的 AWS 帳戶。如果您是第一次嘗試,這可能是一 AWS 個可能的情況。

在這個案例中,Amazon 受管的 Grafana 會在您登入具有AWSGrafanaAccountAdministrator、 AWS IAM Identity Center AWSSSOMemberAccountAdministrator和政策的帳戶時自動啟用和 AWSSSODirectoryAdministratorOrganizations。如需詳細資訊,請參閱 使用 IAM 身分中心,在單一獨立帳戶中建立和管理 Amazon 受管的 Grafana 工作區和使用者

已在其中設定 IAM 身分中心的現有組織的成員帳戶

若要在成員帳戶中建立工作區,您必須登入具有AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator、和AWSSSODirectoryAdministrator原則的帳戶。如需詳細資訊,請參閱 使用 IAM 身分中心的會員帳戶中的 Grafana 管理員

如果您在成員帳戶中建立工作區,並希望該工作區存取組織中其他 AWS 帳戶的資源,則必須在工作區中使用客戶管理的權限。如需詳細資訊,請參閱 客戶管理的權限

若要使用服務管理的權限來允許工作區存取組織中其他 AWS 帳戶的資源,您必須在組織的管理帳戶中建立工作區。但是,在組織的管理帳戶中建立 Amazon 受管的 Grafana 工作區或其他資源並不是最佳實務。如需有關 Organizations 最佳做法的詳細資訊,請參閱管理帳戶的最佳作法

注意

如果您 AWS IAM Identity Center 在 2019 年 11 月 25 日之前在管理帳戶中啟用,則還必須在管理帳戶中啟用 IAM 身分中心整合應用程式。或者,您也可以在管理帳戶中啟用與 IAM 身分中心整合的應用程式,然後在成員帳戶中啟用整合式應用程式。若要啟用這些應用程式,請在 IAM 身分中心整合應用程式區段的「IAM 身分中心設定」頁面中選擇「啟用存取」。如需詳細資訊,請參閱 IAM 身分中心整合應用程式啟用

尚未部署 IAM 身分中心的現有組織的成員帳戶

在此案例中,請先以組織管理員身分登入,然後在組織中啟用 IAM 身分中心。然後,在組織中的成員帳戶中建立 Amazon 受管的 Grafana 工作區。

如果您不是組織管理員,則必須聯絡組 Organizations 的管理員,並要求他們啟用 IAM 身分中心。啟用 IAM 身分中心後,您就可以在成員帳戶中建立工作區。

如果您在成員帳戶中建立工作區,並希望該工作區存取組織中其他 AWS 帳戶的資源,則必須在工作區中使用客戶管理的權限。如需詳細資訊,請參閱 客戶管理的權限

若要在成員帳戶中建立工作區,您必須登入具有AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator、和AWSSSODirectoryAdministrator原則的帳戶。如需更多詳細資訊,請參閱 使用 IAM 身分中心的會員帳戶中的 Grafana 管理員