建立 Amazon Managed Grafana 工作區 - Amazon Managed Grafana

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 Amazon Managed Grafana 工作區

工作區是邏輯 Grafana 伺服器。您帳戶中的每個區域中最多可以有五個工作區。

必要的許可

若要建立工作區,您必須登入已連接AWSGrafanaAccountAdministrator政策的 AWS Identity and Access Management (IAM) 主體。

若要建立第一個使用 IAM Identity Center 進行授權的工作區,您的IAM主體還必須連接下列其他政策 (或同等許可):

  • AWSSSOMemberAccountAdministrator

  • AWSSSODirectoryAdministrator

如需詳細資訊,請參閱使用 IAM 身分中心,在單一獨立帳戶中建立和管理 Amazon 受管的 Grafana 工作區和使用者

建立工作區

下列步驟會引導您完成建立新的 Amazon Managed Grafana 工作區的程序。

在 Amazon Managed Grafana 中建立工作區
  1. 在 開啟 Amazon Managed Grafana 主控台https://console.aws.amazon.com/grafana/

  2. 選擇建立工作區

  3. 工作區詳細資訊視窗中,針對工作區名稱 ,輸入工作區的名稱。

    或者,輸入工作區的描述。

    或者,新增您要與此工作區建立關聯的標籤。標籤有助於識別和組織工作區,也可以用於控制對 AWS 資源的存取。例如,您可以將標籤指派給工作區,只有有限的群組或角色可以使用標籤存取工作區。如需標籤型存取控制的詳細資訊,請參閱 IAM 使用者指南中的使用標籤控制對 AWS 資源的存取

    Workspace details form with name field and optional tags section highlighted.

  4. 選擇工作區的 Grafana 版本。您可以選擇第 8、9 或 10 版。若要了解版本之間的差異,請參閱 Grafana 版本之間的差異

  5. 選擇 Next (下一步)

  6. 針對身分驗證存取 ,選取 AWS IAM Identity Center 安全宣告標記語言 (SAML) 或兩者。如需詳細資訊,請參閱在 Amazon 受管的 Grafana 工作區中驗證使用者

    • IAM 身分中心:如果您選取IAM身分中心,而且尚未 AWS IAM Identity Center 在帳戶中啟用,系統會提示您建立第一個IAM身分中心使用者來啟用該中心。IAM Identity Center 會處理存取 Amazon Managed Grafana 工作區的使用者管理。

      若要啟用 IAM Identity Center,請依照下列步驟進行:

    1. 選擇 Create user (建立使用者)。

    2. 輸入使用者的電子郵件地址、名字和姓氏,然後選擇建立使用者 。在此教學課程中,請使用您要用來嘗試 Amazon Managed Grafana 之帳戶的名稱和電子郵件地址。您將收到電子郵件訊息,提示您為此 帳戶建立 IAM Identity Center 的密碼。

    重要

    您建立的使用者不會自動存取您的 Amazon Managed Grafana 工作區。您可以在稍後的步驟中,為使用者提供工作區詳細資訊頁面中的工作區存取權。

    • SAML — 如果您選擇 SAML,您可以在建立工作區後完成SAML設定。

  7. 選擇服務受管客戶受管

    如果您選擇 Service Managed ,Amazon Managed Grafana 會自動建立IAM角色,並佈建您選擇用於此工作區之此帳戶中 AWS 資料來源所需的許可。

    如果您想要自行管理這些角色和許可,請選擇客戶受管

    如果您要在組織的成員帳戶中建立工作區,若要選擇 Service Managed,成員帳戶必須是組織中的委派管理員帳戶。如需委派管理員帳戶的詳細資訊,請參閱註冊委派管理員。

  8. (選用) 您可以選擇在此頁面上連線至 Amazon 虛擬私有雲端 (VPC),也可以VPC稍後再連線至 。如需進一步了解,請參閱 從 Amazon 受管 Grafana Connect 到 Amazon VPC 中的資料來源或通知渠道

  9. (選用) 您可以在此頁面選擇其他工作區組態選項,包括下列項目:

    • 啟用 Grafana 警示 。Grafana 警示可讓您在 Grafana 工作區的單一警示介面內檢視 Prometheus 中定義的 Grafana 警示和警示。

      在執行第 8 版或第 9 版的工作區中,這將傳送多個 Grafana 警示的通知。如果您使用 Grafana 中定義的警示,建議您將工作區建立為 10.4 版或更新版本。

    • 允許 Grafana 管理員管理此工作區的外掛程式。如果您未啟用外掛程式管理,您的管理員將無法安裝、解除安裝或移除工作區的外掛程式。您可能僅限於與 Amazon Managed Grafana 搭配使用的資料來源和視覺化面板類型。

    您也可以在建立工作區之後進行這些組態變更。若要進一步了解如何設定工作區,請參閱 設定 Amazon Managed Grafana 工作區

  10. (選用) 您可以選擇為工作區新增網路存取控制。若要新增網路存取控制,請選擇受限制存取 。您也可以在建立工作區之後啟用網路存取控制。

    如需網路存取控制的詳細資訊,請參閱 設定對您 Amazon 受管的 Grafana 工作區的網路存取

  11. 選擇 Next (下一步)

  12. 如果您選擇 Service Managed ,請選擇 Current 帳戶,讓 Amazon Managed Grafana 自動建立政策和許可,允許它只讀取目前帳戶中 AWS 的資料。

    如果您要在管理帳戶或組織中的委派管理員帳戶中建立工作區,您可以選擇 Organization,讓 Amazon Managed Grafana 自動建立政策和許可,以允許它在您指定的組織單位中讀取其他帳戶中 AWS 的資料。如需委派管理員帳戶的詳細資訊,請參閱註冊委派管理員。

    注意

    在組織的管理帳戶中建立資源,例如 Amazon Managed Grafana 工作區,違反 AWS 安全最佳實務。

    1. 如果您選擇 Organization ,且系統提示您啟用 AWS CloudFormation StackSets,請選擇啟用受信任存取 。然後,新增您希望 Amazon Managed Grafana 讀取資料 AWS Organizations 的組織單位 (OUs)。然後,Amazon Managed Grafana 可以從您選擇的每個 OU 中的所有帳戶讀取資料。

    2. 如果您選擇 Organization ,請選擇資料來源和通知管道 - 選用

  13. 選取您要在此工作區中查詢的 AWS 資料來源。選取資料來源可讓 Amazon Managed Grafana 建立IAM角色和許可,讓 Amazon Managed Grafana 從這些來源讀取資料。您仍然必須在 Grafana 工作區主控台中新增資料來源。

  14. (選用) 如果您要將此工作區的 Grafana 警示傳送至 Amazon Simple Notification Service (Amazon SNS) 通知管道,請選取 Amazon SNS。這可讓 Amazon Managed Grafana 建立IAM政策,以使用以 開頭TopicName的值發佈至您帳戶中的 Amazon SNS主題grafana。這不會完全將 Amazon 設定為工作區的SNS通知管道。您可以在工作區的 Grafana 主控台中執行此操作。

  15. 選擇 Next (下一步)

  16. 確認工作區詳細資訊,然後選擇建立工作區

    隨即顯示工作區詳細資訊頁面。

    一開始,狀態CREATING

    重要

    請等到 狀態為 ,ACTIVE再執行下列任一動作:

    • 如果您使用 ,請完成SAML設定SAML。

    • 如果您使用 IAM Identity Center,請指派 IAM Identity Center 使用者存取工作區。

    您可能需要重新整理瀏覽器才能查看目前的狀態。

  17. 如果您使用的是 IAM Identity Center,請執行下列動作:

    1. 身分驗證索引標籤中,選擇指派新使用者或群組

    2. 選取您要授予工作區存取權之使用者旁邊的核取方塊,然後選擇指派使用者

    3. 選取使用者旁邊的核取方塊,然後選擇建立管理員

      重要

      Admin 將至少一位使用者指派為每個工作區,以登入 Grafana 工作區主控台來管理工作區。

  18. 如果您使用的是 SAML,請執行下列動作:

    1. 身分驗證索引標籤中,在安全宣告標記語言 (SAML) 下,選擇完成設定

    2. 對於匯入方法 ,執行下列其中一項操作:

      • 選擇URL並輸入 IdP 中繼資料URL的 。

      • 選擇上傳或複製/貼上 。如果您要上傳中繼資料,請選擇選擇檔案,然後選擇中繼資料檔案。或者,如果您使用複製並貼上,請將中繼資料複製到匯入中繼資料

    3. 針對 Assertion 屬性角色 ,輸入要從中擷取角色資訊的SAML宣告屬性名稱。

    4. 對於管理員角色值 ,輸入 IdP 中的使用者角色,該使用者角色應該全部在 Amazon Managed Grafana 工作區中授予該Admin角色,或選取不將管理員指派給我的工作區。

      注意

      如果您選擇不將管理員指派給我的工作區。,您將無法使用主控台來管理工作區,包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Amazon Managed Grafana 對工作區進行管理變更APIs。

    5. (選用) 若要輸入其他SAML設定,請選擇其他設定,然後執行下列一或多個動作。所有這些欄位都是選用欄位。

      • 對於 Assertion 屬性名稱 ,請在SAML宣告中指定屬性的名稱,以用於使用者的完整「易記」名稱SAML。

      • 針對 Assertion 屬性登入 ,在SAML宣告中指定要用於使用者登入名稱的屬性名稱SAML。

      • 對於 Assertion 屬性電子郵件 ,請在SAML宣告中指定屬性的名稱,以用於使用者的電子郵件名稱SAML。

      • 對於登入有效性持續時間 (以分鐘為單位),請指定SAML使用者登入的有效期限,然後使用者必須再次登入。預設值為 1 天,上限為 30 天。

      • 對於 Assertion 屬性組織 ,請在SAML宣告中指定屬性的名稱,以用於使用者組織的「易記」名稱。

      • 對於 Assertion 屬性群組 ,請在SAML宣告中指定屬性的名稱,以用於使用者群組的「易記」名稱。

      • 對於允許的組織 ,您只能將使用者存取權限制為 IdP 中某些組織的成員。輸入要允許的一或多個組織,以逗號分隔它們。

      • 對於編輯器角色值 ,輸入 IdP 中的使用者角色,該使用者角色應該在 Amazon Managed Grafana 工作區中授予該Editor角色。輸入一或多個角色,以逗號分隔。

    6. 選擇儲存SAML組態

  19. 在工作區詳細資訊頁面中,選擇URL顯示在 Grafana 工作區 下的 URL

  20. 選擇工作區URL會帶您前往 Grafana 工作區主控台的登陸頁面。執行以下任意一項:

    • 選擇使用 登入SAML,然後輸入名稱和密碼。

    • 選擇使用 登入 AWS IAM Identity Center,然後輸入您在此程序中稍早建立的使用者的電子郵件地址和密碼。這些憑證只有在您已回應 Amazon Managed Grafana 的電子郵件,而該電子郵件提示您建立 IAM Identity Center 的密碼時,才能運作。

      您現在位於 Grafana 工作區或邏輯 Grafana 伺服器中。您可以開始新增資料來源來查詢、視覺化和分析資料。如需詳細資訊,請參閱使用您的 Grafana 工作區

如需 的詳細資訊

提示

您可以使用 自動建立 Amazon Managed Grafana 工作區 AWS CloudFormation。如需更多詳細資訊,請參閱 使用建立 Amazon 受管的 Grafana 資源 AWS CloudFormation