本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立 Amazon Managed Grafana 工作區
工作區是邏輯 Grafana 伺服器。您帳戶中的每個區域中最多可以有五個工作區。
必要的許可
若要建立工作區,您必須登入已連接AWSGrafanaAccountAdministrator政策的 AWS Identity and Access Management (IAM) 主體。
若要建立第一個使用 IAM Identity Center 進行授權的工作區,您的IAM主體還必須連接下列其他政策 (或同等許可):
AWSSSOMemberAccountAdministrator
AWSSSODirectoryAdministrator
如需詳細資訊,請參閱使用 IAM 身分中心,在單一獨立帳戶中建立和管理 Amazon 受管的 Grafana 工作區和使用者。
建立工作區
下列步驟會引導您完成建立新的 Amazon Managed Grafana 工作區的程序。
在 Amazon Managed Grafana 中建立工作區
-
在 開啟 Amazon Managed Grafana 主控台https://console.aws.amazon.com/grafana/
。 -
選擇建立工作區。
-
在工作區詳細資訊視窗中,針對工作區名稱 ,輸入工作區的名稱。
或者,輸入工作區的描述。
或者,新增您要與此工作區建立關聯的標籤。標籤有助於識別和組織工作區,也可以用於控制對 AWS 資源的存取。例如,您可以將標籤指派給工作區,只有有限的群組或角色可以使用標籤存取工作區。如需標籤型存取控制的詳細資訊,請參閱 IAM 使用者指南中的使用標籤控制對 AWS 資源的存取。
-
選擇工作區的 Grafana 版本。您可以選擇第 8、9 或 10 版。若要了解版本之間的差異,請參閱 Grafana 版本之間的差異。
-
選擇 Next (下一步)。
-
針對身分驗證存取 ,選取 AWS IAM Identity Center 、安全宣告標記語言 (SAML) 或兩者。如需詳細資訊,請參閱在 Amazon 受管的 Grafana 工作區中驗證使用者。
-
IAM 身分中心:如果您選取IAM身分中心,而且尚未 AWS IAM Identity Center 在帳戶中啟用,系統會提示您建立第一個IAM身分中心使用者來啟用該中心。IAM Identity Center 會處理存取 Amazon Managed Grafana 工作區的使用者管理。
若要啟用 IAM Identity Center,請依照下列步驟進行:
-
選擇 Create user (建立使用者)。
-
輸入使用者的電子郵件地址、名字和姓氏,然後選擇建立使用者 。在此教學課程中,請使用您要用來嘗試 Amazon Managed Grafana 之帳戶的名稱和電子郵件地址。您將收到電子郵件訊息,提示您為此 帳戶建立 IAM Identity Center 的密碼。
重要
您建立的使用者不會自動存取您的 Amazon Managed Grafana 工作區。您可以在稍後的步驟中,為使用者提供工作區詳細資訊頁面中的工作區存取權。
-
SAML — 如果您選擇 SAML,您可以在建立工作區後完成SAML設定。
-
-
選擇服務受管或客戶受管 。
如果您選擇 Service Managed ,Amazon Managed Grafana 會自動建立IAM角色,並佈建您選擇用於此工作區之此帳戶中 AWS 資料來源所需的許可。
如果您想要自行管理這些角色和許可,請選擇客戶受管 。
如果您要在組織的成員帳戶中建立工作區,若要選擇 Service Managed,成員帳戶必須是組織中的委派管理員帳戶。如需委派管理員帳戶的詳細資訊,請參閱註冊委派管理員。
-
(選用) 您可以選擇在此頁面上連線至 Amazon 虛擬私有雲端 (VPC),也可以VPC稍後再連線至 。如需進一步了解,請參閱 從 Amazon 受管 Grafana Connect 到 Amazon VPC 中的資料來源或通知渠道。
-
(選用) 您可以在此頁面選擇其他工作區組態選項,包括下列項目:
-
啟用 Grafana 警示 。Grafana 警示可讓您在 Grafana 工作區的單一警示介面內檢視 Prometheus 中定義的 Grafana 警示和警示。
在執行第 8 版或第 9 版的工作區中,這將傳送多個 Grafana 警示的通知。如果您使用 Grafana 中定義的警示,建議您將工作區建立為 10.4 版或更新版本。
-
允許 Grafana 管理員管理此工作區的外掛程式。如果您未啟用外掛程式管理,您的管理員將無法安裝、解除安裝或移除工作區的外掛程式。您可能僅限於與 Amazon Managed Grafana 搭配使用的資料來源和視覺化面板類型。
您也可以在建立工作區之後進行這些組態變更。若要進一步了解如何設定工作區,請參閱 設定 Amazon Managed Grafana 工作區。
-
-
(選用) 您可以選擇為工作區新增網路存取控制。若要新增網路存取控制,請選擇受限制存取 。您也可以在建立工作區之後啟用網路存取控制。
如需網路存取控制的詳細資訊,請參閱 設定對您 Amazon 受管的 Grafana 工作區的網路存取。
-
選擇 Next (下一步)。
-
如果您選擇 Service Managed ,請選擇 Current 帳戶,讓 Amazon Managed Grafana 自動建立政策和許可,允許它只讀取目前帳戶中 AWS 的資料。
如果您要在管理帳戶或組織中的委派管理員帳戶中建立工作區,您可以選擇 Organization,讓 Amazon Managed Grafana 自動建立政策和許可,以允許它在您指定的組織單位中讀取其他帳戶中 AWS 的資料。如需委派管理員帳戶的詳細資訊,請參閱註冊委派管理員。
注意
在組織的管理帳戶中建立資源,例如 Amazon Managed Grafana 工作區,違反 AWS 安全最佳實務。
-
如果您選擇 Organization ,且系統提示您啟用 AWS CloudFormation StackSets,請選擇啟用受信任存取 。然後,新增您希望 Amazon Managed Grafana 讀取資料 AWS Organizations 的組織單位 (OUs)。然後,Amazon Managed Grafana 可以從您選擇的每個 OU 中的所有帳戶讀取資料。
-
如果您選擇 Organization ,請選擇資料來源和通知管道 - 選用 。
-
-
選取您要在此工作區中查詢的 AWS 資料來源。選取資料來源可讓 Amazon Managed Grafana 建立IAM角色和許可,讓 Amazon Managed Grafana 從這些來源讀取資料。您仍然必須在 Grafana 工作區主控台中新增資料來源。
-
(選用) 如果您要將此工作區的 Grafana 警示傳送至 Amazon Simple Notification Service (Amazon SNS) 通知管道,請選取 Amazon SNS。這可讓 Amazon Managed Grafana 建立IAM政策,以使用以 開頭
TopicName
的值發佈至您帳戶中的 Amazon SNS主題grafana
。這不會完全將 Amazon 設定為工作區的SNS通知管道。您可以在工作區的 Grafana 主控台中執行此操作。 -
選擇 Next (下一步)。
-
確認工作區詳細資訊,然後選擇建立工作區 。
隨即顯示工作區詳細資訊頁面。
一開始,狀態為 CREATING。
重要
請等到 狀態為 ,ACTIVE再執行下列任一動作:
-
如果您使用 ,請完成SAML設定SAML。
-
如果您使用 IAM Identity Center,請指派 IAM Identity Center 使用者存取工作區。
您可能需要重新整理瀏覽器才能查看目前的狀態。
-
-
如果您使用的是 IAM Identity Center,請執行下列動作:
-
在身分驗證索引標籤中,選擇指派新使用者或群組 。
-
選取您要授予工作區存取權之使用者旁邊的核取方塊,然後選擇指派使用者 。
-
選取使用者旁邊的核取方塊,然後選擇建立管理員 。
重要
Admin
將至少一位使用者指派為每個工作區,以登入 Grafana 工作區主控台來管理工作區。
-
-
如果您使用的是 SAML,請執行下列動作:
-
在身分驗證索引標籤中,在安全宣告標記語言 (SAML) 下,選擇完成設定 。
-
對於匯入方法 ,執行下列其中一項操作:
-
選擇URL並輸入 IdP 中繼資料URL的 。
-
選擇上傳或複製/貼上 。如果您要上傳中繼資料,請選擇選擇檔案,然後選擇中繼資料檔案。或者,如果您使用複製並貼上,請將中繼資料複製到匯入中繼資料 。
-
-
針對 Assertion 屬性角色 ,輸入要從中擷取角色資訊的SAML宣告屬性名稱。
-
對於管理員角色值 ,輸入 IdP 中的使用者角色,該使用者角色應該全部在 Amazon Managed Grafana 工作區中授予該
Admin
角色,或選取不將管理員指派給我的工作區。注意
如果您選擇不將管理員指派給我的工作區。,您將無法使用主控台來管理工作區,包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Amazon Managed Grafana 對工作區進行管理變更APIs。
-
(選用) 若要輸入其他SAML設定,請選擇其他設定,然後執行下列一或多個動作。所有這些欄位都是選用欄位。
-
對於 Assertion 屬性名稱 ,請在SAML宣告中指定屬性的名稱,以用於使用者的完整「易記」名稱SAML。
-
針對 Assertion 屬性登入 ,在SAML宣告中指定要用於使用者登入名稱的屬性名稱SAML。
-
對於 Assertion 屬性電子郵件 ,請在SAML宣告中指定屬性的名稱,以用於使用者的電子郵件名稱SAML。
-
對於登入有效性持續時間 (以分鐘為單位),請指定SAML使用者登入的有效期限,然後使用者必須再次登入。預設值為 1 天,上限為 30 天。
-
對於 Assertion 屬性組織 ,請在SAML宣告中指定屬性的名稱,以用於使用者組織的「易記」名稱。
-
對於 Assertion 屬性群組 ,請在SAML宣告中指定屬性的名稱,以用於使用者群組的「易記」名稱。
-
對於允許的組織 ,您只能將使用者存取權限制為 IdP 中某些組織的成員。輸入要允許的一或多個組織,以逗號分隔它們。
-
對於編輯器角色值 ,輸入 IdP 中的使用者角色,該使用者角色應該在 Amazon Managed Grafana 工作區中授予該
Editor
角色。輸入一或多個角色,以逗號分隔。
-
-
選擇儲存SAML組態 。
-
-
在工作區詳細資訊頁面中,選擇URL顯示在 Grafana 工作區 下的 URL。
-
選擇工作區URL會帶您前往 Grafana 工作區主控台的登陸頁面。執行以下任意一項:
-
選擇使用 登入SAML,然後輸入名稱和密碼。
-
選擇使用 登入 AWS IAM Identity Center,然後輸入您在此程序中稍早建立的使用者的電子郵件地址和密碼。這些憑證只有在您已回應 Amazon Managed Grafana 的電子郵件,而該電子郵件提示您建立 IAM Identity Center 的密碼時,才能運作。
您現在位於 Grafana 工作區或邏輯 Grafana 伺服器中。您可以開始新增資料來源來查詢、視覺化和分析資料。如需詳細資訊,請參閱使用您的 Grafana 工作區。
-
如需 的詳細資訊
提示
您可以使用 自動建立 Amazon Managed Grafana 工作區 AWS CloudFormation。如需更多詳細資訊,請參閱 使用建立 Amazon 受管的 Grafana 資源 AWS CloudFormation。