管理使用者和群組對 Amazon 受管的 Grafana 工作區存取 - Amazon Managed Grafana
將權限授與使用者或群組權限不符錯誤權限不匹配常見問題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理使用者和群組對 Amazon 受管的 Grafana 工作區存取

您可以透過身分識別供應商 (IdP) 或設定的使用者存取 Amazon 受管的 Grafana 工作區。 AWS IAM Identity Center您必須將工作區的權限授與這些使用者 (或他們所屬的群組) 權限。您可以授予他們UserEditor、或Admin權限。

將權限授與使用者或群組

先決條件

  • 若要授與使用者或使用者群組存取 Amazon 受管的 Grafana 工作區,必須先在身分識別提供者 (IdP) 或中佈建使用者或群組。 AWS IAM Identity Center如需詳細資訊,請參閱 在 Amazon 受管的 Grafana 工作區中驗證使用者

  • 若要管理使用者和群組存取權,您必須以具有 AWS Identity and Access Management (IAM) 政策 AWSGrafanaWorkspacePermissionManagementV2 或同等權限的使用者身分登入。如果您使用 IAM 身分中心管理使用者,則還必須擁有AWSSSOMemberAccountAdministratorAWSSSODirectoryReadOnlyIAM 政策或同等許可。如需詳細資訊,請參閱 指派和取消指派使用者存取 Amazon 受管的 Grafana

使用 Amazon 受管的 Grafana 主控台管理使用者對 Grafana 工作區的存取

  1. 打開 Amazon 託管 Grafana 控制台,網址為 https://console.aws.amazon.com/grafana/。

  2. 在左側導覽窗格中,選擇功能表圖示。

  3. 選擇所有工作區

  4. 選擇您要管理的工作區名稱。

  5. 選擇 [驗證] 索引標籤。

  6. 如果您在此工作區中使用 IAM 身分中心,請選擇 [設定使用者和使用者群組],然後執行下列一或多個動作:

    • 若要讓使用者能夠存取 Amazon 受管的 Grafana 工作區,請選取使用者旁邊的核取方塊,然後選擇指派使用者。

    • 若要讓使用者成為工作區Admin的成員,請選擇 [設為管理員]。

    • 欲移除使用者的工作區存取權,請選擇「取消指派使用者」。

    • 若要新增使用者群組 (例如 LDAP 群組),請選擇 [指派的使用者群組] 索引標籤。然後執行下列其中一項:

      • 若要讓群組的所有成員都能存取 Amazon 受管的 Grafana 工作區,請選取群組旁邊的核取方塊,然後選擇指派群組。

      • 若要為群組的所有成員提供工作區中的Admin角色,請選擇 [設為管理員]。

      • 若要移除群組所有成員的工作區存取權,請選擇「取消指派群組」。

    注意

    如果您使用 IAM 身分中心來管理使用者,請僅使用 IAM 身分中心主控台來佈建新的使用者和群組。使用 Amazon 受管的 Grafana 主控台或 API 來授予或移除對 Grafana 工作區的存取權。

    如果 IAM 身分中心和 Amazon 受管的 Grafana 不同步,您會看到解決任何衝突的選項。有關更多信息設定使用者和群組時的權限不符錯誤,請參閱下面的。

  7. 如果您在此工作區中使用 SAML,請選擇 SAML 組態,然後執行下列一或多個動作:

    • 對於匯入方法,請執行下列其中一項作業:

      • 選擇 URL,然後輸入 IdP 中繼資料的 URL。

      • 選擇上傳或複製/貼上。如果您要上傳中繼資料,請選擇「選擇檔案」,然後選取中繼資料檔案。或者,如果您使用複製和貼上,請將中繼資料複製到「匯入中繼資料」

    • 對於宣告屬性角色,請輸入要從中擷取角色資訊的 SAML 宣告屬性名稱。

    • 對於管理員角色值,請輸入 IdP 中的使用者角色,這些使用者Admin角色都應該被授與 Amazon Managed Grafana 工作區中的角色,或選取我想選擇退出將管理員指派給我的工作區。

      注意

      如果您選擇我想選擇退出將管理員指派到我的工作區。 ,您將無法使用 Amazon 受管的 Grafana 主控台來管理工作區,包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Amazon 受管的 Grafana API 對工作區進行管理變更。

    • (選擇性) 若要輸入其他 SAML 設定,請選擇 [其他設定] 並執行下列一或多個動作,然後選擇 [儲存 SAML 組態]。所有這些欄位都是選擇性的。

      • 對於宣告屬性名稱,請在 SAML 宣告中指定要用於 SAML 使用者完整「易記」名稱的屬性名稱。

      • 對於宣告屬性登入,請在 SAML 宣告中指定屬性的名稱,以用於 SAML 使用者的使用者登入名稱。

      • 對於宣告屬性電子郵件,請在 SAML 宣告中指定要用於 SAML 使用者的使用者電子郵件名稱的屬性名稱。

      • 對於登入有效期間 (以分鐘為單位),請指定 SAML 使用者登入的有效時間長度,使用者必須重新登入。

      • 對於宣告屬性組織,請在 SAML 宣告中指定要用於使用者組織「易記」名稱的屬性名稱。

      • 對於宣告屬性群組,請在 SAML 宣告中指定要用於使用者群組「易記」名稱的屬性名稱。

      • 對於「允許的組織」,您可以將使用者存取限制為只有身為 IdP 中某些組織成員的使用者。輸入要允許的一或多個組織,並以逗號分隔。

      • 對於編輯者角色值,請輸入 IdP 中的使用者角色,這些使用者角色都應該被授與 Amazon 受管 Grafana 工Editor作區中的角色。輸入一或多個角色 (以逗號分隔)。

  8. 或者,若要新增使用者群組 (例如 LDAP 群組),請選擇「使用者群組」標籤。然後執行下列其中一項:

    • 若要讓群組的所有成員都能存取 Amazon 受管的 Grafana 工作區,請選取群組旁邊的核取方塊,然後選擇指派群組。

    • 若要為群組的所有成員提供工作區中的Admin角色,請選擇 [設為管理員]。

    • 若要移除群組所有成員的工作區存取權,請選擇「取消指派群組」。

設定使用者和群組時的權限不符錯誤

在 Amazon 受管的 Grafana 主控台中設定使用者和群組時,您可能會遇到不符的錯誤。這表明 Amazon 受管的 Grafana 和 IAM 身分中心不同步。在這種情況下,Amazon 託管 Grafana 會顯示警告和解決不匹配問題的選擇。如果您選擇解決,Amazon Managed Grafana 會顯示一個對話方塊,其中包含具有不同步許可的使用者清單。

已從 IAM 身分中心移除的使用者會在對話方塊中顯示為Unknown user帶有數字 ID。對於這些使用者而言,修正不相符的唯一方法是選擇 [解決],然後移除其權限。

仍在 IAM Identity Center 中,但不再屬於具有先前存取權限的群組的使用者,並在 [解決] 清單中顯示其使用者名稱。有兩種方法可以解決此問題。您可以使用「解決」(Resolve) 對話方塊來移除或減少他們的存取權限,也可以按照上一節中的指示授予他們存取權限。

關於權限不相符的常見問題

為什麼我在 Amazon 受管 Grafana 主控台的「設定使用者和群組」區段中看到許可不匹配的錯誤訊息?

您會看到此訊息,是因為 IAM 身分中心的使用者和群組關聯中已識別出不相符,以及您工作區的 Amazon Managed Grafana 許可。您可以從 Amazon 受管的 Grafana 主控台 (在「設定使用者和群組」索引標籤中) 或從 IAM 身分中心主控台 (「程式指派」頁面),新增或移除 Grafana 工作區的使用者。不過,只能透過將視器、編輯器或管員權限指派給使用者或群組來定義 Grafana 使用者許可 (使用 Amazon 受管的 Grafana 主控台或 API)。使用者可以屬於具有不同權限的多個群組,在這種情況下,他們的權限是以使用者所屬的所有群組和權限的最高存取層級為基礎。

不匹配的記錄可能由下列原因導致

  • 使用者或群組會從 IAM 身分中心刪除,但不會在 Amazon 受管的 Grafana 中刪除。這些記錄會在 Amazon 受管的 Grafana 主控台中顯示為未知的使用者

  • IAM 身分中心 (在「應用程式指派」下) 中刪除使用者或群組與 Grafana 的關聯,但不會在 Amazon 受管 Grafana 中刪除。

  • 使用者權限先前已直接從 Grafana 工作區更新。Amazon 受管 Grafana 不支援來自 Grafana 工作區的更新。

若要避免這些不相符,請使用 Amazon 受管的 Grafana 主控台或 Amazon 受管的 Grafana API 來管理工作區的使用者和群組許可。

我之前已經更新了 Grafana 工作區中某些團隊成員的存取層級。現在我看到他們的訪問級別已恢復到較早的訪問級別。為什麼我會看到這個問題,我該如何解決這個問題?

這很可能是因為 IAM 身分中心中的使用者和群組關聯與您工作區的 Amazon Managed Grafana 權限記錄之間識別出的不相符。如果您的團隊成員遇到不同的存取層級,您或 Amazon Managed Grafana 的管理員可能已解決 Amazon 受管 Grafana 主控台的不匹配問題,從而移除不相符的記錄。您可以從 Amazon 受管的 Grafana 主控台或 API 重新指派必要的存取層級,以還原所需的許可。

注意

Grafana 工作區不支援使用者存取管理。使用 Amazon 受管的 Grafana 控制台或 API 來指派使用者或群組許可。

為什麼我注意到我的訪問級別的變化? 例如,我以前有管理員訪問權限,但現在只有編輯器權限。

您工作區的管理員可能已變更您的權限。如果 IAM 身分中心的使用者和群組關聯與 Amazon Managed Grafana 中的許可不相符,可能會不小心發生這種情況。在此情況下,解決不相符問題可能會移除您較高的存取權限。您可以要求管理員從 Amazon 受管的 Grafana 主控台重新指派所需的存取層級。