本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

AWS IAM Identity Center 與您的 Amazon 受管 Grafana 工作區搭配使用

Amazon 受管 Grafana 與整合，為您 AWS IAM Identity Center 的員工提供身分聯合。使用 Amazon 受管的 Grafana 和 IAM 身分中心，使用者會被重新導向至其現有的公司目錄，以使用現有的登入資料登入。然後，他們將無縫地登錄到他們的 Amazon 受管的 Grafana 工作區。如此可確保強制執行密碼原則和雙因素驗證等安全性設定。使用 IAM 身分中心不會影響您現有的 IAM 組態。

如果您沒有現有的使用者目錄或不想聯合，IAM 身分中心會提供整合的使用者目錄，您可以使用該目錄為 Amazon 受管 Grafana 建立使用者和群組。Amazon 受管的 Grafana 不支援使用 IAM 使用者和角色在 Amazon 受管的 Grafana 工作區內指派許可。

如需 IAM 身分中心的詳細資訊，請參閱什麼是 AWS IAM Identity Center。如需開始使用 IAM 身分中心的詳細資訊，請參閱入門。

若要使用 IAM 身分中心，您還必須為該帳戶 AWS Organizations 啟用。如有需要，當您建立第一個設定為使用 IAM 身分中心的工作區時，Amazon 受管 Grafana 可以為您啟用 Organizations。

使用 IAM 身分中心的案例所需的許可

本節說明搭配 IAM 身分中心使用 Amazon 受管的 Grafana 所需的政策。管理 Amazon Managed Grafana 所需的政策會因您的 AWS 帳戶是否屬於組織而有所不同。

在帳號中建立 Grafana 管理員 AWS Organizations

若要授與在組織中建立和管理 Amazon Managed Grafana 工作區的許可，並允許相依性 (例如) AWS IAM Identity Center，請將下列政策指派給角色。

如果您想要在建立 Amazon 受管的 Grafana 工作區時使用服務管理許可，則建立工作區的角色也必須具有iam:CreateRoleiam:CreatePolicy、和許可。iam:AttachRolePolicy這些都是用 AWS CloudFormation StackSets 來部署允許您讀取組織帳戶中資料來源的策略所必需的。

若要查看授與的權限 AWSGrafanaAccountAdministrator，請參閱 AWS 受管理的策略： AWSGrafanaAccountAdministrator

在單一獨立帳戶中建立和管理 Amazon 受管的 Grafana 工作區和使用者

獨立 AWS 帳戶是不是組織成員的帳戶。如需有關的詳細資訊 AWS Organizations，請參閱什麼是 AWS Organizations？

若要授予在獨立帳戶中建立和管理 Amazon 受管理的 Grafana 工作區和使用者的權限，請將下列 IAM 政策指派給角色：

若要查看授與的權限 AWSGrafanaAccountAdministrator，請參閱 AWS 受管理的策略： AWSGrafanaAccountAdministrator