本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

AWS IAM Identity Center 搭配 Amazon Managed Grafana 工作區使用

Amazon Managed Grafana 與 整合 AWS IAM Identity Center ，為您的人力資源提供聯合身分。使用 Amazon Managed Grafana 和 IAM Identity Center，使用者會重新導向至其現有的公司目錄，以其現有的登入資料登入。然後，他們會無縫登入其 Amazon Managed Grafana 工作區。這可確保強制執行密碼政策和雙因素身分驗證等安全設定。使用 IAM Identity Center 不會影響您現有的 IAM 組態。

如果您沒有現有的使用者目錄或不想聯合，IAM Identity Center 會提供整合的使用者目錄，可用來建立 Amazon Managed Grafana 的使用者和群組。Amazon Managed Grafana 不支援使用 IAM 使用者和角色在 Amazon Managed Grafana 工作區中指派許可。

如需 IAM Identity Center 的詳細資訊，請參閱什麼是 AWS IAM Identity Center。如需 IAM Identity Center 入門的詳細資訊，請參閱入門。

若要使用 IAM Identity Center，您還必須為帳戶 AWS Organizations 啟用 。如有需要，Amazon Managed Grafana 可以在您建立設定為使用 IAM Identity Center 的第一個工作區時為您啟用 Organizations。

使用 IAM Identity Center 的案例所需的許可

本節說明將 Amazon Managed Grafana 與 IAM Identity Center 搭配使用時所需的政策。管理 Amazon Managed Grafana 所需的政策會因 AWS 您的帳戶是否屬於組織而有所不同。

在帳戶中 AWS Organizations 建立 Grafana 管理員

若要授予在組織中建立和管理 Amazon Managed Grafana 工作區的許可，以及允許相依性，例如 AWS IAM Identity Center，將下列政策指派給角色。

如果您想要在建立 Amazon Managed Grafana 工作區時使用服務受管許可，則建立工作區的角色也必須具有 iam:CreateRole、 iam:CreatePolicy和 iam:AttachRolePolicy許可。這些是使用 AWS CloudFormation StackSets 部署政策的必要條件，可讓您讀取組織帳戶中的資料來源。

若要查看授予 AWSGrafanaAccountAdministrator 的許可，請參閱 AWS 受管政策：AWSGrafanaAccountAdministrator

在單一獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者

獨立 AWS 帳戶是非組織成員的帳戶。如需詳細資訊 AWS Organizations，請參閱什麼是 AWS Organizations？

若要授予在獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者的許可，請將下列 IAM 政策指派給角色：

若要查看授予 AWSGrafanaAccountAdministrator 的許可，請參閱 AWS 受管政策：AWSGrafanaAccountAdministrator