Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestisci aree di lavoro, utenti e politiche in Amazon Managed Grafana
<a name="AMG-manage-workspaces-users"></a>

Per usare Amazon Managed Grafana, crei aree di lavoro Grafana. Un workspace Grafana è un server Grafana logico, in cui è possibile creare dashboard e visualizzazioni Grafana per analizzare metriche, log e tracce. Puoi aggiungere utenti e gestirne le autorizzazioni per amministrare, modificare o visualizzare gli spazi di lavoro.

Puoi aggiornare il tuo spazio di lavoro alle versioni più recenti di Grafana o eseguire l'aggiornamento per aggiungere il supporto per i plug-in Enterprise, dando ai tuoi spazi di lavoro l'accesso a più tipi di fonti di dati. Puoi anche gestire l'accesso di rete al tuo spazio di lavoro. Puoi creare e gestire le tue aree di lavoro Amazon Managed Grafana utilizzando. CloudFormation

Gli argomenti di questa sezione spiegano come gestire le aree di lavoro, gli utenti e le politiche in Amazon Managed Grafana.

**Topics**
+ [Differenze tra le versioni Grafana](version-differences.md)
+ [Crea uno spazio di lavoro Amazon Managed Grafana](AMG-create-workspace.md)
+ [Autentica gli utenti nelle aree di lavoro Amazon Managed Grafana](authentication-in-AMG.md)
+ [Aggiorna la versione del tuo spazio di lavoro](AMG-workspace-version-update.md)
+ [Gestisci l'accesso ai plugin Enterprise](upgrade-to-enterprise-plugins.md)
+ [Esegui la migrazione dei contenuti tra le aree di lavoro Amazon Managed Grafana](AMG-workspace-content-migration.md)
+ [Gestisci l'accesso di utenti e gruppi alle aree di lavoro Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md)
+ [Gestisci le autorizzazioni per le fonti di dati e i canali di notifica](AMG-datasource-and-notification.md)
+ [Creazione di risorse Amazon Managed Grafana con AWS CloudFormation](creating-resources-with-cloudformation.md)
+ [Configura l'accesso di rete al tuo spazio di lavoro Amazon Managed Grafana](AMG-configure-nac.md)
+ [Crittografia dei dati a riposo](AMG-encryption-at-rest.md)
+ [Connettiti a fonti di dati o canali di notifica in Amazon VPC da Amazon Managed Grafana](AMG-configure-vpc.md)
+ [Configura uno spazio di lavoro Amazon Managed Grafana](AMG-configure-workspace.md)
+ [Eliminare un'area di lavoro Amazon Managed Grafana](AMG-edit-delete-workspace.md)

# Differenze tra le versioni Grafana
<a name="version-differences"></a>

Quando si [crea un'area di lavoro Grafana](AMG-create-workspace.md), è necessario scegliere una versione Grafana da creare. Puoi scegliere tra le versioni compatibili con le versioni Grafana 8, 9 e 10. Ognuna di queste ha funzionalità aggiuntive rispetto alla versione precedente. I seguenti argomenti descrivono le modifiche nelle versioni 9 e 10, incluse le modifiche nella versione 10 che potrebbero compromettere le funzionalità utilizzate nella versione 9.

**Nota**  
Puoi leggere la documentazione specifica della versione per l'utilizzo dell'area di lavoro Grafana negli argomenti, e. [Funzionamento in Grafana versione 8](using-grafana-v8.md) [Lavorare nella versione 9 di Grafana](using-grafana-v9.md) [Funzionamento nella versione 10 di Grafana](using-grafana-v10.md)

*Per note dettagliate per versione e ulteriori informazioni da Grafana Labs, consulta [Novità di Grafana nella documentazione di Grafana](https://grafana.com/docs/grafana/latest/whatsnew/) Labs.*

## Grafana versione 10
<a name="version-diff-v10"></a>

Le seguenti funzionalità sono state aggiunte nella versione 10 di Grafana.
+ **Correlazioni: le** correlazioni definiscono il modo in cui i dati di una fonte di dati vengono utilizzati per interrogare i dati in un'altra fonte di dati e consentono alla visualizzazione Explore di eseguire facilmente le query relative ai dati mostrati. Per ulteriori dettagli, consultare [Correlazioni nella versione 10 di Grafana](v10-correlations.md).
+ **Sottocartelle**: quando organizzi i dashboard, ora puoi utilizzare le sottocartelle per creare una gerarchia annidata. Per ulteriori dettagli, consultare [Creazione di cartelle della dashboard](v10-dash-managing-dashboards.md#v10-dash-create-dashboard-folder).
+ Avvisi: **gli avvisi** Grafana ora supportano gli avvisi di silenziamento. Inoltre, gli avvisi Grafana non inviano più notifiche 3 volte.
+ **Anteprima dell'aggiornamento degli avvisi**: prima di passare dai classici avvisi della dashboard agli avvisi Grafana, puoi vedere come appariranno gli avvisi e persino apportare le modifiche che verranno applicate durante la migrazione. Per ulteriori dettagli, consultare [Migrazione degli avvisi della dashboard classica agli avvisi Grafana](v10-alerting-use-grafana-alerts.md). Grafana Labs ha annunciato che la versione 11 e successive di Grafana non supporteranno più gli avvisi classici della dashboard.
+ **Pacchetti di supporto: i** pacchetti di supporto forniscono un modo semplice per raccogliere informazioni sull'area di lavoro Grafana da condividere con l'assistenza del prodotto. Puoi creare rapidamente un pacchetto di supporto contenente dati su migrazioni, plugin, impostazioni e altro ancora. Per ulteriori dettagli, consultare [Raccogli informazioni per il supporto](support-bundles.md).
+ **Nuove visualizzazioni: sono disponibili tre nuove visualizzazioni**. [XY Chart](v10-panels-xychart.md), [Datagrid](v10-panels-datagrid.md) e il [pannello Trend](v10-panels-trend.md) sono tutti disponibili per le aree di lavoro compatibili con la versione 10. Gli spazi di lavoro della versione 9 possono anche utilizzare XY Charts.
+ **PagerDuty**— I plugin Enterprise ora includono un plug-in per. PagerDuty
+ **Riprogettazione delle trasformazioni**: la scheda Trasformazioni offre un'esperienza utente e un design visivo migliorati. Le trasformazioni sono suddivise in categorie e ogni tipo di trasformazione ha un'illustrazione per aiutarti a scegliere quella giusta.
+ *Enciclopedia metrica **Prometheus: il menu a discesa delle metriche** per le metriche di Prometheus nel generatore di query Prometheus è stato sostituito con un'enciclopedia metrica impaginata e ricercabile.*
+ **Interfaccia utente della chiave API interrotta**: [gli account di servizio](service-accounts.md) sono il modo consigliato per autenticare le chiamate all'HTTP Grafana. APIs Nell'ambito del lavoro di Grafana Labs per l'interruzione delle chiavi API, non è più possibile creare chiavi API tramite l'interfaccia utente del workspace. È possibile creare chiavi API solo tramite. AWS APIs

  Per ulteriori informazioni sull'interruzione delle chiavi API da parte di Grafana Labs, vedere [APIKeys: Annullamento delle chiavi API nell'elenco dei problemi](https://github.com/grafana/grafana/issues/53567) di Grafana. GitHub 

**Modifiche rivoluzionarie**

La versione 10.4 di Grafana include modifiche rispetto alle versioni di Grafana dalla 9.5 alla 10.4. Le versioni 10.0 e 10.3 di Grafana presentavano alcune modifiche che in alcuni casi potevano compromettere la funzionalità. Quando si esegue l'aggiornamento a una nuova versione, si consiglia di eseguire il test in un ambiente non di produzione prima di aggiornare le aree di lavoro di produzione.

Le seguenti modifiche potrebbero interessare alcuni utenti che effettuano l'aggiornamento alla versione 10 di Grafana.
+ **Angular non è più disponibile**: i plugin che utilizzano Angular non saranno più supportati nelle future versioni di Grafana. Nella versione 10, i pannelli che utilizzano Angular mostreranno un banner che indica che utilizzano una funzionalità non più disponibile, per avvisare che non funzioneranno nelle versioni future.
+ **Alias CloudWatch rimosso**: i modelli di alias nell'editor di CloudWatch query sono stati sostituiti da Label (etichette dinamiche).

  Apri qualsiasi dashboard che utilizza il campo Alias e salvalo. Alias viene migrato automaticamente a Label.
+ **I plug-in precedenti devono essere aggiornati**: i plug-in per l'origine dati Athena e Amazon Redshift devono essere aggiornati nelle aree di lavoro Grafana v10. Il plug-in di origine dati Athena deve essere la versione 2.9.3 o successiva; il plug-in di origine dati Amazon Redshift deve essere la versione 1.8.3 o successiva.

  Per informazioni sull'installazione o l'aggiornamento dei plugin, consulta. [Trova i plugin con il catalogo dei plugin](grafana-plugins.md#plugin-catalog)
+ Il ** BigQuery plug-in DoIT non è più supportato**: il plug-in DoIT per le sorgenti BigQuery dati non è più supportato. Utilizza invece il plug-in ufficiale di origine BigQuery dati Grafana Labs.
+ **Modifiche alla trasformazione**: la versione 10 di Grafana ha apportato alcune modifiche correttive ai nomi e alle chiavi dei campi. Per tutti i dettagli, consulta [Transformation breaking changes](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#transformations) nella documentazione di Grafana Labs.
+ **Autorizzazioni all'origine dati APIs: gli endpoint per l'accesso alle autorizzazioni** delle origini dati sono cambiati. Per tutti i dettagli, consulta [Modifiche alle autorizzazioni delle origini dati](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#data-source-permissions) nella documentazione di Grafana Labs.

Per maggiori dettagli sulle modifiche sostanziali e sulle modifiche che influiscono sugli sviluppatori di plugin, consulta i seguenti argomenti nella documentazione di *Grafana Labs*:
+ [Ultime modifiche in Grafana v10.0](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-0/)
+ [Ultime modifiche in Grafana v10.3](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/)

## Grafana versione 9
<a name="version-diff-v9"></a>

Le seguenti funzionalità sono state aggiunte in Grafana v9.
+ **Avvisi: le** regole di avviso gestite da Grafana ora supportano i nomi dei gruppi.
+ **Esplora**: crea una dashboard dalla vista Esplora.
+ Query **Prometheus: un nuovo generatore di query per le query Prometheus** (che utilizza PromQL) semplifica la scrittura di query.
+ **Query Loki: un nuovo generatore di query per le query** Loki (che utilizza LogQL) semplifica la scrittura di query.
+ **Token API/Account di servizio: gli account di servizio semplificano l'accesso alle macchine in Grafana, aiutandoti a gestire i token API**.
+ **Gestione dei plugin**: puoi abilitare la gestione dei plugin per installare, rimuovere o aggiornare i plugin della community nel tuo spazio di lavoro. Questo ti dà accesso a più fonti di dati e visualizzazioni e ti dà il controllo sulla versione di ogni plugin che usi.
+ **Traccia in base alle metriche**: configura una fonte di dati di tracciamento per aggiungere link alle metriche con query e tag.
+ **Pannello Canvas**: una nuova visualizzazione dei pannelli con elementi statici e dinamici per creare pannelli personalizzati basati sui dati con immagini e testo sovrapposto.
+ Interfaccia **riorganizzata: interfaccia** utente aggiornata con navigazione più semplice nella console Grafana.
+ **CloudWatch**: L'origine CloudWatch dati Amazon ora può monitorare le metriche in modo Account AWS ininterrotto. Regioni AWS
+ **Registri**: l'interfaccia per i dettagli dei log è stata migliorata.
+ **Generale**: correzioni di bug e miglioramenti minori in tutto.

**Modifiche rivoluzionarie**

La versione 9.4 di Grafana include una serie di nuove funzionalità e miglioramenti, basati sulle versioni precedenti. Questa versione presentava alcune modifiche che in alcuni casi potevano compromettere la funzionalità. Quando si esegue l'aggiornamento a una nuova versione, si consiglia di eseguire il test in un ambiente non di produzione prima di aggiornare le aree di lavoro di produzione.

Le seguenti modifiche potrebbero interessare alcuni utenti che effettuano l'aggiornamento alla versione 9.4 di Grafana. Per un elenco dettagliato di queste modifiche, consulta il changelog di [Grafana 9.4](https://github.com/grafana/grafana/blob/release-9.4.17/CHANGELOG.md) su. *GitHub*
+ **API interrotta**: l'API è stata rimossa`/api/tsdb/query`.

  **Azione richiesta:** usa `/api/ds/query` invece. Vedi [Interrogare una fonte di dati](https://grafana.com/docs/grafana/latest/http_api/data_source/#query-a-data-source) nella *documentazione pubblica di Grafana* e il numero [\$149916 su](https://github.com/grafana/grafana/issues/49916). *GitHub*
+ **Modifiche agli endpoint dell'API**: diversi endpoint API di avviso ora richiedono l'UID della fonte di dati anziché l'ID numerico.

  **Endpoint interessati**:,,, `api/v1/rule/test` `api/prometheus/` `api/ruler/` `api/alertmanager/`

  **Azione richiesta:** aggiorna le chiamate API per utilizzare l'UID dell'origine dati come parametro di percorso. Vedi i numeri [\$148070](https://github.com/grafana/grafana/issues/48070), [\$148052](https://github.com/grafana/grafana/issues/48052), [\$148046](https://github.com/grafana/grafana/issues/48046) e [\$147978 e successivi](https://github.com/grafana/grafana/issues/47978). *GitHub*
+ **Query di Azure Monitor rimosse: le query** di Application Insights e Insight Analytics non sono più supportate.

  Deprecato in Grafana 8.0, rimosso nella 9.0. Le query obsolete non verranno eseguite.

  **Azione richiesta:** vedi l'[origine dati di Azure Monitor](https://grafana.com/docs/grafana/latest/datasources/azuremonitor/deprecated-application-insights/) nella documentazione *pubblica di Grafana* per indicazioni sulla migrazione.
+ **Modalità di accesso al browser rimossa**: la modalità di accesso al browser non è più disponibile per le fonti di dati InfluxDB e Prometheus.

  **Azione richiesta:** passa alla modalità di accesso al server nella configurazione dell'origine dati. InfluxDB: obsoleto nella 8.0.0, rimosso nella 9.2.0. Vedi [il numero *GitHub*](https://github.com/grafana/grafana/issues/53529)\$153529 su. Prometheus: obsoleto nella versione 7.4.0, rimosso nella 9.2.0. Vedi il [numero *GitHub*](https://github.com/grafana/grafana/issues/50162)\$150162 su.
+ **Accesso limitato alle impostazioni della dashboard**: non è più possibile aprire le impostazioni della dashboard durante la modifica dei pannelli.

  Le impostazioni della dashboard sono bloccate quando è attiva la modalità di modifica dei pannelli. Chiudi la modalità di modifica del pannello prima di accedere alle impostazioni della dashboard. Vedi il numero [\$154746](https://github.com/grafana/grafana/issues/54746) su *GitHub*.
+ **Crittografia della password dell'origine dati**: le password non crittografate non sono più supportate.

  **Azione richiesta:** utilizzare `secureJsonData.password` e. `secureJsonData.basicAuthPassword` Interrotto in precedenza nella versione 8.1.0. [Vedi il numero \$149987 su. *GitHub*](https://github.com/grafana/grafana/issues/49987)
+ **Comportamento predefinito dell'origine dati**: la selezione predefinita dell'origine dati non influisce più sui pannelli esistenti.

  L'origine dati predefinita si applica solo ai nuovi pannelli. La modifica dell'impostazione predefinita non aggiornerà i dashboard esistenti. I pannelli salvati in precedenza mantengono la configurazione dell'origine dati. Vedi il numero [\$145132](https://github.com/grafana/grafana/issues/45132) su *GitHub*.
+ **Proprietà dell'intervallo di ricerca di Elasticsearch modificata**: la specifica dell'intervallo di query è stata aggiornata per Elasticsearch 7.x.

  `fixed_interval`Modificato da a `interval` proprietà. Fornisce coerenza con Elasticsearch 8.x. La maggior parte delle query non mostrerà modifiche visibili. Vedi il numero [\$150297](https://github.com/grafana/grafana/issues/50297) su. *GitHub*
+ La **modalità documento Elasticsearch Raw è stata interrotta**: modifiche alla modalità di visualizzazione nella fonte dati Elasticsearch.

  **Azione richiesta:** **utilizza invece la modalità Raw Data.** Vedi il numero [\$162236](https://github.com/grafana/grafana/issues/62236) su *GitHub*.
+ **Supporto per le versioni di Elasticsearch**: le versioni precedenti di Elasticsearch non sono più supportate.

  **Azione richiesta:** aggiorna Elasticsearch alla versione 7.10.0 o successiva. Le versioni precedenti alla 7.10.0 sono precedenti. end-of-life Vedi il numero [\$148715 su](https://github.com/grafana/grafana/issues/48715). *GitHub*
+ Il **formato Explore URL non è più disponibile**: Compact Explore URLs verrà rimosso in una versione futura.

  **Azione richiesta:** aggiorna i link codificati per utilizzare il formato URL standard. Compatto URLs:`&left=["now-1h","now"...]`. Norma URLs:`&left={"datasource":"test"...}`. Vedi il numero [\$150873](https://github.com/grafana/grafana/issues/50873) su *GitHub*.
+ **GitHub OAuth modifiche alla visualizzazione**: la visualizzazione GitHub del nome e del login è stata aggiornata.

  GitHub il nome appare come nome Grafana. GitHub il login appare come login Grafana. Migliora la chiarezza dell'identificazione dell'utente. Vedi il numero [\$145438](https://github.com/grafana/grafana/issues/45438) su *GitHub*.
+ **Implementazione del pannello Heatmap aggiornata**: i pannelli Heatmap utilizzano una nuova implementazione a partire dalla 9.1.0.

  Prestazioni di rendering notevolmente migliorate. I secchi sono posizionati su bordi ragionevoli (1 m, 5 m, 30 s). Le celle rotonde non sono più supportate.

  **Azione richiesta:** testate i pannelli Heatmap dopo l'aggiornamento. Disabilita la nuova implementazione impostando il flag della `useLegacyHeatmapPanel` funzionalità su true, se necessario. Aggiungi `?__feature.useLegacyHeatmapPanel=true` alla dashboard URLs per i test. Vedi il numero [\$150229](https://github.com/grafana/grafana/issues/50229) su *GitHub*.
+ **Migrazione del backend di InfluxDB**: il comportamento di analisi dei dati di InfluxDB è cambiato.

  La funzione di migrazione del backend di InfluxDB toggle () viene reintrodotta a causa di problemi di elaborazione del backend. `influxdbBackendMigration` Per impostazione predefinita, i dati InfluxDB vengono analizzati nel frontend. Se hai eseguito l'aggiornamento alla versione 9.4.4 e hai aggiunto trasformazioni sui dati InfluxDB, il rendering di tali pannelli non verrà eseguito.

  **Azione richiesta:** rimuovi i pannelli interessati e ricreali, oppure modifica il campo come in o. `time` `Time` `panel.json` `dashboard.json` Vedi il numero [\$164842](https://github.com/grafana/grafana/issues/64842) su. *GitHub*
+ **Formato dei messaggi di registro aggiornato**: la struttura dei messaggi di registro è stata modificata.

  `lvl`è ora`level`. `eror`e ora `dbug` sono `error` e`debug`. Maggiore precisione del timestamp. La disattivazione è disponibile con l'interruttore `oldlog` delle funzionalità (temporaneo). [Vedi il numero \$147584 su. *GitHub*](https://github.com/grafana/grafana/issues/47584)
+ **Ottimizzazione del formato dei dati Loki**: Loki registra i dati utilizzando un formato dataframe più efficiente.

  **Dataframe singolo con colonna di etichette anziché dataframe separati.** I pannelli Explore and Logs funzionano senza modifiche. Potrebbe essere necessario modificare altri pannelli o trasformazioni.

  **Azione richiesta:** Sostituisci la trasformazione **delle etichette in campi** con la trasformazione **dei campi di estrazione**. Vedi il numero [\$147153](https://github.com/grafana/grafana/issues/47153) su *GitHub*.
+ **Gestione del valore NaN**: `NaN` rappresentazione coerente tra le fonti di dati Prometheus e Loki.

  `NaN`i valori rimangono invariati `NaN` anziché essere convertiti in. `null` Le modifiche dovrebbero essere per lo più invisibili agli utenti. Influisce sia sulla dashboard che sui percorsi di avviso. Vedi i numeri [\$149475](https://github.com/grafana/grafana/issues/49475) e [\$145389 successivi](https://github.com/grafana/grafana/issues/45389). *GitHub*
+ **Link per la reimpostazione della password non convalidati**: i link per la reimpostazione della password esistenti non funzioneranno dopo l'aggiornamento.

  I link per la reimpostazione della password inviati prima dell'aggiornamento non sono validi. Gli utenti devono richiedere nuovi link per la reimpostazione della password. I link scadono dopo 2 ore. Vedi il numero [\$142334](https://github.com/grafana/grafana/issues/42334) su. *GitHub*
+ **Prefisso riservato dell'etichetta**: le etichette che iniziano con `grafana_` sono riservate.

  Le etichette configurate manualmente che iniziano con `grafana_` possono essere sovrascritte. Etichette riservate correnti: `grafana_folder` (Titolo della cartella contenente l'avviso). Vedi il numero [\$150262](https://github.com/grafana/grafana/issues/50262) su *GitHub*.
+ **Miglioramenti alla trasformazione**: la trasformazione **Rename by regex** ora supporta modelli globali.

  I modelli globali utilizzano il formato. `/<stringToReplace>/g` Alcune trasformazioni possono comportarsi diversamente. Raccogli le stringhe di corrispondenza in barre in avanti per il comportamento precedente: comes. `(.*)` `/(.*)/` Vedi il numero [\$148179 su](https://github.com/grafana/grafana/issues/48179). *GitHub*

# Crea uno spazio di lavoro Amazon Managed Grafana
<a name="AMG-create-workspace"></a>

Un *workspace* è un server Grafana logico. Nel tuo account puoi avere fino a cinque aree di lavoro in ogni regione.

**Autorizzazioni necessarie**

Per creare uno spazio di lavoro, devi accedere a un principale AWS Identity and Access Management (IAM) a cui è allegata la **AWSGrafanaAccountAdministrator**policy.

Per creare il tuo primo spazio di lavoro che utilizza IAM Identity Center per l'autorizzazione, il tuo principale IAM deve avere anche queste politiche aggiuntive (o autorizzazioni equivalenti) allegate:
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectoryAmministratore**

Per ulteriori informazioni, consulta [Crea e gestisci gli spazi di lavoro e gli utenti di Amazon Managed Grafana in un unico account autonomo utilizzando IAM Identity Center](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone).

## Creazione di uno spazio di lavoro
<a name="creating-workspace"></a>

I passaggi seguenti illustrano il processo di creazione di un nuovo spazio di lavoro Amazon Managed Grafana.

**Per creare uno spazio di lavoro in Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)

1. Scegli **Crea area di lavoro**.

1. Nella finestra dei **dettagli dell'area di lavoro**, per Nome dell'**area di lavoro, inserisci un nome** per l'area di lavoro.

   Facoltativamente, inserisci una descrizione per l'area di lavoro.

   Facoltativamente, aggiungi i tag che desideri associare a questo spazio di lavoro. I tag aiutano a identificare e organizzare gli spazi di lavoro e possono essere utilizzati anche per controllare l'accesso alle risorse. AWS Ad esempio, puoi assegnare un tag all'area di lavoro e solo gruppi o ruoli limitati possono avere l'autorizzazione ad accedere all'area di lavoro utilizzando il tag. Per ulteriori informazioni sul controllo degli accessi basato su tag, consulta [Controlling access to AWS resources using tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella IAM User Guide.

   ![\[Workspace details form with name field and optional tags section highlighted.\]](http://docs.aws.amazon.com/it_it/grafana/latest/userguide/images/tagworkspace.png)

1. Scegli una **versione Grafana** per l'area di lavoro. Puoi scegliere la versione 8, 9 o 10. Per comprendere le differenze tra le versioni, consulta[Differenze tra le versioni Grafana](version-differences.md).

1. Scegli **Next (Successivo)**.

1. Per **l'accesso tramite autenticazione **AWS IAM Identity Center ****, seleziona **Security Assertion Markup Language (SAML)** o entrambi. Per ulteriori informazioni, consulta [Autentica gli utenti nelle aree di lavoro Amazon Managed Grafana](authentication-in-AMG.md).
   + **IAM Identity Center**: se selezioni IAM Identity Center e non lo hai ancora abilitato AWS IAM Identity Center nel tuo account, ti viene richiesto di abilitarlo creando il tuo primo utente IAM Identity Center. IAM Identity Center gestisce la gestione degli utenti per l'accesso agli spazi di lavoro Amazon Managed Grafana.

     Per abilitare IAM Identity Center, segui questi passaggi:

   1. Selezionare **Create user (Crea utente)**.

   1. Inserisci un indirizzo e-mail, nome e cognome per l'utente e scegli **Crea utente**. Per questo tutorial, utilizza il nome e l'indirizzo e-mail dell'account che desideri utilizzare per provare Amazon Managed Grafana. Riceverai un messaggio e-mail che ti chiederà di creare una password per questo account per IAM Identity Center.
**Importante**  
L'utente che crei non ha accesso automaticamente al tuo spazio di lavoro Amazon Managed Grafana. In un passaggio successivo fornirai all'utente l'accesso all'area di lavoro nella pagina dei dettagli dell'area di lavoro.
   + **SAML**: se selezioni **SAML**, completi la configurazione SAML dopo la creazione dell'area di lavoro.

1. **Scegli **Servizio gestito** o Gestito dal cliente.**

   Se scegli **Service managed**, Amazon Managed Grafana crea automaticamente i ruoli IAM e fornisce le autorizzazioni necessarie per le fonti di AWS dati in questo account che scegli di utilizzare per questo spazio di lavoro.

   **Se desideri gestire questi ruoli e autorizzazioni da solo, scegli Customer managed.**

   Se stai creando uno spazio di lavoro in un account membro di un'organizzazione, per poter scegliere **Service managed** l'account membro deve essere un account amministratore delegato di un'organizzazione. Per ulteriori informazioni sugli account di amministratore delegato, consulta [Registrare un](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) amministratore delegato.

1. (Facoltativo) Puoi scegliere di connetterti a un Amazon Virtual Private Cloud (VPC) in questa pagina oppure puoi connetterti a un VPC in un secondo momento. Per ulteriori informazioni, consulta [Connettiti a fonti di dati o canali di notifica in Amazon VPC da Amazon Managed Grafana](AMG-configure-vpc.md).

1. (Facoltativo) In questa pagina puoi scegliere altre opzioni di configurazione dell'area di lavoro, tra cui:
   + Abilita gli avvisi [Grafana](alerts-overview.md). Gli avvisi Grafana ti consentono di visualizzare gli avvisi Grafana e gli avvisi definiti in Prometheus all'interno di un'unica interfaccia di avvisi all'interno del tuo spazio di lavoro Grafana.

     Nelle aree di lavoro che eseguono la versione 8 o 9, questo invierà più notifiche per gli avvisi Grafana. Se utilizzi avvisi definiti in Grafana, ti consigliamo di creare il tuo spazio di lavoro come versione 10.4 o successiva.
   + Consenti agli amministratori di Grafana di [gestire i plugin per questo spazio di lavoro](grafana-plugins.md). Se non abiliti la gestione dei plugin, i tuoi amministratori non saranno in grado di installare, disinstallare o rimuovere i plugin per il tuo spazio di lavoro. Potresti essere limitato ai tipi di fonti di dati e pannelli di visualizzazione che puoi utilizzare con Amazon Managed Grafana.

   Puoi apportare queste modifiche alla configurazione anche dopo aver creato il tuo spazio di lavoro. Per ulteriori informazioni sulla configurazione dell'area di lavoro, consulta. [Configura uno spazio di lavoro Amazon Managed Grafana](AMG-configure-workspace.md)

1. (Facoltativo) Puoi scegliere di aggiungere il **controllo dell'accesso alla rete per il** tuo spazio di lavoro. Per aggiungere il controllo dell'accesso alla rete, scegli **Accesso limitato**. Puoi anche abilitare il controllo dell'accesso alla rete dopo aver creato l'area di lavoro.

   Per ulteriori informazioni sul controllo dell'accesso alla rete, vedere[Configura l'accesso di rete al tuo spazio di lavoro Amazon Managed Grafana](AMG-configure-nac.md).

1. (Facoltativo) Per impostazione predefinita, Amazon Managed Grafana fornisce automaticamente la crittografia a riposo e lo fa utilizzando chiavi di crittografia AWS di proprietà. In alternativa, hai la possibilità di utilizzare una chiave gestita dal cliente che crei, possiedi e gestisci. Per ulteriori informazioni, consulta [Crittografia dei dati a riposo](AMG-encryption-at-rest.md).

1. Scegli **Next (Successivo)**.

1. Se hai scelto **Servizio gestito**, scegli **Account corrente** per fare in modo che Amazon Managed Grafana crei automaticamente policy e autorizzazioni che gli consentano di leggere AWS i dati solo nell'account corrente.

   Se stai creando uno spazio di lavoro nell'account di gestione o un account amministratore delegato in un'organizzazione, puoi scegliere **Organizzazione** per fare in modo che Amazon Managed Grafana crei automaticamente politiche e autorizzazioni che gli consentano di leggere AWS i dati in altri account nelle unità organizzative che specifichi. [Per ulteriori informazioni sugli account di amministratore delegato, consulta Registrare un amministratore delegato.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)
**Nota**  
La creazione di risorse come le aree di lavoro Amazon Managed Grafana nell'account di gestione di un'organizzazione è contraria alle migliori pratiche di AWS sicurezza.

   1. Se hai scelto **Organizzazione** e ti viene richiesto di abilitarlo AWS CloudFormation StackSets, scegli **Abilita accesso affidabile.** Quindi, aggiungi le unità AWS Organizations organizzative (OUs) da cui desideri che Amazon Managed Grafana legga i dati. Amazon Managed Grafana può quindi leggere i dati da tutti gli account in ogni unità organizzativa scelta.

   1. Se hai scelto **Organizzazione**, scegli **Origini dati e canali di notifica (facoltativo)**.

1. Seleziona le fonti di AWS dati su cui desideri interrogare in questo spazio di lavoro. La selezione delle fonti di dati consente ad Amazon Managed Grafana di creare ruoli e autorizzazioni IAM che consentono ad Amazon Managed Grafana di leggere i dati da queste fonti. È comunque necessario aggiungere le fonti di dati nella console dell'area di lavoro Grafana.

1. **(Facoltativo) Se desideri che gli avvisi Grafana provenienti da questo spazio di lavoro vengano inviati a un canale di notifica Amazon Simple Notification Service (Amazon SNS), seleziona Amazon SNS.** Ciò consente ad Amazon Managed Grafana di creare una policy IAM da pubblicare su Amazon SNS gli argomenti del tuo account `TopicName` con valori che iniziano con. `grafana` Ciò non configura completamente Amazon SNS come canale di notifica per l'area di lavoro. Puoi farlo all'interno della console Grafana nell'area di lavoro.

1. Scegli **Next (Successivo)**.

1. **Conferma i dettagli dell'area di lavoro e scegli Crea area di lavoro.**

   Viene visualizzata la pagina dei dettagli dell'area di lavoro.

   **Inizialmente, lo **stato** è CREATING.**
**Importante**  
Attendi che lo stato sia **ATTIVO** prima di effettuare una delle seguenti operazioni:  
Completamento della configurazione SAML, se utilizzi SAML.
Assegnazione dell'accesso allo spazio di lavoro degli utenti di IAM Identity Center, se utilizzi IAM Identity Center.
Potrebbe essere necessario aggiornare il browser per visualizzare lo stato attuale.

1. Se utilizzi IAM Identity Center, procedi come segue:

   1. Nella scheda **Autenticazione**, scegli **Assegna nuovo utente o gruppo**. 

   1. Seleziona la casella di controllo accanto all'utente a cui desideri concedere l'accesso all'area di lavoro e scegli **Assegna** utente.

   1. Seleziona la casella di controllo accanto all'utente e scegli **Rendi** amministratore.
**Importante**  
Assegna almeno un utente come `Admin` per ogni area di lavoro, per accedere alla console dell'area di lavoro Grafana per gestire l'area di lavoro.

1. Se utilizzi SAML, procedi come segue:

   1. **Nella scheda **Autenticazione**, in **Security Assertion Markup Language (SAML)**, scegli Configurazione completa.**

   1. Per il **metodo di importazione**, esegui una delle seguenti operazioni:
      + Scegli **URL** e inserisci l'URL dei metadati IdP.
      + Scegli **Carica o copia/incolla**. Se stai caricando i metadati, scegli **Scegli file e seleziona il file** di metadati. **Oppure, se utilizzi il copia e incolla, copia i metadati in Importa i metadati.**

   1. Per il **ruolo dell'attributo Assertion**, inserisci il nome dell'attributo di asserzione SAML da cui estrarre le informazioni sul ruolo.

   1. Per **i valori dei ruoli di amministratore**, inserisci i ruoli utente del tuo IdP a cui dovrebbe essere concesso il `Admin` ruolo nell'area di lavoro di Amazon Managed Grafana, oppure seleziona **Desidero disattivare l'assegnazione di amministratori al mio spazio di** lavoro.
**Nota**  
Se scegli, **voglio rinunciare all'assegnazione di amministratori al mio spazio di lavoro.** , non potrai utilizzare la console per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. Puoi apportare modifiche amministrative all'area di lavoro solo utilizzando Amazon Managed Grafana APIs.

   1. (Facoltativo) Per inserire impostazioni SAML aggiuntive, scegli **Impostazioni aggiuntive** ed esegui una o più delle seguenti operazioni. Tutti questi campi sono opzionali.
      + Per **il nome dell'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per l'utente nomi «descrittivi» completi per gli utenti SAML.
      + Per l'**accesso all'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi di accesso degli utenti SAML.
      + Per l'**e-mail dell'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi e-mail degli utenti SAML.
      + Per la **durata della validità dell'accesso (in minuti)**, specifica per quanto tempo è valido l'accesso di un utente SAML prima che l'utente debba accedere nuovamente. L'impostazione predefinita è 1 giorno e il massimo è 30 giorni.
      + Per l'**organizzazione degli attributi Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per le organizzazioni di utenti.
      + Per i **gruppi di attributi Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per i gruppi di utenti.
      + Per **le organizzazioni consentite**, puoi limitare l'accesso degli utenti solo agli utenti che sono membri di determinate organizzazioni nell'IdP. Inserisci una o più organizzazioni da consentire, separandole con virgole.
      + Per **i valori del ruolo Editor**, inserisci i ruoli utente del tuo IdP a cui dovrebbe essere assegnato il `Editor` ruolo nell'area di lavoro di Amazon Managed Grafana. Inserisci uno o più ruoli, separati da virgole.

   1. Scegli **Salva configurazione SAML.**

1. Nella pagina dei dettagli dell'area di lavoro, scegli l'URL visualizzato sotto l'URL dell'area di lavoro **Grafana**.

1. Scegliendo l'URL dell'area di lavoro si accede alla pagina di destinazione per la console dell'area di lavoro Grafana. Esegui una delle seguenti operazioni:
   + Scegli **Accedi con SAML** e inserisci il nome e la password.
   +  Scegli **Accedi con AWS IAM Identity Center** e inserisci l'indirizzo email e la password dell'utente che hai creato in precedenza in questa procedura. Queste credenziali funzionano solo se hai risposto all'e-mail di Amazon Managed Grafana che ti chiedeva di creare una password per IAM Identity Center.

     Ora sei nel tuo spazio di lavoro Grafana, o server Grafana logico. Puoi iniziare ad aggiungere fonti di dati per interrogare, visualizzare e analizzare i dati. Per ulteriori informazioni, consulta [Usa il tuo spazio di lavoro Grafana](AMG-working-with-Grafana-workspace.md).

Per ulteriori informazioni su 

**Suggerimento**  
Puoi automatizzare la creazione di aree di lavoro Amazon Managed Grafana utilizzando. CloudFormation Per informazioni più dettagliate, consulta. [Creazione di risorse Amazon Managed Grafana con AWS CloudFormation](creating-resources-with-cloudformation.md)

# Autentica gli utenti nelle aree di lavoro Amazon Managed Grafana
<a name="authentication-in-AMG"></a>

I singoli utenti accedono alle tue aree di lavoro per modificare e visualizzare le tue dashboard. Puoi assegnare utenti ai tuoi spazi di lavoro e [concedere loro autorizzazioni di utente, editor](AMG-manage-users-and-groups-AMG.md) o amministratore. Per iniziare, crei (o utilizzi un provider di identità esistente) per autenticare gli utenti.

Gli utenti vengono autenticati per utilizzare la console Grafana in un'area di lavoro Amazon Managed Grafana tramite Single Sign-On utilizzando il provider di identità dell'organizzazione, anziché tramite IAM. Ogni area di lavoro può utilizzare uno o entrambi i seguenti metodi di autenticazione:
+ Credenziali utente archiviate in provider di identità (IdPs) che supportano Security Assertion Markup Language 2.0 (SAML 2.0)
+ AWS IAM Identity Center. AWS Single-sign-on (**AWS SSO**) è stato rinominato **IAM Identity** Center. 

Per ciascuna delle tue aree di lavoro, puoi utilizzare SAML, IAM Identity Center o entrambi. Se inizi a utilizzare un metodo, puoi passare all'altro.

È necessario concedere agli utenti (o ai gruppi a cui appartengono) le autorizzazioni per accedere all'area di lavoro prima che possano accedere alle funzionalità all'interno dell'area di lavoro. Per ulteriori informazioni sulla concessione delle autorizzazioni agli utenti, consulta. [Gestisci l'accesso di utenti e gruppi alle aree di lavoro Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md)

**Topics**
+ [Usa SAML con il tuo spazio di lavoro Amazon Managed Grafana](authentication-in-AMG-SAML.md)
+ [Utilizzalo AWS IAM Identity Center con il tuo spazio di lavoro Amazon Managed Grafana](authentication-in-AMG-SSO.md)

# Usa SAML con il tuo spazio di lavoro Amazon Managed Grafana
<a name="authentication-in-AMG-SAML"></a>

**Nota**  
Amazon Managed Grafana attualmente non supporta l'accesso avviato da IdP per le aree di lavoro. È necessario configurare le applicazioni SAML con un Relay State vuoto.

Puoi utilizzare l'autenticazione SAML per utilizzare il tuo provider di identità esistente e offrire il single sign-on per accedere alla console Grafana delle tue aree di lavoro Amazon Managed Grafana. Invece di eseguire l'autenticazione tramite IAM, l'autenticazione SAML per Amazon Managed Grafana consente di utilizzare provider di identità di terze parti per accedere, gestire il controllo degli accessi, cercare dati e creare visualizzazioni. Amazon Managed Grafana supporta provider di identità che utilizzano lo standard SAML 2.0 e hanno creato e testato applicazioni di integrazione con Azure AD CyberArk, Okta e Ping Identity. OneLogin

Per i dettagli su come configurare l'autenticazione SAML durante la creazione dell'area di lavoro, consulta. [Creazione di uno spazio di lavoro](AMG-create-workspace.md#creating-workspace)

Nel flusso di autenticazione SAML, un'area di lavoro Amazon Managed Grafana funge da service provider (SP) e interagisce con l'IdP per ottenere informazioni sugli utenti. [Per ulteriori informazioni su SAML, consulta Security Assertion Markup Language.](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)

Puoi mappare i gruppi del tuo IdP ai team nell'area di lavoro Amazon Managed Grafana e impostare autorizzazioni di accesso granulari per tali team. Puoi anche mappare i ruoli dell'organizzazione definiti nell'IdP ai ruoli nell'area di lavoro Amazon Managed Grafana. Ad esempio, se hai un ruolo **Developer** definito nell'IdP, puoi mappare quel ruolo al ruolo di **amministratore Grafana** nell'area di lavoro Amazon Managed Grafana.

**Nota**  
Quando crei un'area di lavoro Amazon Managed Grafana che utilizza un IdP e SAML per l'autorizzazione, devi accedere a un principale IAM a cui è associata la policy. **AWSGrafanaAccountAdministrator**

**Per accedere all'area di lavoro Amazon Managed Grafana, un utente visita la home page della console Grafana dell'area di lavoro e sceglie Accedi utilizzando SAML.** L'area di lavoro legge la configurazione SAML e reindirizza l'utente all'IdP per l'autenticazione. L'utente inserisce le proprie credenziali di accesso nel portale IdP e, se è un utente valido, emette un'asserzione SAML e reindirizza l'utente all'area di lavoro Amazon Managed Grafana. Amazon Managed Grafana verifica che l'asserzione SAML sia valida, che l'utente abbia effettuato l'accesso e possa utilizzare l'area di lavoro.

Amazon Managed Grafana supporta i seguenti binding SAML 2.0:
+ Dal service provider (SP) al provider di identità (IdP):
  + Associazione HTTP-POST
  + Associazione di reindirizzamento HTTP
+ Dal provider di identità (IdP) al provider di servizi (SP):
  + Associazione HTTP-POST

Amazon Managed Grafana supporta asserzioni firmate e crittografate, ma non supporta richieste firmate o crittografate.

Amazon Managed Grafana supporta le richieste avviate da SP e non supporta le richieste avviate da IdP.

## Mappatura delle asserzioni
<a name="AMG-SAML-Assertion-Mapping"></a>

Durante il flusso di autenticazione SAML, Amazon Managed Grafana riceve il callback ACS (Assertion Consumer Service). Il callback contiene tutte le informazioni pertinenti per l'utente da autenticare, incorporate nella risposta SAML. Amazon Managed Grafana analizza la risposta per creare (o aggiornare) l'utente all'interno del suo database interno.

Quando Amazon Managed Grafana mappa le informazioni dell'utente, esamina i singoli attributi all'interno dell'asserzione. Puoi pensare a questi attributi come coppie chiave-valore, sebbene contengano più informazioni di così.

Amazon Managed Grafana offre opzioni di configurazione che consentono di modificare le chiavi da utilizzare per questi valori. 

Puoi utilizzare la console Amazon Managed Grafana per mappare i seguenti attributi di asserzione SAML ai valori in Amazon Managed Grafana:
+ Per il **ruolo dell'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come ruoli utente.
+ Per **il nome dell'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per l'utente nomi «descrittivi» completi per gli utenti SAML.
+ Per l'**accesso all'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi di accesso degli utenti SAML.
+ Per l'**e-mail dell'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi e-mail degli utenti SAML.
+ Per l'**organizzazione degli attributi Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per le organizzazioni di utenti.
+ Per i **gruppi di attributi Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per i gruppi di utenti.
+ Per **le organizzazioni consentite**, puoi limitare l'accesso degli utenti solo agli utenti che sono membri di determinate organizzazioni nell'IdP.
+ Per **i valori del ruolo Editor**, specifica i ruoli utente del tuo IdP a cui dovrebbe essere assegnato il `Editor` ruolo nell'area di lavoro di Amazon Managed Grafana.

## Connessione al tuo provider di identità
<a name="authentication-in-AMG-SAML-providers"></a>

I seguenti provider di identità esterni sono stati testati con Amazon Managed Grafana e forniscono applicazioni direttamente nelle loro directory o gallerie di app per aiutarti a configurare Amazon Managed Grafana con SAML.

**Topics**
+ [Mappatura delle asserzioni](#AMG-SAML-Assertion-Mapping)
+ [Connessione al tuo provider di identità](#authentication-in-AMG-SAML-providers)
+ [Configura Amazon Managed Grafana per usare Azure AD](AMG-SAML-providers-Azure.md)
+ [Configura Amazon Managed Grafana per l'uso CyberArk](AMG-SAML-providers-CyberArk.md)
+ [Configura Amazon Managed Grafana per usare Okta](AMG-SAML-providers-okta.md)
+ [Configura Amazon Managed Grafana per l'uso OneLogin](AMG-SAML-providers-onelogin.md)
+ [Configura Amazon Managed Grafana per utilizzare Ping Identity](AMG-SAML-providers-pingone.md)

# Configura Amazon Managed Grafana per usare Azure AD
<a name="AMG-SAML-providers-Azure"></a>

Usa i seguenti passaggi per configurare Amazon Managed Grafana per usare Azure Active Directory come provider di identità. Questi passaggi presuppongono che tu abbia già creato il tuo spazio di lavoro Amazon Managed Grafana e che tu abbia preso nota dell'*ID* dell'area di lavoro, e. *URLs*Regione AWS**

## Passaggio 1: Passaggi da completare in Azure Active Directory
<a name="AMG-SAML-providers-Azure-step1"></a>

Completa i seguenti passaggi in Azure Active Directory.

**Per configurare Azure Active Directory come provider di identità per Amazon Managed Grafana**

1. Accedi alla console di Azure come amministratore.

1. Scegli **Azure Active Directory**.

1. Scegli **Applicazioni aziendali.**

1. Cerca **Amazon Managed Grafana SAML2 2.0** e selezionalo.

1. **Seleziona l'applicazione e scegli Setup.**

1. Nella configurazione dell'applicazione Azure Active Directory, scegli **Utenti e gruppi**.

1. Assegna l'applicazione agli utenti e ai gruppi che desideri.

1. Scegli **Single Sign-On**.

1. Scegli **Avanti** per accedere alla pagina di configurazione SAML.

1. Specificate le impostazioni SAML:
   + Per **Identifier (Entity ID)**, incolla l'URL dell'**identificatore del fornitore** di servizi dall'area di lavoro Amazon Managed Grafana.
   + Per **l'URL di risposta (Assertion Consumer Service URL)**, incolla la **risposta del fornitore** di servizi dall'area di lavoro Amazon Managed Grafana.
   + Assicurati che **Sign Assertion** sia selezionato e che **Encrypt** Assertion non sia selezionato.

1. Nella sezione **Attributi utente e reclami**, assicurati che questi attributi siano mappati. Sono sensibili alle maiuscole.
   + la **posta** è impostata con **user.userprincipalname**.
   + **displayName** **è impostato con user.displayname.**
   + **L'identificatore utente univoco** **è impostato con user.userprincipalname.**
   + Aggiungi tutti gli altri attributi che vorresti passare. Per ulteriori informazioni sugli attributi che puoi trasmettere ad Amazon Managed Grafana nella mappatura delle asserzioni, consulta. [Mappatura delle asserzioni](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Copia l'**URL dei metadati SAML** da utilizzare nella configurazione dell'area di lavoro Amazon Managed Grafana.

## Fase 2: passaggi da completare in Amazon Managed Grafana
<a name="AMG-SAML-providers-Azure-step2"></a>

Completa i seguenti passaggi nella console Amazon Managed Grafana.

**Per completare la configurazione di Azure Active Directory come provider di identità per Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione, seleziona l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro.

1. Nella scheda **Autenticazione**, scegli **Configurazione della configurazione SAML.**

1. In **Importa i metadati**, scegli **Carica o copia/incolla e incolla** l'URL di Azure Active Directory che hai copiato dall'URL dei metadati **SAML** nella sezione precedente.

1. **In Assertion mapping, procedi come segue:**
   + Assicurati di **voler disattivare l'assegnazione di amministratori. La mia area di lavoro non è** selezionata.
**Nota**  
Se scegli di non **assegnare amministratori al mio spazio di lavoro, non potrai utilizzare la console dell'area di lavoro** di Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. È possibile apportare modifiche amministrative all'area di lavoro solo utilizzando Grafana APIs.
   + Imposta il **ruolo dell'attributo Assertion** sul nome dell'attributo che hai scelto.
   + Imposta **i valori del ruolo di amministratore** sul valore corrispondente ai ruoli degli utenti amministratori.
   + (Facoltativo) Se hai modificato gli attributi predefiniti nell'applicazione Azure Active Directory, espandi **Impostazioni aggiuntive - opzionale** e quindi imposta i nuovi nomi degli attributi.

     **Per impostazione predefinita, l'attributo Azure **DisplayName** viene passato come attributo Name e **l'**attributo di posta Ping **Identity** viene passato sia all'attributo email che **all'**attributo login.**

1. Scegli **Salva configurazione SAML**.

# Configura Amazon Managed Grafana per l'uso CyberArk
<a name="AMG-SAML-providers-CyberArk"></a>

Utilizza i seguenti passaggi per configurare Amazon Managed Grafana da utilizzare CyberArk come provider di identità. Questi passaggi presuppongono che tu abbia già creato il tuo spazio di lavoro Amazon Managed Grafana e che tu abbia preso nota dell'ID e della regione dell'area di lavoro. URLs

## Fase 1: Passaggi da completare CyberArk
<a name="AMG-SAML-providers-cyberark-step1"></a>

Completa i seguenti passaggi in CyberArk.

**Per configurare CyberArk come provider di identità per Amazon Managed Grafana**

1. Accedi all' CyberArk Identity Admin Portal. 

1. Scegli **App**, **App Web**.

1. Scegli **Aggiungi app Web**.

1. **Cerca **Amazon Managed Grafana per SAML2 1.0** e scegli Aggiungi.**

1. Nella configurazione dell' CyberArk applicazione, vai alla sezione **Trust**.

1. In **Configurazione del provider di identità**, scegli **Metadati**.

1. Scegli **Copia URL** e salva l'URL da utilizzare più avanti in questi passaggi.

1. In **Configurazione del fornitore di servizi**, scegli **Configurazione manuale**.

1. Specificate le impostazioni SAML:
   + Per **SP Entity ID**, incolla l'URL dell'**identificatore del fornitore** di servizi dall'area di lavoro Amazon Managed Grafana.
   + Per l'**URL di Assertion Consumer Service (ACS)**, incolla la **risposta del fornitore di servizi** dall'area di lavoro di Amazon Managed Grafana.
   + **Imposta **Sign Response Assertion su Assertion**.**
   + **Assicurati che il formato **NameID sia EmailAddress.****

1. Scegli **Save** (Salva).

1. Nella sezione **SAML Response**, assicurati che l'attributo Amazon Managed Grafana sia **in Application** Name e che CyberArk l'attributo sia **in** Attribute Value. Quindi assicurati che i seguenti attributi siano mappati. Sono sensibili alle maiuscole.
   + **DisplayName** **è impostato con. LoginUser DisplayName**.
   + la **posta** è impostata con **LoginUser.Email.**
   + Aggiungi qualsiasi altro attributo che vorresti passare. Per ulteriori informazioni sugli attributi che puoi trasmettere ad Amazon Managed Grafana nella mappatura delle asserzioni, consulta. [Mappatura delle asserzioni](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Scegli **Save** (Salva).

1. **Nella sezione **Autorizzazioni**, scegli a quali utenti e gruppi assegnare questa applicazione, quindi scegli Salva.**

## Fase 2: passaggi da completare in Amazon Managed Grafana
<a name="AMG-SAML-providers-cyberark-step2"></a>

Completa i seguenti passaggi nella console Amazon Managed Grafana.

**Per completare la configurazione CyberArk come provider di identità per Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione, seleziona l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro.

1. Nella scheda **Autenticazione**, scegli **Configurazione della configurazione SAML.**

1. In **Importa i metadati**, scegli **Carica o copia/incolla e incolla** l' CyberArk URL che hai copiato nella procedura precedente.

1. In **Assertion mapping**, effettuate le seguenti operazioni:
   + Assicurati di **voler disattivare l'assegnazione di amministratori. La mia area di lavoro non è** selezionata.
**Nota**  
Se scegli di non **assegnare amministratori al mio spazio di lavoro, non potrai utilizzare la console dell'area di lavoro** di Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. È possibile apportare modifiche amministrative all'area di lavoro solo utilizzando Grafana APIs.
   + Imposta il **ruolo dell'attributo Assertion** sul nome dell'attributo che hai scelto.
   + Imposta **i valori del ruolo di amministratore** sul valore corrispondente ai ruoli degli utenti amministratori.
   + (Facoltativo) Se hai modificato gli attributi predefiniti nell' CyberArk applicazione, espandi **Impostazioni aggiuntive - opzionale** e quindi imposta i nuovi nomi degli attributi.

     ****Per impostazione predefinita, l'attributo CyberA displayName viene passato all'attributo name e ** CyberArk **l'****attributo mail viene passato a entrambi **gli** attributi email e login.****

1. Scegli **Salva configurazione SAML**.

# Configura Amazon Managed Grafana per usare Okta
<a name="AMG-SAML-providers-okta"></a>

Utilizza i seguenti passaggi per configurare Amazon Managed Grafana per utilizzare Okta come provider di identità. Questi passaggi presuppongono che tu abbia già creato il tuo spazio di lavoro Amazon Managed Grafana e che tu abbia preso nota dell'ID e della regione dell'area di lavoro. URLs

## Passaggio 1: passaggi da completare in Okta
<a name="AMG-SAML-providers-okta-step1"></a>

Completa i seguenti passaggi in Okta.

**Per configurare Okta come provider di identità per Amazon Managed Grafana**

1. Accedi alla console Okta come amministratore. 

1. Nel pannello di sinistra, scegli **Applicazioni, **Applicazioni****.

1. Scegli **Browse App Catalog** e cerca **Amazon Managed Grafana**.

1. **Scegli **Amazon Managed Grafana** e scegli **Aggiungi**, Fatto.**

1. Scegli l'applicazione per iniziare a configurarla.

1. **Nella scheda Accedi**, scegli **Modifica**.

1. **In **Impostazioni di accesso avanzate, inserisci il** tuo ID dello spazio di lavoro Amazon Managed Grafana e la tua regione rispettivamente nei campi **Name Space** e Regione.** **L'ID e la regione del tuo spazio di lavoro Amazon Managed Grafana sono disponibili nell'URL del tuo spazio di lavoro Amazon Managed Grafana, nel formato .grafana-workspace. *workspace-id* *Region*.amazonaws.com.**

1. Scegli **Save** (Salva).

1. **In **SAML 2.0**, copia l'URL per i metadati dell'Identity Provider.** Puoi utilizzarlo più avanti in questa procedura nella console Amazon Managed Grafana.

1. Nella scheda **Assegnazioni**, scegli le **persone** e **i gruppi** che desideri possano utilizzare Amazon Managed Grafana.

## Fase 2: passaggi da completare in Amazon Managed Grafana
<a name="AMG-SAML-providers-okta-step2"></a>

Completa i seguenti passaggi nella console Amazon Managed Grafana.

**Per completare la configurazione di Okta come provider di identità per Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione, seleziona l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro.

1. Nella scheda **Autenticazione**, scegli **Configurazione completa**.

1. In **Importa i metadati**, scegli **Carica o copia/incolla e incolla** l'URL Okta che hai copiato nella procedura precedente.

1. In **Assertion mapping**, procedi come segue:
   + Assicurati di **voler disattivare l'assegnazione di amministratori. La mia area di lavoro non è** selezionata.
**Nota**  
Se scegli di non **assegnare amministratori al mio spazio di lavoro, non potrai utilizzare la console dell'area di lavoro** di Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. È possibile apportare modifiche amministrative all'area di lavoro solo utilizzando Grafana APIs.
   + Imposta il **ruolo dell'attributo Assertion** sul nome dell'attributo che hai scelto.
   + Imposta **i valori del ruolo di amministratore** sul valore corrispondente ai ruoli degli utenti amministratori.
   + (Facoltativo) Se hai modificato gli attributi predefiniti nell'applicazione Okta, espandi **Impostazioni aggiuntive - opzionale** e quindi imposta i nuovi nomi degli attributi.

     ******Per impostazione predefinita, l'attributo Okta displayName viene passato all'attributo name e **l'**attributo **Okta** mail viene passato a entrambi gli attributi email e login.******

1. **Scegli Salva configurazione SAML.**

# Configura Amazon Managed Grafana per l'uso OneLogin
<a name="AMG-SAML-providers-onelogin"></a>

Utilizza i seguenti passaggi per configurare Amazon Managed Grafana da utilizzare OneLogin come provider di identità. Questi passaggi presuppongono che tu abbia già creato il tuo spazio di lavoro Amazon Managed Grafana e che tu abbia preso nota dell'ID e della regione dell'area di lavoro. URLs

## Passaggio 1: passaggi da completare OneLogin
<a name="AMG-SAML-providers-onelogin-step1"></a>

Completa i seguenti passaggi in OneLogin.

**Per configurare OneLogin come provider di identità per Amazon Managed Grafana**

1. Accedi al OneLogin portale come amministratore. 

1. Scegli **Applicazioni**, **Applicazioni**, **Aggiungi app**.

1. Cerca **Amazon Managed Service for Grafana**.

1. **Assegna un **nome visualizzato** a tua scelta e scegli Salva.**

1. Vai a **Configurazione** e inserisci l'ID dello spazio di lavoro Amazon Managed Grafana in **Namespace**, quindi inserisci la regione del tuo spazio di lavoro Amazon Managed Grafana.

1. Nella scheda **Configurazione**, inserisci l'URL del tuo spazio di lavoro Amazon Managed Grafana.

1. Puoi lasciare il parametro **AdminRole** come **predefinito No** Default e compilarlo utilizzando la scheda **Regole**, se un amministratore richiede un valore corrispondente in Amazon Managed Grafana. In questo esempio, il **ruolo dell'attributo Assertion** verrebbe impostato su **AdminRole in** Amazon Managed Grafana, con il valore true. Puoi indicare questo valore a qualsiasi attributo del tuo tenant. Fai clic sul **\$1** per aggiungere e configurare i parametri per soddisfare i requisiti della tua organizzazione.

1. Scegli la scheda **Regole**, scegli **Aggiungi regola** e dai un nome alla regola. Nel campo **Condizioni** (l'istruzione if), aggiungiamo **Email contains [indirizzo email]**. **Nel campo **Azioni** (l'istruzione then), selezioniamo **Set AdminRole in Amazon Managed Service** e selezioniamo **Macro** nel menu a discesa **Set adminRole** to, con il valore true.** La tua organizzazione può scegliere regole diverse per risolvere diversi casi d'uso.

1. Scegli **Save** (Salva). Vai a **Altre azioni** e scegli **Riapplica le mappature dei diritti**. È necessario riapplicare le mappature ogni volta che si creano o si aggiornano le regole.

1. Prendi nota dell'**URL dell'emittente**, che utilizzerai successivamente nella configurazione nella console Amazon Managed Grafana. Quindi scegli **Save** (Salva).

1. Scegli la scheda **Accesso** per assegnare i OneLogin ruoli che devono accedere ad Amazon Managed Grafana e seleziona una policy di sicurezza dell'app. 

## Fase 2: passaggi da completare in Amazon Managed Grafana
<a name="AMG-SAML-providers-onelogin-step2"></a>

Completa i seguenti passaggi nella console Amazon Managed Grafana.

**Per completare la configurazione OneLogin come provider di identità per Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione, seleziona l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro.

1. Nella scheda **Autenticazione**, scegli **Configurazione della configurazione SAML.**

1. In **Importa i metadati**, scegli **Carica o copia/incolla e incolla** l'URL dell' OneLoginemittente che hai copiato dalla console nella OneLogin procedura precedente.

1. In **Assertion mapping**, procedi come segue:
   + Assicurati di **voler disattivare l'assegnazione di amministratori. La mia area di lavoro non è** selezionata.
**Nota**  
Se scegli di non **assegnare amministratori al mio spazio di lavoro, non potrai utilizzare la console dell'area di lavoro** di Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. È possibile apportare modifiche amministrative all'area di lavoro solo utilizzando Grafana APIs.
   + Imposta il **ruolo dell'attributo Assertion** sul nome dell'attributo che hai scelto. Il valore predefinito per OneLogin è **AdminRole**.
   + Imposta **i valori del ruolo di amministratore** sul valore corrispondente ai ruoli degli utenti amministratori.
   + (Facoltativo) Se hai modificato gli attributi predefiniti nell' OneLogin applicazione, espandi **Impostazioni aggiuntive - opzionale** e quindi imposta i nuovi nomi degli attributi.

     ****Per impostazione predefinita, l' OneLogin attributo displayName viene passato all'attributo name e ** OneLogin **l'****attributo mail viene passato a entrambi **gli** attributi email e login.****

1. Scegli **Salva configurazione SAML**.

# Configura Amazon Managed Grafana per utilizzare Ping Identity
<a name="AMG-SAML-providers-pingone"></a>

Utilizza i seguenti passaggi per configurare Amazon Managed Grafana per utilizzare Ping Identity come provider di identità. Questi passaggi presuppongono che tu abbia già creato il tuo spazio di lavoro Amazon Managed Grafana e che tu abbia preso nota dell'ID e della regione dell'area di lavoro. URLs

## Passaggio 1: passaggi da completare in Ping Identity
<a name="AMG-SAML-providers-pingone-step1"></a>

Completa i seguenti passaggi in Ping Identity.

**Per configurare Ping Identity come provider di identità per Amazon Managed Grafana**

1. Accedi alla console Ping Identity come amministratore. 

1. Selezionare **Applications (Applicazioni)**.

1. Scegli **Aggiungi applicazione**, **Cerca nel catalogo delle applicazioni**.

1. **Cerca l'applicazione **Amazon Managed Grafana for SAML**, quindi selezionala e scegli Setup.**

1. Nell'applicazione Ping Identity, scegli **Avanti** per accedere alla pagina di configurazione SAML. Quindi esegui le seguenti impostazioni SAML:
   + Per **Assertion Consumer Service**, incolla **l'URL di risposta del fornitore** di servizi dall'area di lavoro Amazon Managed Grafana.
   + Per **Entity ID**, incolla l'**identificativo del fornitore** di servizi dall'area di lavoro Amazon Managed Grafana.
   + Assicurati che **Sign Assertion** sia selezionato e che **Encrypt** Assertion non sia selezionato.

1. Scegli **Continua al passaggio successivo.**

1. **Nella **mappatura degli attributi SSO**, assicurati che l'attributo Amazon Managed Grafana sia nell'attributo **Application e che l'attributo** Ping Identity sia nell'attributo Identity Bridge.** Quindi effettua le seguenti impostazioni:
   + la **posta** deve essere **Email (Work)**.
   + **DisplayName** **deve essere Display Name.**
   + **SAML\$1SUBJECT** **deve essere Email (Work).** **Quindi, per questo attributo, scegli **Avanzato**, imposta il **formato Name ID da inviare a SP su **URN:oasis:names:TC:SAML:2.0:NameID-Format:Transient**** e scegli Salva.** 
   + Aggiungi qualsiasi altro attributo che desideri passare.
   + Aggiungi qualsiasi altro attributo che desideri passare. Per ulteriori informazioni sugli attributi che puoi trasmettere ad Amazon Managed Grafana nella mappatura delle asserzioni, consulta. [Mappatura delle asserzioni](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Scegli **Continua al passaggio successivo.**

1. In **Group Access**, scegli a quali gruppi assegnare questa applicazione.

1. Scegli **Continua al passaggio successivo**.

1. Copia l'**URL dei metadati SAML** che inizia con. `https://admin- api.pingone.com/latest/metadata/` Lo utilizzerai più avanti nella configurazione.

1. Scegli **Fine**.

## Fase 2: passaggi da completare in Amazon Managed Grafana
<a name="AMG-SAML-providers-pingone-step2"></a>

Completa i seguenti passaggi nella console Amazon Managed Grafana.

**Per completare la configurazione di Ping Identity come provider di identità per Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione, seleziona l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro.

1. Nella scheda **Autenticazione**, scegli **Configurazione della configurazione SAML.**

1. In **Importa i metadati**, scegli **Carica o copia/incolla e incolla** l'URL Ping che hai copiato nella procedura precedente.

1. In **Assertion mapping**, effettuate le seguenti operazioni:
   + Assicurati di **voler disattivare l'assegnazione di amministratori. La mia area di lavoro non è** selezionata.
**Nota**  
Se scegli di non **assegnare amministratori al mio spazio di lavoro, non potrai utilizzare la console dell'area di lavoro** di Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. È possibile apportare modifiche amministrative all'area di lavoro solo utilizzando Grafana APIs.
   + Imposta il **ruolo dell'attributo Assertion** sul nome dell'attributo che hai scelto.
   + Imposta **i valori del ruolo di amministratore** sul valore corrispondente ai ruoli degli utenti amministratori.
   + (Facoltativo) Se hai modificato gli attributi predefiniti nell'applicazione Ping Identity, espandi **Impostazioni aggiuntive - opzionale** e quindi imposta i nuovi nomi degli attributi.

     **Per impostazione predefinita, l'attributo Ping Identity **displayName** viene passato all'attributo name e **l'**attributo Ping **Identity** mail viene passato sia all'attributo email che **all'**attributo login.**

1. Scegli **Salva configurazione SAML**.

# Utilizzalo AWS IAM Identity Center con il tuo spazio di lavoro Amazon Managed Grafana
<a name="authentication-in-AMG-SSO"></a>

Amazon Managed Grafana si integra con AWS IAM Identity Center per fornire la federazione delle identità per la tua forza lavoro. Utilizzando Amazon Managed Grafana e IAM Identity Center, gli utenti vengono reindirizzati all'elenco aziendale esistente per accedere con le credenziali esistenti. Quindi, accedono senza problemi al loro spazio di lavoro Amazon Managed Grafana. Ciò garantisce l'applicazione di impostazioni di sicurezza come le politiche sulle password e l'autenticazione a due fattori. L'utilizzo di IAM Identity Center non influisce sulla configurazione IAM esistente.

Se non disponi di una directory utenti esistente o preferisci non eseguire la federazione, IAM Identity Center offre una directory utenti integrata che puoi utilizzare per creare utenti e gruppi per Amazon Managed Grafana. Amazon Managed Grafana non supporta l'uso di utenti e ruoli IAM per assegnare autorizzazioni all'interno di uno spazio di lavoro Amazon Managed Grafana. 

[Per ulteriori informazioni su IAM Identity Center, consulta What is. AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Per ulteriori informazioni su come iniziare a usare IAM Identity Center, consulta [Guida introduttiva](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html).

Per utilizzare IAM Identity Center, devi aver AWS Organizations attivato anche l'account. Se necessario, Amazon Managed Grafana può attivare Organizations for you quando crei il tuo primo spazio di lavoro configurato per utilizzare IAM Identity Center.

## Autorizzazioni richieste per scenari che utilizzano IAM Identity Center
<a name="SSO-permission-scenarios"></a>

Questa sezione spiega le politiche necessarie per utilizzare Amazon Managed Grafana con IAM Identity Center. Le politiche necessarie per amministrare Amazon Managed Grafana variano a seconda che l' AWS account faccia parte di un'organizzazione o meno.

### Crea un amministratore Grafana negli account AWS Organizations
<a name="SSO-policy-org"></a>

Per concedere le autorizzazioni per creare e gestire aree di lavoro Amazon Managed Grafana in un'organizzazione e per consentire dipendenze AWS IAM Identity Center come, assegna le seguenti politiche a un ruolo.
+ Assegna la policy **AWSGrafanaAccountAdministrator**IAM per consentire l'amministrazione degli spazi di lavoro Amazon Managed Grafana.
+ **AWSSSODirectoryL'amministratore** consente al ruolo di utilizzare IAM Identity Center durante la configurazione degli spazi di lavoro Amazon Managed Grafana.
+ Per consentire la creazione e la gestione di aree di lavoro Amazon Managed Grafana in tutta l'organizzazione, assegna al ruolo la **AWSSSOMasterAccountAdministrator**policy IAM. In alternativa, assegna al ruolo la policy **AWSSSOMemberAccountAdministrator**IAM per consentire la creazione e la gestione di spazi di lavoro all'interno di un unico account membro dell'organizzazione.
+ Facoltativamente, puoi anche assegnare al ruolo la policy **AWSMarketplaceManageSubscriptions**IAM (o autorizzazioni equivalenti) se desideri consentire al ruolo di aggiornare uno spazio di lavoro Amazon Managed Grafana a Grafana enterprise.

Se desideri utilizzare le autorizzazioni gestite dal servizio quando crei un'area di lavoro Amazon Managed Grafana, il ruolo che crea l'area di lavoro deve avere anche le autorizzazioni, e. `iam:CreateRole` `iam:CreatePolicy` `iam:AttachRolePolicy` Questi sono necessari per implementare politiche che consentano di leggere le fonti di dati negli account dell'organizzazione. CloudFormation StackSets 

**Importante**  
Se si concedono a un utente le autorizzazioni `iam:AttachRolePolicy`, `iam:CreateRole` e `iam:CreatePolicy`, questo disporrà dell'accesso amministrativo completo all'account AWS . Ad esempio, un utente con queste autorizzazioni può creare una policy che dispone di autorizzazioni complete per tutte le risorse e collegare tale policy a qualsiasi ruolo. Presta molta attenzione a chi concedi queste autorizzazioni. 

Per vedere le autorizzazioni concesse a **AWSGrafanaAccountAdministrator**, vedi [AWS politica gestita: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

### Crea e gestisci gli spazi di lavoro e gli utenti di Amazon Managed Grafana in un unico account indipendente
<a name="SSO-examples-standalone"></a>

Un AWS account autonomo è un account che non è membro di un'organizzazione. Per ulteriori informazioni su AWS Organizations, vedi [Cos'è AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)

Per concedere l'autorizzazione a creare e gestire gli spazi di lavoro e gli utenti di Amazon Managed Grafana in un account autonomo, assegna le seguenti politiche IAM a un ruolo:
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAmministratore**

**Importante**  
Concedendo un ruolo, la **AWSOrganizationsFullAccess**policy offre a tale ruolo l'accesso amministrativo completo al tuo account. AWS Presta molta attenzione a chi concedi queste autorizzazioni.

Per vedere le autorizzazioni concesse a **AWSGrafanaAccountAdministrator**, vedi [AWS politica gestita: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

# Aggiorna la versione del tuo spazio di lavoro
<a name="AMG-workspace-version-update"></a>

Puoi aggiornare il tuo spazio di lavoro Amazon Managed Grafana a una versione più recente di Grafana nella console Amazon Managed Grafana in due modi.

**Nota**  
Puoi aggiornare la versione solo a una versione più recente di Grafana. Non puoi effettuare il downgrade a una versione precedentemente rilasciata di Grafana.  
L'aggiornamento della versione di Grafana non aggiornerà i plugin installati nel tuo spazio di lavoro. Potrebbe essere necessario aggiornare singolarmente tutti i plugin che non sono compatibili con la nuova versione di Grafana. Per i dettagli sulla visualizzazione e la gestione dei plugin, consulta. [Trova i plugin con il catalogo dei plugin](grafana-plugins.md#plugin-catalog) Per un elenco delle modifiche apportate a ciascuna versione, vedere[Differenze tra le versioni Grafana](version-differences.md).

**Opzione 1: aggiorna la versione dall'elenco delle aree di lavoro**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)

1. Nel riquadro di navigazione a sinistra, scegli l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Nella riga contenente i dettagli dell'area di lavoro che desideri aggiornare, scegli **Aggiorna versione**. Solo le aree di lavoro idonee all'aggiornamento includeranno questa opzione.
**avvertimento**  
Il processo di aggiornamento è irreversibile e non può essere messo in pausa o annullato. Consigliamo di testare la versione più recente in un ambiente non di produzione prima di aggiornare un workspace di produzione. Durante un aggiornamento, non puoi apportare modifiche all'area di lavoro.

1. Scegli un numero di versione dal menu a discesa nella schermata **Aggiorna versione** e fai clic su **Aggiorna** per confermare.

1. Controlla periodicamente lo stato dell'aggiornamento nella scheda **Aree di lavoro**. Il processo di aggiornamento potrebbe richiedere fino a 10 minuti. Durante questo processo, l'area di lavoro sarà in modalità «sola lettura». Verrà visualizzato un banner aggiornato per indicare se l'aggiornamento dell'area di lavoro è riuscito o meno. Se l'aggiornamento non è riuscito, segui le azioni descritte nel banner e riprova.

**Opzione 2: aggiorna la versione dalla pagina di riepilogo dell'area di lavoro**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)

1. Nel riquadro di navigazione a sinistra, scegli l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il **nome dell'area di lavoro** che desideri aggiornare con il collegamento ipertestuale. Solo le aree di lavoro idonee all'aggiornamento includeranno questa opzione.

1. Scegli la richiesta di **aggiornamento della versione** nel blocco **Riepilogo**.
**avvertimento**  
Il processo di aggiornamento è irreversibile e non può essere messo in pausa o annullato. Consigliamo di testare la versione più recente in un ambiente non di produzione prima di aggiornare un workspace di produzione. Durante un aggiornamento, non puoi apportare modifiche all'area di lavoro.

1. Scegli un numero di versione dal menu a discesa nella schermata **Aggiorna versione** e fai clic su **Aggiorna** per confermare.

1. Controlla periodicamente lo stato dell'aggiornamento nella scheda **Aree di lavoro**. Il processo di aggiornamento potrebbe richiedere fino a 10 minuti. Durante questo processo, l'area di lavoro sarà in modalità «sola lettura». Verrà visualizzato un banner aggiornato per indicare se l'aggiornamento dell'area di lavoro è riuscito o meno. Se l'aggiornamento non è riuscito, segui le azioni descritte nel banner e riprova.

**Nota**  
Puoi anche aggiornare la versione utilizzando l'[UpdateWorkspaceConfiguration](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspaceConfiguration.html)operazione nell'API Amazon Managed Grafana.

Se riscontri problemi con l'area di lavoro aggiornata, consulta. [Risoluzione dei problemi relativi alle aree di lavoro aggiornate](AMG-workspace-version-update-troubleshoot.md)

# Risoluzione dei problemi relativi alle aree di lavoro aggiornate
<a name="AMG-workspace-version-update-troubleshoot"></a>

L'area di lavoro aggiornata dovrebbe continuare a funzionare dopo l'aggiornamento. Questa sezione può aiutarti a individuare possibili problemi dopo l'aggiornamento.
+ **Differenze tra le versioni.**

  Alcune funzionalità sono cambiate tra le versioni.
  + Per un elenco delle principali modifiche tra le versioni, comprese le modifiche che possono causare problemi di funzionalità, consulta[Differenze tra le versioni Grafana](version-differences.md). 
  + Per la documentazione sulle funzionalità specifiche della versione 9, vedere[Lavorare nella versione 9 di Grafana](using-grafana-v9.md). Per la versione 10, vedere[Funzionamento nella versione 10 di Grafana](using-grafana-v10.md).
+ **Problema con PostgreSQL TLS**

  Se la **modalità TLS/SSL** era impostata `require` nella versione 8 e utilizzavi solo un certificato root, potresti riscontrare problemi con TLS o certificato con l'origine dati PostgreSQL dopo l'aggiornamento. ****Modifica le impostazioni TLS per la tua fonte di dati PostgreSQL (disponibile nel menu laterale dell'area di lavoro Grafana, scegliendo l'icona Configurazione, quindi Origini dati).****
  + **Cambia la modalità TLS/SSL in.** `verify-ca`
  + Imposta il metodo **TLS/SSL** su. `Certificate content`
  + Imposta il **certificato principale** sul certificato principale per il server di database PostgreSQL. Questo è l'unico campo in cui inserire un certificato.

# Gestisci l'accesso ai plugin Enterprise
<a name="upgrade-to-enterprise-plugins"></a>

Puoi utilizzare la console Amazon Managed Grafana per gestire il tuo spazio di lavoro e accedere ai plugin Enterprise. L'aggiornamento ti consente di accedere ai plug-in Enterprise con supporto per fonti di dati di diversi fornitori di software indipendenti di terze parti ()ISVs, incluso l'elenco seguente.

Una licenza Enterprise ti dà anche accesso ai servizi di consulenza e [supporto Grafana Labs.](https://grafana.com)

**Le fonti di dati aziendali disponibili con i plugin Amazon Managed Grafana Enterprise includono:**
+ AppDynamics
+ Databricks
+ Datadog
+ Dynatrace
+ GitLab
+ Honeycomb
+ Jira
+ MongoDB
+ New Relic
+ database Oracle
+ Salesforce
+ SAP/HANA
+ ServiceNow
+ Snowflake
+ Splunk
+ Monitoraggio dell'infrastruttura Splunk (in precedenza) SignalFx
+ Wavefront

Per informazioni dettagliate sui plugin Enterprise Data Source disponibili durante l'aggiornamento, consulta. [Connect a fonti di dati aziendali](AMG-data-sources-enterprise.md) È possibile aggiungere nuovi plugin in qualsiasi momento. Per un elenco completo e aggiornato, puoi utilizzare il [catalogo dei plugin](grafana-plugins.md#manage-plugins) all'interno del tuo spazio di lavoro Amazon Managed Grafana.

Quando crei un'area di lavoro, per impostazione predefinita non ha accesso ai plugin Enterprise, ma puoi eseguire l'upgrade in qualsiasi momento. Se desideri disporre di più aree di lavoro Amazon Managed Grafana con plug-in Enterprise, devi aggiornare ognuna di esse.

Puoi gestire la licenza del plug-in Enterprise, inclusa l'aggiunta o la rimozione dell'accesso tramite la pagina **Manage Amazon Managed Grafana Enterprise**.

Il processo di gestione dell'accesso ai plugin Amazon Managed Grafana Enterprise è cambiato. Se l'hai usato in precedenza Marketplace AWS, potresti essere interessato all'[Domande frequenti per utenti Marketplace AWS Enterprise](AMG-ws-mp-license-faq.md)argomento.

**Topics**
+ [Gestione dell'accesso ai plugin Amazon Managed Grafana Enterprise](AMG-workspace-manage-enterprise.md)
+ [Collega il tuo account a Grafana Labs](AMG-workspace-register-enterprise.md)
+ [Domande frequenti per utenti Marketplace AWS Enterprise](AMG-ws-mp-license-faq.md)

# Gestione dell'accesso ai plugin Amazon Managed Grafana Enterprise
<a name="AMG-workspace-manage-enterprise"></a>

**Per gestire l'accesso ai plugin Enterprise**

1. [Apri la console Amazon Managed Grafana in /grafana. https://console.aws.amazon.com](https://console.aws.amazon.com/grafana)

1. Nel riquadro di navigazione a sinistra, scegli l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

   Puoi vedere l'elenco delle aree di lavoro. Per ogni area di lavoro, le colonne della **licenza Enterprise** mostrano il tipo di licenza dell'area di lavoro (nessuna licenza) o la licenza dei plugin **Enterprise**.

1. Seleziona il nome dell'area di lavoro di cui desideri gestire la licenza. Si apre la pagina dei dettagli dell'area di lavoro per quell'area di lavoro.

1. Nel riepilogo, in **Enterprise License**, scegli **Gestisci** o **Esegui l'upgrade ad Amazon Managed Grafana Enterprise** (è disponibile solo un'opzione, in base allo stato attuale della licenza Enterprise).

   Si apre la pagina **Manage Amazon Managed Grafana Enterprise**. Puoi scegliere tra due opzioni. L'opzione attiva è contrassegnata con **(corrente)**.
   + **Nessuna**: questa è l'opzione per rimuovere o non avere una licenza Amazon Managed Grafana Enterprise. Se attualmente disponi di una licenza Enterprise, la selezione di questa opzione per il tuo spazio di lavoro rimuove immediatamente l'accesso ai plugin Enterprise al momento del salvataggio.
   + **Plugin aziendali**: ciò ti consente di installare qualsiasi plug-in Enterprise nel tuo spazio di lavoro, oltre a dare accesso ai servizi di consulenza e supporto [Grafana Labs](https://grafana.com). [L'installazione dei plug-in Enterprise nell'area di lavoro consente di accedere a fonti di dati aggiuntive.](AMG-data-sources-enterprise.md)

     La prima volta che scegli questa opzione, devi collegarlo Account AWS a un token di Grafana Labs e ti viene richiesto di farlo. Per ulteriori informazioni, consulta la sezione successiva [Collega il tuo account a Grafana Labs](AMG-workspace-register-enterprise.md).

     L'accesso al plug-in Amazon Managed Grafana Enterprise include le tariffe per gli utenti che si aggiungono ai prezzi di Amazon Managed Grafana. Per informazioni dettagliate sulle commissioni, consulta la pagina dei [prezzi di Amazon Managed Grafana](https://aws.amazon.com/grafana/pricing/).

1. Dopo aver effettuato la selezione, scegli **Salva** per continuare.

# Collega il tuo account a Grafana Labs
<a name="AMG-workspace-register-enterprise"></a>

Le aree di lavoro aggiornate ai plug-in Amazon Managed Grafana Enterprise hanno accesso al supporto e alla consulenza di Grafana Labs. Per accedere a questa funzione, Account AWS deve essere collegato a un token di account Grafana Labs. Registri il tuo account Grafana Labs nuovo o esistente con AWS quando [esegui l'upgrade a una](AMG-workspace-manage-enterprise.md) licenza Enterprise.

**Nota**  
Devi registrare il token del tuo account Grafana Labs solo una volta per regione. Se il tuo account era stato collegato in precedenza (ad esempio, quando aggiorni un'area di lavoro diversa nella regione per accedere ai plug-in Enterprise), non ti viene richiesto di collegarti nuovamente.

Il collegamento consiste nell'ottenere un token da un account Grafana Labs utilizzato in Amazon Managed Grafana per registrare l'account. Puoi creare un nuovo account presso Grafana Labs o utilizzarne uno esistente.

Ti consigliamo di copiare e salvare il tuo token Grafana Labs in una posizione sicura e comoda per utilizzi futuri.

**Per collegare il tuo account Grafana Labs**

1. Segui le istruzioni riportate [Gestione dell'accesso ai plugin Amazon Managed Grafana Enterprise](AMG-workspace-manage-enterprise.md) per aggiornare il tuo account con i plugin Access Enterprise. Ti viene richiesto di collegare il tuo account aggiungendo un token durante il processo di aggiornamento.

1. Se hai già un token, puoi inserirlo direttamente. Se non disponi di un token, seleziona **Ottieni il tuo token**. Verrà aperto il [sito Web di Grafana Labs](https://grafana.com/partners/amg/support) in una nuova scheda del browser.

   Dal sito Web di Grafana Labs, puoi accedere al tuo account Grafana Labs (o crearne uno nuovo), quindi ottenere un token.

1. Dopo aver copiato il token, torna alla scheda o alla finestra del browser Amazon Managed Grafana. Inserisci il token nella sezione **Grafana Labs** Token.

1. Ora puoi scegliere **Salva** per completare l'aggiornamento.

**Riutilizzo del token con altre aree di lavoro**

Se hai già registrato il tuo account Grafana Labs e ti viene richiesto un token Grafana Labs (ad esempio, quando aggiorni un'area di lavoro in un'altra regione), puoi utilizzare lo stesso token per registrarti ogni volta, in modo da non dover creare un nuovo account Grafana Labs. Se non hai salvato il token, potresti recuperarlo in uno dei seguenti modi:
+ **Puoi ottenere il token cercandolo nel tuo account Grafana Labs andando su [https://grafana.com/partners/amg/support](https://grafana.com/partners/amg/support) e selezionando Il mio account.**
+ Puoi ottenere il token da un'area di lavoro esistente e già collegata, utilizzando l'[DescribeWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DescribeWorkspace.html)API per recuperare il token.
+ Se il token non è più disponibile tramite uno di questi metodi, devi [contattare l'assistenza di Grafana Labs](https://grafana.com/contact).

# Domande frequenti per utenti Marketplace AWS Enterprise
<a name="AMG-ws-mp-license-faq"></a>

In precedenza, potresti aver acquistato una licenza per Grafana Enterprise tramite. Marketplace AWS Non è più possibile acquistare nuove licenze tramite Marketplace AWS, e non è possibile rinnovare alcuna licenza precedentemente acquistata tramite. Marketplace AWS Le seguenti domande frequenti possono esserti utili a seconda dello stato della tua Marketplace AWS licenza.

## Mi sono abbonato a una prova gratuita di 30 giorni da Marketplace AWS, ma non l'ho associata al mio spazio di lavoro. Posso applicarla adesso?
<a name="AMG-ws-mp-license-faq1"></a>

No. Le versioni di prova gratuite non sono più supportate in Amazon Managed Grafana.

## Ho acquistato una prova gratuita di 30 giorni da e Marketplace AWS l'ho già associata al mio spazio di lavoro. Cosa succederà alla mia versione di prova?
<a name="AMG-ws-mp-license-faq2"></a>

La tua prova gratuita continuerà fino alla scadenza. Se desideri eseguire l'upgrade e utilizzare i plugin Enterprise, puoi eseguire l'upgrade tramite la console Amazon Managed Grafana, come descritto nella sezione precedente.

## Ho una licenza Marketplace AWS a pagamento che non è ancora scaduta, ma voglio usare i plugin Amazon Managed Grafana managed Enterprise. Come posso farlo?
<a name="AMG-ws-mp-license-faq3"></a>

Finché disponi di una Marketplace AWS licenza corrente, puoi associare quella licenza solo alle tue aree di lavoro. Puoi eseguire l'upgrade nella console Amazon Managed Grafana solo dopo la scadenza della Marketplace AWS licenza (o dopo averla annullata tramite). Marketplace AWS

Le seguenti domande e risposte forniscono maggiori dettagli.

## Ho acquistato una licenza Grafana Enterprise completa da Marketplace AWS e l'ho associata a uno o più spazi di lavoro. Cosa succederà a quelli?
<a name="AMG-ws-mp-license-faq4"></a>

Alla scadenza della licenza (dopo 30 giorni, a meno che non sia attivato il rinnovo automatico), tutte le fonti di dati Enterprise utilizzate nell'area di lavoro smetteranno di funzionare. Se desideri continuare a utilizzare le fonti di dati Enterprise, puoi [eseguire l'upgrade per utilizzare i plug-in Enterprise](AMG-workspace-manage-enterprise.md) direttamente dalla console Amazon Managed Grafana.

## Sembra che ci saranno dei tempi di inattività associati alla scadenza della mia licenza, motivo per cui il mio spazio di lavoro non può accedere a nessun plug-in Enterprise. Come posso evitarlo?
<a name="AMG-ws-mp-license-faq5"></a>

Quando passerai alla nuova licenza Enterprise plugins, si verificheranno dei tempi di inattività associati alla scadenza della licenza. Tuttavia, è possibile ridurlo al minimo.

**Nota**  
I seguenti passaggi devono essere eseguiti con precisione per ridurre al minimo i tempi di inattività. Ti consigliamo di leggerli attentamente prima di iniziare.  
Per ottenere i nuovi [prezzi](https://aws.amazon.com/grafana/pricing), ti consigliamo di eseguire l'upgrade ai plug-in Amazon Managed Grafana Enterprise, anziché continuare a utilizzare la licenza. Marketplace AWS 

**Per passare dalla licenza Marketplace AWS Enterprise ai plug-in Amazon Managed Grafana Enterprise riducendo al minimo i tempi di inattività.**

1. Per prepararti, vai prima sul [sito web di Grafana Labs](https://grafana.com/partners/amg/support) e accedi al tuo account (o creane uno nuovo). Ottieni il tuo token Grafana Labs che utilizzerai più avanti nel processo.

   Per ulteriori dettagli su questa parte del processo, consulta. [Collega il tuo account a Grafana Labs](AMG-workspace-register-enterprise.md)

1. Accedi alla [Marketplace AWS console](https://console.aws.amazon.com/marketplace/) e scegli **Gestisci abbonamenti** dal menu a sinistra.

1. Trova l'abbonamento che desideri cambiare e scegli **Gestisci**. Verranno visualizzati i dettagli del tuo abbonamento.
**Nota**  
Questa pagina mostra la data di fine del servizio. Puoi attendere l'avvicinamento di tale data per continuare con questi passaggi, in modo da massimizzare l'utilizzo dell'abbonamento attuale prima di annullarlo.

1. **Scegli **Azioni** e seleziona Annulla abbonamento.**

   Questo annulla l'abbonamento in Marketplace AWS. Tuttavia, puoi continuare a utilizzare le fonti di dati Enterprise fino a quando Amazon Managed Grafana non rimuoverà automaticamente la licenza alla fine della giornata (ora locale del tuo spazio di lavoro).

   *Per ulteriori informazioni sull'annullamento degli abbonamenti in Marketplace AWS, consulta [Annullare l'abbonamento al prodotto nella Guida](https://docs.aws.amazon.com/marketplace/latest/buyerguide/cancel-subscription.html) all'acquisto.Marketplace AWS *

1. Dopo l'annullamento dell'abbonamento Marketplace AWS, annullalo in Amazon Managed Grafana:

   1. Accedi [alla console Amazon Managed Grafana](https://console.aws.amazon.com/grafana).

   1. Dal menu a sinistra, scegli **Tutti gli spazi di lavoro**.

   1. Scegli il nome dell'area di lavoro che stai cambiando.

   1. In base alla **licenza Enterprise**, scegli **Gestisci**.

   1. Scegli **Nessuno** e poi **Salva**. Ciò rimuoverà la Marketplace AWS licenza da Amazon Managed Grafana

   Quando la licenza Enterprise viene rimossa, non sarai più in grado di accedere ai plug-in Enterprise nel tuo spazio di lavoro.

1. Ora puoi eseguire l'upgrade nella console Amazon Managed Grafana. Segui le istruzioni nell'[Gestione dell'accesso ai plugin Amazon Managed Grafana Enterprise](AMG-workspace-manage-enterprise.md)argomento, utilizzando il token Grafana Labs che hai creato nel primo passaggio.

**Nota**  
Il tuo spazio di lavoro non è in grado di accedere alle fonti di dati Enterprise dal momento in cui annulli la licenza in Amazon Managed Grafana fino a quando esegui l'upgrade per accedere ai plugin Enterprise. In genere si tratta di circa 10-15 minuti, ma può richiedere più tempo, a seconda della velocità con cui riesci a eseguire questi passaggi. Assicurati di avere il token Grafana Labs pronto per ridurre al minimo questo tempo.

## Ho una Marketplace AWS licenza con rinnovo automatico. Continuerà così?
<a name="AMG-ws-mp-license-faq6"></a>

Sì. L' Marketplace AWS abbonamento è stato ritirato e non puoi rinnovarlo manualmente, ma se avevi impostato il rinnovo automatico, continuerà finché non lo disattivi. Quando lo fai, puoi effettuare l'aggiornamento seguendo le istruzioni nelle risposte precedenti.

Per ottenere i nuovi [prezzi](https://aws.amazon.com/grafana/pricing), ti consigliamo di eseguire l'upgrade ai plug-in Amazon Managed Grafana Enterprise, anziché continuare a utilizzare la licenza. Marketplace AWS 

## Ho una Marketplace AWS licenza che non ho ancora associato a un'area di lavoro, posso usarla?
<a name="AMG-ws-mp-license-faq7"></a>

Sì, puoi associare quella Marketplace AWS licenza e usarla fino alla scadenza. Ciò avverrà entro 30 giorni, a meno che tu non abbia attivato il rinnovo automatico. Per ulteriori informazioni, consulta le domande e le risposte precedenti.

# Esegui la migrazione dei contenuti tra le aree di lavoro Amazon Managed Grafana
<a name="AMG-workspace-content-migration"></a>

A volte potresti voler migrare i tuoi contenuti (tra cui fonti di dati, dashboard, cartelle e regole di avviso) da un'area di lavoro all'altra. Ad esempio, stai migrando da un'istanza Grafana locale a un'area di lavoro Amazon Managed Grafana e desideri migrare i tuoi contenuti esistenti nella nuova area di lavoro.

Amazon Managed Grafana non supporta direttamente la migrazione di contenuti tra aree di lavoro, tuttavia AWS fornisce un'utilità di migrazione open source in grado di gestire questo scenario fornendo funzionalità di esportazione e importazione all'interno di un workspace o di un'istanza Grafana. Questa utilità si chiama **Amazon Managed Grafana** Migrator.

Per ulteriori informazioni, consulta [Amazon Managed Grafana Migrator](https://github.com/aws-observability/amazon-managed-grafana-migrator) su. GitHub

# Gestisci l'accesso di utenti e gruppi alle aree di lavoro Amazon Managed Grafana
<a name="AMG-manage-users-and-groups-AMG"></a>

Accedi agli spazi di lavoro di Amazon Managed Grafana con utenti configurati nel tuo provider di identità (IdP) o. AWS IAM Identity Center Devi concedere agli utenti (o ai gruppi a cui appartengono) le autorizzazioni per accedere all'area di lavoro. Puoi concedere loro o `User` `Editor` `Admin` autorizzazioni.

## Concedere le autorizzazioni a un utente o a un gruppo
<a name="AMG-manage-users-and-groups-proc"></a>

**Prerequisiti**
+ Per concedere a un utente o a un gruppo di utenti l'accesso alle aree di lavoro Amazon Managed Grafana, l'utente o il gruppo deve prima essere fornito in un provider di identità (IdP) o in. AWS IAM Identity Center Per ulteriori informazioni, consulta [Autentica gli utenti nelle aree di lavoro Amazon Managed Grafana](authentication-in-AMG.md).
+ Per gestire l'accesso di utenti e gruppi, devi accedere come utente con la policy AWS Identity and Access Management (IAM) **AWSGrafanaWorkspacePermissionManagementV2** o autorizzazioni equivalenti. Se gestisci utenti con IAM Identity Center, devi disporre anche delle **AWSSSODirectoryReadOnly**policy **AWSSSOMemberAccountAdministrator**e IAM o di autorizzazioni equivalenti. Per ulteriori informazioni, consulta [Assegna e annulla l'assegnazione dell'accesso degli utenti ad Amazon Managed Grafana](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users).

**Per gestire l'accesso degli utenti a un'area di lavoro Grafana utilizzando la console Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione a sinistra, scegli l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro che desideri gestire.

1. Scegli la scheda **Autenticazione**.

1. Se utilizzi IAM Identity Center in questo spazio di lavoro, scegli **Configura utenti e gruppi di utenti** ed esegui una o più delle seguenti operazioni:
   + **Per consentire a un utente di accedere all'area di lavoro di Amazon Managed Grafana, seleziona la casella di controllo accanto all'utente e scegli Assegna utente.**
   + **Per rendere un utente parte dello spazio `Admin` di lavoro, scegli Rendi amministratore.**
   + Per rimuovere l'accesso allo spazio di lavoro per un utente, scegli **Annulla** assegnazione utente.
   + Per aggiungere gruppi di utenti come un gruppo LDAP, scegli la scheda Gruppi di utenti **assegnati**. Effettua quindi una delle seguenti operazioni: 
     + **Per consentire a tutti i membri di un gruppo di accedere all'area di lavoro di Amazon Managed Grafana, seleziona la casella di controllo accanto al gruppo e scegli Assegna gruppo.**
     + **Per assegnare a tutti i membri di un gruppo il `Admin` ruolo nell'area di lavoro, scegli Rendi amministratore.**
     + Per rimuovere l'accesso allo spazio di lavoro per tutti i membri di un gruppo, scegli **Annulla** assegnazione al gruppo.
**Nota**  
Se utilizzi IAM Identity Center per gestire gli utenti, utilizza la console IAM Identity Center solo per fornire nuovi utenti e gruppi. Usa la console Amazon Managed Grafana o concedi o APIs rimuovi l'accesso alle tue aree di lavoro Grafana.  
Se IAM Identity Center e Amazon Managed Grafana non sono sincronizzati, ti viene presentata un'opzione per **risolvere eventuali conflitti**. Per ulteriori informazioni, consulta la sezione [Errori di mancata corrispondenza delle autorizzazioni durante la configurazione di utenti e gruppi](#AMG-manage-users-and-groups-mismatch) seguente.

1. Se utilizzi SAML in questo spazio di lavoro, scegli la **configurazione SAML** ed esegui una o più delle seguenti operazioni:
   + Per il **metodo di importazione**, esegui una delle seguenti operazioni:
     + Scegli **URL** e inserisci l'URL dei metadati IdP.
     + Scegli **Carica o copia/incolla**. Se stai caricando i metadati, scegli **Scegli file e seleziona il file** di metadati. **Oppure, se utilizzi il copia e incolla, copia i metadati in Importa i metadati.**
   + Per il **ruolo dell'attributo Assertion**, inserisci il nome dell'attributo di asserzione SAML da cui estrarre le informazioni sul ruolo.
   + Per **i valori dei ruoli di amministratore**, inserisci i ruoli utente del tuo IdP a cui dovrebbe essere concesso il `Admin` ruolo nell'area di lavoro di Amazon Managed Grafana, oppure seleziona **Desidero disattivare l'assegnazione di amministratori al mio spazio di** lavoro.
**Nota**  
Se scegli, **voglio rinunciare all'assegnazione di amministratori al mio spazio di lavoro.** , non potrai utilizzare la console Amazon Managed Grafana per amministrare l'area di lavoro, incluse attività come la gestione delle fonti di dati, degli utenti e delle autorizzazioni del dashboard. Puoi apportare modifiche amministrative all'area di lavoro solo utilizzando Amazon Managed Grafana APIs.
   + (Facoltativo) Per inserire impostazioni SAML aggiuntive, scegli **Impostazioni aggiuntive** ed esegui una o più delle seguenti operazioni, quindi scegli **Salva** configurazione SAML. Tutti questi campi sono opzionali.
     + Per **il nome dell'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per l'utente nomi «descrittivi» completi per gli utenti SAML.
     + Per l'**accesso all'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi di accesso degli utenti SAML.
     + Per l'**e-mail dell'attributo Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare per i nomi e-mail degli utenti SAML.
     + Per la **durata della validità dell'accesso (in minuti)**, specifica per quanto tempo è valido l'accesso di un utente SAML prima che l'utente debba accedere nuovamente.
     + Per l'**organizzazione degli attributi Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per le organizzazioni di utenti.
     + Per i **gruppi di attributi Assertion**, specifica il nome dell'attributo all'interno dell'asserzione SAML da utilizzare come nome «descrittivo» per i gruppi di utenti.
     + Per **le organizzazioni consentite**, puoi limitare l'accesso degli utenti solo agli utenti che sono membri di determinate organizzazioni nell'IdP. Inserisci una o più organizzazioni da consentire, separandole con virgole.
     + Per **i valori del ruolo Editor**, inserisci i ruoli utente del tuo IdP a cui dovrebbe essere assegnato il `Editor` ruolo nell'area di lavoro di Amazon Managed Grafana. Inserisci uno o più ruoli, separati da virgole.

1. In alternativa, per aggiungere gruppi di utenti come un gruppo LDAP, scegli la scheda **Gruppo di utenti**. Effettua quindi una delle seguenti operazioni: 
   + **Per consentire a tutti i membri di un gruppo di accedere all'area di lavoro di Amazon Managed Grafana, seleziona la casella di controllo accanto al gruppo e scegli Assegna gruppo.**
   + **Per assegnare a tutti i membri di un gruppo il `Admin` ruolo nell'area di lavoro, scegli Rendi amministratore.**
   + Per rimuovere l'accesso allo spazio di lavoro per tutti i membri di un gruppo, scegli **Annulla** assegnazione al gruppo.

## Errori di mancata corrispondenza delle autorizzazioni durante la configurazione di utenti e gruppi
<a name="AMG-manage-users-and-groups-mismatch"></a>

Potresti riscontrare errori di mancata corrispondenza durante la configurazione di utenti e gruppi nella console Amazon Managed Grafana. Ciò indica che Amazon Managed Grafana e IAM Identity Center non sono sincronizzati. In questo caso, Amazon Managed Grafana visualizza un avviso e l'opzione **Risolvi** la mancata corrispondenza. Se scegli **Resolve**, Amazon Managed Grafana visualizza una finestra di dialogo con un elenco di utenti con autorizzazioni non sincronizzate.

Gli utenti che sono stati rimossi da IAM Identity Center vengono visualizzati come`Unknown user`, con un ID numerico nella finestra di dialogo. Per questi utenti, l'unico modo per correggere la mancata corrispondenza è scegliere **Resolve** e rimuovere le loro autorizzazioni.

Gli utenti che si trovano ancora in IAM Identity Center, ma che non appartengono più a un gruppo con i diritti di accesso di cui disponevano in precedenza, vengono visualizzati con il proprio nome utente nell'elenco **Resolve**. Esistono due modi per risolvere questo problema. Puoi utilizzare la finestra di dialogo **Risolvi** per rimuovere o ridurre il loro accesso oppure puoi concedere loro l'accesso seguendo le istruzioni nella sezione precedente.

## Domande frequenti sulla mancata corrispondenza delle autorizzazioni
<a name="AMG-manage-users-and-groups-mismatch-faq"></a>

**Perché visualizzo un errore che indica la mancata corrispondenza delle autorizzazioni nella sezione **Configura utenti e gruppi** della console Amazon Managed Grafana?**  
Stai visualizzando questo messaggio perché è stata identificata una mancata corrispondenza nelle associazioni di utenti e gruppi in IAM Identity Center e nelle autorizzazioni in Amazon Managed Grafana per il tuo spazio di lavoro. **Puoi aggiungere o rimuovere utenti al tuo spazio di lavoro Grafana dalla console Amazon Managed Grafana (nella scheda **Configure Users and Groups**) o dalla console IAM Identity Center (pagina Application assignments).** **Tuttavia, le autorizzazioni utente Grafana possono essere definite solo da Amazon Managed Grafana (utilizzando la console Amazon Managed Grafana o APIs), assegnando le autorizzazioni di **Viewer**, **Editor** o Admin all'utente o al gruppo.** Un utente può appartenere a più gruppi con autorizzazioni diverse, nel qual caso la sua autorizzazione si basa sul livello di accesso più elevato tra tutti i gruppi e le autorizzazioni a cui appartiene l'utente.

I record non corrispondenti possono derivare da:
+ Un utente o un gruppo viene eliminato da IAM Identity Center, ma non in Amazon Managed Grafana. Questi record vengono visualizzati come **utenti sconosciuti** nella console Amazon Managed Grafana.
+ L'associazione di un utente o di un gruppo con Grafana viene eliminata in IAM Identity Center (sotto **Application assignments**), ma non in Amazon Managed Grafana.
+ Le autorizzazioni degli utenti venivano precedentemente aggiornate direttamente dall'area di lavoro Grafana. Gli aggiornamenti dall'area di lavoro Grafana non sono supportati in Amazon Managed Grafana.

Per evitare queste discrepanze, usa la console Amazon Managed Grafana o Amazon Managed APIs Grafana per gestire le autorizzazioni di utenti e gruppi per il tuo spazio di lavoro.

**In precedenza ho aggiornato i livelli di accesso per alcuni membri del mio team dall'area di lavoro di Grafana. Ora vedo che i loro livelli di accesso sono tornati al livello di accesso precedente. Perché vedo questo problema e come posso risolverlo?**  
Ciò è probabilmente dovuto a una mancata corrispondenza identificata tra l'associazione di utenti e gruppi in IAM Identity Center e i record di autorizzazione Amazon Managed Grafana per il tuo spazio di lavoro. Se i membri del tuo team hanno livelli di accesso diversi, tu o un amministratore di Amazon Managed Grafana potreste aver risolto la mancata corrispondenza dalla console Amazon Managed Grafana, rimuovendo i record non corrispondenti. Puoi riassegnare i livelli di accesso richiesti dalla console Amazon Managed Grafana o APIs ripristinare le autorizzazioni desiderate.

**Nota**  
La gestione degli accessi degli utenti non è supportata dall'area di lavoro Grafana. Usa la console Amazon Managed Grafana o APIs per assegnare autorizzazioni a utenti o gruppi.

**Perché noto cambiamenti nei miei livelli di accesso? Ad esempio, in precedenza avevo l'accesso da amministratore, ma ora ho solo le autorizzazioni di modifica.**  
Un amministratore del tuo spazio di lavoro potrebbe aver modificato le tue autorizzazioni. Ciò può accadere inavvertitamente in caso di mancata corrispondenza tra le associazioni di utenti e gruppi in IAM Identity Center e le autorizzazioni in Amazon Managed Grafana. In questo caso, la risoluzione della mancata corrispondenza potrebbe aver rimosso le tue autorizzazioni di accesso più elevate. Puoi richiedere a un amministratore di riassegnare il livello di accesso richiesto dalla console Amazon Managed Grafana.

# Gestisci le autorizzazioni per le fonti di dati e i canali di notifica
<a name="AMG-datasource-and-notification"></a>

Il tuo spazio di lavoro Amazon Managed Grafana deve avere l'autorizzazione ad accedere alle fonti di AWS dati per le tue metriche e ai canali di notifica per i tuoi avvisi. Puoi utilizzare la console Amazon Managed Grafana per fare in modo che Amazon Managed Grafana crei automaticamente policy e autorizzazioni AWS Identity and Access Management (IAM) per le fonti di AWS dati e i canali di notifica che desideri utilizzare nell'area di lavoro Amazon Managed Grafana.

**Per gestire le autorizzazioni e le politiche per le fonti di dati e i canali di notifica**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione a sinistra, scegli l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro che desideri gestire.

1. Per passare dall'utilizzo delle autorizzazioni **gestite dal servizio** a quelle **gestite dal cliente**, scegli l'icona di modifica per il **ruolo IAM**, quindi effettua la selezione. Per ulteriori informazioni, consulta [Autorizzazioni e policy di Amazon Managed Grafana per le fonti di dati AWS](AMG-manage-permissions.md). 

   Se passi da Autorizzazioni **gestite dal servizio** a Autorizzazioni **gestite dal cliente**, i ruoli e le politiche che Amazon Managed Grafana ha creato per te non vengono eliminati nell'account corrente. Se utilizzavi le autorizzazioni **gestite dal servizio** per un'organizzazione, i ruoli e le politiche degli altri account dell'organizzazione vengono eliminati.

1. Scegli la scheda **Fonti dati**.

1. Se utilizzi le autorizzazioni **gestite dal servizio**, puoi scegliere **Modifica** accanto **alle impostazioni di accesso ai permessi IAM** per modificare se le autorizzazioni **gestite dal servizio** si applicano solo all'account corrente o a un'intera organizzazione. Per ulteriori informazioni, consulta [Autorizzazioni e policy di Amazon Managed Grafana per le fonti di dati AWS](AMG-manage-permissions.md).

   In **Origini dati**, seleziona le fonti di AWS dati su cui desideri interrogare in questo spazio di lavoro. La selezione delle fonti di dati consente ad Amazon Managed Grafana di creare i ruoli e le autorizzazioni IAM che consentono ad Amazon Managed Grafana di leggere i dati da queste fonti. È comunque necessario aggiungere le fonti di dati nella console dell'area di lavoro Grafana.

   Per gestire i AWS servizi che possono essere utilizzati come canali di notifica, scegli Canali di **notifica**.

   Seleziona il canale di AWS notifica che desideri utilizzare in questo spazio di lavoro. La selezione di un canale di notifica consente ad Amazon Managed Grafana di creare ruoli e autorizzazioni IAM che consentono ad Amazon Managed Grafana di utilizzare questi servizi. È comunque necessario aggiungere i canali di notifica nella console dell'area di lavoro Grafana.
**Nota**  
Per ulteriori informazioni sull'utilizzo delle notifiche, consulta. [Gestisci le notifiche di avviso](v9-alerting-managenotifications.md)

# Creazione di risorse Amazon Managed Grafana con AWS CloudFormation
<a name="creating-resources-with-cloudformation"></a>

Amazon Managed Grafana è integrato con AWS CloudFormation un servizio che ti aiuta a modellare e configurare AWS le tue risorse in modo da dedicare meno tempo alla creazione e alla gestione delle risorse e dell'infrastruttura. Crei un modello che descrive tutte le AWS risorse che desideri (come le aree di lavoro) e fornisce e CloudFormation configura tali risorse per te.

Quando lo usi CloudFormation, puoi riutilizzare il modello per configurare le risorse Amazon Managed Grafana in modo coerente e ripetuto. Descrivi le tue risorse una sola volta, quindi fornisci le stesse risorse più e più volte in più regioni Account AWS . 

## Grafana gestita da Amazon e modelli CloudFormation
<a name="working-with-templates"></a>

[Per fornire e configurare le risorse per Amazon Managed Grafana e i servizi correlati, devi conoscere CloudFormation i modelli.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html) I modelli sono file di testo formattati in JSON o YAML. Questi modelli descrivono le risorse che desideri fornire nei tuoi CloudFormation stack. Se non conosci JSON o YAML, puoi usare CloudFormation Designer per iniziare a usare i modelli. CloudFormation [Per ulteriori informazioni, consulta Cos'è Designer? CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) nella *Guida AWS CloudFormation per l'utente*.

Amazon Managed Grafana supporta la creazione di aree di lavoro in. CloudFormation*Per ulteriori informazioni, inclusi esempi di modelli JSON e YAML per aree di lavoro, consulta il riferimento al [tipo di risorsa Amazon Managed Grafana](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-grafana-workspace.html) nella Guida per l'utente.AWS CloudFormation *

## Scopri di più su CloudFormation
<a name="learn-more-cloudformation"></a>

Per ulteriori informazioni CloudFormation, consulta le seguenti risorse:
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Guida per l'utente](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation Documentazione di riferimento delle API](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation Guida per l'utente dell'interfaccia a riga di comando](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# Configura l'accesso di rete al tuo spazio di lavoro Amazon Managed Grafana
<a name="AMG-configure-nac"></a>

Puoi controllare in che modo utenti e host accedono alle tue aree di lavoro Grafana.

Grafana richiede che tutti gli utenti siano autenticati e autorizzati. Tuttavia, per impostazione predefinita, le aree di lavoro Amazon Managed Grafana sono aperte a tutto il traffico di rete. Puoi configurare il controllo dell'accesso alla rete per un'area di lavoro, per controllare a quale traffico di rete è consentito raggiungerla.

È possibile controllare il traffico verso l'area di lavoro in due modi.
+ **Indirizzi IP** (elenchi di prefissi): puoi creare un [elenco di prefissi gestito](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html) con intervalli IP a cui è consentito accedere alle aree di lavoro. Amazon Managed Grafana supporta solo IPv4 indirizzi pubblici per il controllo degli accessi alla rete.
+ Endpoint **VPC: puoi creare un elenco di endpoint** VPC per le tue aree di lavoro a cui è consentito accedere a uno spazio di lavoro specifico.

Quando configuri il controllo dell'accesso alla rete, devi includere almeno un elenco di prefissi o un endpoint VPC.

Amazon Managed Grafana utilizza gli elenchi di prefissi e gli endpoint VPC per decidere quali richieste all'area di lavoro Grafana possono connettersi. Il diagramma seguente mostra questo filtraggio.

![\[Un'immagine che mostra il controllo dell'accesso alla rete Amazon Managed Grafana che consente alcune richieste e blocca altre che cercano di accedere a uno spazio di lavoro Amazon Managed Grafana.\]](http://docs.aws.amazon.com/it_it/grafana/latest/userguide/images/grafana-nac.png)


La configurazione del controllo dell'accesso alla rete (**1**) per un'area di lavoro Amazon Managed Grafana specifica a quali richieste deve essere consentito l'accesso all'area di lavoro. **Il controllo dell'accesso alla rete può consentire o bloccare il traffico in base all'indirizzo IP (**2**) o all'endpoint di interfaccia utilizzato (3).**

La sezione seguente descrive come configurare il controllo dell'accesso alla rete.

## Configurazione del controllo dell'accesso alla rete
<a name="AMG-nac-how-to"></a>

È possibile aggiungere il controllo dell'accesso alla rete a un'area di lavoro esistente o configurarla come parte della creazione iniziale dell'area di lavoro.

**Prerequisiti**

Per configurare il controllo dell'accesso alla rete, devi prima creare un endpoint VPC di interfaccia per le tue aree di lavoro o almeno un elenco di prefissi IP per gli indirizzi IP che desideri consentire. Puoi anche creare entrambi o più di uno di entrambi.
+ **Endpoint VPC: puoi creare un endpoint** VPC di interfaccia che dia accesso a tutte le tue aree di lavoro. Dopo aver creato l'endpoint, è necessario l'ID endpoint VPC per ogni endpoint che desideri consentire. Gli endpoint VPC IDs hanno il formato. `vpce-1a2b3c4d`

  Per informazioni sulla creazione di un endpoint VPC per le aree di lavoro Grafana, consulta. [Endpoint VPC di interfaccia](VPC-endpoints.md) Per creare un endpoint VPC specifico per le tue aree di lavoro, usa il nome dell'endpoint. `com.amazonaws.region.grafana-workspace`

  Per gli endpoint VPC a cui concedi l'accesso al tuo spazio di lavoro, puoi limitarne ulteriormente l'accesso configurando i gruppi di sicurezza per gli endpoint. Per ulteriori informazioni, consulta [Associare gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups) [e Regole dei gruppi](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) di sicurezza nella documentazione di *Amazon VPC*.
+ **Elenco di prefissi gestito** (per intervalli di indirizzi IP): per consentire gli indirizzi IP, devi creare uno o più elenchi di prefissi in Amazon VPC con l'elenco degli intervalli IP da consentire. Esistono alcune limitazioni per gli elenchi di prefissi utilizzati per Amazon Managed Grafana:
  + Ogni elenco di prefissi può contenere fino a 100 intervalli di indirizzi IP.
  + Gli intervalli di indirizzi IP privati (ad esempio, `10.0.0.0/16` vengono ignorati). Puoi includere intervalli di indirizzi IP privati in un elenco di prefissi, ma Amazon Managed Grafana li ignora quando filtra il traffico verso l'area di lavoro. Per consentire a tali host di raggiungere lo spazio di lavoro, crea un endpoint VPC per i tuoi spazi di lavoro e consenti loro l'accesso.
  + Amazon Managed Grafana supporta solo IPv4 gli indirizzi negli elenchi di prefissi, non. IPv6 IPv6 gli indirizzi vengono ignorati.

  Puoi creare elenchi di prefissi gestiti tramite la console [Amazon VPC](https://console.aws.amazon.com/vpc/home?#ManagedPrefixLists). Dopo aver creato gli elenchi di prefissi, è necessario l'ID dell'elenco di prefissi per ogni elenco che desideri consentire in Amazon Managed Grafana. L'elenco IDs dei prefissi ha il formato. `pl-1a2b3c4d`

  Per ulteriori informazioni sulla creazione di elenchi di prefissi, consulta [Raggruppa blocchi CIDR utilizzando elenchi di prefissi gestiti](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) nella *Amazon Virtual Private Cloud* User Guide.
+ Devi disporre delle autorizzazioni necessarie per configurare o creare un'area di lavoro Amazon Managed Grafana. Ad esempio, puoi utilizzare la policy AWS gestita,. `AWSGrafanaAccountAdministrator`

Dopo aver ottenuto l'elenco degli elenchi IDs di prefissi o degli endpoint VPC a cui desideri consentire l'accesso al tuo spazio di lavoro, sei pronto per creare la configurazione del controllo dell'accesso alla rete.

**Nota**  
Se abiliti il controllo dell'accesso alla rete, ma non aggiungi un elenco di prefissi alla configurazione, non è consentito l'accesso al tuo spazio di lavoro, tranne che tramite gli endpoint VPC consentiti.  
Allo stesso modo, se abiliti il controllo dell'accesso alla rete, ma non aggiungi un endpoint VPC alla configurazione, non è consentito l'accesso all'area di lavoro, tranne tramite gli indirizzi IP consentiti.  
Devi includere almeno un elenco di prefissi o un endpoint VPC nella configurazione del controllo dell'accesso alla rete, altrimenti non sarai in grado di accedere al tuo spazio di lavoro da nessuna parte.

**Per configurare il controllo dell'accesso alla rete per un'area di lavoro**

1. Apri la console [Amazon Managed Grafana](https://console.aws.amazon.com/grafana/home/).

1. Nel riquadro di navigazione a sinistra, scegli **Tutte le aree di lavoro**.

1. Seleziona il nome dell'area di lavoro in cui desideri configurare il controllo dell'accesso alla rete.

1. Nella scheda **Controllo dell'accesso alla rete, in Controllo** dell'**accesso alla rete**, scegli **Accesso limitato** per configurare il controllo dell'accesso alla rete.
**Nota**  
Puoi accedere a queste stesse opzioni durante la creazione di un'area di lavoro.

1. Dal menu a discesa, seleziona se aggiungere un **elenco di prefissi** o un endpoint **VPC**.

1. Seleziona l'endpoint VPC o l'ID dell'elenco di prefissi che desideri aggiungere (in alternativa, puoi digitare l'ID che desideri utilizzare. Devi sceglierne almeno uno.

1. Per aggiungere altri endpoint o elenchi, seleziona **Aggiungi nuova risorsa** per ognuno di quelli che desideri aggiungere.
**Nota**  
Puoi aggiungere fino a 5 elenchi di prefissi e 5 endpoint VPC.

1. Scegli **Salva modifiche** per completare la configurazione.

**avvertimento**  
Se hai già utenti del tuo spazio di lavoro, includi i loro intervalli IP o gli endpoint VPC nella configurazione, altrimenti perderanno l'accesso con un errore. `403 Forbidden` Si consiglia di testare i punti di accesso esistenti dopo aver impostato o modificato la configurazione del controllo dell'accesso alla rete.

# Crittografia dei dati a riposo
<a name="AMG-encryption-at-rest"></a>

Per impostazione predefinita, Amazon Managed Grafana fornisce automaticamente la crittografia a riposo e lo fa utilizzando chiavi di crittografia AWS proprietarie.
+ **AWS chiavi possedute**: Amazon Managed Grafana utilizza queste chiavi per crittografare automaticamente i dati del tuo spazio di lavoro. Non puoi visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta [AWS-owned keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *AWS KMS Developer Guide*.

La crittografia dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili dei clienti, come le informazioni di identificazione personale. Consente di creare applicazioni ad alto livello di sicurezza che rispettano rigorosi requisiti normativi e di conformità per la crittografia.

In alternativa, puoi scegliere di utilizzare una chiave gestita dal cliente quando crei il tuo spazio di lavoro:
+ **Chiavi gestite dal cliente**: Amazon Managed Grafana supporta l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per crittografare i dati nel tuo spazio di lavoro. Poiché hai il pieno controllo di questo tipo di crittografia, puoi eseguire attività come:
  + Stabilire e mantenere le policy delle chiavi
  + Stabilire e mantenere le policy e le sovvenzioni IAM
  + Abilitare e disabilitare le policy delle chiavi
  + Ruotare i materiali crittografici delle chiavi
  + Aggiungere tag
  + Creare alias delle chiavi
  + Pianificare l’eliminazione delle chiavi

[Per ulteriori informazioni, consulta [Customer Managed Keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *AWS KMS Developer* Guide e What is? AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)

Scegliete se utilizzare con attenzione le chiavi gestite dal cliente o le chiavi AWS di proprietà. Le aree di lavoro create con chiavi gestite dal cliente non possono essere convertite per utilizzare chiavi AWS di proprietà in un secondo momento (e viceversa).

**Nota**  
Amazon Managed Grafana abilita automaticamente la crittografia a riposo utilizzando chiavi AWS di proprietà per proteggere i dati senza alcun costo.
Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS KMS](https://aws.amazon.com/kms/pricing/).

**Importante**  
Se disabiliti la chiave gestita dal cliente o rimuovi l'accesso ad Amazon Managed Grafana nella policy chiave, il tuo spazio di lavoro diventerà inaccessibile. L'area di lavoro rimarrà in uno `ACTIVE` stato ma non sarà funzionalmente disponibile. Hai 7 giorni per ripristinare l'accesso riattivando la chiave o ripristinando la policy chiave. Dopo 7 giorni, l'area di lavoro passerà a uno `FAILED` stato e potrà solo essere eliminata.
La pianificazione dell'eliminazione di una chiave AWS KMS prevede un periodo di attesa minimo di 7 giorni prima che la chiave venga eliminata. Una volta eliminata, una chiave non può essere ripristinata e qualsiasi area di lavoro crittografata con tale chiave perderà definitivamente l'accesso ai dati.
La crittografia a chiave gestita dal cliente è disponibile solo durante la creazione di nuove aree di lavoro. Le aree di lavoro esistenti non possono essere convertite per utilizzare chiavi gestite dal cliente.
Non è possibile modificare la chiave gestita dal cliente di un workspace dopo la creazione.

## In che modo Amazon Managed Grafana utilizza le sovvenzioni in AWS KMS
<a name="AMG-encryption-grants"></a>

Amazon Managed Grafana richiede sovvenzioni per utilizzare la chiave gestita dai clienti.

Quando crei un'area di lavoro Amazon Managed Grafana crittografata con una chiave gestita dal cliente, Amazon Managed Grafana crea sovvenzioni per tuo conto inviando richieste a. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Managed Grafana di accedere alla chiave KMS del tuo account, anche quando non viene richiesto direttamente per tuo conto (ad esempio, quando archivia i dati della dashboard o le configurazioni utente).

Amazon Managed Grafana richiede le sovvenzioni per utilizzare la chiave gestita dai clienti per le seguenti operazioni interne:
+ Invia [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richieste per AWS KMS creare sovvenzioni aggiuntive, se necessario.
+ Invia [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)richieste AWS KMS a per verificare che la chiave KMS simmetrica gestita dal cliente fornita durante la creazione di uno spazio di lavoro sia valida.
+ Invia [ReEncryptTo e ReEncryptFrom richiedi](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) a per ricrittografare AWS KMS i dati quando ti sposti tra diversi contesti di crittografia.
+ Invia richieste [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) a per crittografare AWS KMS i dati direttamente con la chiave gestita dal cliente.
+ Invia le richieste [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a AWS KMS per decrittografare le chiavi dei dati crittografate in modo che possano essere utilizzate per crittografare i dati.
+ Invia [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)richieste per AWS KMS generare chiavi dati crittografate dalla chiave gestita dal cliente.
+ Invia [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)richieste per AWS KMS generare chiavi dati crittografate senza restituire la versione in testo semplice.
+ Invia [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)richieste AWS KMS a borse di studio pensionistiche che non sono più necessarie.

Amazon Managed Grafana crea sovvenzioni alla AWS KMS chiave che consentono ad Amazon Managed Grafana di utilizzare la chiave per tuo conto. Puoi rimuovere l'accesso alla chiave modificando la policy della chiave, disabilitando la chiave o revocando la concessione. È necessario comprendere le conseguenze di queste azioni prima di eseguirle. Ciò può causare la perdita di dati nell'area di lavoro.

Se rimuovi in qualche modo l'accesso a una qualsiasi delle sovvenzioni, Amazon Managed Grafana non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, né di archiviare nuovi dati inviati all'area di lavoro, il che influirà sulle operazioni che dipendono da tali dati. I nuovi aggiornamenti dell'area di lavoro non saranno accessibili e potrebbero andare persi definitivamente.

**avvertimento**  
Se disabiliti la chiave o rimuovi l'accesso ad Amazon Managed Grafana nella policy chiave, i dati dell'area di lavoro non sono più accessibili. L'area di lavoro rimarrà in uno `ACTIVE` stato ma non sarà funzionalmente disponibile. I nuovi aggiornamenti inviati all'area di lavoro non saranno accessibili e potrebbero andare persi definitivamente. Puoi ripristinare l'accesso ai dati dell'area di lavoro e riprendere a ricevere nuovi dati riattivando la chiave o ripristinando l'accesso di Amazon Managed Grafana alla chiave entro 7 giorni. Dopo 7 giorni senza accesso, l'area di lavoro passerà a uno stato. `FAILED`
Se pianifichi l'eliminazione della chiave AWS KMS, la chiave verrà eliminata dopo il periodo di attesa obbligatorio di 7 giorni. Una volta eliminata, la chiave non può essere ripristinata e i dati dell'area di lavoro saranno permanentemente inaccessibili.
Se *revochi* una concessione, questa non può essere ricreata e i dati nell'area di lavoro vengono persi definitivamente.
Amazon Managed Grafana crea ulteriori borse di studio per bambini tramite Amazon RDS grazie alla sua dipendenza da RDS per l'archiviazione dei dati. La revoca di queste sovvenzioni relative a RDS avrà lo stesso effetto permanente sulla perdita di dati della revoca delle sovvenzioni Grafana primarie.

## Fase 1: creare una chiave gestita dal cliente
<a name="AMG-encryption-create-key"></a>

È possibile creare una chiave simmetrica gestita dal cliente utilizzando la console di gestione o il. AWS AWS KMS APIs La chiave deve trovarsi nella stessa regione dell'area di lavoro Amazon Managed Grafana e deve essere una chiave simmetrica con utilizzo delle chiavi. `ENCRYPT_DECRYPT`

**Per creare una chiave simmetrica gestita dal cliente**
+ Segui la procedura riportata in [Creazione di una chiave simmetrica gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS KMS *.

Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestione dell'accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) nella *Guida per gli sviluppatori di AWS KMS *.

Per utilizzare la chiave gestita dal cliente con le aree di lavoro Amazon Managed Grafana, le seguenti operazioni API devono essere consentite nella politica chiave:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una chiave KMS specificata, che consente l'accesso alle operazioni di [concessione richieste da Amazon Managed](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Grafana. Per ulteriori informazioni sulle autorizzazioni, consulta [Utilizzo delle concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella *Guida per gli sviluppatori di AWS KMS *. Ciò consente ad Amazon Managed Grafana di effettuare le seguenti operazioni:
  + Chiama `GenerateDataKey` per generare una chiave dati crittografata e archiviarla.
  + Chiama `Decrypt` per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Managed Grafana di convalidare la chiave.

Di seguito sono riportati alcuni esempi di policy che puoi aggiungere per Amazon Managed Grafana:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow IAM Users and Roles to validate KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "Allow IAM Users and Roles to create grant on KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": "kms:CreateGrant",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ],
          "kms:GrantConstraintType": "EncryptionContextSubset"
        },
        "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
            "CreateGrant",
            "RetireGrant",
            "Decrypt",
            "Encrypt",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
          ]
        }
      }
    }
  ]
}
```
+ Per ulteriori informazioni sulla specificazione delle autorizzazioni in una policy, consulta la [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/) Developer Guide.
+ Per ulteriori informazioni sulla risoluzione dei problemi di accesso tramite chiave, consulta la [AWS Key Management Service Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/).

## Fase 2: Specificazione di una chiave gestita dal cliente per Amazon Managed Grafana
<a name="AMG-encryption-specify-key"></a>

Quando crei un'area di lavoro, puoi specificare la chiave gestita dal cliente inserendo un KMS Key ARN, che Amazon Managed Grafana utilizza per crittografare i dati archiviati dall'area di lavoro.

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)

1. Scegli **Crea area di lavoro**.

1. Nella sezione **Crittografia**, seleziona **Chiave gestita dal cliente**.

1. Inserisci l'ARN della tua chiave gestita dal cliente nel campo KMS **Key ARN**.

1. **Completa la configurazione dell'area di lavoro rimanente e scegli Crea area di lavoro.**

È possibile specificare una chiave gestita dal cliente durante la creazione di un'area di lavoro utilizzando il `--kms-key-id` parametro:

```
aws grafana create-workspace \
    --workspace-name "my-encrypted-workspace" \
    --workspace-description "Workspace with customer managed encryption" \
    --account-access-type "CURRENT_ACCOUNT" \
    --authentication-providers "AWS_SSO" \
    --permission-type "SERVICE_MANAGED" \
    --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
```

## Monitoraggio delle chiavi di crittografia per Amazon Managed Grafana
<a name="AMG-encryption-monitoring"></a>

Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue aree di lavoro Amazon Managed Grafana, puoi utilizzare AWS CloudTrail Amazon CloudWatch Logs per tracciare le richieste inviate da Amazon Managed Grafana. AWS KMS

Gli esempi seguenti sono AWS CloudTrail eventi per `CreateGrant` `DescribeKey``GenerateDataKey`, e per `Decrypt` monitorare le operazioni KMS chiamate da Amazon Managed Grafana per accedere ai dati crittografati dalla chiave gestita dal cliente:

Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare il tuo spazio di lavoro, Amazon Managed Grafana invia `CreateGrant` richieste per tuo conto per accedere alla chiave KMS specificata. Le sovvenzioni create da Amazon Managed Grafana sono specifiche per la risorsa associata alla chiave gestita AWS KMS dal cliente.

L'evento di esempio seguente registra l'operazione `CreateGrant`:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana utilizza l'`DescribeKey`operazione per verificare se la chiave gestita dal AWS KMS cliente associata al tuo spazio di lavoro esiste nell'account e nella regione.

L’evento di esempio seguente registra l’operazione `DescribeKey`:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana utilizza l'`GenerateDataKey`operazione per generare chiavi dati utilizzate per crittografare i dati dell'area di lavoro.

L’evento di esempio seguente registra l’operazione `GenerateDataKey`:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana utilizza l'`Decrypt`operazione per decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per decrittografare i dati dell'area di lavoro.

L’evento di esempio seguente registra l’operazione `Decrypt`:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

## Ulteriori informazioni
<a name="AMG-encryption-learn-more"></a>

Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.
+ [Per ulteriori informazioni sui concetti di AWS KMS base, consulta la Guida per gli sviluppatori.AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/)
+ Per ulteriori informazioni sulle migliori pratiche di sicurezza per AWS KMS, consulta la [Guida per gli AWS KMS sviluppatori](https://docs.aws.amazon.com/kms/latest/developerguide/).

# Connettiti a fonti di dati o canali di notifica in Amazon VPC da Amazon Managed Grafana
<a name="AMG-configure-vpc"></a>

Per impostazione predefinita, il traffico dall'area di lavoro Amazon Managed Grafana alle sorgenti di dati o ai canali di notifica fluisce tramite la rete Internet pubblica. Ciò limita la connettività dal tuo spazio di lavoro Amazon Managed Grafana ai servizi accessibili al pubblico.

**Nota**  
Quando non hai configurato un VPC privato e Amazon Managed Grafana si connette a fonti di dati accessibili al pubblico, si connette ad alcuni AWS servizi nella stessa regione tramite. AWS PrivateLink Ciò include servizi come CloudWatch Amazon Managed Service for Prometheus e. AWS X-Ray Il traffico verso tali servizi non fluisce attraverso la rete Internet pubblica.

Se desideri connetterti a fonti di dati private che si trovano all'interno di un VPC o mantenere il traffico locale verso un VPC, puoi connettere il tuo spazio di lavoro Amazon Managed Grafana all'Amazon Virtual Private Cloud (Amazon VPC) che ospita queste fonti di dati. Dopo aver configurato la connessione alla sorgente dati VPC, tutto il traffico fluisce tramite il tuo VPC.

Un *cloud privato virtuale* (VPC) è una rete virtuale dedicata al tuo. Account AWSÈ logicamente isolato da altre reti virtuali, inclusa la rete VPCs Internet pubblica. Usa Amazon VPC per creare e gestire i tuoi VPCs ambienti. Cloud AWS Amazon VPC ti offre il pieno controllo del tuo ambiente di rete virtuale, inclusi posizionamento delle risorse, connettività e sicurezza. Le fonti di dati Amazon Managed Grafana e altre risorse possono essere create nel tuo VPC. Per ulteriori informazioni su Amazon VPC, consulta [Cos'è Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)? nella *Guida per l'utente di Amazon Virtual Private Cloud*.

**Nota**  
Se desideri che il tuo spazio di lavoro Amazon Managed Grafana si connetta a dati esterni al VPC, in un'altra rete o in una rete Internet pubblica, devi aggiungere il routing all'altra rete. Per informazioni su come connettere il tuo VPC a un'altra rete, consulta [Connect your VPC ad altre reti](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) nella *Amazon Virtual Private* Cloud User Guide.

## Come funziona la connettività VPC
<a name="AMG-VPC-how-it-works"></a>

[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ti offre il controllo completo sul tuo ambiente di rete virtuale, inclusa la creazione di *sottoreti* pubbliche e private per la connessione dell'applicazione e di *gruppi di sicurezza per gestire quali servizi o risorse hanno accesso* alle sottoreti.

Per utilizzare Amazon Managed Grafana con risorse in un VPC, devi creare una connessione a quel VPC per l'area di lavoro Amazon Managed Grafana. Dopo aver configurato la connessione, Amazon Managed Grafana connette il tuo spazio di lavoro a ciascuna sottorete fornita in ogni zona di disponibilità di quel VPC e tutto il traffico da o verso l'area di lavoro Amazon Managed Grafana fluisce attraverso il VPC. Il diagramma seguente mostra l'aspetto logico di questa connettività.

![\[Un'immagine che mostra Amazon Managed Grafana che si connette a un VPC su più zone di disponibilità.\]](http://docs.aws.amazon.com/it_it/grafana/latest/userguide/images/grafana-vpc-connection.png)


**Amazon Managed Grafana crea una connessione (**1**) per sottorete (utilizzando un'[interfaccia di rete elastica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) o ENI) per connettersi al VPC (2).** La connessione VPC Amazon Managed Grafana è associata a un set di gruppi di sicurezza (**3**) che controllano il traffico tra il VPC e il tuo spazio di lavoro Amazon Managed Grafana. Tutto il traffico viene instradato attraverso il VPC configurato, inclusa la destinazione degli avvisi e la connettività dell'origine dati. Per connetterti a fonti di dati e inviare avvisi alle destinazioni su un altro sito Internet VPCs o su Internet pubblico (**4**), crea un [gateway](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**) tra l'altra rete e il tuo VPC.

## Creare una connessione a un VPC
<a name="AMG-to-create-vpc-connection"></a>

Questa sezione descrive i passaggi per connettersi a un VPC dal tuo spazio di lavoro Amazon Managed Grafana esistente. Puoi seguire queste stesse istruzioni durante la creazione del tuo spazio di lavoro. Per ulteriori informazioni sulla creazione di un'area di lavoro, consulta. [Crea uno spazio di lavoro Amazon Managed Grafana](AMG-create-workspace.md)

### Prerequisiti
<a name="config-vpc-prereqs"></a>

Di seguito sono riportati i prerequisiti per stabilire una connessione a un VPC da un'area di lavoro Amazon Managed Grafana esistente.
+ Devi disporre delle autorizzazioni necessarie per configurare o creare un'area di lavoro Amazon Managed Grafana. Ad esempio, puoi utilizzare la policy AWS gestita,. `AWSGrafanaAccountAdministrator`
+ È necessario disporre di una configurazione VPC nel proprio account con almeno due zone di disponibilità configurate, con una *sottorete privata* configurata per ciascuna. È necessario conoscere le informazioni sulla sottorete e sul gruppo di sicurezza per il VPC.
**Nota**  
[Local Zones](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html) e [Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html) Zones non sono supportate.  
[VPCsconfigurate](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) con `Tenancy` set to non `Dedicated` sono supportate.
**Importante**  
In ogni sottorete connessa al tuo spazio di lavoro Amazon Managed Grafana devono essere presenti almeno 15 indirizzi IP disponibili. Ti consigliamo vivamente di configurare gli allarmi per [monitorare l'utilizzo dell'IP nelle sottoreti](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html) VPC. Se il numero di indirizzi IP disponibili per una sottorete scende al di sotto di 15, potrebbero verificarsi i seguenti problemi:  
Impossibilità di apportare modifiche alla configurazione dell'area di lavoro finché non si liberano indirizzi IP aggiuntivi o si collegano sottoreti con indirizzi IP aggiuntivi
L'area di lavoro non sarà in grado di ricevere aggiornamenti o patch di sicurezza
In rari scenari, si potrebbe verificare una perdita totale della disponibilità dell'area di lavoro, con conseguenti avvisi non funzionanti e dashboard inaccessibili
+ Se stai connettendo un'area di lavoro Amazon Managed Grafana esistente con origini dati configurate, ti consigliamo di configurare il tuo VPC per connettersi a tali fonti di dati prima di connettere Amazon Managed Grafana al VPC. Ciò include servizi come CloudWatch quelli collegati tramite. AWS PrivateLink In caso contrario, la connettività a tali fonti di dati viene persa.
+ Se il tuo VPC dispone già di più gateway verso altre reti, potrebbe essere necessario configurare la risoluzione DNS su più gateway. Per ulteriori informazioni, vedere [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html).

### Connessione a un VPC da un'area di lavoro Amazon Managed Grafana esistente
<a name="config-vpc-use"></a>

La procedura seguente descrive l'aggiunta di una connessione a una sorgente dati Amazon VPC a un'area di lavoro Amazon Managed Grafana esistente.

**Nota**  
Quando configuri la connessione ad Amazon VPC, viene creato un ruolo IAM. Con questo ruolo, Amazon Managed Grafana può creare connessioni al VPC. Il ruolo IAM utilizza la policy relativa ai ruoli collegati ai servizi,. `AmazonGrafanaServiceLinkedRolePolicy` Per ulteriori informazioni sui ruoli collegati ai servizi, consulta. [Autorizzazioni di ruolo collegate ai servizi per Amazon Managed Grafana](using-service-linked-roles.md#slr-permissions)

**Per connettersi a un VPC da un'area di lavoro Amazon Managed Grafana esistente**

1. Apri la console [Amazon Managed Grafana](https://console.aws.amazon.com/grafana/home/).

1. Nel riquadro di navigazione a sinistra, scegli **Tutte le aree di lavoro**.

1. Seleziona il nome dell'area di lavoro a cui desideri aggiungere una connessione all'origine dati VPC.

1. Nella scheda **Impostazioni di accesso alla rete**, accanto a Connessione **VPC in uscita**, **scegli** Modifica per creare la tua connessione VPC.

1. Scegli il **VPC** che desideri connettere.

1. In **Mappature**, seleziona le zone di disponibilità che desideri utilizzare. Devi sceglierne almeno due.

1. Seleziona almeno una *sottorete privata* in ogni zona di disponibilità. Le sottoreti devono supportare. IPv4

1. Seleziona almeno un **gruppo di sicurezza** per il tuo VPC. Puoi specificare fino a 5 gruppi di sicurezza. In alternativa, è possibile creare un gruppo di sicurezza da applicare a questa connessione.

1. Scegli **Salva modifiche** per completare la configurazione.

Ora che hai configurato la connessione VPC, puoi aggiungere l'[Connessione alle origini dati](AMG-data-sources.md)accesso da quel VPC al tuo spazio di lavoro Amazon Managed Grafana.

**Modifica delle impostazioni del VPC in uscita**

Per modificare le impostazioni, puoi tornare alla scheda **Impostazioni di accesso alla rete** della configurazione dell'area di lavoro oppure puoi utilizzare l'API. [UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html)

**Importante**  
Amazon Managed Grafana gestisce la configurazione VPC per te. Non modificare queste impostazioni VPC utilizzando la console Amazon EC2, APIs altrimenti le impostazioni non saranno sincronizzate.

# Risoluzione dei problemi relativi all'utilizzo di VPC con Amazon Managed Grafana
<a name="AMG-configure-vpc-faq"></a>

Risposte alle domande più comuni sull'uso di Amazon Virtual Private Cloud (Amazon VPC) con Amazon Managed Grafana.

## Quando devo configurare un VPC in Amazon Managed Grafana?
<a name="vpc-faq-when-to-configure-vpc"></a>

Devi configurare un VPC in Amazon Managed Grafana se stai tentando di connetterti a una fonte di dati disponibile solo in un VPC privato (che non è accessibile pubblicamente).

Per le fonti di dati che sono disponibili pubblicamente o che dispongono di un endpoint rivolto al pubblico, non è necessario configurare un VPC.

Se ti connetti ad Amazon CloudWatch, Amazon Managed Service for Prometheus AWS X-Ray o, non devi configurare un VPC. Queste fonti di dati sono connesse ad Amazon Managed Grafana per impostazione AWS PrivateLink predefinita.

## Perché le mie fonti di dati esistenti non riescono a connettersi dopo aver configurato un VPC con il mio spazio di lavoro Amazon Managed Grafana?
<a name="vpc-faq-existing-sources-failing"></a>

Le fonti di dati esistenti sono probabilmente accessibili tramite la rete pubblica e la configurazione di Amazon VPC non consente l'accesso alla rete pubblica. Dopo aver configurato la connessione VPC nel tuo spazio di lavoro Amazon Managed Grafana, tutto il traffico deve fluire attraverso quel VPC. Ciò include fonti di dati private ospitate all'interno di quel VPC, origini dati in un altro VPC, AWS Managed Services che non sono disponibili nel VPC e fonti di dati con accesso a Internet.

Per risolvere questo problema, devi connettere le altre fonti di dati al VPC che hai configurato:
+ Per le fonti di dati con accesso a Internet, connetti il VPC a Internet. Ad esempio, puoi [connetterti a Internet o ad altre reti utilizzando dispositivi NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) (dalla *Amazon Virtual Private Cloud User Guide*).
+ Per fonti di dati in altre fonti VPCs, crea un peering tra le due. VPCs Per ulteriori informazioni, consulta [Connect VPCs using VPC peering](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) (dalla *Amazon Virtual Private Cloud User* Guide).
+ Per i AWS Managed Services che non sono accessibili nel tuo VPC, come CloudWatch X-Ray o Amazon Managed Service for Prometheus, potresti dover creare un endpoint VPC di interfaccia per quel servizio nel tuo VPC. *Per ulteriori informazioni, consulta [Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).AWS PrivateLink *

## Posso usare un VPC con locazione dedicata?
<a name="vpc-faq-dedicated-tenancy"></a>

No, le [VPCs configurazioni](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) con `Tenancy` set to non `Dedicated` sono supportate.

## Posso connettere sia AWS Managed Services (come Amazon Managed Service for CloudWatch Prometheus o X-Ray) che fonti di dati private (incluso Amazon Redshift) allo stesso spazio di lavoro Amazon Managed Grafana?
<a name="vpc-faq-connect-services-and-private-sources"></a>

Sì. Devi configurare la connettività ai AWS Managed Services nello stesso VPC delle tue fonti di dati private (ad esempio, utilizzando un [endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di interfaccia o un [gateway NAT) e configurare il tuo spazio di lavoro Amazon Managed Grafana per connettersi allo](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) stesso VPC.

## Perché ricevo un messaggio `502 Bad Gateway Error` quando cerco di connettermi a un'origine dati dopo aver configurato il VPC nel mio spazio di lavoro Amazon Managed Grafana?
<a name="vpc-faq-502-error"></a>

Di seguito sono riportati i tre motivi più comuni per cui la connessione alla fonte dati restituisce un errore. `502`
+ **Errore del gruppo di sicurezza**: i gruppi di sicurezza selezionati durante la configurazione VPC in Amazon Managed Grafana devono consentire la connettività all'origine dati tramite regole in entrata e in uscita.

  Per risolvere questi problemi, assicurati che le regole del gruppo di sicurezza delle sorgenti dati e del gruppo di sicurezza Amazon Managed Grafana consentano questa connettività.
+ **Errore di autorizzazione utente**: l'utente dell'area di lavoro assegnato non dispone delle autorizzazioni giuste per interrogare l'origine dati.

  Per risolvere questo problema, verifica che l'utente disponga delle autorizzazioni IAM necessarie per modificare l'area di lavoro e della corretta politica sull'origine dei dati per accedere e interrogare i dati dal servizio di hosting. Le autorizzazioni sono disponibili nella console AWS Identity and Access Management (IAM) all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
+ **Dettagli di connessione forniti non corretti**: l'area di lavoro Amazon Managed Grafana non è in grado di connettersi alla fonte di dati a causa di dettagli di connessione errati forniti.

  Per risolvere il problema, conferma le informazioni nella connessione alla sorgente dati, inclusa l'autenticazione della sorgente dati e l'URL dell'endpoint, e riprova la connessione.

## Posso connettermi a più utenti VPCs dallo stesso spazio di lavoro Amazon Managed Grafana?
<a name="vpc-faq-multiple-vpcs"></a>

Puoi configurare un solo VPC per uno spazio di lavoro Amazon Managed Grafana. Per accedere a fonti di dati in un VPC diverso o in più regioni, consulta la domanda successiva.

## Come faccio a connettermi a sorgenti dati in un altro VPC? Come posso connettermi a sorgenti dati da un VPC che si trova in un altro Regione AWS o? Account AWS
<a name="vpc-faq-connect-to-different-vpc"></a>

Puoi utilizzare il [peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) o [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)connettere più regioni o più account, VPCs quindi connettere il VPC che si trova nella stessa regione del tuo spazio di lavoro Amazon Managed Account AWS Grafana. Amazon Managed Grafana si connette alle fonti di dati esterne come qualsiasi altra connessione all'interno del VPC.

**Nota**  
[Se il peering VPC non fa per te, condividi il tuo caso d'uso con il tuo Account Manager o invia un'email a aws-grafana-feedback @amazon .com.](mailto:aws-grafana-feedback@amazon.com)

## Quando il mio spazio di lavoro Amazon Managed Grafana è connesso a un VPC, sarò ancora in grado di connettermi ad altre fonti di dati pubbliche?
<a name="vpc-faq-connect-to-public-sources"></a>

Sì. Puoi connettere contemporaneamente sorgenti di dati provenienti dal tuo VPC e da fonti di dati pubbliche a un singolo spazio di lavoro Amazon Managed Grafana. [Per le fonti di dati pubbliche, è necessario configurare la connettività VPC tramite un [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) o un'altra connessione VPC.](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) Le richieste a fonti di dati pubbliche attraversano il tuo VPC, offrendoti visibilità e controllo aggiuntivi su tali richieste.

## Cosa devo fare se non riesco ad aggiornare uno spazio di lavoro Amazon Managed Grafana a causa di indirizzi IP insufficienti?
<a name="vpc-faq-ip-exhaustion"></a>

 Potresti riscontrare il seguente errore durante la modifica della configurazione dell'area di lavoro Amazon Managed Grafana: tutte le sottoreti nella configurazione VPC devono avere almeno 15 indirizzi IP disponibili. 

 Riceverai questo errore se una o più sottoreti connesse al tuo spazio di lavoro non soddisfano i requisiti IP minimi. In ogni sottorete connessa all'area di lavoro devono essere presenti almeno 15 indirizzi IP disponibili. Quando il numero di indirizzi IP disponibili per una sottorete scende al di sotto di 15, potrebbero verificarsi i seguenti problemi: 
+ Impossibilità di apportare modifiche alla configurazione dell'area di lavoro finché non si liberano indirizzi IP aggiuntivi o si collegano sottoreti con indirizzi IP aggiuntivi
+ L'area di lavoro non sarà in grado di ricevere aggiornamenti o patch di sicurezza
+ In rari scenari, si potrebbe verificare una perdita totale della disponibilità dell'area di lavoro, con conseguenti avvisi non funzionanti e dashboard inaccessibili

**Riduci l'esaurimento degli IP**

1. Se una sottorete ha meno di 15 indirizzi IP disponibili, rilasciate gli indirizzi IP associati alle istanze o eliminate le interfacce di rete non utilizzate per liberare capacità IP.

1. Se non riesci a liberare indirizzi IP nella sottorete esistente, devi sostituire la sottorete con una che abbia almeno 15 indirizzi IP disponibili. Ti consigliamo di utilizzare sottoreti dedicate per Amazon Managed Grafana.

**Sostituisci una sottorete**

1. Apri la console [Amazon Managed Grafana](https://console.aws.amazon.com/grafana).

1. Nel riquadro di navigazione a sinistra, scegli **Tutte le aree di lavoro**, quindi seleziona il nome dell'area di lavoro.

1. **Nella scheda **Controllo dell'accesso alla rete**, accanto a Connessione **VPC in uscita**, scegli Modifica.**

1. In **Mappature**, seleziona la zona di disponibilità che contiene la sottorete con indirizzi IP insufficienti.

1. Nel menu a discesa, deseleziona la sottorete con indirizzi IP insufficienti e seleziona una sottorete con almeno 15 indirizzi IP disponibili. Se necessario, crea una nuova sottorete nel tuo VPC. Per ulteriori informazioni, consulta [Creare una sottorete](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) nella *Amazon VPC* User Guide.

1. Scegli **Salva modifiche** per completare la configurazione.

## Prima di configurare una connessione VPC, i miei avvisi Grafana venivano inviati con successo ai servizi downstream, come Slack. PagerDuty Dopo aver configurato il VPC, perché i miei avvisi Grafana non vengono recapitati a queste destinazioni di notifica?
<a name="vpc-faq-grafana-alert-destinations"></a>

Dopo aver configurato una connessione VPC per un'area di lavoro Amazon Managed Grafana, tutto il traffico verso le fonti di dati nell'area di lavoro fluisce attraverso il VPC configurato. Assicurati che il VPC disponga di un percorso per raggiungere questi servizi di notifica degli avvisi. Ad esempio, le destinazioni di notifica degli avvisi ospitate da terze parti potrebbero richiedere la connettività a Internet. Analogamente alle fonti di dati, configura una connessione Internet o AWS Transit Gateway un'altra connessione VPC alla destinazione esterna.

## Posso modificare il mio VPC manualmente? Perché la modifica del mio gruppo di sicurezza o della sottorete rende non disponibile il mio spazio di lavoro Amazon Managed Grafana?
<a name="vpc-faq-manually-edit-vpc"></a>

La connessione VPC Amazon Managed Grafana utilizza i gruppi di sicurezza e le sottoreti per controllare il traffico consentito tra il VPC e il tuo spazio di lavoro Amazon Managed Grafana. Quando il gruppo di sicurezza o la sottorete viene modificato o eliminato dall'esterno della console Amazon Managed Grafana (ad esempio con la console VPC), la connessione VPC nell'area di lavoro Amazon Managed Grafana smette di proteggere la sicurezza dell'area di lavoro e l'area di lavoro diventa irraggiungibile. Per risolvere questo problema, aggiorna i gruppi di sicurezza configurati per il tuo spazio di lavoro Amazon Managed Grafana nella console Amazon Managed Grafana. Quando visualizzi il tuo spazio di lavoro, seleziona **Connessione VPC in uscita** nella scheda **Controllo dell'accesso alla rete** per modificare le sottoreti o i gruppi di sicurezza associati alla connessione VPC.

# Configura uno spazio di lavoro Amazon Managed Grafana
<a name="AMG-configure-workspace"></a>

La configurazione di Amazon Managed Grafana può essere suddivisa in configurazione dell'autenticazione e delle autorizzazioni di Amazon Managed Grafana e configurazione dell'area di lavoro Grafana. Questa sezione include informazioni sulla configurazione dell'area di lavoro Grafana.

Per ulteriori informazioni sulla configurazione dell'autenticazione e delle autorizzazioni di Amazon Managed Grafana, consulta i seguenti argomenti.
+ [Autentica gli utenti nelle aree di lavoro Amazon Managed Grafana](authentication-in-AMG.md)
+ [Gestisci l'accesso di utenti e gruppi alle aree di lavoro Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md)
+ [Utenti, team e autorizzazioni](Grafana-administration-authorization.md)

Puoi modificare la configurazione del tuo spazio di lavoro Grafana all'interno di Amazon Managed Grafana nella scheda **Opzioni di configurazione Workspace quando visualizzi le proprietà del tuo spazio** di lavoro.

Apportare modifiche alla configurazione dell'istanza Grafana può causare il riavvio dell'istanza per ricaricare le nuove impostazioni. Dopo aver apportato le modifiche alla configurazione, gli utenti potrebbero dover aggiornare tutte le pagine del browser che mostrano l'area di lavoro Grafana.

**Nota**  
Le stesse opzioni sono disponibili quando crei il tuo spazio di lavoro per la prima volta.

**Per modificare la configurazione di un'area di lavoro Grafana utilizzando la console Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione a sinistra, scegli l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro che desideri configurare. Verranno visualizzati i dettagli di quell'area di lavoro.

1. Scegli la scheda **Opzioni di configurazione del workspace per visualizzare le opzioni** di configurazione dell'istanza per la tua istanza.

1. **Seleziona **Modifica** accanto agli **avvisi Grafana** o alla gestione dei plugin.**
   + **Avvisi Grafana**

     Puoi abilitare gli avvisi [Grafana](v10-alerts.md). **Per visualizzare gli avvisi Prometheus nell'area di lavoro di Grafana, seleziona la casella di controllo Attiva gli avvisi Grafana.** Nelle aree di lavoro che eseguono la versione 8 o 9, questo invierà più notifiche per gli avvisi Grafana. Se utilizzi avvisi definiti in Grafana, ti consigliamo di aggiornare il tuo spazio di lavoro alla versione 10.4 o successiva.

     Se invece desideri utilizzare i classici avvisi Grafana, *deseleziona* la casella di controllo accanto a Attiva gli avvisi **Grafana**. [In questo modo si attivano i classici avvisi della dashboard.](old-alerts-overview.md) Anche se non attivi gli avvisi Grafana, vengono valutati gli avvisi Grafana esistenti.
**Nota**  
Gli avvisi classici della dashboard verranno rimossi nella versione 11. Nelle aree di lavoro Grafana versione 10, puoi visualizzare in anteprima la funzione di avviso Grafana. Per ulteriori informazioni, consulta [Migrazione degli avvisi della dashboard classica agli avvisi Grafana](v10-alerting-use-grafana-alerts.md).
   + **Gestione dei plugin**

     Per attivare la gestione dei plugin, seleziona la casella di controllo **Attiva la gestione dei plugin**. L'attivazione della gestione dei plug-in consente agli amministratori del tuo spazio di lavoro Amazon Managed Grafana di installare, aggiornare o rimuovere i plug-in [utilizzando](grafana-plugins.md) il catalogo dei plug-in Grafana. Questa opzione è disponibile solo per le aree di lavoro che supportano Grafana versione 9 o successiva.

**Nota**  
Se *disattivi* gli avvisi Grafana, perdi tutte le modifiche apportate alla configurazione degli avvisi mentre l'avviso Grafana era attivo. Ciò include tutte le nuove regole di avviso che hai creato.  
Per ulteriori informazioni sull'utilizzo degli avvisi Grafana e sugli effetti della loro attivazione o disattivazione, consulta. [Avvisi nella versione 10 di Grafana](v10-alerts.md)

La sezione successiva mostra come apportare modifiche alla configurazione dell'istanza Grafana utilizzando l'API Amazon Managed Grafana o il. AWS CLI

## Impostazione della configurazione con API o AWS CLI
<a name="AMG-configuration-format"></a>

Puoi impostare la configurazione dell'area di lavoro Grafana utilizzando l'API Amazon Managed Grafana o il. AWS CLI

**Nota**  
`configuration`È una stringa JSON per consentire le future impostazioni di configurazione che verranno aggiunte in seguito.

------
#### [ AWS CLI ]

**Per aggiornare la configurazione dell'istanza Amazon Managed Grafana utilizzando AWS CLI**  
Esegui il seguente comando per attivare le funzionalità di avvisi Grafana e di gestione dei plugin per un'istanza. Sostituisci le *<workspace-id>* stringhe *<region>* and con i valori appropriati per la tua istanza.

```
aws grafana update-workspace-configuration \
    --region region \
    --workspace-id <workspace-id> \
    --configuration '{"plugins": {"pluginAdminEnabled": true}, "unifiedAlerting": {"enabled": true}}'
```

La configurazione attualmente supporta le seguenti opzioni. Questi attivano o disattivano gli avvisi Grafana o la gestione dei plugin.
+ Per abilitare gli avvisi Grafana, usa questa opzione di configurazione:

  ```
  --configuration '{"unifiedAlerting": { "enabled": true }}'
  ```
+ Per abilitare la gestione dei plugin, utilizzate questa opzione di configurazione:

  ```
  --configuration '{"plugins": {"pluginAdminEnabled": true }}'
  ```

  Questa opzione è disponibile solo nelle aree di lavoro che supportano Grafana versione 9 o successiva.

------
#### [ Amazon Managed Grafana API ]

**Per aggiornare la configurazione dell'istanza Amazon Managed Grafana utilizzando l'API**  
Usa la seguente azione per attivare le funzionalità di avvisi Grafana e di gestione dei plugin per un'istanza. Sostituisci la *<workspace-id>* stringa con un valore appropriato per la tua istanza.

```
PUT /workspaces/<workspace-id>/configuration HTTP/1.1
Content-type: application/json

{
   "configuration": "{ \"unifiedAlerting\": { \"enabled\": true }, \"plugins\": { \"pluginAdminEnabled\": true }}"
}
```

La configurazione attualmente supporta le seguenti opzioni. Questi attivano o disattivano gli avvisi Grafana o la gestione dei plugin.
+ Per abilitare gli avvisi Grafana, usa questa opzione di configurazione:

  ```
  "configuration": "{\"unifiedAlerting\": { \"enabled\": true }}"
  ```
+ Per abilitare la gestione dei plugin, usa questa opzione:

  ```
  "plugins": "{\"pluginAdminEnabled\": true }"
  ```

  Questa opzione è disponibile solo nelle aree di lavoro che supportano Grafana versione 9 o successiva.

------

# Eliminare un'area di lavoro Amazon Managed Grafana
<a name="AMG-edit-delete-workspace"></a>

Se elimini un'area di lavoro Amazon Managed Grafana, vengono eliminati anche tutti i dati di configurazione per quell'area di lavoro. Ciò include dashboard, configurazione dell'origine dati, avvisi e istantanee.

**Per eliminare un'area di lavoro Amazon Managed Grafana**

1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Nel riquadro di navigazione a sinistra, scegli l'icona del menu.

1. Seleziona **Tutte le aree di lavoro**.

1. Scegli il nome dell'area di lavoro che desideri eliminare.

1. Scegli **Elimina**.

1. **Per confermare l'eliminazione, inserisci il nome dell'area di lavoro e scegli Elimina.**

**Nota**  
Questa procedura elimina un'area di lavoro. Le altre risorse potrebbero non essere eliminate. Ad esempio, i ruoli IAM utilizzati dal workspace non vengono eliminati (ma possono essere sbloccati se non sono più in uso).