Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon Managed Grafana
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per maggiori informazioni sui programmi di conformità applicabili ad Amazon Managed Grafana, consulta [AWS Services in Scope by Compliance Program ](https://aws.amazon.com/compliance/services-in-scope/) Program.
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon Managed Grafana. I seguenti argomenti mostrano come configurare Amazon Managed Grafana per soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse Amazon Managed Grafana.
**Topics**
+ [Protezione dei dati in AWS](data-protection.md)
+ [Identity and Access Management per Amazon Managed Grafana](security-iam.md)
+ [Autorizzazioni e policy di Amazon Managed Grafana per le fonti di dati AWS](AMG-manage-permissions.md)
+ [autorizzazioni IAM](AMG-and-IAM.md)
+ [Convalida della conformità per Amazon Managed Grafana](AMG-compliance.md)
+ [Resilienza in Amazon Managed Grafana](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon Managed Grafana](infrastructure-security.md)
+ [Registrazione delle chiamate all'API Amazon Managed Grafana utilizzando AWS CloudTrail](logging-using-cloudtrail.md)
+ [Best practice di sicurezza](AMG-Security-Best-Practices.md)
+ [Endpoint VPC di interfaccia](VPC-endpoints.md)
# Protezione dei dati in AWS
Il modello di [responsabilità AWS condivisa Modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Managed Grafana. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon Managed Grafana o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Protezione dei dati in Amazon Managed Grafana
Amazon Managed Grafana raccoglie e archivia i seguenti tipi di dati:
+ Configurazioni di dashboard e avvisi fornite dal cliente per le aree di lavoro Grafana.
+ Istantanee della dashboard Grafana che hai salvato nel tuo spazio di lavoro.
+ Un elenco di AWS IAM Identity Center utenti a cui è stato concesso l'accesso all'area di lavoro Grafana, inclusi i nomi utente e gli indirizzi e-mail degli utenti.
I dati archiviati da Amazon Managed Grafana sono crittografati con. AWS Key Management Service I dati in transito vengono crittografati automaticamente con Secure Sockets Layer (SSL).
# Identity and Access Management per Amazon Managed Grafana
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon Managed Grafana. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [In che modo Amazon Managed Grafana funziona con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon Managed Grafana](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Amazon Managed Grafana](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Managed Grafana](security_iam_troubleshoot.md)
+ [Prevenzione del confused deputy tra servizi](cross-service-confused-deputy-prevention.md)
+ [Utilizzo di ruoli collegati ai servizi per Amazon Managed Grafana](using-service-linked-roles.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Managed Grafana](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [In che modo Amazon Managed Grafana funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon Managed Grafana](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# In che modo Amazon Managed Grafana funziona con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Managed Grafana, scopri quali funzionalità IAM sono disponibili per l'uso con Amazon Managed Grafana.
**Funzionalità IAM che puoi utilizzare con Amazon Managed Grafana**
| Funzionalità IAM | Supporto Amazon Managed Grafana |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | No |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una visione di alto livello di come Amazon Managed Grafana e AWS altri servizi funzionano con la maggior parte delle funzionalità IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
## Policy basate sull'identità per Amazon Managed Grafana
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Amazon Managed Grafana
Per visualizzare esempi di policy basate sull'identità di Amazon Managed Grafana, consulta. [Esempi di policy basate sull'identità per Amazon Managed Grafana](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Amazon Managed Grafana
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Amazon Managed Grafana
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
*Per visualizzare un elenco delle azioni di Amazon Managed Grafana, consulta [Azioni definite da Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html#amazonmanagedgrafana-actions-as-permissions) nel Service Authorization Reference.*
Le azioni politiche in Amazon Managed Grafana utilizzano il seguente prefisso prima dell'azione:
```
grafana
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"grafana:action1",
"grafana:action2"
]
```
Per visualizzare esempi di policy basate sull'identità di Amazon Managed Grafana, consulta. [Esempi di policy basate sull'identità per Amazon Managed Grafana](security_iam_id-based-policy-examples.md)
## Risorse relative alle policy per Amazon Managed Grafana
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
*Per visualizzare un elenco dei tipi di risorse Amazon Managed Grafana e relativi ARNs, consulta [Risorse definite da Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html#amazonmanagedgrafana-resources-for-iam-policies) nel Service Authorization Reference.* Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html#amazonmanagedgrafana-actions-as-permissions).
Per visualizzare esempi di policy basate sull'identità di Amazon Managed Grafana, consulta. [Esempi di policy basate sull'identità per Amazon Managed Grafana](security_iam_id-based-policy-examples.md)
## Chiavi delle condizioni della policy per Amazon Managed Grafana
**Supporta le chiavi di condizione delle policy specifiche del servizio:** No
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
## Elenchi di controllo degli accessi (ACLs) in Amazon Managed Grafana
**Supporti ACLs: no**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con Amazon Managed Grafana
**Supporta ABAC (tag nelle policy):** sì
Amazon Managed Grafana supporta l'etichettatura basata su risorse e identità.
Per ulteriori informazioni sull'etichettatura delle risorse Amazon Managed Grafana, consulta. [Etichetta: Spazi di lavoro Amazon Managed Grafana](Tagging_workspaces.md)
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [AWS politiche gestite per Amazon Managed Grafana](security-iam-awsmanpol.md).
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Amazon Managed Grafana
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando utilizzi la federazione o cambi ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per Amazon Managed Grafana
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, Servizio AWS per effettuare richieste ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Amazon Managed Grafana
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Amazon Managed Grafana. Modifica i ruoli di servizio solo quando Amazon Managed Grafana fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Amazon Managed Grafana
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per dettagli sulla creazione o la gestione di ruoli collegati ai servizi Amazon Managed Grafana, consulta. [Utilizzo di ruoli collegati ai servizi per Amazon Managed Grafana](using-service-linked-roles.md)
# Esempi di policy basate sull'identità per Amazon Managed Grafana
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon Managed Grafana. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
*Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da Amazon Managed Grafana, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html) nel Service Authorization Reference.*
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon Managed Grafana](#security_iam_id-based-policy-examples-console)
+ [Politiche di esempio per Amazon Managed Grafana](#security_iam_AMG-id-based-policy-examples)
## Best practice per le policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Managed Grafana nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le policy gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon Managed Grafana
Per accedere alla console è necessario disporre di un insieme di autorizzazioni minimo. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
## Politiche di esempio per Amazon Managed Grafana
Questa sezione contiene politiche basate sull'identità utili per diversi scenari di Amazon Managed Grafana.
### Amministratore Grafana che utilizza SAML
Se utilizzi SAML per l'autenticazione degli utenti, l'amministratore che crea e gestisce Amazon Managed Grafana necessita delle seguenti politiche:
+ **AWSGrafanaAccountAdministrator**o le autorizzazioni equivalenti per creare e gestire aree di lavoro Amazon Managed Grafana.
+ La **AWSMarketplaceManageSubscriptions**policy o autorizzazioni equivalenti, se desideri aggiornare un'area di lavoro Amazon Managed Grafana a Grafana Enterprise.
#### Amministratore Grafana in un account di gestione utilizzando IAM Identity Center
Per concedere le autorizzazioni per creare e gestire aree di lavoro Amazon Managed Grafana in un'intera organizzazione e per abilitare dipendenze come IAM Identity Center, assegna le policy e **AWSSSODirectoryle** policy di **AWSGrafanaAccountAdministrator**amministratore **AWSSSOMasterAccountAdministrator**a un utente. Inoltre, per aggiornare un'area di lavoro Amazon Managed Grafana a Grafana Enterprise, un utente deve disporre della policy **AWSMarketplaceManageSubscriptions**IAM o delle autorizzazioni equivalenti.
Se desideri utilizzare le autorizzazioni gestite dal servizio quando crei un'area di lavoro Amazon Managed Grafana, l'utente che crea l'area di lavoro deve disporre anche delle autorizzazioni, e. `iam:CreateRole` `iam:CreatePolicy` `iam:AttachRolePolicy` Queste sono necessarie per implementare politiche che consentano di leggere le fonti di dati negli account dell'organizzazione. CloudFormation StackSets
**Importante**
Se si concedono a un utente le autorizzazioni `iam:AttachRolePolicy`, `iam:CreateRole` e `iam:CreatePolicy`, questo disporrà dell'accesso amministrativo completo all'account AWS . Ad esempio, un utente con queste autorizzazioni può creare una policy che dispone di autorizzazioni complete per tutte le risorse e collegare tale policy a qualsiasi ruolo. Presta molta attenzione a chi concedi queste autorizzazioni.
Per visualizzare le autorizzazioni concesse a **AWSGrafanaAccountAdministrator**, vedere [AWS politica gestita: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
#### Amministratore Grafana in un account membro utilizzando IAM Identity Center
Per concedere le autorizzazioni per creare e gestire aree di lavoro Amazon Managed Grafana nell'account membro di un'organizzazione, assegna le politiche e quelle **AWSGrafanaAccountAdministratorAWSSSODirectory****dell'**AWSSSOMemberAccountAdministrator****amministratore a un utente. Inoltre, per aggiornare un'area di lavoro Amazon Managed Grafana a Grafana Enterprise, un utente deve disporre della policy **AWSMarketplaceManageSubscriptions**IAM o delle autorizzazioni equivalenti.
Se desideri utilizzare le autorizzazioni gestite dal servizio quando crei un'area di lavoro Amazon Managed Grafana, l'utente che crea l'area di lavoro deve disporre anche delle autorizzazioni, e. `iam:CreateRole` `iam:CreatePolicy` `iam:AttachRolePolicy` Queste sono necessarie per consentire all'utente di leggere le fonti di dati nell'account.
**Importante**
Se si concedono a un utente le autorizzazioni `iam:AttachRolePolicy`, `iam:CreateRole` e `iam:CreatePolicy`, questo disporrà dell'accesso amministrativo completo all'account AWS . Ad esempio, un utente con queste autorizzazioni può creare una policy che dispone di autorizzazioni complete per tutte le risorse e collegare tale policy a qualsiasi ruolo. Presta molta attenzione a chi concedi queste autorizzazioni.
Per visualizzare le autorizzazioni concesse a **AWSGrafanaAccountAdministrator**, vedere [AWS politica gestita: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
#### Crea e gestisci gli spazi di lavoro e gli utenti di Amazon Managed Grafana in un unico account autonomo utilizzando IAM Identity Center
Un AWS account autonomo è un account che non è ancora membro di un'organizzazione. Per ulteriori informazioni sulle organizzazioni, vedi [Cos'è AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
Per concedere le autorizzazioni per creare e gestire gli spazi di lavoro e gli utenti di Amazon Managed Grafana in un account autonomo, assegna le politiche **AWSSSODirectorye **AWSGrafanaAccountAdministrator****l'amministratore **AWSSSOMasterAccountAdministrator**a un utente. **AWSOrganizationsFullAccess** Inoltre, per aggiornare un'area di lavoro Amazon Managed Grafana a Grafana Enterprise, un utente deve disporre della policy **AWSMarketplaceManageSubscriptions**IAM o delle autorizzazioni equivalenti.
**Importante**
Se si concedono a un utente le autorizzazioni `iam:AttachRolePolicy`, `iam:CreateRole` e `iam:CreatePolicy`, questo disporrà dell'accesso amministrativo completo all'account AWS . Ad esempio, un utente con queste autorizzazioni può creare una policy che dispone di autorizzazioni complete per tutte le risorse e collegare tale policy a qualsiasi ruolo. Presta molta attenzione a chi concedi queste autorizzazioni.
Per vedere le autorizzazioni concesse a, consulta **AWSGrafanaAccountAdministrator**[AWS politica gestita: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
#### Assegna e annulla l'assegnazione dell'accesso degli utenti ad Amazon Managed Grafana
**Per concedere le autorizzazioni per gestire l'accesso di altri utenti alle aree di lavoro Amazon Managed Grafana nell'account, inclusa la concessione delle autorizzazioni di amministratore Grafana a quegli utenti per le aree di lavoro, assegna la policy V2 a quell'utente. AWSGrafana WorkspacePermissionManagement** **Se utilizzi IAM Identity Center per gestire gli utenti in questo spazio di lavoro, l'utente necessita anche di Only and policy. AWSSSORead **AWSSSODirectoryReadOnly****
Per vedere le autorizzazioni concesse alla **AWSGrafanaWorkspacePermissionManagementV2**, vedi [AWS politica gestita: V2 AWSGrafana WorkspacePermissionManagement](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2)
#### Autorizzazioni di sola lettura per Amazon Managed Grafana
Per concedere le autorizzazioni per le azioni di lettura, come elencare e visualizzare le aree di lavoro e aprire la console dell'area di lavoro Grafana, assegna **AWSSSODirectoryReadOnly**le politiche **AWSGrafanaConsoleReadOnlyAccess**, **AWSSSOReadOnly** and a un utente o a un ruolo IAM.
Per vedere le autorizzazioni concesse a, consulta. **AWSGrafanaConsoleReadOnlyAccess**[AWS politica gestita: AWSGrafana ConsoleReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess)
# AWS politiche gestite per Amazon Managed Grafana
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSGrafana AccountAdministrator
AWSGrafanaAccountAdministrator questa policy fornisce l'accesso all'interno di Amazon Managed Grafana per creare e gestire account e aree di lavoro per l'intera organizzazione.
Puoi collegarti AWSGrafana AccountAdministrator alle tue entità IAM.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`— Consente ai responsabili di elencare e ottenere i ruoli IAM in modo che l'amministratore possa associare un ruolo a uno spazio di lavoro e passare i ruoli al servizio Amazon Managed Grafana.
+ `Amazon Managed Grafana`— Consente ai principali di accedere in lettura e scrittura a tutti gli Amazon Managed Grafana APIs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaOrganizationAdmin",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMGetRolePermission",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:*"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMPassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "grafana.amazonaws.com"
}
}
}
]
}
```
------
## AWS politica gestita: AWSGrafana WorkspacePermissionManagement (obsoleta)
Questa politica è obsoleta. Questa politica non deve essere associata a nuovi utenti, gruppi o ruoli.
Amazon Managed Grafana ha aggiunto una nuova policy, la [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2), per sostituire questa policy. Questa nuova policy gestita migliora la sicurezza del tuo spazio di lavoro fornendo un set di autorizzazioni più restrittivo.
## AWS politica gestita: V2 AWSGrafana WorkspacePermissionManagement
AWSGrafanaWorkspacePermissionManagementLa policy V2 offre solo la possibilità di aggiornare le autorizzazioni di utenti e gruppi per le aree di lavoro Amazon Managed Grafana.
Puoi collegare AWSGrafana WorkspacePermissionManagement V2 alle tue entità IAM.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `Amazon Managed Grafana`— Consente ai responsabili di leggere e aggiornare le autorizzazioni di utenti e gruppi per le aree di lavoro Amazon Managed Grafana.
+ `IAM Identity Center`— Consente ai responsabili di leggere le entità IAM Identity Center. Questa è una parte necessaria dell'associazione dei principali alle applicazioni Amazon Managed Grafana, ma richiede anche un passaggio aggiuntivo, descritto dopo l'elenco delle politiche che segue.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:DescribeWorkspace",
"grafana:DescribeWorkspaceAuthentication",
"grafana:UpdatePermissions",
"grafana:ListPermissions",
"grafana:ListWorkspaces"
],
"Resource": "arn:aws:grafana:*:*:/workspaces*"
},
{
"Sid": "IAMIdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"sso:ListDirectoryAssociations",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**È necessaria una politica aggiuntiva**
Per consentire completamente a un utente di assegnare le autorizzazioni, oltre alla `AWSGrafanaWorkspacePermissionManagementV2` policy, è necessario assegnare anche una policy per fornire l'accesso all'assegnazione delle applicazioni in IAM Identity Center.
Per creare questa politica, devi prima raccogliere l'**ARN dell'applicazione Grafana** per il tuo spazio di lavoro
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Scegli **Applicazioni dal menu** a sinistra.
1. Nella scheda **AWS gestita**, trova l'applicazione chiamata **Amazon Grafana- *workspace-name, dove `workspace-name` è il nome del*** tuo spazio di lavoro. Seleziona il nome dell'applicazione.
1. Viene mostrata l'applicazione IAM Identity Center gestita da Amazon Managed Grafana per l'area di lavoro. L'ARN di questa applicazione è mostrato nella pagina dei dettagli. Sarà nella forma:`arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id`.
La politica che crei dovrebbe essere simile alla seguente. Sostituisci *grafana-application-arn* con l'ARN che hai trovato nel passaggio precedente:
Per informazioni su come creare e applicare le policy ai ruoli o agli utenti, consulta [Aggiungere e rimuovere le autorizzazioni di identità IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) per l'*AWS Identity and Access Management utente*.
## AWS politica gestita: AWSGrafana ConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess la policy consente l'accesso alle operazioni di sola lettura in Amazon Managed Grafana.
Puoi collegarti alle tue entità AWSGrafana ConsoleReadOnlyAccess IAM.
**Dettagli delle autorizzazioni**
Questa policy include la seguente autorizzazione.
+ `Amazon Managed Grafana`— Consente ai principali l'accesso in sola lettura ad Amazon Managed Grafana APIs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaConsoleReadOnlyAccess",
"Effect": "Allow",
"Action": ["grafana:Describe*", "grafana:List*"],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonGrafanaRedshiftAccess
Questa policy garantisce l'accesso mirato ad Amazon Redshift e alle dipendenze necessarie per utilizzare il plug-in Amazon Redshift in Amazon Managed Grafana. AmazonGrafanaRedshiftAccess la policy consente a un utente o a un ruolo IAM di utilizzare il plug-in di origine dati Amazon Redshift in Grafana. Le credenziali temporanee per i database Amazon Redshift sono limitate all'`redshift_data_api_user`utente del database e le credenziali di Secrets Manager possono essere recuperate se il segreto è etichettato con la chiave. `RedshiftQueryOwner` Questa policy consente l'accesso ai cluster Amazon Redshift contrassegnati con. `GrafanaDataSource` Quando si crea una policy gestita dal cliente, l'autenticazione basata su tag è facoltativa.
Puoi collegarti AmazonGrafanaRedshiftAccess alle tue entità IAM. Amazon Managed Grafana attribuisce questa politica anche a un ruolo di servizio che consente ad Amazon Managed Grafana di eseguire azioni per tuo conto.
**Dettagli delle autorizzazioni**
Questa policy include la seguente autorizzazione.
+ `Amazon Redshift`— Consente ai responsabili di descrivere i cluster e ottenere credenziali temporanee per un utente del database denominato. `redshift_data_api_user`
+ `Amazon Redshift–data`— Consente ai principali di eseguire interrogazioni sui cluster contrassegnati come. `GrafanaDataSource`
+ `Secrets Manager`— Consente ai presidi di elencare i segreti e di leggere i valori segreti per i segreti etichettati come. `RedshiftQueryOwner`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"redshift:DescribeClusters",
"redshift-data:GetStatementResult",
"redshift-data:DescribeStatement",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"redshift-data:DescribeTable",
"redshift-data:ExecuteStatement",
"redshift-data:ListTables",
"redshift-data:ListSchemas"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbname:*/*",
"arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonGrafanaAthenaAccess
Questa policy garantisce l'accesso ad Athena e alle dipendenze necessarie per abilitare l'interrogazione e la scrittura dei risultati su Amazon S3 dal plug-in Athena in Amazon Managed Grafana. AmazonGrafanaAthenaAccessla policy consente a un utente o a un ruolo IAM di utilizzare il plug-in di origine dati Athena in Grafana. I gruppi di lavoro Athena devono essere etichettati con `GrafanaDataSource` per essere accessibili. Questa policy contiene le autorizzazioni per scrivere i risultati delle query in un bucket Amazon S3 con un nome preceduto da. `grafana-athena-query-results-` Le autorizzazioni di Amazon S3 per l'accesso all'origine dati sottostante di una query Athena non sono incluse in questa politica.
Puoi allegare AWSGrafana AthenaAccess policy alle tue entità IAM. Amazon Managed Grafana attribuisce questa politica anche a un ruolo di servizio che consente ad Amazon Managed Grafana di eseguire azioni per tuo conto.
**Dettagli delle autorizzazioni**
Questa policy include la seguente autorizzazione.
+ `Athena`— Consente ai responsabili di eseguire interrogazioni sulle risorse Athena nei gruppi di lavoro contrassegnati come. `GrafanaDataSource`
+ `Amazon S3`— Consente ai responsabili di leggere e scrivere i risultati delle query in un bucket con il prefisso. `grafana-athena-query-results-`
+ `AWS Glue`— Consente ai principali l'accesso ai database, alle tabelle e alle partizioni di AWS Glue. Ciò è necessario affinché il responsabile possa utilizzare il AWS Glue Data Catalog con Athena.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:GetDatabase",
"athena:GetDataCatalog",
"athena:GetTableMetadata",
"athena:ListDatabases",
"athena:ListDataCatalogs",
"athena:ListTableMetadata",
"athena:ListWorkGroups"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::grafana-athena-query-results-*"
]
}
]
}
```
------
## AWS politica gestita: AmazonGrafanaCloudWatchAccess
Questa politica garantisce l'accesso ad Amazon CloudWatch e alle dipendenze necessarie per l'uso CloudWatch come origine dati all'interno di Amazon Managed Grafana.
Puoi allegare AWSGrafana CloudWatchAccess policy alle tue entità IAM. Amazon Managed Grafana attribuisce questa politica anche a un ruolo di servizio che consente ad Amazon Managed Grafana di eseguire azioni per tuo conto.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `CloudWatch`— Consente ai responsabili di elencare e ottenere dati metrici e log da Amazon. CloudWatch Consente inoltre di visualizzare i dati condivisi dagli account di origine in CloudWatch modo osservabile su più account.
+ `Amazon EC2`— Consente ai responsabili di ottenere dettagli sulle risorse che vengono monitorate.
+ `Tags`— Consente ai responsabili di accedere ai tag sulle risorse, per consentire il filtraggio delle CloudWatch query metriche.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"cloudwatch:GetInsightRuleReport"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:GetLogGroupFields",
"logs:StartQuery",
"logs:StopQuery",
"logs:GetQueryResults",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:ListSinks",
"oam:ListAttachedLinks"
],
"Resource": "*"
}
]
}
```
------
## Amazon Managed Grafana si aggiorna alle AWS policy gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Managed Grafana da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di [Amazon Managed Grafana](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement)— obsoleto | Questa policy è stata sostituita da **AWSGrafanaWorkspacePermissionManagementV2**. Questa politica è considerata obsoleta e non verrà più aggiornata. La nuova politica migliora la sicurezza dell'area di lavoro fornendo un set di autorizzazioni più restrittivo. | 5 gennaio 2024 |
| [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2) — Nuova politica | Amazon Managed Grafana ha aggiunto una nuova politica, **AWSGrafanaWorkspacePermissionManagementV2**per sostituire la politica obsoleta **AWSGrafanaWorkspacePermissionManagement**. Questa nuova policy gestita migliora la sicurezza del tuo spazio di lavoro fornendo un set di autorizzazioni più restrittivo. | 5 gennaio 2024 |
| [AmazonGrafanaCloudWatchAccess](#security-iam-awsmanpol-AmazonGrafanaCloudWatchAccess): nuova policy | Amazon Managed Grafana ha aggiunto una nuova policy. **AmazonGrafanaCloudWatchAccess** | 24 marzo 2023 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement): aggiornamento di una policy esistente | Amazon Managed Grafana ha aggiunto nuove autorizzazioni in **AWSGrafanaWorkspacePermissionManagement**modo che gli utenti e i gruppi di IAM Identity Center in Active Directory possano essere associati agli spazi di lavoro Grafana. Sono state aggiunte le seguenti autorizzazioni: e `sso-directory:DescribeUser` `sso-directory:DescribeGroup` | 14 marzo 2023 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement): aggiornamento di una policy esistente | Amazon Managed Grafana ha aggiunto nuove autorizzazioni per consentire agli utenti e ai **AWSGrafanaWorkspacePermissionManagement**gruppi di IAM Identity Center di essere associati agli spazi di lavoro Grafana. Sono state aggiunte le seguenti autorizzazioni:`sso:DescribeRegisteredRegions`,,,`sso:GetSharedSsoConfiguration`,`sso:ListDirectoryAssociations`, `sso:GetManagedApplicationInstance``sso:ListProfiles`, `sso:AssociateProfile` e. `sso:DisassociateProfile` `sso:GetProfile` `sso:ListProfileAssociations` | 20 dicembre 2022 |
| [AmazonGrafanaServiceLinkedRolePolicy](using-service-linked-roles.md)— Nuova politica SLR | Amazon Managed Grafana ha aggiunto una nuova policy per il ruolo collegato ai servizi Grafana,. **AmazonGrafanaServiceLinkedRolePolicy** | 18 novembre 2022 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator), [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) | Consenti l'accesso a tutte le risorse Amazon Managed Grafana | 17 febbraio 2022 |
| [AmazonGrafanaRedshiftAccess](#security-iam-awsmanpol-AmazonGrafanaRedshiftAccess): nuova policy | Amazon Managed Grafana ha aggiunto una nuova policy. **AmazonGrafanaRedshiftAccess** | 26 novembre 2021 |
| [AmazonGrafanaAthenaAccess](#security-iam-awsmanpol-AmazonGrafanaAthenaAccess): nuova policy | Amazon Managed Grafana ha aggiunto una nuova policy. **AmazonGrafanaAthenaAccess** | 22 novembre 2021 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator): aggiornamento di una policy esistente | Amazon Managed Grafana ha rimosso le autorizzazioni da. **AWSGrafanaAccountAdministrator** L'ambito di `iam:CreateServiceLinkedRole` autorizzazione del `sso.amazonaws.com` servizio è stato rimosso. Ti consigliamo invece di allegare la **AWSSSOMasterAccountAdministrator**policy per concedere questa autorizzazione a un utente. | 13 ottobre 2021 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement): aggiornamento di una policy esistente | Amazon Managed Grafana ha aggiunto nuove autorizzazioni in **AWSGrafanaWorkspacePermissionManagement**modo che gli utenti con questa policy possano vedere i metodi di autenticazione associati alle aree di lavoro. L'`grafana:DescribeWorkspaceAuthentication`autorizzazione è stata aggiunta. | 21 settembre 2021 |
| [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess): aggiornamento di una policy esistente | Amazon Managed Grafana ha aggiunto nuove autorizzazioni in **AWSGrafanaConsoleReadOnlyAccess**modo che gli utenti con questa policy possano vedere i metodi di autenticazione associati alle aree di lavoro. Le `grafana:List*` autorizzazioni `grafana:Describe*` e sono state aggiunte alla policy e sostituiscono le precedenti autorizzazioni più ristrette e. `grafana:DescribeWorkspace` `grafana:ListPermissions` `grafana:ListWorkspaces` | 21 settembre 2021 |
| Amazon Managed Grafana ha iniziato a tracciare le modifiche | Amazon Managed Grafana ha iniziato a tracciare le modifiche alle sue policy AWS gestite. | 9 settembre 2021 |
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Managed Grafana
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon Managed Grafana e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Amazon Managed Grafana](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon Managed Grafana](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon Managed Grafana
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `grafana:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: grafana:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `grafana:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon Managed Grafana.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon Managed Grafana. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon Managed Grafana
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon Managed Grafana supporta queste funzionalità, consulta. [In che modo Amazon Managed Grafana funziona con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Prevenzione del confused deputy tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Ti consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global condition nelle politiche delle risorse per limitare le autorizzazioni che Amazon Managed Grafana concede a un altro servizio alla risorsa. Se il valore `aws:SourceArn` non contiene l'ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l’account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare `aws:SourceArn` se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.
Il valore di `aws:SourceArn` deve essere l'ARN del tuo spazio di lavoro Amazon Managed Grafana.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:grafana:*:123456789012:*`.
L'esempio seguente mostra come è possibile utilizzare le chiavi di contesto `aws:SourceArn` e le chiavi di contesto della condizione `aws:SourceAccount` globale nelle policy di fiducia dei ruoli IAM di Amazon Managed Grafana Workspace per prevenire il confuso problema del vice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "grafana.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "accountId",
"aws:SourceArn": "arn:aws:grafana:region:accountId:/workspaces/workspaceId"
}
}
}
]
}
```
------
# Utilizzo di ruoli collegati ai servizi per Amazon Managed Grafana
Amazon Managed Grafana utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon Managed Grafana. I ruoli collegati ai servizi sono predefiniti da Amazon Managed Grafana e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione di Amazon Managed Grafana perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon Managed Grafana definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon Managed Grafana può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi le tue risorse Amazon Managed Grafana perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano ruoli collegati ai servizi, consulta [AWS Servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Amazon Managed Grafana
Amazon Managed Grafana utilizza il ruolo collegato al servizio denominato: **AmazonManagedGrafana**Amazon Managed Grafana utilizza questo ruolo per creare e configurare risorse, come i segreti di Secrets ENIs Manager, all'interno degli account dei clienti. Il ruolo AmazonManagedGrafana collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `grafana.amazonaws.com`
Il ruolo AmazonManagedGrafana collegato al servizio è allegato alla policy. `AmazonGrafanaServiceLinkedRolePolicy` Per gli aggiornamenti a questa policy, consulta [Amazon Managed Grafana si aggiorna alle AWS policy gestite](security-iam-awsmanpol.md#iam-awsmanpol-updates).
La politica di autorizzazione dei ruoli consente ad Amazon Managed Grafana di completare le seguenti azioni sulle risorse specificate.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateNetworkInterface",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonGrafanaManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"Null": {
"aws:RequestTag/AmazonGrafanaManaged": "false"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:DeleteNetworkInterface",
"Resource": "*",
"Condition": {
"Null": {
"ec2:ResourceTag/AmazonGrafanaManaged": "false"
}
}
}
]
}
```
------
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato ai servizi per Amazon Managed Grafana
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando effettui una chiamata CreateWorkspace con un VpcConfiguration in Console di gestione AWS, the o l' AWS API AWS CLI, Amazon Managed Grafana crea il ruolo collegato al servizio per te.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il servizio Amazon Managed Grafana prima del 30 novembre 2022, quando ha iniziato a supportare ruoli collegati al servizio, Amazon Managed Grafana ha creato il ruolo nel tuo account. AmazonManagedGrafana Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando chiami CreateWorkspace con un VpcConfiguration, Amazon Managed Grafana crea nuovamente il ruolo collegato al servizio per te.
Puoi anche utilizzare la console IAM per creare un ruolo collegato al servizio con lo use case **Grafana**. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `grafana.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato al servizio per Amazon Managed Grafana
Amazon Managed Grafana non consente di modificare il ruolo collegato al AmazonManagedGrafana servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Amazon Managed Grafana
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio Amazon Managed Grafana utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse Amazon Managed Grafana utilizzate da AmazonManagedGrafana**
1. Passa alla visualizzazione **Tutti gli spazi di lavoro** `Region` nella AWS console.
1. Elimina tutte le aree di lavoro in. `Region` Devi selezionare il pulsante di opzione per ogni area di lavoro e scegliere il pulsante **Elimina** nella parte in alto a destra della vista **Tutte le aree di lavoro**. Ripeti l'eliminazione di ogni area di lavoro finché tutte le aree di lavoro non vengono eliminate da. `Region` Per ulteriori informazioni sull'eliminazione di un'area di lavoro in Amazon Managed Grafana, consulta l'argomento [Eliminazione di un'area di lavoro](https://docs.aws.amazon.com/grafana/latest/userguide/AMG-edit-delete-workspace.html) in questa guida per l'utente.
**Nota**
Ripeti la procedura per ogni area in cui disponi di aree di lavoro Regione AWS . È necessario eliminare tutte le aree di lavoro *in tutte le regioni* prima di poter eliminare il ruolo collegato al servizio.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AmazonManagedGrafana servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati al servizio Amazon Managed Grafana
Amazon Managed Grafana supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/grafana-service.html).
# Autorizzazioni e policy di Amazon Managed Grafana per le fonti di dati AWS
Amazon Managed Grafana offre tre modalità di autorizzazione:
+ Autorizzazioni gestite dal servizio per l'account corrente
+ Autorizzazioni gestite dal servizio per le organizzazioni
+ Autorizzazioni gestite dal cliente
Quando crei un'area di lavoro, scegli la modalità di autorizzazione da utilizzare. Puoi anche modificarla in un secondo momento, se lo desideri.
In entrambe le modalità di autorizzazione gestite dal servizio, Amazon Managed Grafana crea ruoli e policy necessari per accedere e scoprire le fonti di AWS dati nel tuo account o organizzazione. Puoi quindi modificare queste politiche nella console IAM, se lo desideri.
## Autorizzazioni gestite dal servizio per un singolo account
**In questa modalità, Amazon Managed Grafana crea un ruolo chiamato AmazonGrafanaServiceRole -. *random-id*** Amazon Managed Grafana assegna quindi una policy a questo ruolo per ogni AWS servizio a cui scegli di accedere dall'area di lavoro di Amazon Managed Grafana.
**CloudWatch**
Amazon Managed Grafana allega la policy gestita AWS . **AmazonGrafanaCloudWatchAccess**
**Per le aree di lavoro utilizzate CloudWatch prima della creazione della policy **AmazonGrafanaCloudWatchAccess**gestita, Amazon Managed Grafana ha creato una policy gestita dal cliente con il nome -. AmazonGrafanaCloudWatchPolicy *random-id***
** OpenSearch Servizio Amazon**
**Amazon Managed Grafana crea una policy gestita dal cliente con il nome -. AmazonGrafanaOpenSearchPolicy *random-id*** Le Get/Post autorizzazioni sono necessarie per l'accesso alle fonti di dati. Le List/Describe autorizzazioni vengono utilizzate da Amazon Managed Grafana per l'individuazione delle origini dati, ma non sono necessarie per il funzionamento del plug-in dell'origine dati. I contenuti della politica sono i seguenti:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:DescribeElasticsearchDomains",
"es:ListDomainNames"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "es:ESHttpPost",
"Resource": [
"arn:aws:es:*:*:domain/*/_msearch*",
"arn:aws:es:*:*:domain/*/_opendistro/_ppl"
]
}
]
}
```
**AWS IoT SiteWise**
Amazon Managed Grafana allega la policy gestita AWS . **AWSIoTSiteWiseReadOnlyAccess**
**Amazon Redshift**
Amazon Managed Grafana allega la policy gestita AWS . **AmazonGrafanaRedshiftAccess**
**Amazon Athena**
Amazon Managed Grafana allega la policy gestita AWS . **AmazonGrafanaAthenaAccess**
**Amazon Managed Service per Prometheus**
**Amazon Managed Grafana crea una policy gestita dal cliente con il nome -. AmazonGrafanaPrometheusPolicy *random-id*** Le List/Describe autorizzazioni vengono utilizzate da Amazon Managed Grafana per l'individuazione delle fonti di dati, non sono necessarie per il funzionamento del plug-in. I contenuti della politica sono i seguenti:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aps:ListWorkspaces",
"aps:DescribeWorkspace",
"aps:QueryMetrics",
"aps:GetLabels",
"aps:GetSeries",
"aps:GetMetricMetadata"
],
"Resource": "*"
}
]
}
```
**Amazon SNS**
**Amazon Managed Grafana crea una policy gestita dal cliente con il nome -. AmazonGrafana SNSPolicy *random-id*** La policy ti limita a utilizzare nel tuo account solo argomenti SNS che iniziano con la stringa. `grafana` Questo non è necessario se crei la tua politica. I contenuti della politica sono i seguenti:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:111122223333:grafana*"
]
}
]
}
```
**Timestream**
Amazon Managed Grafana allega la policy gestita AWS . **AmazonTimestreamReadOnlyAccess**
**X-Ray**
Amazon Managed Grafana allega la policy gestita AWS . **AWSXrayReadOnlyAccess**
## Autorizzazioni gestite dal servizio per un'organizzazione
Questa modalità è supportata solo per le aree di lavoro create in account di gestione o account di amministratore delegato in un'organizzazione. Gli account amministratore delegati possono creare e amministrare set di stack per l'organizzazione. Per ulteriori informazioni sugli account di amministratore delegato, consulta [Registrare](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) un amministratore delegato.
**Nota**
La creazione di risorse come le aree di lavoro Amazon Managed Grafana nell'account di gestione di un'organizzazione è contraria alle migliori pratiche di AWS sicurezza.
In questa modalità, Amazon Managed Grafana crea tutti i ruoli IAM necessari per accedere alle AWS risorse di altri account dell'organizzazione. AWS **In ogni account delle unità organizzative selezionate, Amazon Managed Grafana crea un ruolo chiamato AmazonGrafanaOrgMemberRole -. *random-id*** La creazione di questo ruolo viene eseguita tramite un'integrazione con AWS CloudFormation StackSets.
A questo ruolo è associata una politica per ogni fonte di AWS dati che scegli di utilizzare nell'area di lavoro. Per i contenuti di queste politiche relative ai dati, consulta[Autorizzazioni gestite dal servizio per un singolo account](#AMG-service-managed-account).
Amazon Managed Grafana crea anche un ruolo chiamato **AmazonGrafanaOrgAdminRole- *random-id*** nell'account di gestione dell'organizzazione. Questo ruolo consente all'area di lavoro Amazon Managed Grafana l'autorizzazione ad accedere ad altri account dell'organizzazione. AWS A questo ruolo vengono associate anche le politiche del canale di notifica dei servizi. Utilizza il menu **AWS Data Source** nel tuo spazio di lavoro per fornire rapidamente le fonti di dati per ogni account a cui l'area di lavoro può accedere
Per utilizzare questa modalità, è necessario abilitare CloudFormation Stacksets come servizio affidabile nell'organizzazione. AWS Per ulteriori informazioni, consulta [Abilitare l'accesso affidabile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) con. AWS Organizations
Ecco il contenuto del set **AmazonGrafanaStackSet- *random-id*** stack:
```
Parameters:
IncludePrometheusPolicy:
Description: Whether to include Amazon Prometheus access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeAESPolicy:
Description: Whether to include Amazon Elasticsearch access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeCloudWatchPolicy:
Description: Whether to include CloudWatch access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeTimestreamPolicy:
Description: Whether to include Amazon Timestream access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeXrayPolicy:
Description: Whether to include AWS X-Ray access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeSitewisePolicy:
Description: Whether to include AWS IoT SiteWise access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeRedshiftPolicy:
Description: Whether to include Amazon Redshift access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeAthenaPolicy:
Description: Whether to include Amazon Athena access in the role
Type: String
AllowedValues:
- true
- false
Default: false
RoleName:
Description: Name of the role to create
Type: String
AdminAccountId:
Description: Account ID of the Amazon Grafana org admin
Type: String
Conditions:
addPrometheus: !Equals [!Ref IncludePrometheusPolicy, true]
addAES: !Equals [!Ref IncludeAESPolicy, true]
addCloudWatch: !Equals [!Ref IncludeCloudWatchPolicy, true]
addTimestream: !Equals [!Ref IncludeTimestreamPolicy, true]
addXray: !Equals [!Ref IncludeXrayPolicy, true]
addSitewise: !Equals [!Ref IncludeSitewisePolicy, true]
addRedshift: !Equals [!Ref IncludeRedshiftPolicy, true]
addAthena: !Equals [!Ref IncludeAthenaPolicy, true]
Resources:
PrometheusPolicy:
Type: AWS::IAM::Policy
Condition: addPrometheus
Properties:
Roles:
- !Ref GrafanaMemberServiceRole
PolicyName: AmazonGrafanaPrometheusPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- aps:QueryMetrics
- aps:GetLabels
- aps:GetSeries
- aps:GetMetricMetadata
- aps:ListWorkspaces
- aps:DescribeWorkspace
Resource: '*'
AESPolicy:
Type: AWS::IAM::Policy
Condition: addAES
Properties:
Roles:
- !Ref GrafanaMemberServiceRole
PolicyName: AmazonGrafanaElasticsearchPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Sid: AllowReadingESDomains
Effect: Allow
Action:
- es:ESHttpGet
- es:ESHttpPost
- es:ListDomainNames
- es:DescribeElasticsearchDomains
Resource: '*'
CloudWatchPolicy:
Type: AWS::IAM::Policy
Condition: addCloudWatch
Properties:
Roles:
- !Ref GrafanaMemberServiceRole
PolicyName: AmazonGrafanaCloudWatchPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Sid: AllowReadingMetricsFromCloudWatch
Effect: Allow
Action:
- cloudwatch:DescribeAlarmsForMetric
- cloudwatch:DescribeAlarmHistory
- cloudwatch:DescribeAlarms
- cloudwatch:ListMetrics
- cloudwatch:GetMetricStatistics
- cloudwatch:GetMetricData
- cloudwatch:GetInsightRuleReport
Resource: "*"
- Sid: AllowReadingLogsFromCloudWatch
Effect: Allow
Action:
- logs:DescribeLogGroups
- logs:GetLogGroupFields
- logs:StartQuery
- logs:StopQuery
- logs:GetQueryResults
- logs:GetLogEvents
Resource: "*"
- Sid: AllowReadingTagsInstancesRegionsFromEC2
Effect: Allow
Action:
- ec2:DescribeTags
- ec2:DescribeInstances
- ec2:DescribeRegions
Resource: "*"
- Sid: AllowReadingResourcesForTags
Effect: Allow
Action:
- tag:GetResources
Resource: "*"
GrafanaMemberServiceRole:
Type: 'AWS::IAM::Role'
Properties:
RoleName: !Ref RoleName
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
AWS: !Sub arn:aws:iam::${AdminAccountId}:root
Action:
- 'sts:AssumeRole'
Path: /service-role/
ManagedPolicyArns:
- !If [addTimestream, arn:aws:iam::aws:policy/AmazonTimestreamReadOnlyAccess, !Ref AWS::NoValue]
- !If [addXray, arn:aws:iam::aws:policy/AWSXrayReadOnlyAccess, !Ref AWS::NoValue]
- !If [addSitewise, arn:aws:iam::aws:policy/AWSIoTSiteWiseReadOnlyAccess, !Ref AWS::NoValue]
- !If [addRedshift, arn:aws:iam::aws:policy/service-role/AmazonGrafanaRedshiftAccess, !Ref AWS::NoValue]
- !If [addAthena, arn:aws:iam::aws:policy/service-role/AmazonGrafanaAthenaAccess, !Ref AWS::NoValue]
```
Ecco il contenuto di **AmazonGrafanaOrgAdminPolicy- *random-id***.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListOrganizationalUnitsForParent"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-organizationId"
}
}
},
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::*:role/service-role/AmazonGrafanaOrgMemberRole-random-Id"
}]
}
```
------
## Autorizzazioni gestite dal cliente
Se scegli di utilizzare le autorizzazioni gestite dal cliente, specifichi un ruolo IAM esistente nel tuo account quando crei uno spazio di lavoro Amazon Managed Grafana. Il ruolo deve avere una politica di fiducia affidabile. `grafana.amazonaws.com`
Di seguito è riportato un esempio di tale politica:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "grafana.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Affinché quel ruolo possa accedere alle fonti di AWS dati o ai canali di notifica in quell'account, deve disporre delle autorizzazioni previste nelle politiche elencate in precedenza in questa sezione. Ad esempio, per utilizzare l'origine CloudWatch dati, deve disporre delle autorizzazioni indicate nella CloudWatch politica elencata in. [Autorizzazioni gestite dal servizio per un singolo account](#AMG-service-managed-account)
Le autorizzazioni `List` e `Describe` le autorizzazioni nelle politiche per Amazon OpenSearch Service e Amazon Managed Service for Prometheus mostrate [Autorizzazioni gestite dal servizio per un singolo account](#AMG-service-managed-account) in sono necessarie solo per il corretto funzionamento del rilevamento e del provisioning delle fonti di dati. Non sono necessarie se desideri semplicemente configurare queste fonti di dati manualmente.
**Accesso multi-account**
Quando viene creato uno spazio di lavoro nell'account 1111, deve essere fornito un ruolo nell'account 11111. Per questo esempio, chiama questo ruolo. *WorkspaceRole* Per accedere ai dati nell'account 9999, è necessario creare un ruolo nell'account 9999. Chiamalo. *DataSourceRole* È quindi necessario stabilire una relazione di fiducia tra *WorkspaceRole*e *DataSourceRole*. Per ulteriori informazioni su come stabilire la fiducia tra due ruoli, consulta [IAM Tutorial: Delegare l'accesso tra AWS account utilizzando i ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html).
*DataSourceRole*deve contenere le dichiarazioni politiche elencate in precedenza in questa sezione per ogni fonte di dati che desideri utilizzare. Dopo aver stabilito la relazione di trust, puoi specificare l'ARN di *DataSourceRole*(arn:aws:iam: :99999999:role:DataSourceRole) nel campo **Assumi ruolo ARN nella pagina di configurazione dell'origine dati** di qualsiasi origine dati nel tuo spazio di lavoro. AWS L'origine dati accede quindi all'account 9999 con le autorizzazioni definite in. *DataSourceRole*
# autorizzazioni IAM
L'accesso alle azioni e ai dati di Amazon Managed Grafana richiede credenziali. Tali credenziali devono disporre delle autorizzazioni per eseguire le azioni e accedere alle AWS risorse, ad esempio recuperare i dati di Amazon Managed Grafana sulle tue risorse cloud. Le seguenti sezioni forniscono dettagli su come utilizzare AWS Identity and Access Management Amazon Managed Grafana per proteggere le tue risorse, controllando chi può accedervi. Per ulteriori informazioni, consulta [Policy e autorizzazioni in IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
## Autorizzazioni Amazon Managed Grafana
La tabella seguente mostra le possibili azioni di Amazon Managed Grafana e le relative autorizzazioni richieste:
| Azione | Autorizzazione richiesta |
| --- | --- |
| Crea uno spazio di lavoro Amazon Managed Grafana. Un workspace è un server Grafana logicamente isolato utilizzato per creare e visualizzare metriche, log e tracce. | `grafana:CreateWorkspace` |
| Elimina un'area di lavoro Amazon Managed Grafana. | `grafana:DeleteWorkspace` |
| Recupera informazioni dettagliate su un'area di lavoro Amazon Managed Grafana. | `grafana:DescribeWorkspace` |
| Recupera la configurazione di autenticazione associata a un'area di lavoro. | `grafana:DescribeWorkspaceAuthentication` |
| Recupera un elenco di autorizzazioni associate agli utenti e ai gruppi dell'area di lavoro. | `grafana:ListPermissions` |
| Recupera un elenco delle aree di lavoro Amazon Managed Grafana presenti nell'account. | `grafana:ListWorkspaces` |
| Aggiorna le autorizzazioni associate agli utenti e ai gruppi dell'area di lavoro. | `grafana:UpdatePermissions` |
| Aggiorna le aree di lavoro Amazon Managed Grafana. | `grafana:UpdateWorkspace` |
| Aggiorna la configurazione di autenticazione associata a un'area di lavoro. | `grafana:UpdateWorkspaceAuthentication` |
| Associa una licenza Grafana Enterprise a uno spazio di lavoro. | `grafana:AssociateLicense` |
# Convalida della conformità per Amazon Managed Grafana
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza in Amazon Managed Grafana
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, puoi progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta Global Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Oltre all'infrastruttura AWS globale, Amazon Managed Grafana offre diverse funzionalità per supportare le tue esigenze di resilienza e backup dei dati.
# Sicurezza dell'infrastruttura in Amazon Managed Grafana
In quanto servizio gestito, Amazon Managed Grafana è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizza chiamate API AWS pubblicate per accedere ad Amazon Managed Grafana attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Registrazione delle chiamate all'API Amazon Managed Grafana utilizzando AWS CloudTrail
Amazon Managed Grafana è integrato con [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o un. Servizio AWS CloudTrailacquisisce tutte le chiamate API per Amazon Managed Grafana come eventi. Le chiamate acquisite includono chiamate dalla console Amazon Managed Grafana e chiamate in codice alle operazioni dell'API Amazon Managed Grafana.
Amazon Managed Grafana acquisisce anche alcune chiamate che utilizzano Grafana. APIs Le chiamate acquisite sono quelle che modificano i dati, ad esempio le chiamate che creano, aggiornano o eliminano risorse. Per ulteriori informazioni su Grafana APIs supportate in Amazon Managed Grafana, consulta. [Usare Grafana HTTP APIs](Using-Grafana-APIs.md)
Utilizzando le informazioni raccolte da CloudTrail, puoi determinare la richiesta che è stata effettuata ad Amazon Managed Grafana, l'indirizzo IP da cui è stata effettuata la richiesta, quando è stata effettuata e ulteriori dettagli.
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali utente root o utente.
+ Se la richiesta è stata effettuata per conto di un utente del Centro identità IAM.
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro Servizio AWS.
CloudTrail è attivo nel tuo account Account AWS quando crei l'account e hai automaticamente accesso alla **cronologia degli CloudTrail eventi**. La **cronologia CloudTrail degli eventi** fornisce un record visualizzabile, ricercabile, scaricabile e immutabile degli ultimi 90 giorni di eventi di gestione registrati in un. Regione AWS*Per ulteriori informazioni, consulta [Lavorare con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella Guida per l'utente.AWS CloudTrail * Non sono CloudTrail previsti costi per la visualizzazione della **cronologia degli eventi**.
Per una registrazione continua degli eventi degli Account AWS ultimi 90 giorni, crea un trail o un data store di eventi [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail sentieri**
Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Tutti i percorsi creati utilizzando il Console di gestione AWS sono multiregionali. È possibile creare un trail per una singola Regione o per più Regioni tramite AWS CLI. La creazione di un percorso multiregionale è consigliata in quanto consente di registrare l'intera attività del proprio Regioni AWS account. Se si crea un trail per una singola Regione, è possibile visualizzare solo gli eventi registrati nella Regione AWS del trail. Per ulteriori informazioni sui trail, consulta [Creating a trail for your Account AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) e [Creating a trail for an organization](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) nella *Guida per l'utente di AWS CloudTrail *.
Puoi inviare gratuitamente una copia dei tuoi eventi di gestione in corso al tuo bucket Amazon S3 CloudTrail creando un percorso, tuttavia ci sono costi di storage di Amazon S3. [Per ulteriori informazioni sui CloudTrail prezzi, consulta la pagina Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) Per informazioni sui prezzi di Amazon S3, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Archivi di dati sugli eventi di Lake**
*CloudTrail Lake* ti consente di eseguire query basate su SQL sui tuoi eventi. CloudTrail [Lake converte gli eventi esistenti in formato JSON basato su righe in formato Apache ORC.](https://orc.apache.org/) ORC è un formato di archiviazione a colonne ottimizzato per il recupero rapido dei dati. Gli eventi vengono aggregati in *archivi di dati degli eventi*, che sono raccolte di eventi immutabili basate sui criteri selezionati applicando i [selettori di eventi avanzati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). I selettori applicati a un archivio di dati degli eventi controllano quali eventi persistono e sono disponibili per l'esecuzione della query. *Per ulteriori informazioni su CloudTrail Lake, consulta [Working with AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) nella Guida per l'utente.AWS CloudTrail *
CloudTrail Gli archivi e le richieste di dati sugli eventi di Lake comportano dei costi. Quando crei un datastore di eventi, scegli l'[opzione di prezzo](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. [Per ulteriori informazioni sui CloudTrail prezzi, consulta la sezione Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/)
## Eventi di gestione di Amazon Managed Grafana in CloudTrail
[Gli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) di gestione forniscono informazioni sulle operazioni di gestione eseguite sulle risorse del tuo Account AWS. Queste operazioni sono definite anche operazioni del piano di controllo (control-plane). Per impostazione predefinita, CloudTrail registra gli eventi di gestione.
Amazon Managed Grafana registra tutte le operazioni del piano di controllo Amazon Managed Grafana come eventi di gestione. Per un elenco delle operazioni del piano di controllo di Amazon Managed Grafana a cui Amazon Managed Grafana effettua l'accesso, CloudTrail consulta l'Amazon [Managed](https://docs.aws.amazon.com/grafana/latest/APIReference/Welcome.html) Grafana API Reference.
## Esempi di eventi Amazon Managed Grafana
Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'operazione API richiesta, la data e l'ora dell'operazione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia stack ordinata delle chiamate API pubbliche, quindi gli eventi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro per un' CreateWorkspace azione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ANPAJ2UCCR6DPCEXAMPLE:sdbt-example",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/sdbt-example",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ANPAJ2UCCR6DPCEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-11-26T20:59:21Z"
}
}
},
"eventTime": "2020-11-26T21:10:48Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "CreateWorkspace",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.251.233.179",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:82.0) Gecko/20100101 Firefox/82.0",
"requestParameters": {
"permissionType": "Service Managed",
"workspaceNotificationDestinations": [
"SNS"
],
"workspaceDescription": "",
"clientToken": "12345678-abcd-1234-5678-111122223333",
"workspaceDataSources": [
"SITEWISE",
"XRAY",
"CLOUDWATCH",
"ELASTICSEARCH",
"PROMETHEUS",
"TIMESTREAM"
],
"accountAccessType": "CURRENT_ACCOUNT",
"workspaceName": "CloudTrailTest",
"workspaceRoleArn": "arn:aws:iam::123456789012:role/service-role/AmazonGrafanaServiceRole-27O5976ol"
},
"responseElements": {
"Access-Control-Expose-Headers": "x-amzn-RequestId,x-amzn-ErrorType,x-amzn-ErrorMessage,Date",
"workspace": {
"accountAccessType": "CURRENT_ACCOUNT",
"created": 1606425045.22,
"dataSources": [
"SITEWISE",
"XRAY",
"CLOUDWATCH",
"ELASTICSEARCH",
"PROMETHEUS",
"TIMESTREAM"
],
"description": "",
"grafanaVersion": "7.3.1",
"id": "g-a187c473d3",
"modified": 1606425045.22,
"name": "CloudTrailTest",
"notificationDestinations": [
"SNS"
],
"permissionType": "Service Managed",
"status": "CREATING",
"workspaceRoleArn": "arn:aws:iam::123456789012:role/service-role/AmazonGrafanaServiceRole-27O5976ol"
}
},
"requestID": "12345678-5533-4e10-b486-e9c7b219f2fd",
"eventID": "12345678-2710-4359-ad90-b902dbfb606b",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123456789012"
}
```
L'esempio seguente mostra una voce di CloudTrail registro per un' UpdateWorkspaceAuthenticationazione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAU2UJBF3NRO35YZ3GV:CODETEST_Series_GrafanaApiTestHydraCanary12-o6aeXqaXS_1090259374",
"arn": "arn:aws:sts::332073610971:assumed-role/HydraInvocationRole-4912743f1277b7c3c67cb29518f8bc413ae/CODETEST_Series_GrafanaApiTestHydraCanary12-o6aeXqaXS_1090259374",
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAU2UJBF3NRO35YZ3GV",
"arn": "arn:aws:iam::111122223333:role/HydraInvocationRole-4912743f1277b7c3c67cb29518f8bc413ae",
"accountId": "332073610971",
"userName": "TestInvocationRole-4912743f1277b7c3c67cb29518f8bc413ae"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-08-04T20:50:24Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2021-08-04T21:29:25Z",
"eventSource": "gamma-grafana.amazonaws.com",
"eventName": "UpdateWorkspaceAuthentication",
"awsRegion": "us-west-2",
"sourceIPAddress": "34.215.72.249",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.1030 Linux/4.14.231-180.360.amzn2.x86_64 OpenJDK_64-Bit_Server_VM/11.0.11+9-LTS java/11.0.11 vendor/Amazon.com_Inc. cfg/retry-mode/legacy exec-env/AWS_Lambda_java11",
"requestParameters": {
"authenticationProviders": [
"AWS_SSO",
"SAML"
],
"samlConfiguration": {
"idpMetadata": {
"url": "https://portal.sso.us-east-1.amazonaws.com/saml/metadata/NjMwMDg2NDc4OTA3X2lucy1jY2E2ZGU3ZDlmYjdiM2Vh"
}
},
"workspaceId": "g-84ea23c1b4"
},
"responseElements": {
"authentication": {
"awsSso": {
"ssoClientId": "gAROcWGs9-LoqCMIQ56XyEXAMPLE"
},
"providers": [
"AWS_SSO",
"SAML"
],
"saml": {
"configuration": {
"idpMetadata": {
"url": "https://portal.sso.us-east-1.amazonaws.com/saml/metadata/NjMwMDg2NDc4OTA3X2lucy1jY2E2ZGU3ZDlmYjdiM2Vh"
},
"loginValidityDuration": 60
},
"status": "CONFIGURED"
}
}
},
"requestID": "96adb1de-7fa5-487e-b6c6-6b0d4495cb71",
"eventID": "406bc825-bc52-475c-9c91-4c0d8a07c1fa",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Per informazioni sul contenuto dei CloudTrail record, consultate il [contenuto dei CloudTrail record](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) nella *Guida AWS CloudTrail per l'utente*.
## Esempi di eventi dell'API Grafana
Amazon Managed Grafana registra anche alcune chiamate API Grafana. CloudTrail Le chiamate acquisite sono quelle che modificano i dati, ad esempio le chiamate che creano, aggiornano o eliminano risorse. Per ulteriori informazioni su Grafana APIs supportate in Amazon Managed Grafana, consulta. [Usare Grafana HTTP APIs](Using-Grafana-APIs.md)
**L'utente accede all'area di lavoro Amazon Managed Grafana utilizzando AWS IAM Identity Center**
```
{
"Records": [
{
"eventVersion": "1.08",
"userIdentity": {
"type": "SAMLUser",
"userName": "johndoe"
},
"eventTime": "2021-07-09T02:31:59Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "login-auth.sso",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36",
"requestParameters": null,
"responseElements": null,
"eventID": "176bf326-0302-4190-8dbf-dfdf481d8198",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:31:59.045984031Z",
"user": {
"userId": 1,
"orgId": 1,
"name": "johndoe",
"isAnonymous": false
},
"action": "login-auth.sso",
"requestUri": "",
"request": {
"query": {
"code": [
"eyJraWQiOiJrZXktMTU2Njk2ODEyMSIsImFsZyI6IkhTMzg0In0.eyJwbGFpbnRleHQiOiJZUzEwYWtaWHpBZUowTDlQcW5ROGFmZUw2YUZMRklPWUtkX2RRMmhmUUFFIiwiZXhwIjoxNjI1Nzk4MjE4LCJ0eXBlIjoiYXV0aENvZGUifQ.F6MCLvokeXFv1zEwaSg66wdfnNh0dEnLIKBZ4c1dhfNHX_XQywkSq3aqqUg4CsB7"
],
"state": [
"QUFBQURtdGxlUzB4TlRZNE9UVTFOekkyM2RUWUFUaHZHYXcyOU9ULUVaWHhNUXAwX184N25RVGVWMmd0enFpVE1iWlRPV0M0X09HaDZscjcweDZNbUE3blRjamNISk9RQ2hCUktrY093ZW52aDNWZ2R5UXVndnc4R2g0RkxsamkwMGNvektWbS1KYWRVYnZ0X3AtSU5JRzIxZjFvcWgxN19vM0lPaW9vY1FBVlhLVmEzRE5CRjQxTU1fM3VmYzNWdW53aGZ0QVdFWHBUWTNWTkxrcllKQ3I1akFOUmV1Zlh4Y3ZjQi1XOEVMa0RPUFBqM094VGgta2hHdVFxSDB4YXZKMng"
]
}
},
"result": {
"statusType": "failure"
},
"ipAddress": "192.0.2.0,198.51.100.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE",
"extUserInfo": "{\"OAuthToken\":null,\"AuthModule\":\"auth.sso\",\"AuthId\":\"92670be4c1-e524608b-82f2-452d-a707-161c1e5f4706\",\"UserId\":0,\"Email\":\"\",\"Login\":\"johndoe\",\"Name\":\"johndoe\",\"Groups\":null,\"OrgRoles\":{\"1\":\"Admin\"},\"IsGrafanaAdmin\":false,\"IsDisabled\":false}"
}
}
}
]
}
```
**Grafana API POST/api/auth/keys**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:32Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "create",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "157bbf19-6ba4-4704-bc3b-d3e334b3a2b8",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:32.419795511Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "create",
"resources": [
{
"ID": 0,
"type": "api-key"
}
],
"requestUri": "",
"request": {
"body": "{\"name\":\"keyname\",\"role\":\"Admin\",\"secondsToLive\":60}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**API Grafana DELETE//:id api/auth/keys**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:33Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "delete",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.2",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "df1aafb3-28c6-4836-a64b-4d34538edc51",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:33.045041594Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "delete",
"resources": [
{
"ID": 0,
"type": "api-key"
}
],
"requestUri": "",
"request": {
"params": {
":id": "24"
}
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.2",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana API POST/api/alerts/:id/pause**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:40Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "pause",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.3",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "d533a7ba-f193-45ac-a88c-75ed0594509b",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:40.261226856Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "pause",
"resources": [
{
"ID": 0,
"type": "alert"
}
],
"requestUri": "",
"request": {
"params": {
":alertId": "1"
},
"body": "{\"paused\":true}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.3",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana POST/api/alerts/test**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:39Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "test",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,10.0.42.208",
"userAgent": "python-requests/2.24.0",
"errorCode": "400",
"errorMessage": "The dashboard needs to be saved at least once before you can test an alert rule",
"requestParameters": null,
"responseElements": null,
"eventID": "7094644d-8230-4774-a092-8a128eb6dec9",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:39.622607860Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "test",
"resources": [
{
"ID": 0,
"type": "panel"
}
],
"requestUri": "",
"request": {},
"result": {
"statusType": "failure",
"statusCode": "400",
"failureMessage": "The dashboard needs to be saved at least once before you test an alert rule"
},
"ipAddress": "192.0.2.0, 10.0.42.208",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Notifiche POST /api/alert dell'API Grafana**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:40Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "create",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.0",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "1ce099b3-c427-4338-9f42-d38d1ef64efe",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:40.888295790Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "create",
"resources": [
{
"ID": 0,
"type": "alert-notification"
}
],
"requestUri": "",
"request": {
"body": "{\"name\":\"alert notification name\",\"type\":\"Slack\"}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.0",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**API Grafana PUT//:uid api/alert-notifications/uid**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:42Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "update",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.3",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "cebfeb38-5007-495c-bd29-c8077797acac",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:42.792652648Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "update",
"resources": [
{
"ID": 0,
"type": "alert-notification"
}
],
"requestUri": "",
"request": {
"params": {
":uid": "WvDWDSinz"
},
"body": "{\"name\":\"DIFFERENT alert notification name\",\"type\":\"AWS SNS\"}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.3",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**API Grafana POST /api/annotazioni**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:45Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "create",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "13bf3bef-966c-4913-a760-ade365a4a08f",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:45.394513179Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "create",
"resources": [
{
"ID": 0,
"type": "annotation"
}
],
"requestUri": "",
"request": {
"body": "{\"dashboardId\":36,\"panelId\":2,\"tags\":[\"tag1\",\"tag2\"],\"what\":\"Event Name\"}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**API Grafana DELETE//:uid api/dashboards/uid**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:17:09Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "delete",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.7",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "d6ad9134-5fbc-403c-a76d-4ed9a81065b6",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:17:09.200112003Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "delete",
"resources": [
{
"ID": 0,
"type": "dashboard"
}
],
"requestUri": "",
"request": {
"params": {
":uid": "GLzWvIi7z"
}
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.7",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**API Grafana PUT /api/datasources/:DataSourceId**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:36Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "update",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,10.0.108.94",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "92877483-bdf6-44f5-803e-1ac8ad997113",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:36.918660585Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "update",
"resources": [
{
"ID": 0,
"type": "datasource"
}
],
"requestUri": "",
"request": {
"params": {
":id": "108"
},
"body": "{\"access\":\"proxy\",\"basicAuth\":false,\"name\":\"test_amp_datasource_NEW_name\",\"type\":\"Amazon Managed Prometheus\",\"url\":\"http://amp.amazonaws.com\"}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,10.0.108.94",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana API DELETE//:groupId api/teams/:teamId/groups**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:17:07Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "delete",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.2",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "b41d3967-daab-44d1-994a-a437556add82",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:17:07.296142539Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "delete",
"resources": [
{
"ID": 0,
"type": "team"
}
],
"requestUri": "",
"request": {
"params": {
":groupId": "cn=editors,ou=groups,dc=grafana,dc=org",
":teamId": "35"
}
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.2",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**API Grafana PUT /api/folders/:uid**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:56Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "update",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"errorCode": "412",
"errorMessage": "the folder has been changed by someone else",
"requestParameters": null,
"responseElements": null,
"eventID": "414c98c8-aa53-45e4-940d-bea55716eaf6",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:56.382646826Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "update",
"resources": [
{
"ID": 0,
"type": "folder"
}
],
"requestUri": "",
"request": {
"params": {
":uid": "lnsZvSi7z"
},
"body": "{\"title\":\"NEW Folder Name\"}"
},
"result": {
"statusType": "failure",
"statusCode": "412",
"failureMessage": "the folder has been changed by someone else"
},
"ipAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**API Grafana POST /api/teams**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:17:02Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "create",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,10.0.40.206",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "8d40bd79-76a8-490c-b7bb-74205253b707",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:17:02.845022379Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "create",
"resources": [
{
"ID": 0,
"type": "team"
}
],
"requestUri": "",
"request": {
"body": "{\"name\":\"TeamName\"}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,10.0.40.206",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
# Best practice di sicurezza
Gli argomenti di questa sezione spiegano le best practice da seguire per mantenere al meglio la sicurezza nella distribuzione di Amazon Managed Grafana.
## Usa chiavi API di breve durata
Per utilizzare Grafana APIs in un'area di lavoro Amazon Managed Grafana, devi prima creare una chiave API da utilizzare per l'autorizzazione. Quando crei la chiave, specifichi il **periodo di** validità della chiave, che definisce per quanto tempo la chiave è valida, fino a un massimo di 30 giorni. Ti consigliamo vivamente di impostare la durata di vita della chiave per un periodo più breve, ad esempio poche ore o meno. Ciò comporta un rischio molto inferiore rispetto all'utilizzo di chiavi API valide per un lungo periodo.
Ti consigliamo inoltre di trattare le chiavi API come password, in termini di protezione. Ad esempio, non archiviarle in testo semplice.
## Migrazione da Grafana autogestita
Questa sezione è importante per te se stai migrando una distribuzione esistente di Grafana o Grafana Enterprise autogestita ad Amazon Managed Grafana. Questo vale sia per Grafana locale che per una distribuzione Grafana AWS su, nel tuo account.
Se utilizzi Grafana in locale o con il tuo AWS account, probabilmente hai definito utenti e team e potenzialmente ruoli organizzativi per gestire l'accesso. In Amazon Managed Grafana, gli utenti e i gruppi vengono gestiti all'esterno di Amazon Managed Grafana, utilizzando IAM Identity Center o direttamente dal tuo provider di identità (IdP) tramite l'integrazione SAML 2.0. Con Amazon Managed Grafana, puoi assegnare determinate autorizzazioni necessarie per eseguire un'attività, ad esempio la visualizzazione di dashboard. Per ulteriori informazioni sulla gestione degli utenti in Amazon Managed Grafana, consulta. [Gestisci aree di lavoro, utenti e politiche in Amazon Managed Grafana](AMG-manage-workspaces-users.md)
Inoltre, quando esegui Grafana in locale, utilizzi chiavi di lunga durata o credenziali segrete per accedere alle fonti di dati. Quando esegui la migrazione ad Amazon Managed Grafana, ti consigliamo vivamente di sostituire questi utenti IAM con ruoli IAM. Per un esempio, consulta [Aggiungi manualmente CloudWatch come fonte di dati](adding--CloudWatch-manual.md).
# Endpoint VPC di interfaccia
Forniamo AWS PrivateLink supporto tra Amazon VPC e Amazon Managed Grafana. Puoi controllare l'accesso al servizio Amazon Managed Grafana dagli endpoint del cloud privato virtuale (VPC) allegando una policy delle risorse IAM per gli endpoint Amazon VPC.
Amazon Managed Grafana supporta due diversi tipi di endpoint VPC. Puoi connetterti al servizio Amazon Managed Grafana, che fornisce l'accesso ad Amazon Managed Grafana APIs per gestire le aree di lavoro. Oppure puoi creare un endpoint VPC per uno spazio di lavoro specifico.
## Utilizzo di Amazon Managed Grafana con endpoint VPC di interfaccia
Esistono due modi per utilizzare gli endpoint VPC di interfaccia con Amazon Managed Grafana. Puoi utilizzare un endpoint VPC per consentire a AWS risorse come le istanze Amazon EC2 di accedere all'API Amazon Managed Grafana per gestire le risorse oppure puoi utilizzare un endpoint VPC per limitare l'accesso di rete ai tuoi spazi di lavoro Amazon Managed Grafana.
+ Se utilizzi Amazon VPC per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e l'[API Amazon Managed Grafana](https://docs.aws.amazon.com/grafana/latest/APIReference/API_Operations.html) utilizzando l'endpoint del nome del servizio. `com.amazonaws.region.grafana`
+ Se stai cercando di utilizzare il controllo dell'accesso alla rete per aggiungere sicurezza al tuo spazio di lavoro Amazon Managed Grafana, puoi stabilire una connessione privata tra il tuo VPC e l'endpoint degli spazi di lavoro Grafana, utilizzando l'endpoint del nome del servizio. `com.amazonaws.region.grafana-workspace`
Amazon VPC è un software Servizio AWS che puoi utilizzare per avviare AWS risorse in una rete virtuale definita dall'utente. Con un VPC, detieni il controllo delle impostazioni della rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. *Per connettere il tuo VPC all'API Amazon Managed Grafana, definisci un endpoint VPC di interfaccia.* L'endpoint fornisce una connettività affidabile e scalabile ad Amazon Managed Grafana senza richiedere un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni, consultare [Che cos'è Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) nella *Guida per l'utente di Amazon VPC*
Gli *endpoint VPC di interfaccia* sono alimentati da AWS PrivateLink, una AWS tecnologia che consente la comunicazione privata tra Servizi AWS l'utilizzo di un'interfaccia di rete elastica con indirizzi IP privati. Per ulteriori informazioni, vedere [New — AWS PrivateLink for AWS Services](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/).
Per informazioni su come iniziare a usare Amazon VPC, consulta la Guida [introduttiva](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) alla Amazon *VPC* User Guide.
## Creazione di un endpoint VPC per stabilire una connessione AWS PrivateLink ad Amazon Managed Grafana
Crea un endpoint VPC di interfaccia per Amazon Managed Grafana con uno dei seguenti endpoint con nomi di servizio:
+ Per connetterti all'API Amazon Managed Grafana per la gestione delle aree di lavoro, scegli:
`com.amazonaws.region.grafana`.
+ Per connetterti a uno spazio di lavoro Amazon Managed Grafana (ad esempio, per utilizzare l'API Grafana), scegli:
`com.amazonaws.region.grafana-workspace`
Per i dettagli sulla creazione di un endpoint VPC di interfaccia, consulta [Create an interface endpoint nella](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) Amazon *VPC* User Guide.
[Per chiamare Grafana APIs, devi anche abilitare il DNS privato per il tuo endpoint VPC, seguendo le istruzioni nella Amazon VPC User Guide.](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#enable-private-dns-names) Ciò consente la risoluzione locale di nel modulo URLs `*.grafana-workspace.region.amazonaws.com`
## Utilizzo del controllo dell'accesso alla rete per limitare l'accesso all'area di lavoro Grafana
Se desideri limitare gli indirizzi IP o gli endpoint VPC che possono essere utilizzati per accedere a uno specifico spazio di lavoro Grafana, puoi [configurare il controllo dell'accesso alla rete](AMG-configure-nac.md) per quell'area di lavoro.
Per gli endpoint VPC a cui concedi l'accesso al tuo spazio di lavoro, puoi limitarne ulteriormente l'accesso configurando i gruppi di sicurezza per gli endpoint. Per ulteriori informazioni, consulta [Associare gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups) [e Regole dei gruppi](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) di sicurezza nella documentazione di *Amazon VPC*.
## Controllo dell'accesso al tuo endpoint VPC dell'API Amazon Managed Grafana con una policy sugli endpoint
Per gli endpoint VPC connessi all'API Amazon Managed Grafana (utilizzando`com.amazonaws.region.grafana`), puoi aggiungere una policy sugli endpoint VPC per limitare l'accesso al servizio.
**Nota**
Gli endpoint VPC collegati alle aree di lavoro (utilizzando`com.amazonaws.region.grafana-workspace`) non supportano le policy degli endpoint VPC.
Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non colleghi una policy durante la creazione di un endpoint, Amazon VPC collega una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy IAM basate sull'identità o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato.
Le policy endpoint devono essere scritte in formato JSON.
Per ulteriori informazioni, consulta [Controllare l'accesso al servizio con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella Amazon *VPC* User Guide.
Di seguito è riportato un esempio di policy sugli endpoint per Amazon Managed Grafana. Questa policy consente agli utenti che si connettono ad Amazon Managed Grafana tramite VPC di inviare dati al servizio Amazon Managed Grafana. Inoltre impedisce loro di eseguire altre azioni di Amazon Managed Grafana.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:DescribeWorkspace",
"grafana:UpdatePermissions",
"grafana:ListPermissions",
"grafana:ListWorkspaces"
],
"Resource": "arn:aws:grafana:*:*:/workspaces*",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
}
}
]
}
```
------
**Per modificare la policy degli endpoint VPC per Grafana**
1. [Apri la console Amazon VPC nella console VPC.](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, seleziona **Endpoint**.
1. **Se non hai ancora creato gli endpoint, scegli Crea endpoint.**
1. **Seleziona l'`com.amazonaws.region.grafana`endpoint, quindi scegli la scheda Politica.**
1. Scegli **Edit Policy** (Modifica policy), quindi apporta le modifiche.