翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS データソースにアクセスするための Amazon Managed Grafana と AWS Organizations の連携方法
AWS Organizations を使用すると、複数の AWS アカウントに対するデータソースの設定とアクセス許可設定を一元管理できます。Amazon Managed Grafana ワークスペースを備えた AWS アカウント には、他の組織単位を指定して、プライマリアカウントに AWS データソースを表示させることができます。
例えば、組織内の 1 つのアカウントに組織内の他のアカウントのデータソースへのアクセス権を付与して、これを Amazon Managed Grafana の管理アカウントとして使用することができます。管理アカウントでは、管理アカウントでアクセスする AWS データソースを持つすべての組織単位が一覧表示されます。これらのデータソースの設定に必要なロールとアクセス許可ポリシーが自動的に作成され、Amazon Managed Grafana ワークスペースの Grafana コンソールに表示されます。
Organizations の詳細については、「AWS Organizations とは」を参照してください。
Amazon Managed Grafana は CloudFormation StackSets を使用して、Amazon Managed Grafana が AWS 組織全体のデータソースに接続するために必要な AWS Identity and Access Management (IAM) ロールを自動的に作成します。Amazon Managed Grafana が組織全体のデータソースにアクセスするための IAM ポリシーを管理する前に、組織の管理アカウントで AWS CloudFormation [StackSets] を有効にする必要があります。Amazon Managed Grafana は、初めて必要になったときにこれを自動的に有効にします。
AWS IAM アイデンティティセンター および Organizations との統合のためのデプロイシナリオ
AWS IAM アイデンティティセンター と Organizations の両方で Amazon Managed Grafana を使用する場合、次の 3 つのシナリオのいずれかを使用して、組織内に Amazon Managed Grafana ワークスペースを作成することをお勧めします。シナリオごとに、十分なアクセス許可を持つアカウントにサインインする必要があります。詳細については、「Amazon Managed Grafana のサンプルポリシー」を参照してください。
スタンドアロンアカウント
スタンドアロンアカウントは、Organizations の組織のメンバーではない AWS アカウントです。これは、AWS を初めてめて試す際に考えられるシナリオです。
このシナリオでは、AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator、およびAWSSSODirectoryAdministrator のポリシーが設定されたアカウントにサインインしている場合、Amazon Managed Grafana によって自動的に AWS IAM アイデンティティセンター と Organizations が有効になります。詳細については、「Amazon Managed Grafana ワークスペースとユーザーを IAM Identity Center を使用する単一スタンドアロンアカウントで作成および管理する」を参照してください。
IAM Identity Center が既に設定されている既存の組織のメンバーアカウント
メンバーアカウントでワークスペースを作成するには、AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator、およびAWSSSODirectoryAdministrator ポリシーを持つアカウントでサインインする必要があります。詳細については、「IAM Identity Center を使用するメンバーアカウントの Grafana 管理者」を参照してください。
メンバーアカウントにワークスペースを作成し、そのワークスペースが組織内の他の AWS アカウントからリソースにアクセスできるようにするには、ワークスペースでカスタマーマネージドアクセス許可を使用する必要があります。詳細については、「「カスタマー管理」のアクセス許可」を参照してください。
サービスマネージドアクセス許可を使用して、ワークスペースが組織内の他の AWS アカウントからリソースにアクセスできるようにするには、組織の管理アカウントにワークスペースを作成する必要があります。ただし、組織の管理アカウントに Amazon Managed Grafana ワークスペースやその他のリソースを作成することはベストプラクティスではありません。Organizations のベストプラクティスの詳細については、「管理アカウントのベストプラクティス」を参照してください。
注記
お客様が 2019 年 11 月 25 日以前に管理アカウントで AWS IAM アイデンティティセンター を有効にした場合、管理アカウントでも IAM Identity Center 統合アプリケーションを有効にする必要があります。必要に応じて、管理アカウントで IAM Identity Center 統合アプリケーションを有効にした後、メンバーアカウントでも有効にすることができます。これらのアプリケーションを有効にするには、IAM Identity Center の [設定] ページの IAM Identity Center 統合アプリケーションセクションで [アクセスを有効にする] を選択します。詳細については、「IAM Identity Center 統合アプリケーションの有効化」を参照してください。
IAM Identity Center がまだデプロイされていない既存の組織のメンバーアカウント
このシナリオでは、まず組織管理者としてサインインし、組織内で IAM Identity Center を有効にします。次に、組織内のメンバーアカウントに Amazon Managed Grafana ワークスペースを作成します。
おなたが組織の管理者でない場合、Organizations の管理者に連絡して、IAM Identity Center を有効にするように依頼する必要があります。IAM Identity Center が有効になったら、メンバーアカウントにワークスペースを作成できます。
メンバーアカウントにワークスペースを作成し、そのワークスペースが組織内の他の AWS アカウントからリソースにアクセスできるようにするには、ワークスペースでカスタマーマネージドアクセス許可を使用する必要があります。詳細については、「「カスタマー管理」のアクセス許可」を参照してください。
メンバーアカウントでワークスペースを作成するには、AWSGrafanaAccountAdministrator、AWSSSOMemberAccountAdministrator、およびAWSSSODirectoryAdministrator ポリシーを持つアカウントでサインインする必要があります。詳細については、「IAM Identity Center を使用するメンバーアカウントの Grafana 管理者」を参照してください。
