翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Managed Grafana が AWS データソースアクセス AWS Organizations のために と連携する方法
を使用すると AWS Organizations、複数の AWS アカウントのデータソース設定とアクセス許可設定を一元管理できます。Amazon Managed Grafana ワークスペース AWS アカウント を使用する では、他の組織単位を指定して、 AWS データソースをプライマリアカウントで表示できるようにします。
例えば、組織内の 1 つのアカウントに組織内の他のアカウントのデータソースへのアクセス権を付与して、これを Amazon Managed Grafana の*管理アカウント*として使用することができます。管理アカウントで、管理アカウントでアクセスする AWS データソースを持つすべての組織単位を一覧表示します。これらのデータソースの設定に必要なロールとアクセス許可ポリシーが自動的に作成され、Amazon Managed Grafana ワークスペースの Grafana コンソールに表示されます。
Organizations の詳細については、「[AWS Organizationsとは](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。
Amazon Managed Grafana は、 CloudFormation StackSets を使用して、Amazon Managed Grafana が AWS 組織全体のデータソースに接続するために必要な AWS Identity and Access Management (IAM) ロールを自動的に作成します。Amazon Managed Grafana が組織全体のデータソースにアクセスするための IAM ポリシーを管理する前に、組織の管理アカウントで AWS CloudFormation StackSets を有効にする必要があります。Amazon Managed Grafana は、初めて必要になったときにこれを自動的に有効にします。
## AWS IAM アイデンティティセンター および Organizations との統合のためのデプロイシナリオ
AWS IAM アイデンティティセンター と Organizations の両方で Amazon Managed Grafana を使用している場合は、次の 3 つのシナリオのいずれかを使用して、組織内に Amazon Managed Grafana ワークスペースを作成することをお勧めします。シナリオごとに、十分なアクセス許可を持つアカウントにサインインする必要があります。詳細については、「[Amazon Managed Grafana のサンプルポリシー](security_iam_id-based-policy-examples.md#security_iam_AMG-id-based-policy-examples)」を参照してください。
**スタンドアロンアカウント**
スタンドアロンアカウントは、Organizations の組織のメンバーではない AWS アカウントです。これは、初めて試す場合 AWS のシナリオである可能性があります。
このシナリオでは、AWSGrafanaAccountAdministrator、**AWSSSOMemberAccountAdministrator**、 AWS IAM アイデンティティセンター および **AWSSSODirectoryAdministrator** ポリシーを持つアカウントにサインインすると、Amazon Managed Grafana は自動的に と Organizations を有効にします。 **AWSGrafanaAccountAdministrator** 詳細については、「[Amazon Managed Grafana ワークスペースとユーザーを IAM Identity Center を使用する単一スタンドアロンアカウントで作成および管理する](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone)」を参照してください。
**IAM Identity Center が既に設定されている既存の組織のメンバーアカウント**
メンバーアカウントでワークスペースを作成するには、**AWSGrafanaAccountAdministrator**、**AWSSSOMemberAccountAdministrator**、および**AWSSSODirectoryAdministrator** ポリシーを持つアカウントでサインインする必要があります。詳細については、「[IAM Identity Center を使用するメンバーアカウントの Grafana 管理者](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-admin-member)」を参照してください。
メンバーアカウントにワークスペースを作成し、そのワークスペースが組織内の他の AWS アカウントのリソースにアクセスする場合は、ワークスペースでカスタマー管理のアクセス許可を使用する必要があります。詳細については、「[「カスタマー管理」のアクセス許可](AMG-manage-permissions.md#AMG-customer-managed)」を参照してください。
サービスマネージド型のアクセス許可を使用して、ワークスペースが組織内の他の AWS アカウントからリソースにアクセスできるようにするには、組織の管理アカウントにワークスペースを作成する必要があります。ただし、組織の管理アカウントに Amazon Managed Grafana ワークスペースやその他のリソースを作成することはベストプラクティスではありません。Organizations のベストプラクティスの詳細については、「[管理アカウントのベストプラクティス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)」を参照してください。
**注記**
2019 年 11 月 25 日より前に管理アカウント AWS IAM アイデンティティセンター で を有効にした場合は、管理アカウントで IAM Identity Center 統合アプリケーションも有効にする必要があります。必要に応じて、管理アカウントで IAM Identity Center 統合アプリケーションを有効にした後、メンバーアカウントでも有効にすることができます。これらのアプリケーションを有効にするには、IAM Identity Center の [**設定**] ページの IAM Identity Center 統合アプリケーションセクションで [**アクセスを有効にする**] を選択します。詳細については、「[IAM Identity Center 統合アプリケーションの有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/app-enablement.html)」を参照してください。
**IAM Identity Center がまだデプロイされていない既存の組織のメンバーアカウント**
このシナリオでは、まず組織管理者としてサインインし、組織内で IAM Identity Center を有効にします。次に、組織内のメンバーアカウントに Amazon Managed Grafana ワークスペースを作成します。
おなたが組織の管理者でない場合、Organizations の管理者に連絡して、IAM Identity Center を有効にするように依頼する必要があります。IAM Identity Center が有効になったら、メンバーアカウントにワークスペースを作成できます。
メンバーアカウントにワークスペースを作成し、そのワークスペースが組織内の他の AWS アカウントのリソースにアクセスする場合は、ワークスペースでカスタマー管理のアクセス許可を使用する必要があります。詳細については、「[「カスタマー管理」のアクセス許可](AMG-manage-permissions.md#AMG-customer-managed)」を参照してください。
メンバーアカウントでワークスペースを作成するには、**AWSGrafanaAccountAdministrator**、**AWSSSOMemberAccountAdministrator**、および**AWSSSODirectoryAdministrator** ポリシーを持つアカウントでサインインする必要があります。詳細については、「[IAM Identity Center を使用するメンバーアカウントの Grafana 管理者](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-admin-member)」を参照してください。