

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Managed Grafana ワークスペースを作成する
<a name="AMG-create-workspace"></a>

*ワークスペース*は、論理 Grafana サーバーです。アカウント内の各リージョンには、最大 5 つのワークスペースを設定できます。

**必要なアクセス許可**

ワークスペースを作成するには、**AWSGrafanaAccountAdministrator** ポリシーがアタッチされている AWS Identity and Access Management (IAM) プリンシパルにサインインする必要があります。

IAM Identity Center を使用して認証を行う最初のワークスペースを作成するには、IAM プリンシパルに以下の追加ポリシー (または同等のアクセス許可) も付与されている必要があります。
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectoryAdministrator**

詳細については、「[Amazon Managed Grafana ワークスペースとユーザーを IAM Identity Center を使用する単一スタンドアロンアカウントで作成および管理する](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone)」を参照してください。

## ワークスペースの作成
<a name="creating-workspace"></a>

Amazon Managed Grafana ワークスペースを新規に作成する手順について説明します。

**Amazon Managed Grafana でのワークスペースの作成方法**

1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)) を開きます。

1. **[ワークスペースを作成する]** を選択します。

1. **[ワークスペースの詳細]** ウィンドウで、**[ワークスペース名]** にワークスペースの名前を入力します。

   オプションとして、ワークスペースの説明を入力します。

   必要に応じて、このワークスペースに関連付けるタグを追加します。タグはワークスペースの識別と整理に役立ち、 AWS リソースへのアクセスを制御するためにも使用できます。たとえば、ワークスペースにタグを割り当てて、そのタグを持つ限定されたグループやロールだけがワークスペースにアクセスできる権限を持つように設定することができます。タグベースのアクセスコントロールの詳細については、IAM ユーザーガイドの[「タグを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。

   ![\[Workspace details form with name field and optional tags section highlighted.\]](http://docs.aws.amazon.com/ja_jp/grafana/latest/userguide/images/tagworkspace.png)

1. ワークスペースの [**Grafana バージョン**] を選択します。バージョン 8、9 または 10 を選択できます。バージョン間の違いについては「[Grafana のバージョン間の違い](version-differences.md)」を参照してください。

1. **[次へ]** を選択します。

1. **[認証アクセス]** では、**[AWS IAM アイデンティティセンター ]**、**[Security Assertion Markup Language (SAML)]**、またはその両方を選択します。詳細については、「[Amazon Managed Grafana ワークスペースでユーザーを認証する](authentication-in-AMG.md)」を参照してください。
   + **IAM アイデンティティセンター** — IAM アイデンティティセンターを選択し、アカウント AWS IAM アイデンティティセンター で をまだ有効にしていない場合は、最初の IAM アイデンティティセンターユーザーを作成して有効にするように求められます。IAM Identity Center は、Amazon Managed Grafana ワークスペースへのアクセスのユーザー管理を処理します。

     IAM Identity Center を有効にするには、以下の手順に従います。

   1. **[ユーザーの作成]** を選択します。

   1. ユーザーのメールアドレス、名、姓を入力して、[**ユーザーの作成**] を選択します。このチュートリアルでは、Amazon Managed Grafana を試すために使用するアカウントの名前とメールアドレスを使用します。IAM Identity Center 用のこのアカウントのパスワードを作成するように求めるメールが送信されます。
**重要**  
作成したユーザーに Amazon Managed Grafana ワークスペースーへのアクセス許可が自動的に付与されるわけではありません。後のステップのワークスペースの詳細ページで、ワークスペースへのアクセス許可をユーザーに付与します。
   + **SAML** — **SAML** を選択した場合、ワークスペースの作成後に SAML セットアップを完了します。

1. **[サービス管理]** または **[カスタマー管理]** を選択します。

   **サービスマネージド**を選択した場合、Amazon Managed Grafana は自動的に IAM ロールを作成し、このワークスペースに使用するこのアカウントの AWS データソースに必要なアクセス許可をプロビジョニングします。

   これらのロールとアクセス許可を自分で管理する場合、**[カスタマー管理]** を選択します。

   組織のメンバーアカウントにワークスペースを作成する場合、**[サービス管理]** を選択できるようにするには、そのメンバーアカウントが組織内の被委任管理者アカウントである必要があります。被委任管理者の追加の詳細については、「[被委任管理者アカウントの登録](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)」を参照してください。

1. (任意) Amazon 仮想プライベートクラウド (VPC) にはこのページで接続できますが、後で接続することもできます。詳細については[Amazon Managed Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する](AMG-configure-vpc.md)を参照してください。

1. (任意) このページでは、以下を含む他のワークスペース設定オプションを選択できます。
   + [Grafana アラート](alerts-overview.md)を有効にする。Grafana アラートを使用すると、Grafana アラートと Prometheus で定義されたアラートを、Grafana ワークスペース内の単一のアラートインターフェイス内に表示することができます。

     バージョン 8 または 9 を実行しているワークスペースでは、Grafana アラートに対して複数の通知が送信されます。Grafana で定義されたアラートを使用する場合は、ワークスペースをバージョン 10.4 以降として作成することをお勧めします。
   + Grafana 管理者がこのワークスペースの[プラグインを管理](grafana-plugins.md)できるようにします。プラグイン管理を有効にしない場合、管理者はワークスペースのプラグインをインストール、アンインストール、または削除できなくなります。Amazon Managed Grafana で使用できるデータソースと視覚的表現パネルの種類が制限される場合があります。

   これらの設定は、ワークスペースの作成後に変更できます。ワークスペースの設定の詳細については、「[Amazon Managed Grafana ワークスペースを設定する](AMG-configure-workspace.md)」を参照してください。

1. (任意) ワークスペースに**ネットワークアクセスコントロール**を追加できます。ネットワークアクセスコントロールを追加するには、[**アクセス制限**] を選択します。ネットワークアクセスコントロールは、ワークスペースを作成した後で有効にすることもできます。

   ネットワークアクセスコントロールの詳細については、「[Amazon Managed Grafana ワークスペースに対するネットワークからのアクセス制御を設定する](AMG-configure-nac.md)」を参照してください。

1. (オプション) デフォルトでは、Amazon Managed Grafana は保管時の暗号化を自動的に提供し、所有 AWSの暗号化キーを使用してこれを行います。ただし、代わりに作成、所有、管理するカスタマーマネージドキーを使用することもできます。詳細については、「[保管中の暗号化](AMG-encryption-at-rest.md)」を参照してください。

1. **[Next]** (次へ) を選択します。

1. **サービスマネージド**を選択した場合は、**現在のアカウント**を選択して、Amazon Managed Grafana が現在のアカウントでのみ AWS データを読み取れるようにするポリシーとアクセス許可を自動的に作成します。

   管理アカウントまたは組織内の委任管理者アカウントにワークスペースを作成する場合は、**組織**を選択して、指定した組織単位内の他のアカウントの AWS データを読み取ることができるポリシーとアクセス許可を Amazon Managed Grafana が自動的に作成するようにできます。被委任管理者の追加の詳細については、「[被委任管理者アカウントの登録](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)」を参照してください。
**注記**  
組織の管理アカウントに Amazon Managed Grafana ワークスペースなどのリソースを作成することは、 AWS セキュリティのベストプラクティスに違反します。

   1. **Organization** を選択し、 AWS CloudFormation StackSets を有効にするように求められた場合は、**信頼されたアクセスを有効にする**を選択します。次に、Amazon Managed Grafana がデータを読み取る組織 AWS Organizations 単位 (OUs) を追加します。これにより、Amazon Managed Grafana が、選択した各 OU 内のすべてのアカウントからデータを読み取ることができます。

   1. **[組織]**] を選択した場合は、**[データソースと通知チャネル - 任意]** を選択します。

1. このワークスペースでクエリを実行する AWS データソースを選択します。データソースを選択すると、Amazon Managed Grafana がこれらのソースからデータを読み取るのに必要な IAM ロールとアクセス許可を作成できるようになります。ただし、データソースは Grafana ワークスペースコンソールで追加する必要があります。

1. (オプション) このワークスペースの Grafana アラートを Amazon Simple Notiﬁcation Service (Amazon SNS) 通知チャネルに送信する場合は、**[Amazon SNS]** を選択します。これにより、Amazon Managed Grafana は、`grafana` で始まる `TopicName` 値を使用して、ご使用のアカウントの Amazon SNS トピックに対して発行する IAM ポリシーを作成できます。これで、ワークスペースの通知チャネルとしての Amazon SNSの設定が完了するわけではありません。ワークスペースの Grafana コンソール内で完了できます。

1. **[次へ]** を選択します。

1. ワークスペースの詳細を確認して、**[ワークスペースの作成]** を選択します。

   ワークスペースの詳細ページが表示されます。

   最初は、**[ステータス]** が **[作成中]** です。
**重要**  
ステータスが **[アクティブ]** になるまで待ってから、次のいずれかを実行します。  
SAML を使用する場合は、SAML セットアップを完了します。
IAM Identity Center を使用する場合は、IAM Identity Center ユーザーにワークスペースへのアクセス許可を割り当てます。
現在のステータスを表示するには、ブラウザの更新が必要になる場合があります。

1. IAM Identity Center を使用する場合は、以下を実行します。

   1. **[認証]** タブで、**[新しいユーザーまたはグループを割り当て]** を選択します。

   1. ワークスペースへのアクセス許可を付与するユーザーの隣のチェックボックスをオンにして、**[ユーザーの割り当て]** を選択します。

   1. ユーザーの横にあるチェックボックスを選択し、**[管理者にする]** を選択します。
**重要**  
Grafana ワークスペースのコンソールにサインインしてワークスペースを管理するには、ワークスペースごとに少なくとも 1 人のユーザーを `Admin` として割り当てます。

1. SAML を使用する場合は、次の手順に従います。

   1. **[認証]** タブの **[Security Assertion Markup Language (SAML)]** で、**[設定を完了]** を選択します。

   1. **[インポート方法]** に、以下のいずれかを選択します。
      + **[URL]** を選択して、IdP メタデータの URL を入力します。
      + **[アップロードまたはコピー/貼り付け]** を選択します。メタデータをアップロードする場合は、**[ファイルを選択]** を選択してメタデータファイルを選択します。または、コピーアンドペーストを使用する場合は、メタデータを **[メタデータをインポート]** にコピーします。

   1. **[アサーション属性ロール]** に、ロール情報を抽出する SAML アサーション属性の名前を入力します。

   1. **[管理者ロール値]** に、Amazon Managed Grafana ワークスペースの `Admin` ロールをすべて付与する必要がある IdP のユーザーロールを入力、または **[ワークスペースへの管理者の割り当てをオプトアウトする]** を選択します。
**注記**  
**[ワークスペースへの管理者の割り当てをオプトアウトする]** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、コンソールを使用してワークスペースを管理することはできません。ワークスペースに対する管理変更は、Amazon Managed Grafana API を使用してのみ実行できます。

   1. (オプション) さらに SAML 設定を入力するには、**[詳細設定]** を選択し、以下を 1 つ以上実行します。このすべてのフィールドはオプションとなります。
      + **[アサーション属性名]** で、SAML ユーザーの完全な「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
      + **[アサーション属性ログイン]** で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。
      + **[アサーション属性電子メール]** で、SAML ユーザーの電子メール名として使用する SAML アサーション内の属性の名前を指定します。
      + **[ログイン有効期間 (分単位)]** で、それを過ぎると再度サインインする必要がある、SAML ユーザーのサインイン有効期間を指定しします。デフォルトは 1 日で、最大は 30 日間です。
      + **[アサーション属性組織]** で、ユーザー組織の「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
      + **[アサーション属性グループ]** で、ユーザーグループの「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
      + **[許可される組織]** では、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する 1 つ以上の組織を、カンマで区切って入力します。
      + **[エディタロールの値]** で、Amazon Managed Grafana ワークスペースで `Editor` ロールをすべて付与する必要がある IdP のユーザーロールを入力します。1 つ以上のロールを、カンマで区切って入力します。

   1. [**SAML 設定の保存**] を選択します。

1. ワークスペースの詳細ページで、[**Grafana ワークスペース URL**] の下に表示される URL を選択します。

1. ワークスペースの URL を選択すると、Grafana ワークスペースコンソールのランディングページに移動します。次のいずれかを行います。
   + **[SAML でサインイン]** を選択し、名前とパスワードを入力します。
   +  **でサインイン AWS IAM アイデンティティセンター**を選択し、この手順の前半で作成したユーザーの E メールアドレスとパスワードを入力します。これらの認証情報は、IAM Identity Center のパスワードを作成するようプロンプトが表示される、Amazon Managed Grafana からのメールに応答した場合にのみ機能します。

     Grafana ワークスペース、または論理 Grafana サーバーに移動しました。データのクエリ、視覚化、分析に対するデータソースの追加を開始できます。詳細については、「[Grafana ワークスペースを使用する](AMG-working-with-Grafana-workspace.md)」を参照してください。

詳細の参照先 

**ヒント**  
を使用して、Amazon Managed Grafana ワークスペースの作成を自動化できます CloudFormation。詳細については、「[を使用した Amazon Managed Grafana リソースの作成 AWS CloudFormation](creating-resources-with-cloudformation.md)」を参照してください。