

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Managed Grafana リソースの作成および使用方法について説明します
<a name="getting-started-with-AMG"></a>

このチュートリアルは Amazon Managed Grafana の使用を開始するのに役立ちます。最初のワークスペースを作成してから、そのワークスペースの Grafana コンソールに接続します。

*ワークスペース*は、論理 Grafana サーバーです。アカウント内の各リージョンには、最大 5 つのワークスペースを設定できます。

**注記**  
がない場合は AWS アカウント、[まず Amazon Managed Grafana を使用する AWS ように をセットアップ](Amazon-Managed-Grafana-setting-up.md)する方法を学習します。

**Topics**
+ [ユーザー認証](#AMG-getting-started-workspace-authentication)
+ [必要なアクセス許可](#AMG-getting-started-workspace-permissions)
+ [最初のワークスペースを作成する](#AMG-getting-started-workspace-create)
+ [Amazon Managed Grafana を使用する AWS ように を設定する](Amazon-Managed-Grafana-setting-up.md)

## ユーザー認証
<a name="AMG-getting-started-workspace-authentication"></a>

Amazon Managed Grafana はワークスペース内のユーザー認証で以下のオプションをサポートしています。
+ ID プロバイダー (IdP) に保存されているユーザー認証情報、Security Assertion Markup Language 2.0 (SAML 2.0) による認証
+ AWS IAM アイデンティティセンター

**SAML**

SAML を使用する場合は、ユーザーを ID プロバイダーで作成済みである必要があります。Amazon Managed Grafana は SAML 2.0 をサポートする ID プロバイダーをサポートしています。詳細については、「[Amazon Managed Grafana ワークスペースで SAML を使用する](authentication-in-AMG-SAML.md)」を参照してください。

**AWS IAM アイデンティティセンター**

ワークスペースを作成し、認証 AWS IAM アイデンティティセンター に を使用することを選択すると、Amazon Managed Grafana はアカウントで IAM Identity Center をまだ使用していない場合にアクティブ化します。IAM Identity Center の詳細については、[「 とは AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。

Amazon Managed Grafana で IAM Identity Center を使用するには、アカウントで も AWS Organizations アクティブ化されている必要があります。まだアクティブ化していない場合、Amazon Managed Grafana は IAM Identity Center をアクティブ化するときにそれをアクティブ化します。Amazon Managed Grafana が Organizations を有効にすると、お客様の組織も作成されます。Organizations の詳細については、「[AWS Organizationsとは](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。

**注記**  
既に AWS 組織のメンバーであるアカウントにワークスペースを作成するには、組織の管理アカウントで IAM Identity Center を有効にする必要があります。お客様が 2019 年 11 月 25 日以前に管理アカウントで IAM Identity Center を有効にした場合、管理アカウントでも IAM Identity Center 統合アプリケーションを有効にする必要があります。詳細については、「[IAM Identity Center 統合アプリケーション](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps.html)」を参照してください。

## 必要なアクセス許可
<a name="AMG-getting-started-workspace-permissions"></a>

認証に IdP と SAML を使用するワークスペースを作成するには、**AWSGrafanaAccountAdministrator** ポリシーがアタッチされた IAM プリンシパルにサインインする必要があります。

認可 AWS IAM アイデンティティセンター に を使用する最初のワークスペースを作成するには、少なくとも次のポリシーがアタッチされている IAM プリンシパルにサインオンする必要があります。
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectoryAdministrator**

詳細については、「[Amazon Managed Grafana ワークスペースとユーザーを IAM Identity Center を使用する単一スタンドアロンアカウントで作成および管理する](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone)」を参照してください。

## 最初のワークスペースを作成する
<a name="AMG-getting-started-workspace-create"></a>

最初のワークスペースを作成するには、次の手順に従います。

**Amazon Managed Grafana でのワークスペースの作成方法**

1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。

1. **[ワークスペースを作成する]** を選択します。

1. **[WorkSpace 名]** ボックスに、ワークスペースの名前を入力します。

   オプションとして、ワークスペースの説明を入力します。

1. **[次へ]** を選択します。

1. **[認証アクセス]** では、**[AWS IAM アイデンティティセンター ]**、**[Security Assertion Markup Language (SAML)]**、またはその両方を選択します。
   + **AWS IAM アイデンティティセンター**— IAM Identity Center を選択し、ご使用のアカウントで IAM Identity Center を有効にしていない場合は、最初の IAM Identity Center ユーザーを作成すると、それを有効にするようにプロンプトが表示されます。IAM Identity Center は、Amazon Managed Grafana ワークスペースへのアクセスのユーザー管理を処理します。

     IAM Identity Center を有効にするには、以下の手順に従います。

   1. **[ユーザーの作成]** を選択します。

   1. ユーザーのメールアドレス、名、姓を入力して、[**ユーザーの作成**] を選択します。このチュートリアルでは、Amazon Managed Grafana を試すために使用するアカウントの名前とメールアドレスを使用します。メールメッセージが送信され、IAM Identity Center のために、このアカウントのパスワードを作成するようプロンプトが表示されます。
**重要**  
作成したユーザーに Amazon Managed Grafana ワークスペースーへのアクセス許可が自動的に付与されるわけではありません。後のステップのワークスペースの詳細ページで、ワークスペースへのアクセス許可をユーザーに付与します。
   + **SAML** — **SAML** を選択した場合、ワークスペースの作成後に SAML セットアップを完了します。

1. **[次へ]** を選択します。

1. この最初のワークスペースで、**[サービス管理]** が **[アクセス許可タイプ]** で選択されていることを確認します。この選択により、Amazon Managed Grafana は、このワークスペースに使用する AWS データソースに必要なアクセス許可を自動的にプロビジョニングできます。

1. このチュートリアルでは、**[現在のアカウント]** を選択します。

1. (オプション) このワークスペースでクエリするデータソースを選択します。この開始方法のチュートリアルでは、データソースを選択する必要はありません。ただし、リスト内のデータソースのいずれかでこのワークスペースを使用する場合は、ここで選択します。

   データソースを選択すると、Amazon Managed Grafana はデータソースごとに AWS Identity and Access Management (IAM) ポリシーを作成し、Amazon Managed Grafana がデータを読み取るアクセス許可を持つようにします。これで、これらのサービスを Grafana ワークスペースのデータソースとして設定することが完了するわけではありません。Grafana ワークスペースのコンソール内で完了できます。

1. (オプション) このワークスペースの Grafana アラートを Amazon Simple Notiﬁcation Service (Amazon SNS) 通知チャネルに送信する場合は、**[Amazon SNS]** を選択します。これにより、Amazon Managed Grafana は、`grafana` で始まる `TopicName` 値を使用して、ご使用のアカウントの Amazon SNS トピックに対して発行する IAM ポリシーを作成できます。これで、ワークスペースの通知チャネルとしての Amazon SNSの設定が完了するわけではありません。ワークスペースの Grafana コンソール内で完了できます。

1. (オプション) デフォルトでは、Amazon Managed Grafana は保管時の暗号化を自動的に提供し、所有 AWSの暗号化キーを使用してこれを行います。ただし、代わりに作成、所有、管理するカスタマーマネージドキーを使用することもできます。詳細については、「[保管中の暗号化](AMG-encryption-at-rest.md)」を参照してください。

1. **[Next]** (次へ) を選択します。

1. ワークスペースの詳細を確認して、**[ワークスペースの作成]** を選択します。

   ワークスペースの詳細ページが表示されます。

   最初は、**[ステータス]** が **[作成中]** です。
**重要**  
ステータスが **[アクティブ]** になるまで待ってから、次のいずれかを実行します。  
SAML を使用する場合は、SAML セットアップを完了します。
IAM Identity Center を使用する場合は、IAM Identity Center ユーザーにワークスペースへのアクセス許可を割り当てます。
現在のステータスを表示するには、ブラウザの更新が必要になる場合があります。

1. IAM Identity Center を使用する場合は、以下を実行します。

   1. **[認証]** タブで、**[新しいユーザーまたはグループを割り当て]** を選択します。

   1. ワークスペースへのアクセス許可を付与するユーザーの隣のチェックボックスをオンにして、**[ユーザーの割り当て]** を選択します。

   1. そのユーザーの隣のチェックボックスをオンにして、[アクション] ドロップダウンリストから **[管理者にする]** アクションを選択します。
**重要**  
Grafana ワークスペースのコンソールにサインインしてワークスペースを管理するには、ワークスペースごとに少なくとも 1 人のユーザーを `Admin` として割り当てます。

1. SAML を使用する場合は、次の手順に従います。

   1. **[認証]** タブの **[Security Assertion Markup Language (SAML)]** で、**[設定を完了]** を選択します。

   1. **[インポート方法]** に、以下のいずれかを選択します。
      + **[URL]** を選択して、IdP メタデータの URL を入力します。
      + **[アップロードまたはコピー/貼り付け]** を選択します。メタデータをアップロードする場合は、**[ファイルを選択]** を選択してメタデータファイルを選択します。または、コピーアンドペーストを使用する場合は、メタデータを **[メタデータをインポート]** にコピーします。

   1. **[アサーション属性ロール]** に、ロール情報を抽出する SAML アサーション属性の名前を入力します。

   1. **[管理者ロール値]** に、Amazon Managed Grafana ワークスペースの `Admin` ロールをすべて付与する必要がある IdP のユーザーロールを入力、または **[ワークスペースへの管理者の割り当てをオプトアウトする]** を選択します。
**注記**  
**[ワークスペースへの管理者の割り当てをオプトアウトする]** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Grafana ワークスペースコンソールを使用してワークスペースを管理することはできません。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。

   1. (オプション) さらに SAML 設定を入力するには、**[詳細設定]** を選択し、以下を 1 つ以上実行します。このすべてのフィールドはオプションとなります。
      + **[アサーション属性名]** で、SAML ユーザーの完全な「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
      + **[アサーション属性ログイン]** で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。
      + **[アサーション属性電子メール]** で、SAML ユーザーの電子メール名として使用する SAML アサーション内の属性の名前を指定します。
      + **[ログイン有効期間 (分単位)]** で、それを過ぎると再度サインインする必要がある、SAML ユーザーのサインイン有効期間を指定しします。
      + **[アサーション属性組織]** で、ユーザー組織の「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
      + **[アサーション属性グループ]** で、ユーザーグループの「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
      + **[許可される組織]** では、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する 1 つ以上の組織を、カンマで区切って入力します。
      + **[エディタロールの値]** で、Amazon Managed Grafana ワークスペースで `Editor` ロールをすべて付与する必要がある IdP のユーザーロールを入力します。1 つ以上のロールを、カンマで区切って入力します。
**注記**  
管理者またはエディタロールを特別に割り当てられていないユーザーは、ビューワーとして割り当てられます。

   1. **[SAML 設定の保存]** を選択します。

1. ワークスペースの詳細ページで、[**Grafana ワークスペース URL**] の下に表示される URL を選択します。

1. ワークスペースの URL を選択すると、Grafana ワークスペースコンソールのランディングページに移動します。次のいずれかを行います。
   + **[SAML でサインイン]** を選択し、名前とパスワードを入力します。
   +  **でサインイン AWS IAM アイデンティティセンター**を選択し、この手順の前半で作成したユーザーの E メールアドレスとパスワードを入力します。これらの認証情報は、IAM Identity Center のパスワードを作成するようプロンプトが表示される、Amazon Managed Grafana からのメールに応答した場合にのみ機能します。

     Grafana ワークスペース、または論理 Grafana サーバーに移動しました。データのクエリ、視覚化、分析に対するデータソースの追加を開始できます。詳細については、「[Grafana ワークスペースを使用する](AMG-working-with-Grafana-workspace.md)」を参照してください。