기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 데이터 소스 액세스를 관리하기 위한 AWS Organizations과의 Amazon Managed Grafana 작동 방법
AWS Organizations에서는 여러 AWS 계정에 대한 데이터 소스 구성 및 권한 설정을 중앙에서 관리할 수 있습니다. Amazon Managed Grafana 워크스페이스가 있는 AWS 계정에서는 기본 계정에서 AWS 데이터 소스를 볼 수 있도록 다른 조직 단위를 지정할 수 있습니다.
예를 들어 조직의 계정 하나를 Amazon Managed Grafana 관리 계정으로 사용하고 이 계정에 조직의 다른 계정에 있는 데이터 소스에 대한 액세스 권한을 부여할 수 있습니다. 관리 계정에서 해당 관리 계정으로 액세스하려는 AWS 데이터 소스가 있는 모든 조직 단위를 나열합니다. 이렇게 하면 이러한 데이터 소스를 설정하는 데 필요한 역할 및 권한 정책이 자동으로 생성됩니다. 이는 Amazon Managed Grafana 워크스페이스의 Grafana 콘솔에서 확인할 수 있습니다.
자세한 내용은 AWS Organizations란 무엇인가요?를 참조하세요.
Amazon Managed Grafana는 CloudFormation StackSets를 사용하여 Amazon Managed Grafana에서 AWS 조직 전반의 데이터 소스에 연결하는 데 필요한 AWS Identity and Access Management(IAM) 역할을 자동으로 생성합니다. Amazon Managed Grafana에서 IAM 정책을 관리하여 조직 전반의 데이터 소스에 액세스하려면 먼저 조직의 관리 계정에서 AWS CloudFormation StackSets를 활성화해야 합니다. Amazon Managed Grafana는 처음에 필요할 때 자동으로 이 기능을 활성화합니다.
AWS IAM Identity Center 및 Organizations와의 통합을 위한 배포 시나리오
AWS IAM Identity Center 및 Organizations와 함께 Amazon Managed Grafana를 사용하는 경우 다음 세 가지 시나리오 중 하나를 사용하여 조직에서 Amazon Managed Grafana 워크스페이스를 생성하는 것이 좋습니다. 각 시나리오에 대해 충분한 권한이 있는 계정으로 로그인해야 합니다. 자세한 내용은 Amazon Managed Grafana에 대한 샘플 정책 섹션을 참조하세요.
독립 실행형 계정
독립 실행형 계정은 Organizations에서 조직의 멤버가 아닌 AWS 계정입니다. 처음으로 AWS를 사용하는 경우 이 시나리오에 해당될 수 있습니다.
이 시나리오에서 Amazon Managed Grafana는 AWSGrafanaAccountAdministrator, AWSSSOMemberAccountAdministrator 및 AWSSSODirectoryAdministrator 정책을 포함하는 계정에 로그인하는 경우 AWS IAM Identity Center 및 Organizations를 자동으로 활성화합니다. 자세한 내용은 IAM Identity Center를 사용하여 단일 독립 실행형 계정에서 Amazon Managed Grafana 워크스페이스와 사용자 생성 및 관리 섹션을 참조하세요.
IAM Identity Center가 이미 구성된 기존 조직의 멤버 계정
멤버 계정에 워크스페이스를 생성하려면 AWSGrafanaAccountAdministrator, AWSSSOMemberAccountAdministrator 및 AWSSSODirectoryAdministrator 정책이 있는 계정으로 로그인해야 합니다. 자세한 내용은 IAM Identity Center를 사용하는 멤버 계정의 Grafana 관리자 섹션을 참조하세요.
멤버 계정에서 워크스페이스를 생성하고 해당 워크스페이스가 조직의 다른 AWS 계정에서 리소스에 액세스하도록 하려면 워크스페이스에서 고객 관리형 권한을 사용해야 합니다. 자세한 내용은 고객 관리형 권한 섹션을 참조하세요.
서비스 관리형 권한을 사용하여 워크스페이스가 조직의 다른 AWS 계정에서 리소스에 액세스하도록 허용하려면 조직의 관리 계정에서 워크스페이스를 생성해야 합니다. 하지만 조직의 관리 계정에서 Amazon Managed Grafana 워크스페이스 또는 기타 리소스를 생성하는 것은 모범 사례가 아닙니다. Organizations 모범 사례에 대한 자세한 내용은 관리 계정의 모범 사례를 참조하세요.
참고
조직이 2019년 11월 25일 이전에 관리 계정에서 AWS IAM Identity Center을 활성화한 경우 관리 계정에서 IAM Identity Center 통합 애플리케이션도 활성화해야 합니다. 선택적으로 관리 계정에서 IAM Identity Center 통합 애플리케이션을 활성화한 후 멤버 계정에서 활성화할 수도 있습니다. 이러한 애플리케이션을 활성화하려면 IAM Identity Center 설정 페이지 내의 IAM Identity Center 통합 애플리케이션 섹션에서 액세스 활성화를 선택합니다. 자세한 내용은 IAM Identity Center-integrated application enablement를 참조하세요.
IAM Identity Center가 아직 배포되지 않은 기존 조직의 멤버 계정
이 시나리오에서는 먼저 조직 관리자로 로그인하고 조직에서 IAM Identity Center를 활성화합니다. 그런 다음, 조직의 멤버 계정에서 Amazon Managed Grafana 워크스페이스를 생성합니다.
조직 관리자가 아닌 경우 조직 관리자에게 문의하여 IAM Identity Center를 활성화하도록 요청해야 합니다. IAM Identity Center가 활성화된 후 멤버 계정에서 워크스페이스를 생성할 수 있습니다.
멤버 계정에서 워크스페이스를 생성하고 해당 워크스페이스가 조직의 다른 AWS 계정에서 리소스에 액세스하도록 하려면 워크스페이스에서 고객 관리형 권한을 사용해야 합니다. 자세한 내용은 고객 관리형 권한 섹션을 참조하세요.
멤버 계정에 워크스페이스를 생성하려면 AWSGrafanaAccountAdministrator, AWSSSOMemberAccountAdministrator 및 AWSSSODirectoryAdministrator 정책이 있는 계정으로 로그인해야 합니다. 자세한 내용은 IAM Identity Center를 사용하는 멤버 계정의 Grafana 관리자 섹션을 참조하세요.
