As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como o Amazon Managed Grafana funciona AWS Organizations para acesso à fonte AWS de dados
Com AWS Organizations, você pode gerenciar centralmente a configuração da fonte de dados e as configurações de permissão para várias AWS contas. Em um espaço Conta da AWS de trabalho do Amazon Managed Grafana, você pode especificar outras unidades organizacionais para disponibilizar suas fontes de AWS dados para visualização na conta principal.
Por exemplo, você pode usar uma conta na organização como uma conta de gerenciamento do Amazon Managed Grafana e dar a essa conta acesso às fontes de dados em outras contas na organização. Na conta de gerenciamento, liste todas as unidades organizacionais que têm fontes de AWS dados que você deseja acessar com a conta de gerenciamento. Isso cria automaticamente as políticas de perfis e permissões necessárias para configurar essas fontes de dados, que você pode ver no console do Grafana no espaço de trabalho do Amazon Managed Grafana.
Para obter mais informações sobre o Organizations, consulte O que é o AWS Organizations?.
O Amazon Managed Grafana usa CloudFormation StackSets para criar automaticamente as funções AWS Identity and Access Management (IAM) necessárias para que o Amazon Managed Grafana se conecte às fontes de dados em toda a sua organização. AWS Antes que o Amazon Managed Grafana possa gerenciar suas políticas do IAM para acessar fontes de dados em toda a sua organização, você deve ativar AWS CloudFormation StackSets a conta de gerenciamento da sua organização. O Amazon Managed Grafana o habilita automaticamente na primeira vez em que é necessário.
Cenários de implantação para integração com Centro de Identidade do AWS IAM e Organizations
Se você estiver usando o Amazon Managed Grafana com ambos e Centro de Identidade do AWS IAM Organizations, recomendamos que você crie um espaço de trabalho Amazon Managed Grafana em sua organização usando um dos três cenários a seguir. Para cada cenário, você precisa estar conectado a uma conta com permissões suficientes. Para obter mais informações, consulte Exemplos de políticas do Amazon Managed Grafana.
Conta independente
Uma conta independente é uma AWS conta que não é membro de uma organização em Organizations. Esse é um cenário provável se você estiver experimentando AWS pela primeira vez.
Nesse cenário, o Amazon Managed Grafana ativa automaticamente e Centro de Identidade do AWS IAM Organizations quando você está conectado a uma conta que tem as AWSGrafanaAccountAdministratorpolíticas AWSSSOMemberAccountAdministrator, e. AWSSSODirectoryAdministrator Para obter mais informações, consulte Cria e gerenciar espaços de trabalho e usuários do Amazon Managed Grafana em uma única conta independente usando o Centro de Identidade do IAM.
Conta de membro de uma organização existente em que o Centro de Identidade do IAM já está configurado
Para criar um espaço de trabalho em uma conta de membro, você deve estar conectado a uma conta que tenha as AWSSSODirectoryAdministratorpolíticas AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator, e. Para obter mais informações, consulte Administrador do Grafana em uma conta de gerenciamento que usa o Centro de Identidade do IAM.
Se você criar um espaço de trabalho em uma conta de membro e quiser que esse espaço de trabalho acesse recursos de outras AWS contas em sua organização, você deve usar as permissões gerenciadas pelo cliente no espaço de trabalho. Para obter mais informações, consulte Customer-managed permissões.
Para usar as permissões gerenciadas pelo serviço para permitir que um espaço de trabalho acesse recursos de outras AWS contas na organização, você precisaria criar o espaço de trabalho na conta de gerenciamento da organização. No entanto, não é uma prática recomendada criar espaços de trabalho do Amazon Managed Grafana ou outros recursos na conta de gerenciamento de uma organização. Para obter mais informações sobre as práticas recomendadas do Organizations, consulte Best practices for the management account.
nota
Se você Centro de Identidade do AWS IAM ativou a conta de gerenciamento antes de 25 de novembro de 2019, também deverá habilitar os Center-integrated aplicativos IAM Identity na conta de gerenciamento. Opcionalmente, você também pode ativar os Center-integrated aplicativos IAM Identity nas contas dos membros depois de fazer isso na conta de gerenciamento. Para habilitar esses aplicativos, escolha Habilitar acesso na página Configurações do IAM Identity Center na seção Center-integrated Aplicativos de identidade do IAM. Para obter mais informações, consulte Ativação do Center-integrated aplicativo IAM Identity.
Conta de membro de uma organização existente em que o Centro de Identidade do IAM ainda não está implantado
Nesse cenário, entre primeiro como administrador da organização e habilite o Centro de Identidade do IAM na organização. Depois, crie o espaço de trabalho do Amazon Managed Grafana em uma conta de membro na organização.
Se você não for administrador da organização, entre em contato com um administrador do Organizations e solicite que ele habilite o Centro de Identidade do IAM. Depois que o Centro de Identidade do IAM for habilitado, você poderá criar o espaço de trabalho em uma conta de membro.
Se você criar um espaço de trabalho em uma conta de membro e quiser que esse espaço de trabalho acesse recursos de outras AWS contas em sua organização, você deve usar as permissões gerenciadas pelo cliente no espaço de trabalho. Para obter mais informações, consulte Customer-managed permissões.
Para criar um espaço de trabalho em uma conta de membro, você deve estar conectado a uma conta que tenha as AWSSSODirectoryAdministratorpolíticas AWSGrafanaAccountAdministratorAWSSSOMemberAccountAdministrator, e. Para obter mais informações, consulte Administrador do Grafana em uma conta de gerenciamento que usa o Centro de Identidade do IAM.
