As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciar o acesso de usuários e grupos aos espaços de trabalho do Amazon Managed Grafana
Você acessa os espaços de trabalho do Amazon Managed Grafana com usuários configurados no provedor de identidades (IdP) ou no Centro de Identidade do AWS IAM. Você deve conceder a esses usuários (ou grupos aos quais eles pertencem) permissões para o espaço de trabalho. Você pode conceder a eles as permissões `User`, `Editor` ou `Admin`.
## Conceder permissões a um grupo ou usuário
**Pré-requisitos**
+ Para conceder a um usuário ou grupo de usuários acesso aos espaços de trabalho do Amazon Managed Grafana, o usuário ou grupo deve primeiro ser provisionado em um provedor de identidades (IdP) ou no Centro de Identidade do AWS IAM. Para obter mais informações, consulte [Autenticar usuários nos espaços de trabalho do Amazon Managed Grafana](authentication-in-AMG.md).
+ Para gerenciar o acesso de usuários e grupos, você deve estar conectado como um usuário que tenha a política AWS Identity and Access Management **AWSGrafanaWorkspacePermissionManagementV2**(IAM) ou permissões equivalentes. Se você estiver gerenciando usuários com o IAM Identity Center, você também deve ter as políticas **AWSSSOMemberAccountAdministrator**e o **AWSSSODirectoryReadOnly**IAM, ou permissões equivalentes. Para obter mais informações, consulte [Atribuir e cancelar a atribuição de acesso de usuários ao Amazon Managed Grafana](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users).
**Para gerenciar o acesso do usuário a um espaço de trabalho do Grafana usando o console do Amazon Managed Grafana**
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. No painel de navegação à esquerda, escolha o ícone de menu.
1. Escolha **Todos os espaços de trabalho**.
1. Escolha o nome do espaço de trabalho que você deseja gerenciar.
1. Escolha a guia **Autenticação**.
1. Se você estiver usando o Centro de Identidade do IAM nesse espaço de trabalho, escolha **Configurar usuários e grupos de usuários** e faça um ou mais dos seguintes:
+ Para conceder acesso do usuário ao espaço de trabalho do Amazon Managed Grafana, marque a caixa de seleção ao lado do usuário e escolha **Atribuir usuário**.
+ Para tornar um usuário `Admin` do espaço de trabalho, escolha **Tornar administrador**.
+ Para remover o acesso ao espaço de trabalho de um usuário, escolha **Cancelar atribuição de usuário**.
+ Para adicionar grupos de usuários, como um grupo LDAP, escolha a guia **Grupos de usuários atribuídos**. Depois, siga um destes procedimentos:
+ Para conceder a todos os membros de um grupo acesso ao espaço de trabalho do Amazon Managed Grafana, marque a caixa de seleção ao lado do grupo e escolha **Atribuir grupo**.
+ Para atribuir a todos os membros de um grupo o perfil `Admin` no espaço de trabalho, escolha **Tornar administrador**.
+ Para remover o acesso ao espaço de trabalho de todos os membros de um grupo, escolha **Cancelar atribuição de grupo**.
**nota**
Se estiver usando o Centro de Identidade do IAM para gerenciar usuários, use o console do Centro de Identidade do IAM somente para provisionar novos usuários e grupos. Use o console ou as APIs do Amazon Managed Grafana para conceder ou remover o acesso aos espaços de trabalho do Grafana.
Se o Centro de Identidade do IAM e o Amazon Managed Grafana ficarem fora de sincronia, você terá a opção de **Resolver** quaisquer conflitos. Para obter mais informações, consulte [Erros de incompatibilidade de permissões ao configurar usuários e grupos](#AMG-manage-users-and-groups-mismatch) abaixo.
1. Se você estiver usando SAML nesse espaço de trabalho, escolha a **configuração SAML** e faça um ou mais dos seguintes:
+ Em **Método de importação**, siga um destes procedimentos:
+ Escolha **URL** e insira o URL dos metadados do IdP.
+ Escolha **Carregar ou copy/paste**. Se você estiver fazendo upload dos metadados, escolha **Escolher arquivo** e selecione o arquivo de metadados. Ou, se você estiver usando copiar e colar, copie os metadados em **Importar os metadados**.
+ Em **Perfil do atributo de declaração**, insira o nome do atributo de declaração SAML do qual extrair as informações do perfil.
+ Para **Valores do perfil de administrador**, insira todos os perfis de usuário do seu IdP que devem receber o perfil de `Admin` no espaço de trabalho do Amazon Managed Grafana, ou selecione **Eu quero optar por não atribuir administradores ao meu espaço de trabalho.**
**nota**
Se você escolher **Eu quero optar por não atribuir administradores ao meu espaço de trabalho**, você não poderá usar o console do Amazon Managed Grafana para administrar o espaço de trabalho, incluindo tarefas como gerenciar fontes de dados, usuários e permissões do dashboard. Você pode fazer alterações administrativas no espaço de trabalho somente usando as APIs do Amazon Managed Grafana.
+ (Opcional) Para inserir configurações SAML adicionais, escolha **Configurações adicionais**, faça uma ou mais das ações a seguir e, em seguida, escolha **Salvar configuração SAML**. Todos esses campos são opcionais.
+ Em **Nome do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar nomes completos “amigáveis” de usuário para usuários do SAML.
+ Em **Login do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar nomes de login de usuário para usuários do SAML.
+ Em **E-mail do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar nomes de e-mail de usuário para usuários do SAML.
+ Em **Duração da validade do login (em minutos)**, especifique por quanto tempo o login de um usuário do SAML é válido antes que o usuário precise entrar novamente.
+ Em **Organização do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar o nome “amigável” para organizações de usuários.
+ Em **Grupos do atributo de declaração**, especifique o nome do atributo na declaração SAML para usar o nome “amigável” para grupos de usuários.
+ Em **Organizações permitidas**, você pode limitar o acesso do usuário somente aos usuários que são membros de determinadas organizações no IdP. Insira uma ou mais organizações para permitir, separando-as com vírgulas.
+ Em **Valores do perfil de editor**, insira os perfis de usuário do IdP que devem receber o perfil de `Editor` no espaço de trabalho do Amazon Managed Grafana. Insira um ou mais perfis, separados por vírgulas.
1. Como alternativa, para adicionar grupos de usuários, como um grupo LDAP, escolha a guia **Grupo de usuários**. Depois, siga um destes procedimentos:
+ Para conceder a todos os membros de um grupo acesso ao espaço de trabalho do Amazon Managed Grafana, marque a caixa de seleção ao lado do grupo e escolha **Atribuir grupo**.
+ Para atribuir a todos os membros de um grupo o perfil `Admin` no espaço de trabalho, escolha **Tornar administrador**.
+ Para remover o acesso ao espaço de trabalho de todos os membros de um grupo, escolha **Cancelar atribuição de grupo**.
## Erros de incompatibilidade de permissões ao configurar usuários e grupos
Você pode encontrar erros de incompatibilidade ao configurar usuários e grupos no console do Amazon Managed Grafana. Isso indica que o Amazon Managed Grafana e o Centro de Identidade do IAM estão fora de sincronia. Nesse caso, o Amazon Managed Grafana exibe um aviso e uma opção de **Resolver** a incompatibilidade. Se você escolher **Resolver**, o Amazon Managed Grafana exibirá uma caixa de diálogo com uma lista de usuários que têm permissões que estão fora de sincronia.
Os usuários que foram removidos do Centro de Identidade do IAM aparecem como `Unknown user`, com um ID numérico na caixa de diálogo. Para esses usuários, a única maneira de corrigir a incompatibilidade é escolher **Resolver** e remover suas permissões.
Os usuários que ainda estão no Centro de Identidade do IAM, mas não pertencem mais a um grupo com os direitos de acesso que tinham anteriormente, aparecem com seu nome de usuário na lista **Resolver**. Existem duas maneiras de corrigir esse problema. Você pode usar a caixa de diálogo **Resolver** para remover ou reduzir o acesso, ou pode conceder acesso a eles seguindo as instruções na seção anterior.
## Perguntas frequentes sobre incompatibilidades de permissões
**Por que estou vendo um erro indicando incompatibilidade nas permissões na seção **Configurar usuários e grupos** do console do Amazon Managed Grafana?**
Você está vendo essa mensagem porque foi identificada uma incompatibilidade nas associações de usuários e grupos no Centro de Identidade do IAM e nas permissões no Amazon Managed Grafana para o espaço de trabalho. Você pode adicionar ou remover usuários do espaço de trabalho do Grafana no console do Amazon Managed Grafana (na guia **Configurar usuários e grupos**) ou no console do Centro de Identidade do IAM (página **Atribuições de aplicações**). No entanto, as permissões de usuário do Grafana só podem ser definidas no Amazon Managed Grafana (usando as APIs ou o console do Amazon Managed Grafana), atribuindo permissões de **Visualizador**, **Editor** ou **Administrador** ao usuário ou grupo. Um usuário pode pertencer a vários grupos com permissões variadas. Nesse caso, a permissão é baseada no nível de acesso mais alto entre todos os grupos e permissões aos quais o usuário pertence.
Registros incompatíveis podem resultar de:
+ Um usuário ou grupo foi excluído do Centro de Identidade do IAM, mas não do Amazon Managed Grafana. Esses registros são exibidos como **usuários desconhecidos** no console do Amazon Managed Grafana.
+ A associação de um usuário ou grupo com o Grafana foi excluída no Centro de Identidade do IAM (em **Atribuições de aplicações**), mas não do Amazon Managed Grafana.
+ As permissões do usuário foram atualizadas anteriormente diretamente no espaço de trabalho do Grafana. As atualizações no espaço de trabalho do Grafana não são compatíveis com o Amazon Managed Grafana.
Para evitar essas incompatibilidades, use o console ou as APIs do Amazon Managed Grafana para gerenciar permissões de usuários e grupos para o espaço de trabalho.
**Eu já atualizei os níveis de acesso de alguns dos membros da minha equipe no espaço de trabalho do Grafana. Agora vejo que seus níveis de acesso foram revertidos para o nível de acesso antigo. Por que estou vendo isso e como faço para resolver esse problema?**
Provavelmente, isso se deve a uma incompatibilidade identificada entre a associação de usuários e grupos no Centro de Identidade do IAM e os registros de permissão do Amazon Managed Grafana para o espaço de trabalho. Se os membros da sua equipe estiverem encontrando níveis de acesso diferentes, você ou um administrador do Amazon Managed Grafana pode ter resolvido a incompatibilidade no console do Amazon Managed Grafana, removendo os registros incompatíveis. Você pode reatribuir os níveis de acesso necessários no console ou nas APIs do Amazon Managed Grafana para restaurar as permissões desejadas.
**nota**
O gerenciamento de acesso do usuário não é compatível com o espaço de trabalho do Grafana. Use o console ou as APIs do Amazon Managed Grafana para atribuir permissões de usuários ou grupos.
**Por que estou notando alterações nos meus níveis de acesso? Por exemplo, eu já tinha acesso de administrador, mas agora só tenho permissões de editor.**
Um administrador do espaço de trabalho pode ter alterado suas permissões. Isso pode acontecer inesperadamente no caso de uma incompatibilidade entre as associações dos usuários e grupos no Centro de Identidade do IAM e suas permissões no Amazon Managed Grafana. Nesse caso, resolver a incompatibilidade pode ter removido as permissões de acesso mais elevado. Você pode solicitar que um administrador reatribua o nível de acesso necessário no console do Amazon Managed Grafana.