本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建 Amazon Managed Grafana 工作区
<a name="AMG-create-workspace"></a>

*工作区*是一个逻辑 Grafana 服务器。您在账户的每个区域中最多能有五个工作区。

**必要的权限**

要创建工作空间，您必须登录已附加**AWSGrafanaAccountAdministrator**策略的 AWS Identity and Access Management (IAM) 委托人。

要创建第一个使用 IAM Identity Center 进行授权的工作区，您的 IAM 主体还必须额外附加这些策略（或具有同等权限）：
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectory管理员**

有关更多信息，请参阅 [使用 IAM Identity Center 在单个独立账户中创建和管理 Amazon Managed Grafana 工作区和用户](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone)。

## 创建工作区
<a name="creating-workspace"></a>

以下步骤将引导您完成创建新 Amazon Managed Grafana 工作区的过程。

**要在 Amazon Managed Grafana 中创建工作区**

1. 打开 Amazon Managed Grafana 控制台，其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)。

1. 选择**创建工作区**。

1. 在**工作区详细信息**窗口的**工作区名称**中，输入工作区的名称。

   （可选）输入工作区的描述。

   （可选）添加要与此工作区关联的标签。标签有助于识别和组织工作空间，也可用于控制对 AWS 资源的访问权限。例如，您可以为工作区指定标签，只让有限的组或角色有权限使用该标签访问工作区。有关基于标签的访问控制的更多信息，请参阅 IAM 用户指南中的[使用标签控制 AWS 资源访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

   ![\[Workspace details form with name field and optional tags section highlighted.\]](http://docs.aws.amazon.com/zh_cn/grafana/latest/userguide/images/tagworkspace.png)

1. 为工作区选择 **Grafana 版本**。您可以选择版本 8、9 或 10。要了解版本之间的差异，请参阅 [Grafana 版本之间的差异](version-differences.md)。

1. 选择**下一步**。

1. 对于**身份验证访问权限**，请选择 **AWS IAM Identity Center ** 和/或**安全断言标记语言（SAML）**。有关更多信息，请参阅 [在 Amazon Managed Grafana 工作区中对用户进行身份验证](authentication-in-AMG.md)。
   + **IAM Identit** y Center — 如果您选择 IAM 身份中心但尚未在账户 AWS IAM Identity Center 中启用，则系统会提示您通过创建您的第一个 IAM Identity Center 用户来启用该中心。IAM Identity Center 处理与 Amazon Managed Grafana 工作区访问权限相关的用户管理操作。

     要启用 IAM Identity Center，请执行以下步骤：

   1. 选择**创建用户**。

   1. 输入用户的电子邮件地址、名字和姓氏，并选择**创建用户**。在本教程中，请使用您想要试用 Amazon Managed Grafana 的账户的名称和电子邮件地址。您将收到一封电子邮件，提示您为该账户创建 IAM Identity Center 密码。
**重要**  
您创建的用户不会自动拥有您的 Amazon Managed Grafana 工作区访问权限。在稍后的步骤中，您将在工作区详细信息页面中为用户提供工作区的访问权限。
   + **SAML**：如果选择 **SAML**，则在创建工作区后完成 SAML 设置。

1. 选择**服务托管**或**客户管理**。

   如果您选择**服务托管**，Amazon Managed Grafana 会自动创建 IAM 角色并为您选择用于 AWS 此工作空间的该账户中的数据源配置所需的权限。

   如果您想自己管理这些角色和权限，请选择**客户管理**。

   如果您要在组织的成员账户中创建工作区，该成员账户必须是组织中的委托管理员账户，才能够选择**服务托管**。有关委托管理员账户的更多信息，请参阅[注册委托管理员](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。

1. （可选）您可以选择在此页面上连接到 Amazon Virtual Private Cloud（VPC），也可以稍后连接到 VPC。要了解更多信息，请参阅[从 Amazon Managed Grafana 连接到 Amazon VPC 中的数据来源或通知渠道](AMG-configure-vpc.md)。

1. （可选）您可以在此页面上选择其他工作区配置选项，包括以下选项：
   + 启用 [Grafana Alerting](alerts-overview.md)。通过 Grafana Alerting，您可以在 Grafana 工作区的单一警报界面中查看 Grafana 警报和在 Prometheus 中定义的警报。

     在运行版本 8 或 9 的工作区中，这将为 Grafana 警报发送多个通知。如果使用在 Grafana 中定义的警报，我们建议将工作区创建为 10.4 或更高版本。
   + 允许 Grafana 管理员为此工作区[管理插件](grafana-plugins.md)。如果未启用插件管理，管理员将无法为工作区安装、卸载或移除插件。您可以用于 Amazon Managed Grafana 的数据来源和可视化面板类型可能会受到限制。

   您也可以在创建工作区后做出这些配置更改。要了解有关配置工作区的更多信息，请参阅 [配置 Amazon Managed Grafana 工作区](AMG-configure-workspace.md)。

1. （可选）您可以选择为工作区添加**网络访问控制**。要添加网络访问控制，请选择**受限访问**。您也可以在创建工作区后启用网络访问控制。

   有关网络访问控制的更多信息，请参阅 [配置对 Amazon Managed Grafana 工作区的网络访问权限](AMG-configure-nac.md)。

1. （可选）默认情况下，Amazon Managed Grafana 会自动为您提供静态加密，并 AWS使用自有的加密密钥执行此操作。但是，您可以选择使用自己创建、拥有和管理的客户托管密钥作为替代方案。有关更多信息，请参阅 [静态加密](AMG-encryption-at-rest.md)。

1. 选择**下一步**。

1. 如果您选择**服务托管**，请选择 “**当前账户**”，让 Amazon Managed Grafana 自动创建策略和权限，使其只能 AWS 读取当前账户中的数据。

   如果您要在管理账户中创建工作空间或在组织中创建委托管理员账户，则可以选择 “**组织**”，让 Amazon Managed Grafana 自动创建策略和权限，允许其 AWS 读取您指定的组织单位中其他账户中的数据。有关委托管理员账户的更多信息，请参阅[注册委托管理员](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。
**注意**  
在组织的管理账户中创建诸如 Amazon Managed Grafana 工作空间之类的资源违反了安全最佳实践。 AWS 

   1. 如果您选择 “**组织**”，并且系统提示您启用 AWS CloudFormation StackSets，请选择 “**启用可信访问**”。然后，添加你想让 Amazon Managed Grafana 从中读取数据的 AWS Organizations 组织单位 (OUs)。然后，Amazon Managed Grafana 就可以从您选择的每个 OU 中的所有账户读取数据。

   1. 如果您选择了**组织**，请选择**数据来源和通知渠道 - 可选**。

1. 选择要在此工作空间中查询 AWS 的数据源。选择数据来源可使 Amazon Managed Grafana 创建允许 Amazon Managed Grafana 从这些来源读取数据的 IAM 角色和权限。您仍必须在 Grafana 工作区控制台中添加数据来源。

1. （可选）如果您希望将来自此工作区的 Grafana 警报发送到 Amazon Simple Notification Service（Amazon SNS）通知渠道，请选择 **Amazon SNS**。这样，Amazon Managed Grafana 就会创建一个 IAM 策略，向您账户中的 Amazon SNS 主题发布以 `grafana` 开头的 `TopicName` 值。这并不能完全将 Amazon SNS 设置为工作区的通知渠道。您可以在工作区的 Grafana 控制台中执行此操作。

1. 选择**下一步**。

1. 确认工作区的详细信息，然后选择**创建工作区**。

   此时将会显示工作区详细信息页面。

   最初，**状态**为**正在创建**。
**重要**  
等到状态变为**活动**后再执行以下任一操作：  
如果您使用的是 SAML，请完成 SAML 设置。
如果您使用的是 IAM Identity Center，请向工作区分配您的 IAM Identity Center 用户访问权限。
您可能需要刷新浏览器来查看当前状态。

1. 如果您使用的是 IAM Identity Center，请执行以下操作：

   1. 在**身份验证**选项卡中，选择**分配新用户或组**。

   1. 在要向其授予工作区访问权限的用户旁边，选择其复选框，然后选择**分配用户**。

   1. 选择该用户旁边的复选框，然后选择**使其成为管理员**。
**重要**  
为每个工作区分配至少一个用户（例如 `Admin`），以便登录 Grafana 工作区控制台来管理工作区。

1. 如果您使用的是 SAML，请执行以下操作：

   1. 在**身份验证**选项卡的**安全断言标记语言（SAML）**下，选择**完成设置**。

   1. 对于**导入方法**，执行以下操作之一：
      + 选择 **URL** 并输入 IdP 元数据的 URL。
      + 选择**上传或复制/粘贴**。如果您要上传元数据，请选择**选择文件**，然后选择元数据文件。或者，如果您使用复制和粘贴，请将元数据复制到**导入元数据**。

   1. 对于**断言属性角色**，输入要从中提取角色信息的 SAML 断言属性名称。

   1. 对于**管理员角色值**，输入 IdP 中的用户角色，这些角色都应被授予 Amazon Managed Grafana 工作区中的 `Admin` 角色，或者，选择**我希望选择不为工作区分配管理员**。
**注意**  
如果您选择**我希望选择不为工作区分配管理员**，您将无法使用控制台管理工作区（包括无法管理数据来源、用户和控制面板权限等任务）。您只能使用亚马逊托管 Grafana APIs 对工作空间进行管理更改。

   1. （可选）要输入其他 SAML 设置，请选择**其他设置**，并执行以下一项或多项操作。所有这些字段均为可选字段。
      + 对于**断言属性名称**，指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。
      + 对于**断言属性登录**，指定 SAML 断言中用作 SAML 用户登录名称的属性名称。
      + 对于**断言属性电子邮件**，指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。
      + 对于**登录有效期（分钟）**，指定 SAML 用户的登录有效期，在此时间之后，用户必须重新登录。默认值为 1 天，最大值为 30 天。
      + 对于**断言属性组织**，指定 SAML 断言中用作用户组织“友好”名称的属性名称。
      + 对于**断言属性组**，指定 SAML 断言中用作用户组“友好”名称的属性名称。
      + 对于**允许的组织**，您可以限制用户的访问权限，仅允许那些属于 IdP 中特定组织的成员访问。输入一个或多个要允许的组织，用逗号分隔。
      + 对于**编辑者角色值**，输入 IdP 中的用户角色，这些用户角色都将被授予 Amazon Managed Grafana 工作区的 `Editor` 角色。输入一个或多个角色，用逗号分隔。

   1. 选择**保存 SAML 配置**。

1. 在工作区详细信息页面中，选择 **Grafana 工作区 URL** 下显示的 URL。

1. 选择工作区 URL 会将您带到 Grafana 工作区控制台的登录页面。请执行以下操作之一：
   + 选择**使用 SAML 登录**，然后输入名称和密码。
   +  选择 “**登录**方式” AWS IAM Identity Center，然后输入您之前在此过程中创建的用户的电子邮件地址和密码。在您响应了 Amazon Managed Grafana 提示您为 IAM Identity Center 创建密码的电子邮件后，这些凭证才有效。

     现在，您已进入 Grafana 工作区，或者说逻辑 Grafana 服务器。您可以开始添加数据来源，以查询、可视化和分析数据。有关更多信息，请参阅 [使用您的 Grafana 工作区](AMG-working-with-Grafana-workspace.md)。

有关 

**提示**  
您可以使用自动创建亚马逊托管 Grafana 工作空间。 CloudFormation有关更多详细信息，请参阅 [使用创建亚马逊托管 Grafana 资源 AWS CloudFormation](creating-resources-with-cloudformation.md)。