本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解如何创建和使用 Amazon Managed Grafana 资源
本教程可帮助您开始使用 Amazon Managed Grafana。创建您的第一个工作区,然后连接到该工作区中的 Grafana 控制台。
*工作区*是一个逻辑 Grafana 服务器。您在账户的每个区域中最多能有五个工作区。
**注意**
如果您没有 AWS 账户,请先学习如何[设置 AWS 以使用亚马逊托管 Grafana](Amazon-Managed-Grafana-setting-up.md)。
**Topics**
+ [用户身份验证](#AMG-getting-started-workspace-authentication)
+ [必要的权限](#AMG-getting-started-workspace-permissions)
+ [创建第一个工作区](#AMG-getting-started-workspace-create)
+ [设置 AWS 为使用亚马逊托管 Grafana](Amazon-Managed-Grafana-setting-up.md)
## 用户身份验证
对于工作区内的用户身份验证,Amazon Managed Grafana 支持以下选项:
+ 用户凭证存储在身份提供商 (IdPs) 中,通过安全断言标记语言 2.0 (SAML 2.0) 进行身份验证
+ AWS IAM Identity Center
**SAML**
如果您使用 SAML,则必须已在身份提供者中创建用户。Amazon Managed Grafana 支持那些支持 SAML 2.0 的身份提供者。有关更多信息,请参阅 [在 Amazon Managed Grafana 工作区中使用 SAML](authentication-in-AMG-SAML.md)。
**AWS IAM Identity Center**
当您创建工作空间并选择使用身份验证时,如果您尚未使用 AWS IAM Identity Center 它,Amazon Managed Grafana 会在您的账户中激活 IAM 身份中心。有关 IAM 身份中心的更多信息,请参阅[什么是 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
要将 IAM 身份中心与 Amazon Managed Grafana 一起使用,您还必须 AWS Organizations 已在账户中激活。如果您尚未激活它,Amazon Managed Grafana 会在激活 IAM Identity Center 时将其激活。如果 Amazon Managed Grafana 启用了组织,它还会为您创建一个组织。有关 Organizations 的详细信息,请参阅[什么是 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。
**注意**
要在已经是 AWS 组织成员的账户中创建工作空间,必须在该组织的管理账户中启用 IAM Identity Center。如果您在 2019 年 11 月 25 日之前在管理账户中启用了 IAM 身份中心,则还必须在管理账户中启用 IAM 身份 Center-integrated 应用程序。有关更多信息,请参阅 [IAM 身份 Center-integrated应用程序](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps.html)。
## 必要的权限
要创建使用 IdP 和 SAML 进行授权的工作空间,您必须登录已附加策略的 IAM 委托人。**AWSGrafanaAccountAdministrator**
要创建第一个 AWS IAM Identity Center 用于授权的工作空间,您必须登录至少附加了以下策略的 IAM 委托人:
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectoryAdministrator**
有关更多信息,请参阅 [使用 IAM Identity Center 在单个独立账户中创建和管理 Amazon Managed Grafana 工作区和用户](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone)。
## 创建第一个工作区
使用以下步骤创建第一个工作区。
**要在 Amazon Managed Grafana 中创建工作区**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 选择**创建工作区**。
1. 对于**工作区名称**,输入工作区的名称。
(可选)输入工作区的描述。
1. 选择**下一步**。
1. 对于**身份验证访问权限**,请选择 **AWS IAM Identity Center ** 和/或**安全断言标记语言(SAML)**。
+ **AWS IAM Identity Center**:如果您选择 IAM Identity Center,但尚未在账户中启用 IAM Identity Center,则系统会提示您通过创建您的第一个 IAM Identity Center 用户来将其启用。IAM Identity Center 处理与 Amazon Managed Grafana 工作区访问权限相关的用户管理操作。
要启用 IAM Identity Center,请执行以下步骤:
1. 选择**创建用户**。
1. 输入用户的电子邮件地址、名字和姓氏,并选择**创建用户**。在本教程中,请使用您想要试用 Amazon Managed Grafana 的账户的名称和电子邮件地址。系统会发送一封电子邮件,提示您为该账户创建 IAM Identity Center 的密码。
**重要**
您创建的用户不会自动拥有您的 Amazon Managed Grafana 工作区访问权限。在稍后的步骤中,您将在工作区详细信息页面中为用户提供工作区的访问权限。
+ **SAML**:如果选择 **SAML**,则在创建工作区后完成 SAML 设置。
1. 选择**下一步**。
1. 对于第一个工作区,请确认选择**托管服务**作为**权限类型**。此选择使 Amazon Managed Grafana 能够自动为您选择用于此 AWS 工作空间的数据源配置所需的权限。
1. 在本教程中,选择**当前账户**。
1. (可选)选择要在此工作区中查询的数据来源。在本入门教程中,您无需选择任何数据来源。但是,如果您计划将此工作区用于列出的任何数据来源,请在此处选择对应的数据来源。
选择数据源使亚马逊托管 Grafana 能够为每个数据源 AWS Identity and Access Management 创建 (IAM) 策略,以便亚马逊托管 Grafana 有权读取其数据。这并不能将这些服务完全设置为 Grafana 工作区的数据来源。您可以在 Grafana 工作区控制台中执行此操作。
1. (可选)如果您希望将来自此工作区的 Grafana 警报发送到 Amazon Simple Notification Service(Amazon SNS)通知渠道,请选择 **Amazon SNS**。这样,Amazon Managed Grafana 就会创建一个 IAM 策略,向您账户中的 Amazon SNS 主题发布以 `grafana` 开头的 `TopicName` 值。这并不能完全将 Amazon SNS 设置为工作区的通知渠道。您可以在工作区的 Grafana 控制台中执行此操作。
1. (可选)默认情况下,Amazon Managed Grafana 会自动为您提供静态加密,并 AWS使用自有的加密密钥执行此操作。但是,您可以选择使用自己创建、拥有和管理的客户托管密钥作为替代方案。有关更多信息,请参阅 [静态加密](AMG-encryption-at-rest.md)。
1. 选择**下一步**。
1. 确认工作区的详细信息,然后选择**创建工作区**。
此时将会显示工作区详细信息页面。
最初,**状态**为**正在创建**。
**重要**
等到状态变为**活动**后再执行以下任一操作:
如果您使用的是 SAML,请完成 SAML 设置。
如果您使用的是 IAM Identity Center,请向工作区分配您的 IAM Identity Center 用户访问权限。
您可能需要刷新浏览器来查看当前状态。
1. 如果您使用的是 IAM Identity Center,请执行以下操作:
1. 在**身份验证**选项卡中,选择**分配新用户或组**。
1. 在要向其授予工作区访问权限的用户旁边,选择其复选框,然后选择**分配用户**。
1. 选中用户旁边的复选框,然后从“操作”下拉列表中选择**使其成为管理员**操作。
**重要**
为每个工作区分配至少一个用户(例如 `Admin`),以便登录 Grafana 工作区控制台来管理工作区。
1. 如果您使用的是 SAML,请执行以下操作:
1. 在**身份验证**选项卡的**安全断言标记语言(SAML)**下,选择**完成设置**。
1. 对于**导入方法**,执行以下操作之一:
+ 选择 **URL** 并输入 IdP 元数据的 URL。
+ 选择**上传或 copy/paste**。如果您要上传元数据,请选择**选择文件**,然后选择元数据文件。或者,如果您使用复制和粘贴,请将元数据复制到**导入元数据**。
1. 对于**断言属性角色**,输入要从中提取角色信息的 SAML 断言属性名称。
1. 对于**管理员角色值**,输入 IdP 中的用户角色,这些角色都应被授予 Amazon Managed Grafana 工作区中的 `Admin` 角色,或者,选择**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。您只能使用 Grafana API 对工作区进行管理更改。
1. (可选)要输入其他 SAML 设置,请选择**其他设置**,并执行以下一项或多项操作。所有这些字段均为可选字段。
+ 对于**断言属性名称**,指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。
+ 对于**断言属性登录**,指定 SAML 断言中用作 SAML 用户登录名称的属性名称。
+ 对于**断言属性电子邮件**,指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。
+ 对于**登录有效期(分钟)**,指定 SAML 用户的登录有效期,在此时间之后,用户必须重新登录。
+ 对于**断言属性组织**,指定 SAML 断言中用作用户组织“友好”名称的属性名称。
+ 对于**断言属性组**,指定 SAML 断言中用作用户组“友好”名称的属性名称。
+ 对于**允许的组织**,您可以限制用户的访问权限,仅允许那些属于 IdP 中特定组织的成员访问。输入一个或多个要允许的组织,用逗号分隔。
+ 对于**编辑者角色值**,输入 IdP 中的用户角色,这些用户角色都将被授予 Amazon Managed Grafana 工作区的 `Editor` 角色。输入一个或多个角色,用逗号分隔。
**注意**
任何未特别分配管理员或编辑者角色的用户都被指定为查看者。
1. 选择**保存 SAML 配置**。
1. 在工作区详细信息页面中,选择 **Grafana 工作区 URL** 下显示的 URL。
1. 选择工作区 URL 会将您带到 Grafana 工作区控制台的登录页面。请执行以下操作之一:
+ 选择**使用 SAML 登录**,然后输入名称和密码。
+ 选择 “**登录**方式” AWS IAM Identity Center,然后输入您之前在此过程中创建的用户的电子邮件地址和密码。在您响应了 Amazon Managed Grafana 提示您为 IAM Identity Center 创建密码的电子邮件后,这些凭证才有效。
现在,您已进入 Grafana 工作区,或者说逻辑 Grafana 服务器。您可以开始添加数据来源,以查询、可视化和分析数据。有关更多信息,请参阅 [使用您的 Grafana 工作区](AMG-working-with-Grafana-workspace.md)。