本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立 Amazon Managed Grafana 工作區
<a name="AMG-create-workspace"></a>

*工作區*是邏輯 Grafana 伺服器。您帳戶中的每個區域中最多可以有五個工作區。

**必要的許可**

若要建立工作區，您必須登入已連接 **AWSGrafanaAccountAdministrator** 政策的 AWS Identity and Access Management (IAM) 委託人。

若要建立使用 IAM Identity Center 進行授權的第一個工作區，您的 IAM 主體還必須連接這些額外的政策 （或同等許可）：
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectoryAdministrator**

如需詳細資訊，請參閱[使用 IAM Identity Center 在單一獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone)。

## 建立工作區
<a name="creating-workspace"></a>

下列步驟會逐步引導您建立新的 Amazon Managed Grafana 工作區。

**在 Amazon Managed Grafana 中建立工作區**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/) 的 Amazon Managed Grafana 主控台。

1. 選擇**建立工作區**。

1. 在**工作區詳細資訊**視窗中，針對**工作區名稱**，輸入工作區的名稱。

   或者，輸入工作區的描述。

   或者，新增您要與此工作區建立關聯的標籤。標籤有助於識別和組織工作區，也可以用於控制對 AWS 資源的存取。例如，您可以將標籤指派給工作區，只有有限的群組或角色可以使用標籤存取工作區。如需標籤型存取控制的詳細資訊，請參閱《IAM 使用者指南》中的[使用標籤控制 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

   ![\[Workspace details form with name field and optional tags section highlighted.\]](http://docs.aws.amazon.com/zh_tw/grafana/latest/userguide/images/tagworkspace.png)

1. 選擇工作區的 **Grafana 版本**。您可以選擇版本 8、9 或 10。若要了解版本之間的差異，請參閱 [Grafana 版本之間的差異](version-differences.md)。

1. 選擇**下一步**。

1. 針對**身分驗證存取**，選取**AWS IAM Identity Center **、**安全性聲明標記語言 (SAML)** 或兩者。如需詳細資訊，請參閱[驗證 Amazon Managed Grafana 工作區中的使用者](authentication-in-AMG.md)。
   + **IAM Identity Center**：如果您選取 IAM Identity Center 且尚未 AWS IAM Identity Center 在帳戶中啟用，系統會提示您建立第一個 IAM Identity Center 使用者來啟用它。IAM Identity Center 會處理存取 Amazon Managed Grafana 工作區的使用者管理。

     若要啟用 IAM Identity Center，請遵循下列步驟：

   1. 選擇 **Create user** (建立使用者)。

   1. 輸入使用者的電子郵件地址、名字和姓氏，然後選擇**建立使用者**。在本教學課程中，請使用您要用來試用 Amazon Managed Grafana 之帳戶的名稱和電子郵件地址。您會收到電子郵件訊息，提示您為此帳戶建立 IAM Identity Center 的密碼。
**重要**  
您建立的使用者不會自動存取您的 Amazon Managed Grafana 工作區。在後續步驟中，您可以讓使用者存取工作區詳細資訊頁面中的工作區。
   + **SAML** — 如果您選擇 **SAML**，您可以在建立工作區後完成 SAML 設定。

1. 選擇**服務受管**或**客戶受管**。

   如果您選擇**服務受**管，Amazon Managed Grafana 會自動建立 IAM 角色，並佈建您在此帳戶中選擇用於此工作區 AWS 的資料來源所需的許可。

   如果您想要自行管理這些角色和許可，請選擇**客戶受管**。

   如果您要在組織的成員帳戶中建立工作區，若要選擇**服務受**管，成員帳戶必須是組織中的委派管理員帳戶。如需委派管理員帳戶的詳細資訊，請參閱[註冊委派管理員](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。

1. （選用） 您可以選擇在此頁面上連線至 Amazon Virtual Private Cloud (VPC)，也可以稍後連線至 VPC。如需詳細資訊，請參閱 [從 Amazon Managed Grafana 連線至 Amazon VPC 中的資料來源或通知管道](AMG-configure-vpc.md)。

1. （選用） 您可以在此頁面選擇其他工作區組態選項，包括下列項目：
   + 啟用 [Grafana 提醒](alerts-overview.md)。Grafana 提醒可讓您在 Grafana 工作區的單一提醒界面中檢視 Prometheus 中定義的 Grafana 提醒和提醒。

     在執行版本 8 或 9 的工作區中，這將傳送多個 Grafana 提醒的通知。如果您使用 Grafana 中定義的提醒，建議您將工作區建立為 10.4 版或更新版本。
   + 允許 Grafana 管理員管理此工作區的[外掛程式](grafana-plugins.md)。如果您未啟用外掛程式管理，管理員將無法安裝、解除安裝或移除工作區的外掛程式。您可能會受限於與 Amazon Managed Grafana 搭配使用的資料來源和視覺化面板類型。

   您也可以在建立工作區之後進行這些組態變更。若要進一步了解如何設定工作區，請參閱 [設定 Amazon Managed Grafana 工作區](AMG-configure-workspace.md)。

1. （選用） 您可以選擇為工作區新增**網路存取控制**。若要新增網路存取控制，請選擇**限制存取**。您也可以在建立工作區之後啟用網路存取控制。

   如需網路存取控制的詳細資訊，請參閱 [設定 Amazon Managed Grafana 工作區的網路存取權](AMG-configure-nac.md)。

1. （選用） 根據預設，Amazon Managed Grafana 會自動為您提供靜態加密，並使用擁有 AWS的加密金鑰執行此操作。但您可以選擇使用您建立、擁有和管理的客戶受管金鑰做為替代方案。如需詳細資訊，請參閱[靜態加密](AMG-encryption-at-rest.md)。

1. 選擇**下一步**。

1. 如果您選擇**服務受管**，請選擇**目前帳戶**，讓 Amazon Managed Grafana 自動建立政策和許可，允許它只讀取目前帳戶中 AWS 的資料。

   如果您要在管理帳戶或組織中的委派管理員帳戶中建立工作區，您可以選擇 **Organization**，讓 Amazon Managed Grafana 自動建立政策和許可，以允許它在您指定的組織單位中讀取其他帳戶中 AWS 的資料。如需委派管理員帳戶的詳細資訊，請參閱[註冊委派管理員](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。
**注意**  
在組織的管理帳戶中建立 資源，例如 Amazon Managed Grafana 工作區，違反 AWS 安全最佳實務。

   1. 如果您選擇 **Organization**，且系統提示您啟用 AWS CloudFormation StackSets，請選擇**啟用受信任的存取**。然後，新增您希望 Amazon Managed Grafana 從中讀取資料 AWS Organizations 的組織單位 (OUs)。然後，Amazon Managed Grafana 可以從您選擇的每個 OU 中的所有帳戶讀取資料。

   1. 如果您選擇**組織**，請選擇**資料來源和通知管道 - 選用**。

1. 選取您要在此工作區中查詢的 AWS 資料來源。選取資料來源可讓 Amazon Managed Grafana 建立 IAM 角色和許可，以允許 Amazon Managed Grafana 從這些來源讀取資料。您仍然必須在 Grafana 工作區主控台中新增資料來源。

1. （選用） 如果您希望將此工作區的 Grafana 提醒傳送至 Amazon Simple Notification Service (Amazon SNS) 通知管道，請選取 **Amazon SNS**。這可讓 Amazon Managed Grafana 建立 IAM 政策，以使用以 開頭`TopicName`的值發佈至您帳戶中的 Amazon SNS 主題`grafana`。這不會完全將 Amazon SNS 設定為工作區的通知管道。您可以在工作區的 Grafana 主控台中執行此操作。

1. 選擇**下一步**。

1. 確認工作區詳細資訊，然後選擇**建立工作區**。

   隨即顯示工作區詳細資訊頁面。

   一開始，**狀態**為**正在建立**。
**重要**  
請等到狀態為 **ACTIVE** 後再執行下列任一動作：  
如果您使用 SAML，請完成 SAML 設定。
如果您使用 IAM Identity Center，請指派 IAM Identity Center 使用者存取工作區。
您可能需要重新整理瀏覽器，以查看目前的狀態。

1. 如果您使用的是 IAM Identity Center，請執行下列動作：

   1. 在**身分驗證**索引標籤中，選擇**指派新使用者或群組**。

   1. 選取您要授予工作區存取權之使用者旁邊的核取方塊，然後選擇**指派使用者**。

   1. 選取使用者旁的核取方塊，然後選擇**建立管理員**。
**重要**  
`Admin` 為每個工作區指派至少一個使用者做為 ，以便登入 Grafana 工作區主控台來管理工作區。

1. 如果您使用的是 SAML，請執行下列動作：

   1. 在**身分驗證**索引標籤**的安全性聲明標記語言 (SAML)** 下，選擇**完成設定**。

   1. 針對**匯入方法**，執行下列其中一項：
      + 選擇 **URL** 並輸入 IdP 中繼資料的 URL。
      + 選擇**上傳或複製/貼上**。如果您要上傳中繼資料，請選擇**選擇檔案**，然後選取中繼資料檔案。或者，如果您使用複製並貼上，請將中繼資料複製到**匯入中繼資料**。

   1. 針對 **Assertion 屬性角色**，輸入要從中擷取角色資訊的 SAML 聲明屬性名稱。

   1. 在**管理員角色值**中，輸入 IdP 中的使用者角色，該使用者角色應該在 Amazon Managed Grafana 工作區中授予該`Admin`角色，或選取**不將管理員指派給我的工作區。**
**注意**  
如果您選擇**不將管理員指派給我的工作區。**您將無法使用主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Amazon Managed Grafana APIs 對工作區進行管理變更。

   1. （選用） 若要輸入其他 SAML 設定，請選擇**其他設定**並執行下列一或多個動作。所有這些欄位都是選用的。
      + 對於 **Assertion 屬性名稱**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者完整「易記」名稱。
      + 對於 **Assertion 屬性登入**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者登入名稱。
      + 對於 **Assertion 屬性電子郵件**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者電子郵件名稱。
      + 針對**登入有效期間 （以分鐘為單位）**，指定 SAML 使用者的登入有效期間，使用者必須再次登入。預設值為 1 天，上限為 30 天。
      + 對於 **Assertion 屬性組織**，請在 SAML 聲明中指定屬性的名稱，以用於使用者組織的「易記」名稱。
      + 對於 **Assertion 屬性群組**，請在 SAML 聲明中指定屬性的名稱，以用於使用者群組的「易記」名稱。
      + 對於**允許的組織**，您只能將使用者存取權限制為 IdP 中特定組織的成員。輸入要允許的一或多個組織，以逗號分隔它們。
      + 在**編輯器角色值**中，輸入 IdP 中的使用者角色，該角色都應在 Amazon Managed Grafana 工作區中授予該`Editor`角色。輸入一或多個角色，以逗號分隔。

   1. 選擇**儲存 SAML 組態**。

1. 在工作區詳細資訊頁面中，選擇顯示在 **Grafana 工作區 URL 下的 URL**。

1. 選擇工作區 URL 會帶您前往 Grafana 工作區主控台的登陸頁面。執行以下任意一項：
   + 選擇**使用 SAML 登入**，然後輸入名稱和密碼。
   +  選擇**使用 登入 AWS IAM Identity Center**，然後輸入您在此程序中稍早建立之使用者的電子郵件地址和密碼。這些登入資料只有在您已回應來自 Amazon Managed Grafana 的電子郵件，提示您為 IAM Identity Center 建立密碼時才有效。

     您現在位於 Grafana 工作區或邏輯 Grafana 伺服器中。您可以開始新增資料來源來查詢、視覺化和分析資料。如需詳細資訊，請參閱[使用您的 Grafana 工作區](AMG-working-with-Grafana-workspace.md)。

如需 的詳細資訊 

**提示**  
您可以使用 自動建立 Amazon Managed Grafana 工作區 CloudFormation。如需詳細資訊，請參閱 [使用 建立 Amazon Managed Grafana 資源 AWS CloudFormation](creating-resources-with-cloudformation.md)。