本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon Managed Grafana 中管理工作區、使用者和政策
<a name="AMG-manage-workspaces-users"></a>

若要使用 Amazon Managed Grafana，請建立 Grafana 工作區。Grafana 工作區是邏輯 Grafana 伺服器，您可以在其中建立 Grafana 儀表板和視覺化，以分析指標、日誌和追蹤。您可以新增使用者和管理其管理、編輯或檢視工作區的許可。

您可以將工作區升級至較新版本的 Grafana，或更新以新增對企業外掛程式的支援，讓您的工作區存取更多類型的資料來源。您也可以管理工作區的網路存取。您可以使用 建立和管理 Amazon Managed Grafana 工作區 CloudFormation。

本節中的主題說明如何在 Amazon Managed Grafana 中管理您的工作區、使用者和政策。

**Topics**
+ [Grafana 版本之間的差異](version-differences.md)
+ [建立 Amazon Managed Grafana 工作區](AMG-create-workspace.md)
+ [驗證 Amazon Managed Grafana 工作區中的使用者](authentication-in-AMG.md)
+ [更新您的工作區版本](AMG-workspace-version-update.md)
+ [管理對企業外掛程式的存取](upgrade-to-enterprise-plugins.md)
+ [在 Amazon Managed Grafana 工作區之間遷移內容](AMG-workspace-content-migration.md)
+ [管理 Amazon Managed Grafana 工作區的使用者和群組存取權](AMG-manage-users-and-groups-AMG.md)
+ [管理資料來源和通知管道的許可](AMG-datasource-and-notification.md)
+ [使用 建立 Amazon Managed Grafana 資源 AWS CloudFormation](creating-resources-with-cloudformation.md)
+ [設定 Amazon Managed Grafana 工作區的網路存取權](AMG-configure-nac.md)
+ [靜態加密](AMG-encryption-at-rest.md)
+ [從 Amazon Managed Grafana 連線至 Amazon VPC 中的資料來源或通知管道](AMG-configure-vpc.md)
+ [設定 Amazon Managed Grafana 工作區](AMG-configure-workspace.md)
+ [刪除 Amazon Managed Grafana 工作區](AMG-edit-delete-workspace.md)

# Grafana 版本之間的差異
<a name="version-differences"></a>

[建立 Grafana 工作區](AMG-create-workspace.md)時，您必須選擇要建立的 Grafana 版本。您可以選擇與 Grafana 版本 8、9 和 10 相容的版本。這些都已新增先前版本的功能。下列主題說明第 9 版和第 10 版中的變更，包括第 10 版中的變更，這些變更可能會中斷您在第 9 版中使用的功能。

**注意**  
您可以在 [使用 Grafana 第 8 版](using-grafana-v8.md)、 [使用 Grafana 第 9 版](using-grafana-v9.md)和 [使用 Grafana 第 10 版](using-grafana-v10.md)主題中閱讀使用 Grafana 工作區的版本特定文件。

如需各版本的詳細備註，以及 Grafana 實驗室的詳細資訊，請參閱 [Grafana 實驗室文件中 Grafana 的新功能](https://grafana.com/docs/grafana/latest/whatsnew/)。 **

## Grafana 第 10 版
<a name="version-diff-v10"></a>

Grafana 第 10 版已新增下列功能。
+ **關聯** – 關聯定義如何使用一個資料來源中的資料來查詢另一個資料來源中的資料，並允許探索視覺效果輕鬆執行與顯示資料相關的查詢。如需詳細資訊，請參閱[Grafana 第 10 版中的相關性](v10-correlations.md)。
+ **子資料夾** – 組織儀表板時，您現在可以使用子資料夾來建立巢狀階層。如需詳細資訊，請參閱[建立儀表板資料夾](v10-dash-managing-dashboards.md#v10-dash-create-dashboard-folder)。
+ **提醒** – Grafana 提醒現在支援靜音提醒。此外，Grafana 提醒不會再傳送通知 3 次。
+ **提醒升級預覽** – 從傳統儀表板提醒升級至 Grafana 提醒之前，您可以查看提醒的外觀，甚至在遷移時進行套用的變更。如需詳細資訊，請參閱[將傳統儀表板提醒遷移至 Grafana 提醒](v10-alerting-use-grafana-alerts.md)。Grafana Labs 已宣布 Grafana 11 版及更高版本將不再支援傳統儀表板提醒。
+ **支援套件** – 支援套件提供簡單的方法來收集 Grafana 工作區的相關資訊，以便與產品支援共用。您可以快速建立支援套件，其中包含遷移、外掛程式、設定等相關資料。如需詳細資訊，請參閱[收集支援的資訊](support-bundles.md)。
+ **新的視覺**效果 – 有三個新的視覺效果可用。[XY Chart](v10-panels-xychart.md)、[Datagrid](v10-panels-datagrid.md) 和 [Trend 面板](v10-panels-trend.md)都適用於與第 10 版相容的工作區。第 9 版工作區也可以使用 XY 圖表。
+ **PagerDuty** – 企業外掛程式現在包含 PagerDuty 的外掛程式。
+ **轉換重新設計** – 轉換索引標籤具有改善的使用者體驗和視覺化設計。轉換是分類的，每個轉換類型都有一個圖例，協助您選擇正確的轉換類型。
+ **Prometheus 指標百科全書** – Prometheus 查詢建置器中 Prometheus 指標的指標下拉式清單已取代為分頁且可搜尋的指標*百科全書*。
+ **API 金鑰 UI 已停止** – [服務帳戶](service-accounts.md)是驗證 Grafana HTTP APIs 呼叫的建議方式。作為 Grafana 實驗室終止 API 金鑰的一部分，您無法再透過工作區使用者介面建立 API 金鑰。您只能透過 API AWS APIs 金鑰。

  如需 Grafana 實驗室終止 API 金鑰的詳細資訊，請參閱 Grafana GitHub 問題清單中 [API 金鑰的 APIKeys： Sunsetting](https://github.com/grafana/grafana/issues/53567)。

**突破性變更**

Grafana 10.4 版包含從 Grafana 9.5 版到 10.4 版的變更。Grafana 10.0 和 10.3 版有一些變更，在某些情況下可能會中斷功能。更新至新版本時，建議您在非生產環境中進行測試，然後再更新生產工作區。

下列變更可能會影響部分更新至 Grafana 第 10 版的使用者。
+ **角度已停止** – 未來 Grafana 版本將不再支援使用角度的外掛程式。在第 10 版中，使用角的面板會顯示橫幅，指出他們使用已停止的功能，以通知他們未來版本無法運作。
+ **CloudWatch 中的別名已移除** – CloudWatch 查詢編輯器中的別名模式已由 Label （動態標籤） 取代。

  開啟任何使用別名欄位的儀表板，然後儲存它。別名會自動遷移至標籤。
+ **需要升級較舊的外掛程式** – Athena 和 Amazon Redshift 資料來源的外掛程式必須在 Grafana v10 工作區中更新。Athena 資料來源外掛程式必須是 2.9.3 版或更新版本；Amazon Redshift 資料來源外掛程式必須是 1.8.3 版或更新版本。

  如需安裝或升級外掛程式的資訊，請參閱 [使用外掛程式目錄尋找外掛程式](grafana-plugins.md#plugin-catalog)。
+ **不再支援 DoiT BigQuery 外掛程式** – 不再支援 DoiT BigQuery 資料來源外掛程式。請改用官方 Grafana Labs BigQuery 資料來源外掛程式。
+ **轉換變更** – Grafana 第 10 版已對欄位名稱和金鑰進行一些錯誤修正變更。如需完整詳細資訊，請參閱 Grafana 實驗室文件中的[轉換中斷變更](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#transformations)。
+ **資料來源許可 APIs** – 用於存取資料來源許可的端點已變更。如需完整詳細資訊，請參閱 Grafana 實驗室文件中的[資料來源許可變更](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#data-source-permissions)。

如需有關中斷變更以及影響外掛程式開發人員變更的詳細資訊，請參閱 *Grafana 實驗室文件中*的下列主題：
+ [中斷 Grafana v10.0 中的變更](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-0/)
+ [中斷 Grafana v10.3 中的變更](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/)

## Grafana 第 9 版
<a name="version-diff-v9"></a>

Grafana v9 中新增了下列功能。
+ **提醒**：Grafana 受管提醒規則現在支援群組名稱。
+ **探索**：從探索檢視中建立儀表板。
+ **Prometheus 查詢**：Prometheus 查詢的新查詢建置器 （使用 PromQL) 可讓您更輕鬆地撰寫查詢。
+ **Loki 查詢**：Loki 查詢的新查詢建置器 （使用 LogQL) 可讓您更輕鬆地撰寫查詢。
+ **API 字符/服務帳戶**：服務帳戶可簡化 Grafana 中的機器存取，協助您管理 API 字符。
+ **外掛程式管理**：您可以啟用外掛程式管理，以在工作區中安裝、移除或更新社群外掛程式。這可讓您存取更多資料來源和視覺化效果，並讓您控制您使用的每個外掛程式的版本。
+ **指標追蹤**：設定追蹤資料來源，以使用查詢和標籤新增指標的連結。
+ **Canvas 面板**：具有靜態和動態元素的新面板視覺化，可用來建立具有影像和過度純文字的資料驅動型自訂面板。
+ **重組的界面**：在 Grafana 主控台中以更輕鬆的導覽更新 UI。
+ **CloudWatch**：Amazon CloudWatch 資料來源現在可以監控跨 AWS 帳戶 和跨 的指標 AWS 區域。
+ **日誌**：日誌詳細資訊的界面已改善。
+ **一般**：整體錯誤修正和次要改進。

**突破性變更**

Grafana 9.4 版包含一系列新功能和改進功能，以舊版為基礎。此版本有一些變更，在某些情況下可能會中斷功能。更新至新版本時，建議您在非生產環境中進行測試，然後再更新生產工作區。

下列變更可能會影響部分更新至 Grafana 9.4 版的使用者。如需這些變更的詳細清單，請參閱 *GitHub* 上的 [Grafana 9.4 變更日誌](https://github.com/grafana/grafana/blob/release-9.4.17/CHANGELOG.md)。
+ **API 已停止** – `/api/tsdb/query` API 已移除。

  **必要動作：**請`/api/ds/query`改用 。請參閱 *Grafana 公有文件*和 *GitHub* 上的問題[編號 49916](https://github.com/grafana/grafana/issues/49916) 中的[查詢資料來源](https://grafana.com/docs/grafana/latest/http_api/data_source/#query-a-data-source)。
+ **API 端點變更** – 數個提醒 API 端點現在需要資料來源 UID，而不是數值 ID。

  **受影響的端點：**`api/v1/rule/test`、`api/prometheus/`、`api/ruler/`、 `api/alertmanager/`

  **必要動作：**更新 API 呼叫以使用資料來源 UID 做為路徑參數。請參閱 *GitHub* 上的問題 [\$148070](https://github.com/grafana/grafana/issues/48070)、[\$148052](https://github.com/grafana/grafana/issues/48052)、[\$148046](https://github.com/grafana/grafana/issues/48046) 和 [\$147978](https://github.com/grafana/grafana/issues/47978)。
+ **已移除 Azure Monitor 查詢** – 不再支援 Application Insights 和 Insight Analytics 查詢。

  在 Grafana 8.0 中已棄用，在 9.0 中已移除。已棄用的查詢將不會執行。

  **必要動作：**請參閱 *Grafana 公有文件中*的 [Azure Monitor 資料來源](https://grafana.com/docs/grafana/latest/datasources/azuremonitor/deprecated-application-insights/)以取得遷移指引。
+ **已移除瀏覽器存取模式** – InfluxDB 和 Prometheus 資料來源不再提供瀏覽器存取模式。

  **必要動作：**在資料來源組態中切換至伺服器存取模式。InfluxDB：在 8.0.0 中已棄用，在 9.2.0 中已移除。請參閱 *GitHub* 上的問題[編號 53529](https://github.com/grafana/grafana/issues/53529)。Prometheus：在 7.4.0 中已棄用，在 9.2.0 中已移除。請參閱 *GitHub* 上的問題[編號 50162](https://github.com/grafana/grafana/issues/50162)。
+ **儀表板設定存取受限** – 編輯面板時，您無法再開啟儀表板設定。

  當面板編輯模式處於作用中狀態時，儀表板設定會鎖定。在存取儀表板設定之前關閉面板編輯模式。請參閱 *GitHub* 上的問題[編號 54746](https://github.com/grafana/grafana/issues/54746)。
+ **資料來源密碼加密** – 不再支援未加密的密碼。

  **必要動作：**使用 `secureJsonData.password`和 `secureJsonData.basicAuthPassword`。先前在 8.1.0 版中已終止。請參閱 *GitHub* 上的問題[編號 49987](https://github.com/grafana/grafana/issues/49987)。
+ **預設資料來源行為** – 預設資料來源選擇不再影響現有的面板。

  預設資料來源僅適用於新的面板。變更預設值不會更新現有的儀表板。先前儲存的面板會保留其資料來源組態。請參閱 *GitHub* 上的問題[編號 45132](https://github.com/grafana/grafana/issues/45132)。
+ **Elasticsearch 間隔屬性已變更** – 已更新 Elasticsearch 7.x 的查詢間隔規格。

  從 `interval`變更為 `fixed_interval` 屬性。提供與 Elasticsearch 8.x 的一致性。大多數查詢不會顯示可見的變更。請參閱 *GitHub* 上的問題[編號 50297](https://github.com/grafana/grafana/issues/50297)。
+ **Elasticsearch 原始文件模式已停止** – 在 Elasticsearch 資料來源中顯示模式變更。

  **必要動作：**請改用**原始資料**模式。請參閱 *GitHub* 上的問題[編號 62236](https://github.com/grafana/grafana/issues/62236)。
+ **Elasticsearch 版本支援** – 不再支援較舊的 Elasticsearch 版本。

  **必要動作：**將 Elasticsearch 升級至 7.10.0 版或更新版本。低於 7.10.0 的版本已過end-of-life 請參閱 *GitHub* 上的問題[編號 48715](https://github.com/grafana/grafana/issues/48715)。
+ **探索 URL 格式已停止** – 精簡探索 URLs 將在未來的版本中移除。

  **必要動作：**更新硬式編碼連結以使用標準 URL 格式。精簡 URLs：`&left=["now-1h","now"...]`。標準 URLs：`&left={"datasource":"test"...}`。請參閱 *GitHub* 上的問題[編號 50873](https://github.com/grafana/grafana/issues/50873)。
+ **GitHub OAuth 顯示變更** – GitHub 名稱和登入顯示已更新。

  GitHub 名稱會顯示為 Grafana 名稱。GitHub 登入會顯示為 Grafana 登入。改善使用者識別清晰度。請參閱 *GitHub* 上的問題[編號 45438](https://github.com/grafana/grafana/issues/45438)。
+ **熱度圖面板實作已更新** – 從 9.1.0 開始，熱度圖面板會使用新的實作。

  大幅改善渲染效能。儲存貯體會放置在合理的邊界 (1 公尺、5 公尺、30 秒） 上。不再支援圓形儲存格。

  **必要動作：**升級後測試您的熱度圖面板。視需要將`useLegacyHeatmapPanel`功能旗標設定為 true，以停用新實作。`?__feature.useLegacyHeatmapPanel=true` 新增至儀表板 URLs進行測試。請參閱 *GitHub* 上的問題[編號 50229](https://github.com/grafana/grafana/issues/50229)。
+ **InfluxDB 後端遷移** – InfluxDB 資料剖析行為已變更。

  InfluxDB 後端遷移功能切換 (`influxdbBackendMigration`) 會因後端處理問題而重新引入。根據預設，InfluxDB 資料會在前端剖析。如果您升級至 9.4.4 並在 InfluxDB 資料上新增轉換，這些面板將無法轉譯。

  **必要動作：**移除受影響的面板並重新建立，或如 `Time` `panel.json`或 編輯 `time` 欄位`dashboard.json`。請參閱 *GitHub* 上的問題[編號 64842](https://github.com/grafana/grafana/issues/64842)。
+ **日誌訊息格式已更新** – 日誌訊息結構已變更。

  `lvl` 現在是 `level`。現在是 `eror`，現在`dbug`是 `error`和 `debug`。增加時間戳記精確度。選擇不與`oldlog`功能切換 （暫時） 搭配使用。請參閱 *GitHub* 上的問題[編號 47584](https://github.com/grafana/grafana/issues/47584)。
+ **Loki 資料格式最佳化** – Loki 記錄資料使用更有效率的資料框架格式。

  具有**標籤**欄而非個別資料框架的單一資料框架。探索和記錄面板的運作方式不會變更。其他面板或轉換可能需要調整。

  **必要動作：**使用擷取**欄位轉換將標籤取代為**欄位轉換。 ****請參閱 *GitHub* 上的問題[編號 47153](https://github.com/grafana/grafana/issues/47153)。
+ **NaN 值處理** – 跨 Prometheus 和 Loki 資料來源的一致`NaN`表示。

  `NaN` 值會保留為 ，`NaN`而不是轉換為 `null`。使用者應該大多看不到變更。同時影響儀表板和提醒路徑。請參閱 *GitHub* 上的問題 [\$149475](https://github.com/grafana/grafana/issues/49475) 和 [\$145389](https://github.com/grafana/grafana/issues/45389)。
+ **密碼重設連結無效** – 升級後，現有的密碼重設連結將無法運作。

  升級前傳送的密碼重設連結無效。使用者必須請求新的密碼重設連結。連結會在 2 小時後過期。請參閱 *GitHub* 上的問題[編號 42334](https://github.com/grafana/grafana/issues/42334)。
+ **預留標籤字首** – 保留開頭`grafana_`為 的標籤。

  `grafana_` 可能會覆寫以 開頭的手動設定標籤。目前的預留標籤： `grafana_folder` （包含提醒的資料夾標題）。請參閱 *GitHub* 上的問題[編號 50262](https://github.com/grafana/grafana/issues/50262)。
+ **轉換改進** – **透過 regex 轉換重新命名**現在支援全域模式。

  全域模式使用 格式 `/<stringToReplace>/g`。有些轉換的行為可能不同。將先前行為的相符字串以正斜線包裝： `(.*)`變成 `/(.*)/`。請參閱 *GitHub* 上的問題[編號 48179](https://github.com/grafana/grafana/issues/48179)。

# 建立 Amazon Managed Grafana 工作區
<a name="AMG-create-workspace"></a>

*工作區*是邏輯 Grafana 伺服器。您帳戶中的每個區域中最多可以有五個工作區。

**必要的許可**

若要建立工作區，您必須登入已連接 **AWSGrafanaAccountAdministrator** 政策的 AWS Identity and Access Management (IAM) 委託人。

若要建立使用 IAM Identity Center 進行授權的第一個工作區，您的 IAM 主體還必須連接這些額外的政策 （或同等許可）：
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectoryAdministrator**

如需詳細資訊，請參閱[使用 IAM Identity Center 在單一獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone)。

## 建立工作區
<a name="creating-workspace"></a>

下列步驟會逐步引導您建立新的 Amazon Managed Grafana 工作區。

**在 Amazon Managed Grafana 中建立工作區**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/) 的 Amazon Managed Grafana 主控台。

1. 選擇**建立工作區**。

1. 在**工作區詳細資訊**視窗中，針對**工作區名稱**，輸入工作區的名稱。

   或者，輸入工作區的描述。

   或者，新增您要與此工作區建立關聯的標籤。標籤有助於識別和組織工作區，也可以用於控制對 AWS 資源的存取。例如，您可以將標籤指派給工作區，只有有限的群組或角色可以使用標籤存取工作區。如需標籤型存取控制的詳細資訊，請參閱《IAM 使用者指南》中的[使用標籤控制 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

   ![\[Workspace details form with name field and optional tags section highlighted.\]](http://docs.aws.amazon.com/zh_tw/grafana/latest/userguide/images/tagworkspace.png)

1. 選擇工作區的 **Grafana 版本**。您可以選擇版本 8、9 或 10。若要了解版本之間的差異，請參閱 [Grafana 版本之間的差異](version-differences.md)。

1. 選擇**下一步**。

1. 針對**身分驗證存取**，選取**AWS IAM Identity Center **、**安全性聲明標記語言 (SAML)** 或兩者。如需詳細資訊，請參閱[驗證 Amazon Managed Grafana 工作區中的使用者](authentication-in-AMG.md)。
   + **IAM Identity Center**：如果您選取 IAM Identity Center 且尚未 AWS IAM Identity Center 在帳戶中啟用，系統會提示您建立第一個 IAM Identity Center 使用者來啟用它。IAM Identity Center 會處理存取 Amazon Managed Grafana 工作區的使用者管理。

     若要啟用 IAM Identity Center，請遵循下列步驟：

   1. 選擇 **Create user** (建立使用者)。

   1. 輸入使用者的電子郵件地址、名字和姓氏，然後選擇**建立使用者**。在本教學課程中，請使用您要用來試用 Amazon Managed Grafana 之帳戶的名稱和電子郵件地址。您會收到電子郵件訊息，提示您為此帳戶建立 IAM Identity Center 的密碼。
**重要**  
您建立的使用者不會自動存取您的 Amazon Managed Grafana 工作區。在後續步驟中，您可以讓使用者存取工作區詳細資訊頁面中的工作區。
   + **SAML** — 如果您選擇 **SAML**，您可以在建立工作區後完成 SAML 設定。

1. 選擇**服務受管**或**客戶受管**。

   如果您選擇**服務受**管，Amazon Managed Grafana 會自動建立 IAM 角色，並佈建您在此帳戶中選擇用於此工作區 AWS 的資料來源所需的許可。

   如果您想要自行管理這些角色和許可，請選擇**客戶受管**。

   如果您要在組織的成員帳戶中建立工作區，若要選擇**服務受**管，成員帳戶必須是組織中的委派管理員帳戶。如需委派管理員帳戶的詳細資訊，請參閱[註冊委派管理員](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。

1. （選用） 您可以選擇在此頁面上連線至 Amazon Virtual Private Cloud (VPC)，也可以稍後連線至 VPC。如需詳細資訊，請參閱 [從 Amazon Managed Grafana 連線至 Amazon VPC 中的資料來源或通知管道](AMG-configure-vpc.md)。

1. （選用） 您可以在此頁面選擇其他工作區組態選項，包括下列項目：
   + 啟用 [Grafana 提醒](alerts-overview.md)。Grafana 提醒可讓您在 Grafana 工作區的單一提醒界面中檢視 Prometheus 中定義的 Grafana 提醒和提醒。

     在執行版本 8 或 9 的工作區中，這將傳送多個 Grafana 提醒的通知。如果您使用 Grafana 中定義的提醒，建議您將工作區建立為 10.4 版或更新版本。
   + 允許 Grafana 管理員管理此工作區的[外掛程式](grafana-plugins.md)。如果您未啟用外掛程式管理，管理員將無法安裝、解除安裝或移除工作區的外掛程式。您可能會受限於與 Amazon Managed Grafana 搭配使用的資料來源和視覺化面板類型。

   您也可以在建立工作區之後進行這些組態變更。若要進一步了解如何設定工作區，請參閱 [設定 Amazon Managed Grafana 工作區](AMG-configure-workspace.md)。

1. （選用） 您可以選擇為工作區新增**網路存取控制**。若要新增網路存取控制，請選擇**限制存取**。您也可以在建立工作區之後啟用網路存取控制。

   如需網路存取控制的詳細資訊，請參閱 [設定 Amazon Managed Grafana 工作區的網路存取權](AMG-configure-nac.md)。

1. （選用） 根據預設，Amazon Managed Grafana 會自動為您提供靜態加密，並使用擁有 AWS的加密金鑰執行此操作。但您可以選擇使用您建立、擁有和管理的客戶受管金鑰做為替代方案。如需詳細資訊，請參閱[靜態加密](AMG-encryption-at-rest.md)。

1. 選擇**下一步**。

1. 如果您選擇**服務受管**，請選擇**目前帳戶**，讓 Amazon Managed Grafana 自動建立政策和許可，允許它只讀取目前帳戶中 AWS 的資料。

   如果您要在管理帳戶或組織中的委派管理員帳戶中建立工作區，您可以選擇 **Organization**，讓 Amazon Managed Grafana 自動建立政策和許可，以允許它在您指定的組織單位中讀取其他帳戶中 AWS 的資料。如需委派管理員帳戶的詳細資訊，請參閱[註冊委派管理員](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。
**注意**  
在組織的管理帳戶中建立 資源，例如 Amazon Managed Grafana 工作區，違反 AWS 安全最佳實務。

   1. 如果您選擇 **Organization**，且系統提示您啟用 AWS CloudFormation StackSets，請選擇**啟用受信任的存取**。然後，新增您希望 Amazon Managed Grafana 從中讀取資料 AWS Organizations 的組織單位 (OUs)。然後，Amazon Managed Grafana 可以從您選擇的每個 OU 中的所有帳戶讀取資料。

   1. 如果您選擇**組織**，請選擇**資料來源和通知管道 - 選用**。

1. 選取您要在此工作區中查詢的 AWS 資料來源。選取資料來源可讓 Amazon Managed Grafana 建立 IAM 角色和許可，以允許 Amazon Managed Grafana 從這些來源讀取資料。您仍然必須在 Grafana 工作區主控台中新增資料來源。

1. （選用） 如果您希望將此工作區的 Grafana 提醒傳送至 Amazon Simple Notification Service (Amazon SNS) 通知管道，請選取 **Amazon SNS**。這可讓 Amazon Managed Grafana 建立 IAM 政策，以使用以 開頭`TopicName`的值發佈至您帳戶中的 Amazon SNS 主題`grafana`。這不會完全將 Amazon SNS 設定為工作區的通知管道。您可以在工作區的 Grafana 主控台中執行此操作。

1. 選擇**下一步**。

1. 確認工作區詳細資訊，然後選擇**建立工作區**。

   隨即顯示工作區詳細資訊頁面。

   一開始，**狀態**為**正在建立**。
**重要**  
請等到狀態為 **ACTIVE** 後再執行下列任一動作：  
如果您使用 SAML，請完成 SAML 設定。
如果您使用 IAM Identity Center，請指派 IAM Identity Center 使用者存取工作區。
您可能需要重新整理瀏覽器，以查看目前的狀態。

1. 如果您使用的是 IAM Identity Center，請執行下列動作：

   1. 在**身分驗證**索引標籤中，選擇**指派新使用者或群組**。

   1. 選取您要授予工作區存取權之使用者旁邊的核取方塊，然後選擇**指派使用者**。

   1. 選取使用者旁的核取方塊，然後選擇**建立管理員**。
**重要**  
`Admin` 為每個工作區指派至少一個使用者做為 ，以便登入 Grafana 工作區主控台來管理工作區。

1. 如果您使用的是 SAML，請執行下列動作：

   1. 在**身分驗證**索引標籤**的安全性聲明標記語言 (SAML)** 下，選擇**完成設定**。

   1. 針對**匯入方法**，執行下列其中一項：
      + 選擇 **URL** 並輸入 IdP 中繼資料的 URL。
      + 選擇**上傳或複製/貼上**。如果您要上傳中繼資料，請選擇**選擇檔案**，然後選取中繼資料檔案。或者，如果您使用複製並貼上，請將中繼資料複製到**匯入中繼資料**。

   1. 針對 **Assertion 屬性角色**，輸入要從中擷取角色資訊的 SAML 聲明屬性名稱。

   1. 在**管理員角色值**中，輸入 IdP 中的使用者角色，該使用者角色應該在 Amazon Managed Grafana 工作區中授予該`Admin`角色，或選取**不將管理員指派給我的工作區。**
**注意**  
如果您選擇**不將管理員指派給我的工作區。**您將無法使用主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Amazon Managed Grafana APIs 對工作區進行管理變更。

   1. （選用） 若要輸入其他 SAML 設定，請選擇**其他設定**並執行下列一或多個動作。所有這些欄位都是選用的。
      + 對於 **Assertion 屬性名稱**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者完整「易記」名稱。
      + 對於 **Assertion 屬性登入**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者登入名稱。
      + 對於 **Assertion 屬性電子郵件**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者電子郵件名稱。
      + 針對**登入有效期間 （以分鐘為單位）**，指定 SAML 使用者的登入有效期間，使用者必須再次登入。預設值為 1 天，上限為 30 天。
      + 對於 **Assertion 屬性組織**，請在 SAML 聲明中指定屬性的名稱，以用於使用者組織的「易記」名稱。
      + 對於 **Assertion 屬性群組**，請在 SAML 聲明中指定屬性的名稱，以用於使用者群組的「易記」名稱。
      + 對於**允許的組織**，您只能將使用者存取權限制為 IdP 中特定組織的成員。輸入要允許的一或多個組織，以逗號分隔它們。
      + 在**編輯器角色值**中，輸入 IdP 中的使用者角色，該角色都應在 Amazon Managed Grafana 工作區中授予該`Editor`角色。輸入一或多個角色，以逗號分隔。

   1. 選擇**儲存 SAML 組態**。

1. 在工作區詳細資訊頁面中，選擇顯示在 **Grafana 工作區 URL 下的 URL**。

1. 選擇工作區 URL 會帶您前往 Grafana 工作區主控台的登陸頁面。執行以下任意一項：
   + 選擇**使用 SAML 登入**，然後輸入名稱和密碼。
   +  選擇**使用 登入 AWS IAM Identity Center**，然後輸入您在此程序中稍早建立之使用者的電子郵件地址和密碼。這些登入資料只有在您已回應來自 Amazon Managed Grafana 的電子郵件，提示您為 IAM Identity Center 建立密碼時才有效。

     您現在位於 Grafana 工作區或邏輯 Grafana 伺服器中。您可以開始新增資料來源來查詢、視覺化和分析資料。如需詳細資訊，請參閱[使用您的 Grafana 工作區](AMG-working-with-Grafana-workspace.md)。

如需 的詳細資訊 

**提示**  
您可以使用 自動建立 Amazon Managed Grafana 工作區 CloudFormation。如需詳細資訊，請參閱 [使用 建立 Amazon Managed Grafana 資源 AWS CloudFormation](creating-resources-with-cloudformation.md)。

# 驗證 Amazon Managed Grafana 工作區中的使用者
<a name="authentication-in-AMG"></a>

個別使用者登入您的工作區，以編輯和檢視儀表板。您可以將使用者指派給您的工作區[，並為他們提供使用者、編輯器或管理員許可](AMG-manage-users-and-groups-AMG.md)。若要開始使用，您可以建立 （或使用現有的） 身分提供者來驗證使用者。

透過使用組織的身分提供者的單一登入，而不是使用 IAM，使用者會經過身分驗證，以在 Amazon Managed Grafana 工作區中使用 Grafana 主控台。每個工作區可以使用下列其中一種或兩種身分驗證方法：
+ 存放在支援安全性聲明標記語言 2.0 (SAML 2.0) 的身分提供者 (IdPs) 中的使用者憑證
+ AWS IAM Identity Center. AWS Single-sign-on(**AWS SSO**) 已重新命名為 **IAM Identity Center**。

對於每個工作區，您可以使用 SAML、IAM Identity Center 或兩者。如果您開始使用一種方法，則可以切換到使用另一種方法。

您必須授予使用者 （或其所屬的群組） 許可給工作區，才能存取工作區內的功能。如需將許可授予使用者的詳細資訊，請參閱 [管理 Amazon Managed Grafana 工作區的使用者和群組存取權](AMG-manage-users-and-groups-AMG.md)。

**Topics**
+ [搭配 Amazon Managed Grafana 工作區使用 SAML](authentication-in-AMG-SAML.md)
+ [AWS IAM Identity Center 搭配 Amazon Managed Grafana 工作區使用](authentication-in-AMG-SSO.md)

# 搭配 Amazon Managed Grafana 工作區使用 SAML
<a name="authentication-in-AMG-SAML"></a>

**注意**  
Amazon Managed Grafana 目前不支援工作區的 IdP 起始登入。您應該設定具有空白轉送狀態的 SAML 應用程式。

您可以使用 SAML 身分驗證來使用現有的身分提供者，並提供單一登入來登入 Amazon Managed Grafana 工作區的 Grafana 主控台。Amazon Managed Grafana 的 SAML 身分驗證不是透過 IAM 驗證，而是可讓您使用第三方身分提供者登入、管理存取控制、搜尋資料，以及建置視覺化效果。Amazon Managed Grafana 支援使用 SAML 2.0 標準的身分提供者，並已使用 Azure AD、CyberArk、Okta、OneLogin 和 Ping Identity 建置和測試整合應用程式。

如需如何在建立工作區期間設定 SAML 身分驗證的詳細資訊，請參閱 [建立工作區](AMG-create-workspace.md#creating-workspace)。

在 SAML 身分驗證流程中，Amazon Managed Grafana 工作區充當服務提供者 (SP)，並與 IdP 互動以取得使用者資訊。如需 SAML 的詳細資訊，請參閱[安全性聲明標記語言](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)。

您可以將 IdP 中的群組映射至 Amazon Managed Grafana 工作區中的團隊，並設定這些團隊的精細存取許可。您也可以將 IdP 中定義的組織角色映射至 Amazon Managed Grafana 工作區中的角色。例如，如果您在 IdP 中定義了**開發人員**角色，您可以將該角色映射到 Amazon Managed **Grafana** 工作區中的 Grafana Admin 角色。

**注意**  
當您建立使用 IdP 和 SAML 進行授權的 Amazon Managed Grafana 工作區時，您必須登入已連接 **AWSGrafanaAccountAdministrator** 政策的 IAM 主體。

若要登入 Amazon Managed Grafana 工作區，使用者會造訪工作區的 Grafana 主控台首頁，然後選擇**使用 SAML 登入**。工作區會讀取 SAML 組態，並將使用者重新導向至 IdP 進行身分驗證。使用者在 IdP 入口網站中輸入其登入憑證，如果他們是有效的使用者，IdP 會發出 SAML 聲明，並將使用者重新導向回 Amazon Managed Grafana 工作區。Amazon Managed Grafana 會驗證 SAML 聲明是否有效，且使用者已登入且可以使用工作區。

Amazon Managed Grafana 支援下列 SAML 2.0 繫結：
+ 從服務提供者 (SP) 到身分提供者 (IdP)：
  + HTTP-POST 繫結
  + HTTP-Redirect 繫結
+ 從身分提供者 (IdP) 到服務提供者 (SP)：
  + HTTP-POST 繫結

Amazon Managed Grafana 支援已簽署和加密的聲明，但不支援已簽署或加密的請求。

Amazon Managed Grafana 支援 SP 起始的請求，且不支援 IdP 起始的請求。

## 聲明映射
<a name="AMG-SAML-Assertion-Mapping"></a>

在 SAML 身分驗證流程中，Amazon Managed Grafana 會收到聲明消費者服務 (ACS) 回呼。回呼包含正在驗證之使用者的所有相關資訊，內嵌在 SAML 回應中。Amazon Managed Grafana 會剖析回應，以在內部資料庫中建立 （或更新） 使用者。

當 Amazon Managed Grafana 映射使用者資訊時，它會查看聲明中的個別屬性。您可以將這些屬性視為索引鍵/值對，雖然它們包含比它更多的資訊。

Amazon Managed Grafana 提供組態選項，讓您可以修改要查看哪些索引鍵以取得這些值。

您可以使用 Amazon Managed Grafana 主控台，將下列 SAML 聲明屬性對應至 Amazon Managed Grafana 中的值：
+ 對於 **Assertion 屬性角色**，請在 SAML 聲明中指定要用作使用者角色的屬性名稱。
+ 對於 **Assertion 屬性名稱**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者完整「易記」名稱。
+ 對於 **Assertion 屬性登入**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者登入名稱。
+ 對於 **Assertion 屬性電子郵件**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者電子郵件名稱。
+ 對於 **Assertion 屬性組織**，請在 SAML 聲明中指定屬性的名稱，以用於使用者組織的「易記」名稱。
+ 對於 **Assertion 屬性群組**，請在 SAML 聲明中指定屬性的名稱，以用於使用者群組的「易記」名稱。
+ 對於**允許的組織**，您只能將使用者存取權限制為 IdP 中特定組織的成員。
+ 對於**編輯器角色值**，請指定 IdP 中的使用者角色，該角色應該在 Amazon Managed Grafana 工作區中授予該`Editor`角色。

## 連線至您的身分提供者
<a name="authentication-in-AMG-SAML-providers"></a>

下列外部身分提供者已使用 Amazon Managed Grafana 進行測試，並直接在其應用程式目錄或程式庫中提供應用程式，以協助您使用 SAML 設定 Amazon Managed Grafana。

**Topics**
+ [聲明映射](#AMG-SAML-Assertion-Mapping)
+ [連線至您的身分提供者](#authentication-in-AMG-SAML-providers)
+ [設定 Amazon Managed Grafana 以使用 Azure AD](AMG-SAML-providers-Azure.md)
+ [設定 Amazon Managed Grafana 以使用 CyberArk](AMG-SAML-providers-CyberArk.md)
+ [設定 Amazon Managed Grafana 以使用 Okta](AMG-SAML-providers-okta.md)
+ [設定 Amazon Managed Grafana 以使用 OneLogin](AMG-SAML-providers-onelogin.md)
+ [設定 Amazon Managed Grafana 使用 Ping 身分](AMG-SAML-providers-pingone.md)

# 設定 Amazon Managed Grafana 以使用 Azure AD
<a name="AMG-SAML-providers-Azure"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 Azure Active Directory 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區 *ID*、*URLs*和 *AWS 區域*。

## 步驟 1：在 Azure Active Directory 中完成的步驟
<a name="AMG-SAML-providers-Azure-step1"></a>

完成 Azure Active Directory 中的下列步驟。

**將 Azure Active Directory 設定為 Amazon Managed Grafana 的身分提供者**

1. 以管理員身分登入 Azure 主控台。

1. 選擇 **Azure Active Directory**。

1. 選擇**企業應用程式**。

1. 搜尋並選取 **Amazon Managed Grafana SAML2.0。**

1. 選取應用程式，然後選擇**設定**。

1. 在 Azure Active Directory 應用程式組態中，選擇**使用者和群組**。

1. 將應用程式指派給您想要的使用者和群組。

1. 選擇 **Single sign-on** (單一登入)。

1. 選擇**下一步**以前往 SAML 組態頁面。

1. 指定您的 SAML 設定：
   + 對於**識別符 （實體 ID)**，請從 Amazon Managed Grafana 工作區貼上您的**服務提供者識別符** URL。
   + 對於**回覆 URL （聲明消費者服務 URL)**，請將 Amazon Managed Grafana 工作區的**回覆貼到您的服務供應商**中。
   + 確定已選取**簽署聲明**，且未選取**加密聲明**。

1. 在**使用者屬性和宣告**區段中，確定這些屬性已映射。它們區分大小寫。
   + **郵件**是使用 **user.userprincipalname** 設定。
   + **displayName** 是使用 **user.displayname** 設定。
   + 使用 **user.userprincipalname** 設定**唯一使用者識別符**。
   + 新增您要傳遞的任何其他屬性。如需您可以在聲明映射中傳遞給 Amazon Managed Grafana 之屬性的詳細資訊，請參閱 [聲明映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。

1. 複製 **SAML 中繼資料 URL** 以用於 Amazon Managed Grafana 工作區組態。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-Azure-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 Azure Active Directory 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**設定 SAML 組態**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在上一節中從 **SAML 中繼資料 URL 複製的 Azure Active Directory URL**。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更 Azure Active Directory 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，Azure **displayName** 屬性會做為**名稱**屬性傳遞，而 Ping Identity **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。

# 設定 Amazon Managed Grafana 以使用 CyberArk
<a name="AMG-SAML-providers-CyberArk"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 CyberArk 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區的 ID、URLs和區域。

## 步驟 1：在 CyberArk 中完成的步驟
<a name="AMG-SAML-providers-cyberark-step1"></a>

完成 CyberArk 中的下列步驟。

**將 CyberArk 設定為 Amazon Managed Grafana 的身分提供者**

1. 登入 CyberArk Identity Admin 入口網站。

1. 選擇**應用程式**、**Web 應用程式**。

1. 選擇**新增 Web 應用程式**。

1. 搜尋 **Amazon Managed Grafana for SAML2.0**，然後選擇**新增**。

1. 在 CyberArk 應用程式組態中，前往**信任**區段。

1. 在**身分提供者組態**下，選擇**中繼資料**。

1. 選擇**複製 URL** 並儲存 URL 以供稍後在這些步驟中使用。

1. 在**服務提供者組態**下，選擇**手動組態**。

1. 指定您的 SAML 設定：
   + 對於 **SP 實體 ID**，請從 Amazon Managed Grafana 工作區貼上您的**服務提供者識別符** URL。
   + 對於**聲明消費者服務 (ACS) URL**，請將 Amazon Managed Grafana 工作區的**回覆貼到您的服務提供者**中。
   + 將**簽署回應聲明**設定為**聲明**。
   + 請確定 **NameID 格式**為 **emailAddress**。

1. 選擇**儲存**。

1. 在 **SAML 回應**區段中，請確定 Amazon Managed Grafana 屬性位於**應用程式名稱**中，且 CyberArk 屬性位於**屬性值**中。然後，確定下列屬性已映射。它們區分大小寫。
   + **displayName** 是使用 **LoginUser.DisplayName** 設定。
   + **郵件**是使用 **LoginUser.Email** 設定。
   + 新增您要傳遞的任何其他屬性。如需您可以在聲明映射中傳遞給 Amazon Managed Grafana 之屬性的詳細資訊，請參閱 [聲明映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。

1. 選擇**儲存**。

1. 在**許可**區段中，選擇要指派此應用程式的使用者和群組，然後選擇**儲存**。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-cyberark-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 CyberArk 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**設定 SAML 組態**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在先前程序中複製的 CyberArk URL。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更了 CyberArk 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，CyberA **displayName** 屬性會傳遞至**名稱**屬性，而 CyberArk **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。

# 設定 Amazon Managed Grafana 以使用 Okta
<a name="AMG-SAML-providers-okta"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 Okta 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區的 ID、URLs和區域。

## 步驟 1：在 Okta 中完成的步驟
<a name="AMG-SAML-providers-okta-step1"></a>

在 Okta 中完成下列步驟。

**將 Okta 設定為 Amazon Managed Grafana 的身分提供者**

1. 以管理員身分登入 Okta 主控台。

1. 在左側面板中，選擇**應用程式**、**應用程式**。

1. 選擇**瀏覽應用程式目錄**並搜尋 **Amazon Managed Grafana**。

1. 選擇 **Amazon Managed Grafana**，然後選擇**新增**、**完成**。

1. 選擇應用程式以開始設定。

1. 在**登入**索引標籤中，選擇**編輯**。

1. 在**進階登入設定**下，分別在**命名空間**和區域欄位中輸入您的 Amazon Managed Grafana 工作區 ID 和您的**區域**。您可以在 Amazon Managed Grafana 工作區 URL 中找到您的 Amazon Managed Grafana 工作區 ID 和區域，格式為 ***workspace-id*.grafana-workspace.*Region*.amazonaws.com**。

1. 選擇**儲存**。

1. 在 **SAML 2.0 下**，複製**身分提供者中繼資料**的 URL。您稍後會在 Amazon Managed Grafana 主控台的此程序中使用此功能。

1. 在**指派**索引標籤中，選擇您要能夠使用 Amazon Managed Grafana **的人員**和**群組**。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-okta-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 Okta 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**完成設定**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在先前程序中複製的 Okta URL。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更了 Okta 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，Okta **displayName** 屬性會傳遞至**名稱**屬性，而 Okta **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。

# 設定 Amazon Managed Grafana 以使用 OneLogin
<a name="AMG-SAML-providers-onelogin"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 OneLogin 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區的 ID、URLs和區域。

## 步驟 1：在 OneLogin 中完成的步驟
<a name="AMG-SAML-providers-onelogin-step1"></a>

完成 OneLogin 中的下列步驟。

**將 OneLogin 設定為 Amazon Managed Grafana 的身分提供者**

1. 以管理員身分登入 OneLogin 入口網站。

1. 選擇**應用程式**、**應用程式**、**新增應用程式**。

1. 搜尋 **Amazon Managed Service for Grafana**。

1. 指派您選擇的**顯示名稱**，然後選擇**儲存**。

1. 導覽至**組態**，然後在**命名空間**中輸入 Amazon Managed Grafana 工作區 ID，然後輸入 Amazon Managed Grafana 工作區的區域。

1. 在**組態**索引標籤中，輸入您的 Amazon Managed Grafana 工作區 URL。

1. 如果管理員在 Amazon Managed Grafana 中需要對應的值，您可以將 **adminRole** 參數保留為預設**無預設**，並使用**規則**索引標籤填入。在此範例中，**Assertion 屬性角色**將設定為 Amazon Managed Grafana 中的 **adminRole**，值為 true。您可以將此值指向租用戶中的任何屬性。按一下 **\$1** 來新增和設定參數，以符合組織的需求。

1. 選擇**規則**索引標籤，選擇**新增規則**，並為規則命名。在**條件**欄位中 (if 陳述式），我們新增**電子郵件包含 【電子郵件地址】**。在**動作**欄位 （然後陳述式） 中，我們選取在 **Amazon Managed Service 中設定 AdminRole**，然後在將 **adminRole 設定為**下拉式清單中選取**巨集**，值為 **true**。您的組織可以選擇不同的規則來解決不同的使用案例。

1. 選擇**儲存**。移至**更多動作**，然後選擇**重新套用權利映射**。每當您建立或更新規則時，都必須重新套用映射。

1. 請記下**發行者 URL**，您稍後會在 Amazon Managed Grafana 主控台的組態中使用。然後選擇 **Save** (儲存)。

1. 選擇**存取**索引標籤來指派要存取 Amazon Managed Grafana 的 OneLogin 角色，然後選取應用程式安全政策。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-onelogin-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 OneLogin 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**設定 SAML 組態**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在先前程序中從 OneLogin 主控台複製的 OneLogin 發行者 URL。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。OneLogin 的預設值為 **adminRole**。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更了 OneLogin 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，OneLogin **displayName** 屬性會傳遞至**名稱**屬性，而 OneLogin **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。

# 設定 Amazon Managed Grafana 使用 Ping 身分
<a name="AMG-SAML-providers-pingone"></a>

使用下列步驟將 Amazon Managed Grafana 設定為使用 Ping Identity 做為身分提供者。這些步驟假設您已建立 Amazon Managed Grafana 工作區，並記下工作區的 ID、URLs和區域。

## 步驟 1：在 Ping Identity 中完成的步驟
<a name="AMG-SAML-providers-pingone-step1"></a>

完成 Ping Identity 中的下列步驟。

**將 Ping Identity 設定為 Amazon Managed Grafana 的身分提供者**

1. 以管理員身分登入 Ping Identity 主控台。

1. 選擇 **Applications (應用程式)**。

1. 選擇**新增應用程式**、**搜尋應用程式目錄**。

1. 搜尋 **Amazon Managed Grafana for SAML** 應用程式，然後選擇**設定**。

1. 在 Ping Identity 應用程式中，選擇**下一步**以前往 SAML 組態頁面。然後進行下列 SAML 設定：
   + 對於**聲明消費者服務**，請將 Amazon Managed Grafana 工作區的**回覆 URL 貼到您的服務提供者**中。
   + 對於**實體 ID**，請從 Amazon Managed Grafana 工作區貼上您的**服務提供者識別符**。
   + 確定已選取**簽署聲明**，且未選取**加密聲明**。

1. 選擇**繼續至下一步**。

1. 在 **SSO 屬性映射**中，請確定 Amazon Managed Grafana 屬性位於**應用程式屬性**中，且 Ping Identity 屬性位於 **Identity Bridge 屬性**中。然後進行下列設定：
   + **郵件**必須是**電子郵件 （工作）**。
   + **displayName** 必須是 **Display Name**。
   + **SAML\$1SUBJECT** 必須是**電子郵件 （工作）**。然後，針對此屬性選擇**進階**，將**要傳送至 SP 的名稱 ID 格式**設定為 **urn：oasis：names：tc：SAML：2.0：nameid-format：transient**，然後選擇**儲存**。
   + 在您要傳遞的任何其他屬性中新增 。
   + 新增您要傳遞的任何其他屬性。如需您可以在聲明映射中傳遞給 Amazon Managed Grafana 之屬性的詳細資訊，請參閱 [聲明映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。

1. 選擇**繼續至下一步**。

1. 在**群組存取**中，選擇要指派此應用程式的群組。

1. 選擇**繼續至下一步**。

1. 複製開頭為 的 **SAML 中繼資料 URL**`https://admin- api.pingone.com/latest/metadata/`。您稍後會在組態中使用此功能。

1. 選擇**完成**。

## 步驟 2：在 Amazon Managed Grafana 中完成的步驟
<a name="AMG-SAML-providers-pingone-step2"></a>

在 Amazon Managed Grafana 主控台中完成下列步驟。

**完成將 Ping Identity 設定為 Amazon Managed Grafana 的身分提供者**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇工作區的名稱。

1. 在**身分驗證**索引標籤中，選擇**設定 SAML 組態**。

1. 在**匯入中繼資料下**，選擇**上傳或複製/貼上**，然後貼上您在先前程序中複製的 Ping URL。

1. 在**聲明映射**下，執行下列動作：
   + 確定**未選取不將管理員指派給我的工作區**。
**注意**  
如果您選擇**不將管理員指派給我的工作區**，您將無法使用 Amazon Managed Grafana 工作區主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Grafana APIs 對工作區進行管理變更。
   + 將 **Assertion 屬性角色**設定為您選擇的屬性名稱。
   + 將**管理員角色值**設定為對應至管理員使用者角色的值。
   + （選用） 如果您變更了 Ping Identity 應用程式中的預設屬性，請展開**其他設定 - 選用**，然後設定新的屬性名稱。

     根據預設，Ping Identity **displayName** 屬性會傳遞至**名稱**屬性，而 Ping Identity **郵件**屬性會同時傳遞至**電子郵件**和**登入**屬性。

1. 選擇**儲存 SAML 組態**。

# AWS IAM Identity Center 搭配 Amazon Managed Grafana 工作區使用
<a name="authentication-in-AMG-SSO"></a>

Amazon Managed Grafana 與 整合 AWS IAM Identity Center ，為您的員工提供聯合身分。使用 Amazon Managed Grafana 和 IAM Identity Center，使用者會重新導向至其現有的公司目錄，以其現有的憑證登入。然後，他們會無縫登入其 Amazon Managed Grafana 工作區。這可確保強制執行密碼政策和雙重驗證等安全設定。使用 IAM Identity Center 不會影響您現有的 IAM 組態。

如果您沒有現有的使用者目錄或不想聯合，IAM Identity Center 會提供整合的使用者目錄，可用來為 Amazon Managed Grafana 建立使用者和群組。Amazon Managed Grafana 不支援使用 IAM 使用者和角色在 Amazon Managed Grafana 工作區中指派許可。

如需 IAM Identity Center 的詳細資訊，請參閱[什麼是 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 。如需 IAM Identity Center 入門的詳細資訊，請參閱[入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。

若要使用 IAM Identity Center，您還必須為帳戶 AWS Organizations 啟用 。如有需要，Amazon Managed Grafana 可以在您建立設定為使用 IAM Identity Center 的第一個工作區時為您啟用 Organizations。

## 使用 IAM Identity Center 的案例所需的許可
<a name="SSO-permission-scenarios"></a>

本節說明搭配 IAM Identity Center 使用 Amazon Managed Grafana 所需的政策。管理 Amazon Managed Grafana 所需的政策會根據 AWS 您的帳戶是否為組織的一部分而有所不同。

### 在 AWS Organizations 帳戶中建立 Grafana 管理員
<a name="SSO-policy-org"></a>

若要授予在組織中建立和管理 Amazon Managed Grafana 工作區的許可，並允許相依性，例如 AWS IAM Identity Center，將下列政策指派給角色。
+ 指派 **AWSGrafanaAccountAdministrator** IAM 政策，以允許管理 Amazon Managed Grafana 工作區。
+ **AWSSSODirectoryAdministrator** 允許角色在設定 Amazon Managed Grafana 工作區時使用 IAM Identity Center。
+ 若要允許在整個組織中建立和管理 Amazon Managed Grafana 工作區，請為角色提供 **AWSSSOMasterAccountAdministrator** IAM 政策。或者，為角色提供 **AWSSSOMemberAccountAdministrator** IAM 政策，以允許在組織的單一成員帳戶中建立和管理工作區。
+ 如果您想要允許角色將 Amazon Managed Grafana 工作區升級到 Grafana 企業，您也可以選擇性地為角色提供 **AWSMarketplaceManageSubscriptions** IAM 政策 （或同等許可）。

如果您想要在建立 Amazon Managed Grafana 工作區時使用服務受管許可，則建立工作區的角色也必須具有 `iam:CreateRole`、 `iam:CreatePolicy`和 `iam:AttachRolePolicy`許可。這些是使用 CloudFormation StackSets 部署政策的必要條件，可讓您讀取組織帳戶中的資料來源。

**重要**  
將 `iam:CreateRole`、`iam:CreatePolicy` 和 `iam:AttachRolePolicy` 許可授與使用者，可給予該使用者對您 AWS 帳戶的完整管理存取權。例如，擁有這些許可的使用者，可以建立具有所有資源完整許可的政策，並將該政策連接至任何角色。對於您授與這些許可的對象，請務必謹慎。

若要查看授予 **AWSGrafanaAccountAdministrator** 的許可，請參閱 [AWS 受管政策：AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

### 在單一獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者
<a name="SSO-examples-standalone"></a>

獨立 AWS 帳戶是不是組織成員的帳戶。如需 的詳細資訊 AWS Organizations，請參閱[什麼是 AWS Organizations？](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)

若要授予在獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者的許可，請將下列 IAM 政策指派給角色：
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrator**

**重要**  
授予角色 **AWSOrganizationsFullAccess** 政策可讓該角色完整管理 AWS 存取您的帳戶。對於您授與這些許可的對象，請務必謹慎。

若要查看授予 **AWSGrafanaAccountAdministrator** 的許可，請參閱 [AWS 受管政策：AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

# 更新您的工作區版本
<a name="AMG-workspace-version-update"></a>

您可以透過兩種方式，在 Amazon Managed Grafana 主控台中將 Amazon Managed Grafana 工作區更新為較新版本的 Grafana。

**注意**  
您只能將 版本更新為較新版本的 Grafana。您無法降級至先前發行的 Grafana 版本。  
更新您的 Grafana 版本不會更新您工作區中安裝的外掛程式。您可能需要個別更新任何與新版 Grafana 不相容的外掛程式。如需檢視和管理外掛程式的詳細資訊，請參閱 [使用外掛程式目錄尋找外掛程式](grafana-plugins.md#plugin-catalog)。如需每個版本中變更的清單，請參閱 [Grafana 版本之間的差異](version-differences.md)。

**選項 1 - 從工作區清單更新版本**

1. 在 開啟 Amazon Managed Grafana 主控台[https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)。

1. 在左側導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 在包含您要更新之工作區詳細資訊的資料列中，選擇**更新版本**。只有有資格更新的工作區才會包含此選項。
**警告**  
更新程序無法復原，且無法暫停或取消。建議您在非生產環境中測試較新版本，然後再更新生產工作區。在更新期間，您無法變更工作區。

1. 從**更新版本畫面上的下拉式清單中選擇版本**編號，然後按一下**更新**以確認。

1. 在**工作區**索引標籤上定期檢查更新的狀態。更新程序最多可能需要 10 分鐘。在此過程中，工作區將處於「唯讀」模式。此時會顯示橫幅更新，指出您的工作區更新成功或失敗。如果您的更新失敗，請遵循橫幅中概述的動作項目，然後再試一次。

**選項 2 - 從工作區摘要頁面更新版本**

1. 在 開啟 Amazon Managed Grafana 主控台[https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)。

1. 在左側導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇您要更新之工作區的**超連結工作區名稱**。只有有資格更新的工作區才會包含此選項。

1. 在**摘要**區塊中選擇**更新版本**提示。
**警告**  
更新程序無法復原，且無法暫停或取消。建議您在非生產環境中測試較新版本，然後再更新生產工作區。在更新期間，您無法變更工作區。

1. 從**更新版本畫面上的下拉式清單中選擇版本**編號，然後按一下**更新**以確認。

1. 在**工作區**索引標籤上定期檢查更新的狀態。更新程序最多可能需要 10 分鐘。在此過程中，工作區將處於「唯讀」模式。此時會顯示橫幅更新，指出您的工作區更新成功或失敗。如果您的更新失敗，請遵循橫幅中概述的動作項目，然後再試一次。

**注意**  
您也可以使用 Amazon Managed Grafana API 中的 [UpdateWorkspaceConfiguration](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspaceConfiguration.html) 操作來更新版本。

如果您遇到更新工作區的問題，請參閱 [對更新工作區的問題進行故障診斷](AMG-workspace-version-update-troubleshoot.md)。

# 對更新工作區的問題進行故障診斷
<a name="AMG-workspace-version-update-troubleshoot"></a>

您更新的工作區應在更新後繼續運作。本節可協助您在更新後追蹤可能的問題。
+ **版本之間的差異。**

  某些功能在版本之間已變更。
  + 如需版本之間的主要變更清單，包括可能導致功能問題的變更，請參閱 [Grafana 版本之間的差異](version-differences.md)。
  + 如需第 9 版特定功能的文件，請參閱 [使用 Grafana 第 9 版](using-grafana-v9.md)。如需第 10 版，請參閱 [使用 Grafana 第 10 版](using-grafana-v10.md)。
+ **PostgreSQL TLS 問題**

  如果您的 **TLS/SSL 模式**在版本 8 `require`中設定為 ，而且您只使用根憑證，則更新後 PostgreSQL 資料來源可能會發生 TLS 或憑證問題。修改 PostgreSQL 資料來源的 TLS 設定 （可在 Grafana 工作區端選單中選擇**組態**圖示，然後選擇**資料來源**)。
  + 將 **TLS/SSL 模式**變更為 `verify-ca`。
  + 將 **TLS/SSL 方法**設定為 `Certificate content`。
  + 將**根憑證**設定為 PostgreSQL 資料庫伺服器的根憑證。這是您應該輸入憑證的唯一欄位。

# 管理對企業外掛程式的存取
<a name="upgrade-to-enterprise-plugins"></a>

您可以使用 Amazon Managed Grafana 主控台來管理您的工作區並存取企業外掛程式。升級可讓您存取企業外掛程式，並支援來自各種第三方獨立軟體廠商 (ISVs) 的資料來源，包括下列清單。

企業授權也可讓您存取 [Grafana Labs](https://grafana.com) 諮詢和支援服務。

**Amazon Managed Grafana Enterprise 外掛程式提供的企業資料來源包括：**
+ AppDynamics
+ Databricks
+ Datadog
+ Dynatrace
+ GitLab
+ Honeycomb
+ Jira
+ MongoDB
+ New Relic
+ Oracle Database
+ Salesforce
+ SAP/HANA
+ ServiceNow
+ Snowflake
+ Splunk
+ Splunk Infrastructure Monitoring （先前稱為 SignalFx)
+ Wavefront

如需有關升級時可用的企業資料來源外掛程式的詳細資訊，請參閱 [連線至企業資料來源](AMG-data-sources-enterprise.md)。您可以隨時新增外掛程式。如需完整且最新的清單，您可以在 Amazon Managed Grafana 工作區中使用[外掛程式目錄](grafana-plugins.md#manage-plugins)。

當您建立工作區時，預設無法存取企業外掛程式，但您可以隨時升級。如果您想要有多個具有企業外掛程式的 Amazon Managed Grafana 工作區，則必須升級每個工作區。

您可以管理您的企業外掛程式授權，包括透過**管理 Amazon Managed Grafana Enterprise **頁面新增或移除您的存取權。

管理 Amazon Managed Grafana Enterprise 外掛程式存取權的程序已變更。如果您之前使用過 AWS Marketplace，您可能會對 [AWS Marketplace Enterprise 使用者的常見問答集](AMG-ws-mp-license-faq.md)主題感興趣。

**Topics**
+ [管理對 Amazon Managed Grafana Enterprise 外掛程式的存取](AMG-workspace-manage-enterprise.md)
+ [將您的帳戶與 Grafana 實驗室連結](AMG-workspace-register-enterprise.md)
+ [AWS Marketplace Enterprise 使用者的常見問答集](AMG-ws-mp-license-faq.md)

# 管理對 Amazon Managed Grafana Enterprise 外掛程式的存取
<a name="AMG-workspace-manage-enterprise"></a>

**管理對 Enterprise 外掛程式的存取**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana) 的 Amazon Managed Grafana 主控台。

1. 在左側導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

   您可以查看工作區清單。對於每個工作區，**企業授權**欄會顯示工作區擁有的授權類型 （沒有授權或**企業外掛程式**授權。

1. 選取您要管理其授權的工作區名稱。這會開啟該工作區的工作區詳細資訊頁面。

1. 在摘要中，在**企業授權**下，選擇**管理**或**升級至 Amazon Managed Grafana Enterprise** （根據企業授權的目前狀態，只有一個選項可用）。

   這會開啟**管理 Amazon Managed Grafana Enterprise** 頁面。您可以選擇兩個選項。作用中選項會以 **（目前）** 標示。
   + **無** – 這是移除或不具有 Amazon Managed Grafana Enterprise 授權的選項。如果您目前擁有 Enterprise 授權，當您儲存時，為您的工作區選取此選項會立即移除對 Enterprise 外掛程式的存取。
   + **企業外掛程式** – 這可讓您將任何企業外掛程式安裝到您的工作區，並授予 [Grafana Labs](https://grafana.com) 諮詢和支援服務的存取權。在工作區中安裝企業外掛程式可讓您存取其他[資料來源](AMG-data-sources-enterprise.md)。

     第一次選擇此選項時，您必須將 AWS 帳戶 與來自 Grafana Labs 的權杖連結，並提示您這樣做。如需詳細資訊，請參閱下一節「[將您的帳戶與 Grafana 實驗室連結](AMG-workspace-register-enterprise.md)」。

     Amazon Managed Grafana Enterprise 外掛程式存取包含 Amazon Managed Grafana 價格以外的使用者費用。如需詳細資訊，請參閱 [Amazon Managed Grafana 定價頁面](https://aws.amazon.com/grafana/pricing/)。

1. 進行選擇後，請選擇**儲存**以繼續。

# 將您的帳戶與 Grafana 實驗室連結
<a name="AMG-workspace-register-enterprise"></a>

升級至 Amazon Managed Grafana Enterprise 外掛程式的工作區可以存取 Grafana 實驗室的支援和諮詢。若要存取此功能， AWS 帳戶 必須使用 Grafana Labs 帳戶字符來連結 。當您[升級至 Enterprise 授權](AMG-workspace-manage-enterprise.md) AWS 時，向 註冊新的或現有的 Grafana Labs 帳戶。

**注意**  
您只需要在每個區域註冊一次 Grafana Labs 帳戶字符。如果您的帳戶先前已連結 （例如，升級區域中的不同工作區以存取企業外掛程式時），則不會提示您再次連結。

連結包含從 Amazon Managed Grafana 中用來註冊帳戶的 Grafana 實驗室帳戶取得權杖。您可以在 Grafana 實驗室建立新帳戶或使用現有的帳戶。

建議您將 Grafana Labs 權杖複製並儲存在安全方便的位置，以供日後使用。

**連結您的 Grafana 實驗室帳戶**

1. 遵循 中的指示[管理對 Amazon Managed Grafana Enterprise 外掛程式的存取](AMG-workspace-manage-enterprise.md)，使用存取企業外掛程式升級您的帳戶。在升級程序期間新增權杖，系統會提示您連結帳戶。

1. 如果您已有權杖，您可以直接輸入權杖。如果您沒有權杖，請選取**取得權杖**。這會在新的瀏覽器索引標籤中開啟 [Grafana 實驗室網站](https://grafana.com/partners/amg/support)。

   從 Grafana Labs 網站，您可以登入 Grafana Labs 帳戶 （或建立新的帳戶），然後取得權杖。

1. 複製字符之後，請返回 Amazon Managed Grafana 瀏覽器索引標籤或視窗。在 **Grafana 實驗室權杖區段中輸入權杖**。

1. 您現在可以選擇**儲存**以完成升級。

**將您的字符與其他工作區重複使用**

如果您先前已註冊 Grafana Labs 帳戶，並收到 Grafana Labs 權杖提示 （例如，升級另一個區域中的工作區時），則可以每次使用相同的權杖來註冊，因此您不需要建立新的 Grafana Labs 帳戶。如果您尚未儲存權杖，則可能可以透過下列其中一種方式擷取權杖：
+ 您可以前往 https：//[https://grafana.com/partners/amg/support](https://grafana.com/partners/amg/support) 並選擇**我的**帳戶，在 Grafana Labs 帳戶中查詢以取得字符。
+ 您可以使用 [DescribeWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DescribeWorkspace.html) API 擷取字符，從已連結的現有工作區取得字符。
+ 如果您無法再透過這些方法使用字符，您必須[聯絡 Grafana 實驗室支援](https://grafana.com/contact)。

# AWS Marketplace Enterprise 使用者的常見問答集
<a name="AMG-ws-mp-license-faq"></a>

先前，您可能已透過 購買 Grafana Enterprise 的授權 AWS Marketplace。您無法再透過 購買新的授權 AWS Marketplace，也無法續約先前透過 購買的任何授權 AWS Marketplace。下列常見問答集會根據 AWS Marketplace 授權的狀態來協助您。

## 我從 訂閱了 30 天的免費試用 AWS Marketplace，但尚未將其與工作區建立關聯。現在可以套用嗎？
<a name="AMG-ws-mp-license-faq1"></a>

否。Amazon Managed Grafana 不再支援免費試用。

## 我在 購買 30 天免費試用 AWS Marketplace，而且已將其與我的工作區建立關聯。我的試驗會發生什麼情況？
<a name="AMG-ws-mp-license-faq2"></a>

您的免費試用將持續到過期為止。如果您想要升級並使用企業外掛程式，您可以透過 Amazon Managed Grafana 主控台進行升級，如上一節所述。

## 我的 AWS Marketplace 付費授權尚未過期，但我想要使用 Amazon Managed Grafana 受管企業外掛程式。如何執行此操作？
<a name="AMG-ws-mp-license-faq3"></a>

只要您有目前的 AWS Marketplace 授權，您只能將該授權與您的工作區建立關聯。您只能在 AWS Marketplace 授權過期 （或透過 取消授權 AWS Marketplace) 後，在 Amazon Managed Grafana 主控台中升級。

下列問題和答案提供更多詳細資訊。

## 我從 購買完整的 Grafana Enterprise 授權， AWS Marketplace 並與一或多個工作區建立關聯。這些會發生什麼情況？
<a name="AMG-ws-mp-license-faq4"></a>

當您的授權過期時 (30 天後，除非您已開啟自動續約），您在工作區中使用的任何企業資料來源都將停止運作。如果您想要繼續使用企業資料來源，您可以直接從 Amazon Managed Grafana 主控台[升級以使用企業外掛程式](AMG-workspace-manage-enterprise.md)。

## 聽起來我的授權即將過期，我的工作區無法存取任何企業外掛程式。如何避免這種情況？
<a name="AMG-ws-mp-license-faq5"></a>

當您切換到新的 Enterprise 外掛程式授權時，授權即將到期，將會有一些相關的停機時間。不過，您可以將此值降至最低。

**注意**  
需要精確執行下列步驟，才能將停機時間降至最低。建議您在開始之前仔細閱讀。  
若要取得新的[定價](https://aws.amazon.com/grafana/pricing)，建議您升級至 Amazon Managed Grafana Enterprise 外掛程式，而不是繼續使用 AWS Marketplace 授權。

**從 AWS Marketplace Enterprise 授權切換至 Amazon Managed Grafana Enterprise 外掛程式，同時將停機時間降至最低。**

1. 若要準備，請先前往 [Grafana 實驗室網站](https://grafana.com/partners/amg/support)，並登入您的帳戶 （或建立新的帳戶）。取得稍後將在程序中使用的 Grafana Labs 字符。

   如需此程序此部分的詳細資訊，請參閱 [將您的帳戶與 Grafana 實驗室連結](AMG-workspace-register-enterprise.md)。

1. 登入 [AWS Marketplace 主控台](https://console.aws.amazon.com/marketplace/)，然後從左側選單中選擇**管理訂閱**。

1. 尋找您要切換的訂閱，然後選擇**管理**。這將引發有關訂閱的詳細資訊。
**注意**  
此頁面會顯示您的服務結束日期。您可以等到接近該日期，才能繼續這些步驟，在取消之前最大化目前訂閱的使用率。

1. 選擇**動作**，然後選取**取消訂閱**。

   這會在 中取消您的訂閱 AWS Marketplace。不過，您可以繼續使用企業資料來源，直到 Amazon Managed Grafana 在一天結束時自動移除您的授權 （工作區的當地時間）。

   如需在 中取消訂閱的詳細資訊 AWS Marketplace，請參閱《 *AWS Marketplace 買方指南*》中的[取消您的產品訂閱](https://docs.aws.amazon.com/marketplace/latest/buyerguide/cancel-subscription.html)。

1. 在 中取消訂閱之後 AWS Marketplace，請在 Amazon Managed Grafana 中取消訂閱：

   1. 登入 [Amazon Managed Grafana 主控台](https://console.aws.amazon.com/grafana)。

   1. 從左側功能表中，選擇**所有工作區**。

   1. 選擇您要切換的工作區名稱。

   1. 在**企業授權**下，選擇**管理**。

   1. 選擇**無**，然後選擇**儲存**。這將從 Amazon Managed Grafana 移除 AWS Marketplace 授權

   移除企業授權時，您將無法再存取工作區中的企業外掛程式。

1. 您現在可以在 Amazon Managed Grafana 主控台中升級。遵循[管理對 Amazon Managed Grafana Enterprise 外掛程式的存取](AMG-workspace-manage-enterprise.md)主題中的指示，使用您在第一個步驟中建立的 Grafana Labs 字符。

**注意**  
從取消 Amazon Managed Grafana 中的授權到升級存取企業外掛程式為止，您的工作區無法存取企業資料來源。這通常大約需要 10-15 分鐘，但可能需要更長的時間，取決於您執行這些步驟的速度。請確定您已備妥 Grafana Labs 權杖，將這次降至最低。

## 我有具有自動續約 AWS Marketplace 的授權。這會繼續嗎？
<a name="AMG-ws-mp-license-faq6"></a>

是。 AWS Marketplace 訂閱已淘汰，您無法手動續約，但如果您已自動續約設定，則會繼續，直到您將其關閉為止。執行此操作時，您可以依照先前答案中的指示進行升級。

若要取得新的[定價](https://aws.amazon.com/grafana/pricing)，建議您升級至 Amazon Managed Grafana Enterprise 外掛程式，而不是繼續使用 AWS Marketplace 授權。

## 我有尚未與工作區建立關聯的 AWS Marketplace 授權，我可以使用它嗎？
<a name="AMG-ws-mp-license-faq7"></a>

可以，您可以建立該 AWS Marketplace 授權的關聯，並在到期前使用該授權。這將在 30 天內發生，除非您開啟自動續約。如需詳細資訊，請參閱先前的問題和答案。

# 在 Amazon Managed Grafana 工作區之間遷移內容
<a name="AMG-workspace-content-migration"></a>

有時候，您想要將內容 （包括資料來源、儀表板、資料夾和提醒規則） 從一個工作區遷移到另一個工作區。例如，您要從內部部署 Grafana 執行個體遷移至 Amazon Managed Grafana 工作區，而且想要將現有內容遷移至新的工作區。

不過，Amazon Managed Grafana 不支援在工作區之間直接遷移內容， AWS 提供的開放原始碼遷移公用程式可透過在工作區或 Grafana 執行個體內提供匯出和匯入功能來處理這種情況。此公用程式稱為 **Amazon Managed Grafana Migrator**。

如需詳細資訊，請參閱 GitHub 上的 [Amazon Managed Grafana Migrator](https://github.com/aws-observability/amazon-managed-grafana-migrator)。

# 管理 Amazon Managed Grafana 工作區的使用者和群組存取權
<a name="AMG-manage-users-and-groups-AMG"></a>

您可以使用身分提供者 (IdP) 或 中設定的使用者來存取 Amazon Managed Grafana 工作區 AWS IAM Identity Center。您必須將這些使用者 （或其所屬的群組） 許可授予工作區。您可以為他們提供 `User`、 `Editor`或 `Admin`許可。

## 將許可授予使用者或群組
<a name="AMG-manage-users-and-groups-proc"></a>

**先決條件**
+ 若要授予使用者或使用者群組對 Amazon Managed Grafana 工作區的存取權，必須先在身分提供者 (IdP) 或 中佈建使用者或群組 AWS IAM Identity Center。如需詳細資訊，請參閱[驗證 Amazon Managed Grafana 工作區中的使用者](authentication-in-AMG.md)。
+ 若要管理使用者和群組存取，您必須以具有 AWS Identity and Access Management (IAM) 政策 **AWSGrafanaWorkspacePermissionManagementV2** 或同等許可的使用者身分登入。如果您使用 IAM Identity Center 管理使用者，您還必須擁有 **AWSSSOMemberAccountAdministrator** 和 **AWSSSODirectoryReadOnly** IAM 政策或同等許可。如需詳細資訊，請參閱[指派和取消指派使用者對 Amazon Managed Grafana 的存取權](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users)。

**使用 Amazon Managed Grafana 主控台管理 Grafana 工作區的使用者存取權**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在左側導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇您要管理的工作區名稱。

1. 選擇**身分驗證**索引標籤。

1. 如果您在此工作區中使用 IAM Identity Center，請選擇**設定使用者和使用者群組**，然後執行下列一或多個動作：
   + 若要讓使用者存取 Amazon Managed Grafana 工作區，請選取使用者旁邊的核取方塊，然後選擇**指派使用者**。
   + 若要讓使用者成為工作區`Admin`的 ，請選擇**建立管理員**。
   + 若要移除使用者的工作區存取權，請選擇**取消指派使用者**。
   + 若要新增使用者群組，例如 LDAP 群組，請選擇**指派的使用者群組**索引標籤。然後執行下列其中一項：
     + 若要讓群組的所有成員存取 Amazon Managed Grafana 工作區，請選取群組旁的核取方塊，然後選擇**指派群組**。
     + 若要為群組的所有成員提供工作區中`Admin`的角色，請選擇**建立管理員**。
     + 若要移除群組所有成員的工作區存取權，請選擇**取消指派群組**。
**注意**  
如果您使用 IAM Identity Center 來管理使用者，請僅使用 IAM Identity Center 主控台來佈建新的使用者和群組。使用 Amazon Managed Grafana 主控台或 APIs 來授予或移除對 Grafana 工作區的存取權。  
如果 IAM Identity Center 和 Amazon Managed Grafana 不同步，您會收到**解決**任何衝突的選項。如需詳細資訊，請參閱[設定使用者和群組時發生許可不相符錯誤](#AMG-manage-users-and-groups-mismatch)下方的 。

1. 如果您在此工作區中使用 SAML，請選擇 **SAML 組態**並執行下列一或多個動作：
   + 對於**匯入方法**，執行下列其中一項操作：
     + 選擇 **URL** 並輸入 IdP 中繼資料的 URL。
     + 選擇**上傳或複製/貼上**。如果您要上傳中繼資料，請選擇**選擇檔案**，然後選取中繼資料檔案。或者，如果您使用複製並貼上，請將中繼資料複製到**匯入中繼資料**。
   + 針對 **Assertion 屬性角色**，輸入要從中擷取角色資訊的 SAML 聲明屬性名稱。
   + 對於**管理員角色值**，輸入 IdP 中的使用者角色，該使用者角色應該全部在 Amazon Managed Grafana 工作區中授予該`Admin`角色，或選擇**不將管理員指派給我的工作區。**
**注意**  
如果您選擇**不將管理員指派給我的工作區。**您將無法使用 Amazon Managed Grafana 主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Amazon Managed Grafana APIs 對工作區進行管理變更。
   + （選用） 若要輸入其他 SAML 設定，請選擇**其他設定**並執行下列一或多個動作，然後選擇**儲存 SAML 組態**。所有這些欄位都是選用的。
     + 對於 **Assertion 屬性名稱**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者完整「易記」名稱。
     + 對於 **Assertion 屬性登入**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者登入名稱。
     + 對於 **Assertion 屬性電子郵件**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者電子郵件名稱。
     + 針對**登入有效期間 （以分鐘為單位）**，指定 SAML 使用者的登入有效期間，使用者必須再次登入。
     + 對於 **Assertion 屬性組織**，請在 SAML 聲明中指定屬性的名稱，以用於使用者組織的「易記」名稱。
     + 對於 **Assertion 屬性群組**，請在 SAML 聲明中指定屬性的名稱，以用於使用者群組的「易記」名稱。
     + 對於**允許的組織**，您只能將使用者存取權限制為 IdP 中特定組織的成員。輸入一或多個要允許的組織，以逗號分隔。
     + 在**編輯器角色值**中，輸入 IdP 中的使用者角色，這些使用者角色都應該在 Amazon Managed Grafana 工作區中授予該`Editor`角色。輸入一或多個角色，以逗號分隔。

1. 或者，若要新增 LDAP 群組等使用者群組，請選擇**使用者群組**索引標籤。然後執行下列其中一項：
   + 若要讓群組的所有成員存取 Amazon Managed Grafana 工作區，請選取群組旁的核取方塊，然後選擇**指派群組**。
   + 若要為群組的所有成員提供工作區中`Admin`的角色，請選擇**建立管理員**。
   + 若要移除群組所有成員的工作區存取權，請選擇**取消指派群組**。

## 設定使用者和群組時發生許可不相符錯誤
<a name="AMG-manage-users-and-groups-mismatch"></a>

在 Amazon Managed Grafana 主控台中設定使用者和群組時，您可能會遇到不相符錯誤。這表示 Amazon Managed Grafana 和 IAM Identity Center 不同步。在此情況下，Amazon Managed Grafana 會顯示警告，並選擇**解決**不相符的問題。如果您選擇**解析**，Amazon Managed Grafana 會顯示一個對話方塊，其中包含具有不同步許可的使用者清單。

從 IAM Identity Center 移除的使用者會顯示為 `Unknown user`，並在對話方塊中顯示數字 ID。對於這些使用者，修正不相符的唯一方法是選擇**解析**，並移除其許可。

仍在 IAM Identity Center 中，但不再屬於具有先前擁有存取權的群組的使用者，會在**解析**清單中顯示其使用者名稱。有兩種方法可以修正此問題。您可以使用**解析**對話方塊來移除或減少其存取權，或者您可以依照上一節中的指示授予他們存取權。

## 關於許可不相符的常見問題
<a name="AMG-manage-users-and-groups-mismatch-faq"></a>

**為什麼我在 Amazon Managed Grafana 主控台**的設定使用者和群組**區段中看到錯誤陳述許可不相符？**  
您看到此訊息是因為在 IAM Identity Center 中的使用者和群組關聯中發現不相符，以及在 Amazon Managed Grafana 中針對工作區的許可。您可以從 Amazon Managed Grafana 主控台 （在**設定使用者和群組**索引標籤中） 或從 IAM Identity Center 主控台 (**應用程式指派**頁面） 將使用者新增至或移除 Grafana 工作區。不過，只能透過將**檢視器**、**編輯器**或**管理員**許可指派給使用者或群組，從 Amazon Managed Grafana （使用 Amazon Managed Grafana 主控台或 APIs) 定義 Grafana 使用者許可。使用者可以屬於具有不同許可的多個群組，在這種情況下，他們的許可是以使用者所屬所有群組和許可的最高存取層級為基礎。

不相符的記錄可能來自：
+ 使用者或群組會從 IAM Identity Center 刪除，但不會在 Amazon Managed Grafana 中刪除。這些記錄在 Amazon Managed Grafana 主控台中顯示為**未知使用者**。
+ 使用者或群組與 Grafana 的關聯會在 IAM Identity Center （在**應用程式指派**下） 中刪除，但在 Amazon Managed Grafana 中不會刪除。
+ 使用者許可先前已直接從 Grafana 工作區更新。Amazon Managed Grafana 不支援來自 Grafana 工作區的更新。

若要避免這些不相符，請使用 Amazon Managed Grafana 主控台或 Amazon Managed Grafana APIs 來管理工作區的使用者和群組許可。

**我先前已從 Grafana 工作區更新部分團隊成員的存取層級。現在，我看到其存取層級還原至較舊的存取層級。為什麼我看到此情況，以及如何解決此問題？**  
這很可能是因為 IAM Identity Center 中的使用者和群組關聯與 Amazon Managed Grafana 記錄工作區的許可不相符。如果您的團隊成員遇到不同的存取層級，您或 Amazon Managed Grafana 的管理員可能已從 Amazon Managed Grafana 主控台解決不相符的問題，移除不相符的記錄。您可以從 Amazon Managed Grafana 主控台或 APIs 重新指派所需的存取層級，以還原所需的許可。

**注意**  
Grafana 工作區不支援使用者存取管理。使用 Amazon Managed Grafana 主控台或 APIs來指派使用者或群組許可。

**為什麼要注意存取層級的變更？ 例如，我之前有管理員存取權，但現在只有編輯器許可。**  
工作區的管理員可能已變更您的許可。如果 IAM Identity Center 中的使用者和群組關聯與 Amazon Managed Grafana 中的許可不相符，則可能會不小心發生這種情況。在此情況下，解決不符可能已移除您較高的存取許可。您可以從 Amazon Managed Grafana 主控台請求管理員重新指派所需的存取層級。

# 管理資料來源和通知管道的許可
<a name="AMG-datasource-and-notification"></a>

您的 Amazon Managed Grafana 工作區必須具有存取指標 AWS 資料來源和提醒通知管道的許可。您可以使用 Amazon Managed Grafana 主控台，讓 Amazon Managed Grafana 自動為您要在 Amazon Managed Grafana 工作區中使用的 AWS 資料來源和通知通道建立 AWS Identity and Access Management (IAM) 政策和許可。

**管理資料來源和通知管道的許可和政策**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在左側導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇您要管理的工作區名稱。

1. 若要切換使用**服務受**管許可和**客戶受**管許可，請選擇 **IAM 角色**的編輯圖示，然後進行選擇。如需詳細資訊，請參閱[AWS 資料來源的 Amazon Managed Grafana 許可和政策](AMG-manage-permissions.md)。

   如果您從**服務受**管許可變更為**客戶受**管許可，Amazon Managed Grafana 為您建立的角色和政策不會在目前帳戶中刪除。如果您使用組織的**服務受**管許可，則會刪除組織中其他帳戶中的角色和政策。

1. 選擇**資料來源**索引標籤。

1. 如果您使用的是**服務受**管許可，您可以選擇 **IAM 許可存取設定**旁的**編輯**，以變更您的**服務受**管許可是否僅適用於目前帳戶或整個組織。如需詳細資訊，請參閱[AWS 資料來源的 Amazon Managed Grafana 許可和政策](AMG-manage-permissions.md)。

   在**資料來源**下，選取您要在此工作區中查詢的 AWS 資料來源。選取資料來源可讓 Amazon Managed Grafana 建立 IAM 角色和許可，以允許 Amazon Managed Grafana 從這些來源讀取資料。您仍然必須在 Grafana 工作區主控台中新增資料來源。

   若要管理 AWS 可做為通知管道的服務，請選擇**通知管道**。

   選取您要在此工作區中使用的 AWS 通知管道。選取通知管道可讓 Amazon Managed Grafana 建立允許 Amazon Managed Grafana 使用這些服務的 IAM 角色和許可。您仍然必須在 Grafana 工作區主控台中新增通知管道。
**注意**  
如需使用通知的詳細資訊，請參閱 [管理您的提醒通知](v9-alerting-managenotifications.md)。

# 使用 建立 Amazon Managed Grafana 資源 AWS CloudFormation
<a name="creating-resources-with-cloudformation"></a>

Amazon Managed Grafana 已與 整合 AWS CloudFormation，此服務可協助您模型化和設定 AWS 資源，以減少建立和管理資源和基礎設施的時間。您可以建立範本來描述您想要的所有 AWS 資源 （例如工作區），並為您 CloudFormation 佈建和設定這些資源。

使用 時 CloudFormation，您可以重複使用範本來一致且重複地設定 Amazon Managed Grafana 資源。描述您的資源一次，然後在多個 AWS 帳戶 和 區域中逐一佈建相同的資源。

## Amazon Managed Grafana 和 CloudFormation 範本
<a name="working-with-templates"></a>

若要佈建和設定 Amazon Managed Grafana 和相關服務的資源，您必須了解 [CloudFormation 範本](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)。範本是以 JSON 或 YAML 格式化的文本檔案。這些範本說明您要在 CloudFormation 堆疊中佈建的資源。如果您不熟悉 JSON 或 YAML，您可以使用 CloudFormation 設計工具來協助您開始使用 CloudFormation 範本。如需詳細資訊，請參閱*AWS CloudFormation 《 使用者指南*》中的[什麼是 CloudFormation 設計工具？](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html)。

Amazon Managed Grafana 支援在其中建立工作區 CloudFormation。如需詳細資訊，包括工作區的 JSON 和 YAML 範本範例，請參閱*AWS CloudFormation 《 使用者指南*》中的 [Amazon Managed Grafana 資源類型參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-grafana-workspace.html)。

## 進一步了解 CloudFormation
<a name="learn-more-cloudformation"></a>

若要進一步了解 CloudFormation，請參閱下列資源：
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation 使用者指南](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API 參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation 命令列界面使用者指南](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# 設定 Amazon Managed Grafana 工作區的網路存取權
<a name="AMG-configure-nac"></a>

您可以控制使用者和主機存取 Grafana 工作區的方式。

Grafana 要求對所有使用者進行身分驗證和授權。不過，根據預設，Amazon Managed Grafana 工作區開放給所有網路流量。您可以設定工作區的網路存取控制，以控制允許哪些網路流量到達工作區。

您可以透過兩種方式控制工作區的流量。
+ **IP 地址** （字首清單） – 您可以使用允許存取工作區的 IP 範圍來建立[受管字首清單](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html)。Amazon Managed Grafana 僅支援用於網路存取控制的公有 IPv4 地址。
+ **VPC 端點** – 您可以為允許存取特定工作區的工作區建立 VPC 端點清單。

當您設定網路存取控制時，必須至少包含一個字首清單或 VPC 端點。

Amazon Managed Grafana 使用字首清單和 VPC 端點來決定允許對 Grafana 工作區的哪些請求進行連線。下圖顯示此篩選。

![\[顯示 Amazon Managed Grafana 網路存取控制的影像，允許某些請求並封鎖其他人嘗試存取 Amazon Managed Grafana 工作區。\]](http://docs.aws.amazon.com/zh_tw/grafana/latest/userguide/images/grafana-nac.png)


為 Amazon Managed Grafana 工作區設定網路存取控制 (**1**) 會指定應允許哪些請求存取工作區。網路存取控制可以允許或封鎖 IP 地址 (**2**) 或使用介面端點 (**3**) 的流量。

下一節說明如何設定網路存取控制。

## 設定網路存取控制
<a name="AMG-nac-how-to"></a>

您可以將網路存取控制新增至現有工作區，或將其設定為工作區初始建立的一部分。

**先決條件**

若要設定網路存取控制，您必須先為工作區建立介面 VPC 端點，或為您要允許的 IP 地址建立至少一個 IP 字首清單。您也可以同時建立兩者或兩者之一以上。
+ **VPC 端點** – 您可以建立介面 VPC 端點，讓您存取所有工作區。建立端點之後，您需要要允許的每個端點的 VPC 端點 ID。VPC 端點 IDs的格式為 `vpce-1a2b3c4d`。

  如需為 Grafana 工作區建立 VPC 端點的詳細資訊，請參閱 [介面 VPC 端點](VPC-endpoints.md)。若要為您的工作區建立專門的 VPC 端點，請使用`com.amazonaws.region.grafana-workspace`端點名稱。

  對於您授予工作區存取權的 VPC 端點，您可以透過設定端點的安全群組來進一步限制其存取權。若要進一步了解，請參閱 *Amazon VPC 文件*中的[關聯安全群組](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups)和[安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)。
+ **受管字首清單** （適用於 IP 地址範圍） – 若要允許 IP 地址，您必須在 Amazon VPC 中建立一或多個字首清單，其中包含要允許的 IP 範圍清單。用於 Amazon Managed Grafana 時，字首清單有一些限制：
  + 每個字首清單最多可包含 100 個 IP 地址範圍。
  + 私有 IP 地址範圍 `10.0.0.0/16` （例如，忽略 。您可以在字首清單中包含私有 IP 地址範圍，但 Amazon Managed Grafana 會在篩選工作區的流量時忽略這些地址範圍。若要允許這些主機到達工作區，請為您的工作區建立 VPC 端點並授予其存取權。
  + Amazon Managed Grafana 僅支援字首清單中的 IPv4 地址，不支援 IPv6。會忽略 IPv6 地址。

  您可以透過 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/home?#ManagedPrefixLists)建立受管字首清單。建立字首清單後，您需要要在 Amazon Managed Grafana 中允許的每個清單的字首清單 ID。字首清單 IDs的格式為 `pl-1a2b3c4d`。

  如需建立字首清單的詳細資訊，請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[使用受管字首清單的群組 CIDR 區塊](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)。
+ 您必須擁有必要的許可，才能設定或建立 Amazon Managed Grafana 工作區。例如，您可以使用 AWS 受管政策 `AWSGrafanaAccountAdministrator`。

在您擁有要授予工作區存取權之字首清單或 VPC 端點IDs 清單之後，您就可以建立網路存取控制組態。

**注意**  
如果您啟用網路存取控制，但未將字首清單新增至組態，則不允許存取您的工作區，除非透過允許的 VPC 端點。  
同樣地，如果您啟用網路存取控制，但未將 VPC 端點新增至組態，則不允許存取您的工作區，除非透過允許的 IP 地址。  
您必須在網路存取控制組態中包含至少一個字首清單或 VPC 端點，否則您將無法從任何地方存取工作區。

**設定工作區的網路存取控制**

1. 開啟 [Amazon Managed Grafana 主控台](https://console.aws.amazon.com/grafana/home/)。

1. 在左側導覽窗格中，選擇**所有工作區**。

1. 選取您要設定網路存取控制的工作區名稱。

1. 在**網路存取控制**索引標籤**的網路存取控制**下，選擇**限制存取**以設定網路存取控制。
**注意**  
您可以在建立工作區時存取這些相同的選項。

1. 從下拉式清單中選取您要新增**字首清單**或 **VPC 端點**。

1. 選取您要新增的 VPC 端點或字首清單 ID （或者，您可以輸入要使用的 ID。您必須選擇至少一個。

1. 若要新增更多端點或清單，請為您要新增的每個端點或清單選取**新增資源**。
**注意**  
您最多可以新增 5 個字首清單和 5 個 VPC 端點。

1. 選擇**儲存變更**以完成設定。

**警告**  
如果您有工作區的現有使用者，請在組態中包含其 IP 範圍或 VPC 端點，否則他們會因為`403 Forbidden`發生錯誤而失去存取權。建議您在設定或修改網路存取控制組態後測試現有的存取點。

# 靜態加密
<a name="AMG-encryption-at-rest"></a>

根據預設，Amazon Managed Grafana 會自動為您提供靜態加密，並使用 AWS 擁有的加密金鑰來執行此操作。
+ **AWS 擁有的金鑰** – Amazon Managed Grafana 使用這些金鑰自動加密工作區的資料。您無法檢視、管理或使用 AWS 擁有的金鑰，或稽核其使用方式。不過，您不需要採取任何動作或變更任何程式，即可保護加密您資料的金鑰。如需詳細資訊，請參閱《 *AWS KMS 開發人員指南*》中的 [AWS擁有的金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。

加密靜態資料有助於減少保護敏感客戶資料 (例如個人可識別資訊) 的營運成本並降低複雜性。這可讓您建立符合嚴格加密合規性或管制需求的安全應用程式。

您也可以在建立工作區時，選擇使用客戶受管金鑰：
+ **客戶受管金鑰** – Amazon Managed Grafana 支援使用您建立、擁有和管理的對稱客戶受管金鑰，以加密工作區中的資料。由於您可以完全控管此加密，因此能執行以下任務：
  + 建立和維護金鑰政策
  + 建立和維護 IAM 政策和授予操作
  + 啟用和停用金鑰政策
  + 輪換金鑰密碼編譯資料
  + 新增 標籤
  + 建立金鑰別名
  + 安排金鑰供刪除

如需詳細資訊，請參閱《 *AWS KMS 開發人員指南*》中的[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)和[什麼 AWS KMS？](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)

選擇是否謹慎使用客戶受管金鑰或 AWS 擁有的金鑰。使用客戶受管金鑰建立的工作區無法在稍後轉換為使用 AWS 擁有的金鑰 （反之亦然）。

**注意**  
Amazon Managed Grafana 會使用 AWS 擁有的金鑰自動啟用靜態加密，以免費保護您的資料。
不過，使用客戶受管金鑰需支付 AWS KMS 費用。如需定價的詳細資訊，請參閱 [AWS KMS 定價](https://aws.amazon.com/kms/pricing/)。

**重要**  
如果您停用客戶受管金鑰或移除金鑰政策中的 Amazon Managed Grafana 存取權，您的工作區將無法存取。工作區將保持 `ACTIVE` 狀態，但功能上將無法使用。您有 7 天可透過重新啟用金鑰或還原金鑰政策來還原存取權。7 天後，工作區會轉換為 `FAILED` 狀態，而且只能刪除。
在 中排程要刪除金鑰的等待期間至少 AWS KMS 為 7 天，之後才會刪除金鑰。一旦刪除金鑰，就無法還原該金鑰，而且使用該金鑰加密的任何工作區都將永久無法存取其資料。
只有在建立新的工作區時，才能使用客戶受管金鑰加密。現有的工作區無法轉換為使用客戶受管金鑰。
您無法在建立後修改工作區的客戶受管金鑰。

## Amazon Managed Grafana 如何在 中使用授予 AWS KMS
<a name="AMG-encryption-grants"></a>

Amazon Managed Grafana 需要授予才能使用客戶受管金鑰。

當您建立使用客戶受管金鑰加密的 Amazon Managed Grafana 工作區時，Amazon Managed Grafana 會傳送 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 請求至 ，代表您建立授予 AWS KMS。中的授予 AWS KMS 用於讓 Amazon Managed Grafana 存取您帳戶中的 KMS 金鑰，即使 未直接代表您呼叫 （例如，儲存儀表板資料或使用者組態時）。

Amazon Managed Grafana 需要授予才能使用客戶受管金鑰進行下列內部操作：
+ 將 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 請求傳送至 AWS KMS ，以視需要建立其他授權。
+ 將 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 請求傳送至 AWS KMS ，以驗證建立工作區時指定的對稱客戶受管 KMS 金鑰是否有效。
+ 將 [ReEncryptTo 和 ReEncryptFrom](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 請求傳送至 AWS KMS ，以在不同的加密內容之間移動時重新加密資料。
+ 傳送[加密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)請求至 AWS KMS ，以直接使用客戶受管金鑰加密資料。
+ 將 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 請求傳送至 AWS KMS 以解密加密的資料金鑰，以便用來加密您的資料。
+ 將 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 請求傳送至 AWS KMS ，以產生由客戶受管金鑰加密的資料金鑰。
+ 將 [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) 請求傳送至 AWS KMS 以產生加密的資料金鑰，而不傳回純文字版本。
+ 將 [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) 請求傳送至 AWS KMS 以淘汰不再需要的授與。

Amazon Managed Grafana 會建立金鑰的授予 AWS KMS ，允許 Amazon Managed Grafana 代表您使用金鑰。您可以透過變更金鑰政策、停用金鑰或撤銷授權來移除金鑰的存取權。在執行這些動作之前，應先充分了解這些動作的後果。您的工作區中可能會發生資料遺失。

如果您以任何方式移除任何授予的存取權，Amazon Managed Grafana 將無法存取客戶受管金鑰加密的任何資料，也無法存取傳送到工作區的新資料，這會影響依賴該資料的操作。無法存取工作區的新更新，且可能會永久遺失。

**警告**  
如果您停用金鑰，或移除金鑰政策中的 Amazon Managed Grafana 存取權，則無法再存取工作區資料。工作區將保持 `ACTIVE` 狀態，但功能上將無法使用。傳送至工作區的新更新將無法存取，且可能會永久遺失。您可以在 7 天內重新啟用金鑰或還原對金鑰的 Amazon Managed Grafana 存取權，以還原對工作區資料的存取權，並繼續接收新資料。在 7 天沒有存取權後，工作區將轉換為 `FAILED` 狀態。
如果您排程刪除金鑰 AWS KMS，金鑰會在強制的 7 天等待期間之後刪除。一旦刪除，就無法還原金鑰，且工作區資料將永久無法存取。
如果您*撤銷*授權，則無法重新建立該授權，且工作區中的資料會永久遺失。
由於 Amazon RDS 對資料儲存的相依性，Amazon Managed Grafana 會透過 Amazon RDS 建立額外的子授權。撤銷這些與 RDS 相關的授予將具有與撤銷主要 Grafana 授予相同的永久資料遺失效果。

## 步驟 1：建立客戶受管金鑰
<a name="AMG-encryption-create-key"></a>

您可以使用 AWS 管理主控台或 AWS KMS APIs 來建立對稱客戶受管金鑰。金鑰必須與 Amazon Managed Grafana 工作區位於相同的區域，而且必須是具有`ENCRYPT_DECRYPT`金鑰用量的對稱金鑰。

**建立對稱客戶受管金鑰**
+ 請依照《AWS KMS 開發人員指南》**中[建立對稱客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)的步驟進行。

金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策，其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時，可以指定金鑰政策。如需詳細資訊，請參閱《AWS KMS 開發人員指南》**中的[管理客戶受管金鑰的存取](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)。

若要將客戶受管金鑰與 Amazon Managed Grafana 工作區搭配使用，必須在金鑰政策中允許下列 API 操作：
+ [kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — 新增客戶自管金鑰的授予。授予控制對指定 KMS 金鑰的存取權，該金鑰允許存取 Amazon Managed Grafana 所需的[授予操作](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations)。如需詳細資訊，請參閱《AWS KMS 開發人員指南》**中的[使用授權](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。這可讓 Amazon Managed Grafana 執行下列動作：
  + 呼叫 `GenerateDataKey` 以產生加密的資料金鑰並加以存放。
  + 呼叫 `Decrypt` 以使用儲存的加密資料金鑰來存取加密的資料。
+ [kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) – 提供客戶受管金鑰詳細資訊，以允許 Amazon Managed Grafana 驗證金鑰。

以下是您可以為 Amazon Managed Grafana 新增的政策陳述式範例：

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow IAM Users and Roles to validate KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "Allow IAM Users and Roles to create grant on KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": "kms:CreateGrant",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ],
          "kms:GrantConstraintType": "EncryptionContextSubset"
        },
        "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
            "CreateGrant",
            "RetireGrant",
            "Decrypt",
            "Encrypt",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
          ]
        }
      }
    }
  ]
}
```
+ 如需在政策中指定許可的詳細資訊，請參閱 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。
+ 如需對金鑰存取進行疑難排解的詳細資訊，請參閱 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。

## 步驟 2：指定 Amazon Managed Grafana 的客戶受管金鑰
<a name="AMG-encryption-specify-key"></a>

建立工作區時，您可以輸入 KMS 金鑰 ARN 來指定客戶受管金鑰，Amazon Managed Grafana 會使用此金鑰來加密工作區存放的資料。

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/) 的 Amazon Managed Grafana 主控台。

1. 選擇**建立工作區**。

1. 在**加密**區段中，選取**客戶受管金鑰**。

1. 在 **KMS 金鑰 ARN 欄位中輸入客戶受管金鑰的 ARN**。

1. 完成剩餘的工作區組態，然後選擇**建立工作區**。

您可以在使用 `--kms-key-id` 參數建立工作區時指定客戶受管金鑰：

```
aws grafana create-workspace \
    --workspace-name "my-encrypted-workspace" \
    --workspace-description "Workspace with customer managed encryption" \
    --account-access-type "CURRENT_ACCOUNT" \
    --authentication-providers "AWS_SSO" \
    --permission-type "SERVICE_MANAGED" \
    --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
```

## 監控 Amazon Managed Grafana 的加密金鑰
<a name="AMG-encryption-monitoring"></a>

當您搭配 Amazon Managed Grafana 工作區使用 AWS KMS 客戶受管金鑰時，您可以使用 AWS CloudTrail 或 Amazon CloudWatch Logs 來追蹤 Amazon Managed Grafana 傳送的請求 AWS KMS。

下列範例是 `CreateGrant`、`GenerateDataKey`、 `DescribeKey`和 AWS CloudTrail 的事件`Decrypt`，用於監控 Amazon Managed Grafana 呼叫的 KMS 操作，以存取客戶受管金鑰加密的資料：

當您使用 AWS KMS 客戶受管金鑰加密工作區時，Amazon Managed Grafana 會代表您傳送`CreateGrant`請求，以存取您指定的 KMS 金鑰。Amazon Managed Grafana 建立的授予專屬於 AWS KMS 與客戶受管金鑰相關聯的資源。

以下範例事件會記錄 `CreateGrant` 操作：

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana 使用 `DescribeKey`操作來驗證與工作區相關聯的 AWS KMS 客戶受管金鑰是否存在於帳戶和區域中。

下面的範例事件會記錄 `DescribeKey` 操作：

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana 使用 `GenerateDataKey`操作來產生用於加密工作區資料的資料金鑰。

下面的範例事件會記錄 `GenerateDataKey` 操作：

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana 使用 `Decrypt`操作來解密加密的資料金鑰，以便用來解密工作區資料。

下面的範例事件會記錄 `Decrypt` 操作：

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

## 進一步了解
<a name="AMG-encryption-learn-more"></a>

下列資源會提供有關靜態資料加密的詳細資訊。
+ 如需 AWS KMS 基本概念的詳細資訊，請參閱 [AWS KMS 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。
+ 如需 安全最佳實務的詳細資訊 AWS KMS，請參閱 [AWS KMS 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。

# 從 Amazon Managed Grafana 連線至 Amazon VPC 中的資料來源或通知管道
<a name="AMG-configure-vpc"></a>

根據預設，從 Amazon Managed Grafana 工作區到資料來源或通知通道的流量會透過公有網際網路流動。這會將 Amazon Managed Grafana 工作區的連線限制為可公開存取的服務。

**注意**  
當您尚未設定私有 VPC，且 Amazon Managed Grafana 正在連線至可公開存取的資料來源時，會透過 連線到相同區域中的某些 AWS 服務 AWS PrivateLink。這包括 CloudWatch、Amazon Managed Service for Prometheus 和 等服務 AWS X-Ray。傳送到這些服務的流量不會透過公有網際網路流動。

如果您想要連接到 VPC 內的私有資料來源，或將流量保持在 VPC 的本機，您可以將 Amazon Managed Grafana 工作區連接到託管這些資料來源的 Amazon Virtual Private Cloud (Amazon VPC)。設定 VPC 資料來源連線後，所有流量都會流經您的 VPC。

*虛擬私有雲端* (VPC) 是您的專用虛擬網路 AWS 帳戶。它與其他虛擬網路邏輯上隔離，包括其他 VPCs和公有網際網路。使用 Amazon VPC 在 中建立和管理 VPCs AWS 雲端。Amazon VPC 可讓您完全控制虛擬聯網環境，包括資源配置、連線和安全性。您可以在 VPC 中建立 Amazon Managed Grafana 資料來源和其他資源。如需 Amazon VPC 的詳細資訊，請參閱《Amazon *Amazon Virtual Private Cloud*[什麼是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。

**注意**  
如果您希望 Amazon Managed Grafana 工作區連線到 VPC 外部的資料，則必須在另一個網路或公有網際網路中新增路由到另一個網路。如需有關如何將 VPC 連線至另一個網路的資訊，請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[將 VPC 連線至其他網路](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)。

## VPC 連線的運作方式
<a name="AMG-VPC-how-it-works"></a>

[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 可讓您完全控制虛擬聯網環境，包括為應用程式建立面向公有和面向私有*的子網路*以進行連線，以及管理哪些服務或資源可存取子網路*的安全群組*。

若要將 Amazon Managed Grafana 與 VPC 中的資源搭配使用，您必須為 Amazon Managed Grafana 工作區建立與該 VPC 的連線。設定連線後，Amazon Managed Grafana 會將您的工作區連線至該 VPC 中每個可用區域中每個提供的子網路，所有進出 Amazon Managed Grafana 工作區的流量都會流經 VPC。下圖顯示此連線在邏輯上的外觀。

![\[此影像顯示跨多個可用區域連線至 VPC 的 Amazon Managed Grafana。\]](http://docs.aws.amazon.com/zh_tw/grafana/latest/userguide/images/grafana-vpc-connection.png)


Amazon Managed Grafana 會為每個子網路 （使用[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)或 ENI) 建立連線 (**1**)，以連線至 VPC (**2**)。Amazon Managed Grafana VPC 連線與一組安全群組 (**3**) 相關聯，可控制 VPC 與 Amazon Managed Grafana 工作區之間的流量。所有流量都會透過設定的 VPC 路由，包括警示目的地和資料來源連線。若要連線到其他 VPCs或公有網際網路 (**4**) 中的資料來源和提醒目的地，請在其他網路和 VPC 之間建立[閘道](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**)。

## 建立與 VPC 的連線
<a name="AMG-to-create-vpc-connection"></a>

本節說明從現有 Amazon Managed Grafana 工作區連線至 VPC 的步驟。您可以在建立工作區時遵循這些相同的指示。如需建立工作區的詳細資訊，請參閱 [建立 Amazon Managed Grafana 工作區](AMG-create-workspace.md)。

### 先決條件
<a name="config-vpc-prereqs"></a>

以下是從現有 Amazon Managed Grafana 工作區建立 VPC 連線的先決條件。
+ 您必須擁有必要的許可，才能設定或建立 Amazon Managed Grafana 工作區。例如，您可以使用 AWS 受管政策 `AWSGrafanaAccountAdministrator`。
+ 您的帳戶中必須至少設定兩個可用區域的 VPC 設定，每個區域都設定一個*私有子網路*。您必須知道 VPC 的子網路和安全群組資訊。
**注意**  
不支援[本機區域](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html)和 [Wavelength 區域](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)。  
`Dedicated` 不支援將 `Tenancy` 設定為 [VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
**重要**  
連接至 Amazon Managed Grafana 工作區的每個子網路中必須至少有 15 個可用的 IP 地址。我們強烈建議您設定警示來[監控 VPC 子網路中的 IP 用量](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)。如果子網路的可用 IP 地址數量低於 15，您可能會遇到下列問題：  
在您釋放其他 IP 地址或連接具有其他 IP 地址的子網路之前，無法對工作區進行組態變更
您的工作區將無法接收安全性更新或修補程式
在極少數情況下，您可能會遇到工作區的完整可用性損失，導致無法運作的警示和無法存取的儀表板
+ 如果您要連接已設定資料來源的現有 Amazon Managed Grafana 工作區，建議您先將 VPC 設定為連線至這些資料來源，再將 Amazon Managed Grafana 連線至 VPC。這包括透過 連線的服務，例如 CloudWatch AWS PrivateLink。否則，會失去與這些資料來源的連線。
+ 如果您的 VPC 已經有多個通往其他網路的閘道，您可能需要跨多個閘道設定 DNS 解析。如需詳細資訊，請參閱 [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。

### 從現有的 Amazon Managed Grafana 工作區連線至 VPC
<a name="config-vpc-use"></a>

下列程序說明將 Amazon VPC 資料來源連線新增至現有的 Amazon Managed Grafana 工作區。

**注意**  
當您設定與 Amazon VPC 的連線時，它會建立 IAM 角色。透過此角色，Amazon Managed Grafana 可以建立與 VPC 的連線。IAM 角色使用服務連結角色政策 `AmazonGrafanaServiceLinkedRolePolicy`。若要進一步了解服務連結角色，請參閱 [Amazon Managed Grafana 的服務連結角色許可](using-service-linked-roles.md#slr-permissions)。

**從現有的 Amazon Managed Grafana 工作區連線至 VPC**

1. 開啟 [Amazon Managed Grafana 主控台](https://console.aws.amazon.com/grafana/home/)。

1. 在左側導覽窗格中，選擇**所有工作區**。

1. 選取您要新增 VPC 資料來源連線的工作區名稱。

1. 在**網路存取設定**索引標籤的**傳出 VPC 連線**旁，選擇**編輯**以建立 VPC 連線。

1. 選擇您要連接的 **VPC**。

1. 在**映射**下，選取您要使用的可用區域。您必須選擇至少兩個。

1. 在每個可用區域中至少選取一個*私有子網路*。子網路必須支援 IPv4。

1. 為您的 VPC 選取至少一個**安全群組**。您最多可以指定 5 個安全群組。或者，您可以建立要套用至此連線的安全群組。

1. 選擇**儲存變更**以完成設定。

現在您已設定 VPC 連線，您可以將可從該 VPC [連線至資料來源](AMG-data-sources.md)存取新增至 Amazon Managed Grafana 工作區。

**變更傳出 VPC 設定**

若要變更設定，您可以返回工作區組態**的網路存取設定**索引標籤，也可以使用 [UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html) API。

**重要**  
Amazon Managed Grafana 會為您管理 VPC 組態。請勿使用 Amazon EC2 主控台或 APIs 編輯這些 VPC 設定，否則設定會不同步。

# 搭配 Amazon Managed Grafana 使用 VPC 進行故障診斷
<a name="AMG-configure-vpc-faq"></a>

有關搭配 Amazon Managed Grafana 使用 Amazon Virtual Private Cloud (Amazon VPC) 的常見問題解答。

## 何時需要在 Amazon Managed Grafana 中設定 VPC？
<a name="vpc-faq-when-to-configure-vpc"></a>

如果您嘗試連線到只在私有 VPC 中可用的資料來源 （不可公開存取），則需要在 Amazon Managed Grafana 中設定 VPC。

對於可公開取得或具有公開端點的資料來源，您不需要設定 VPC。

如果您連線到 Amazon CloudWatch、Amazon Managed Service for Prometheus AWS X-Ray，或者，您不需要設定 VPC。根據預設，這些資料來源會透過 連線到 Amazon Managed Grafana AWS PrivateLink 。

## 當我使用 Amazon Managed Grafana 工作區設定 VPC 後，為什麼現有的資料來源無法連線？
<a name="vpc-faq-existing-sources-failing"></a>

您現有的資料來源可能可透過公有網路存取，而您的 Amazon VPC 組態不允許存取公有網路。在 Amazon Managed Grafana 工作區中設定 VPC 連線後，所有流量都必須流經該 VPC。這包括在該 VPC 中託管的私有資料來源、另一個 VPC 中的資料來源、VPC 中不可用的 AWS 受管服務，以及面向網際網路的資料來源。

若要解決此問題，您必須將其他資料來源連接到您已設定的 VPC：
+ 對於面向網際網路的資料來源，請將 VPC 連接到網際網路。例如，您可以使用 [NAT 裝置 （從 Amazon Virtual Private Cloud 使用者指南） 連線到網際網路或其他網路](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)。 *Amazon Virtual Private Cloud *
+ 對於其他 VPCs中的資料來源，請在兩個 VPCs之間建立對等互連。如需詳細資訊，請參閱[使用 VPCs 對等互連連接 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) （請參閱 *Amazon Virtual Private Cloud 使用者指南*)。
+ 對於 VPC 中無法存取的 AWS 受管服務，例如 CloudWatch、X-Ray 或 Amazon Managed Service for Prometheus，您可能需要在 VPC 中為該服務建立介面 VPC 端點。如需詳細資訊，請參閱《 *AWS PrivateLink 指南*》中的[使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。

## 我可以使用具有專用租用的 VPC 嗎？
<a name="vpc-faq-dedicated-tenancy"></a>

否，`Dedicated`不支援`Tenancy`[將 設定為 VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。

## 我可以同時將 AWS Managed Services （例如 Amazon Managed Service for Prometheus、CloudWatch 或 X-Ray) 和私有資料來源 （包括 Amazon Redshift) 連線到相同的 Amazon Managed Grafana 工作區嗎？
<a name="vpc-faq-connect-services-and-private-sources"></a>

是。您必須在與私有資料來源相同的 VPC 中設定受 AWS 管服務的連線 （例如，使用[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)或 [NAT Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html))，並設定 Amazon Managed Grafana 工作區以連線至相同的 VPC。

## 為什麼在 Amazon Managed Grafana 工作區中設定 VPC 後，當我嘗試連線到資料來源`502 Bad Gateway Error`時，會取得 ？
<a name="vpc-faq-502-error"></a>

以下是資料來源連線傳回`502`錯誤的三個最常見原因。
+ **安全群組錯誤** — 在 Amazon Managed Grafana 中 VPC 組態期間選取的安全群組必須允許透過傳入和傳出規則連線至資料來源。

  若要解決此問題，請確定資料來源安全群組和 Amazon Managed Grafana 安全群組中的規則都允許此連線。
+ **使用者許可錯誤** — 指派的工作區使用者沒有查詢資料來源的正確許可。

  若要解決此問題，請確認使用者具有編輯工作區所需的 IAM 許可，以及從託管服務存取和查詢資料的正確資料來源政策。許可可在 AWS Identity and Access Management (IAM) 主控台中取得，網址為 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
+ **提供的連線詳細資訊不正確** — 由於提供的連線詳細資訊不正確，Amazon Managed Grafana 工作區無法連線至您的資料來源。

  若要解決此問題，請確認資料來源連線中的資訊，包括資料來源身分驗證和端點 URL，然後重試連線。

## 我可以從相同的 Amazon Managed Grafana 工作區連線到多個 VPCs 嗎？
<a name="vpc-faq-multiple-vpcs"></a>

您只能為 Amazon Managed Grafana 工作區設定單一 VPC。若要存取不同 VPC 或跨區域的資料來源，請參閱下一個問題。

## 如何連線到不同 VPC 中的資料來源？ 如何從位於不同 AWS 區域 或 的 VPC 連線到資料來源 AWS 帳戶？
<a name="vpc-faq-connect-to-different-vpc"></a>

您可以使用 [VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)或 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 來連接跨區域或跨帳戶 VPCs，然後連接與 Amazon Managed Grafana 工作區位於相同 AWS 帳戶 和 區域的 VPC。Amazon Managed Grafana 會像 VPC 內的任何其他連線一樣連線到外部資料來源。

**注意**  
如果 VPC 對等互連不是您的選項，請與您的 Account Manager 共用您的使用案例，或傳送電子郵件至 [aws-grafana-feedback@amazon.com](mailto:aws-grafana-feedback@amazon.com)。

## 當 Amazon Managed Grafana 工作區連線到 VPC 時，我是否仍然可以連線到其他公有資料來源？
<a name="vpc-faq-connect-to-public-sources"></a>

是。您可以將 VPC 和公有資料來源的資料來源同時連接到單一 Amazon Managed Grafana 工作區。對於公有資料來源，您必須透過 [NAT Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) 或其他 VPC 連線來設定 [VPC 連線](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)。對公有資料來源的請求會周遊您的 VPC，為您提供對這些請求的額外可見性和控制。

## 如果我因為 IP 地址不足而無法更新 Amazon Managed Grafana 工作區，該怎麼辦？
<a name="vpc-faq-ip-exhaustion"></a>

 修改 Amazon Managed Grafana 工作區組態時，您可能會遇到以下錯誤：VPC 組態中的所有子網路必須至少有 15 個可用的 IP 地址。

 如果連接至工作區的一或多個子網路不符合最低 IP 要求，您將會收到此錯誤。連接到工作區的每個子網路中必須至少有 15 個可用的 IP 地址。當子網路的可用 IP 地址數量低於 15 時，您可能會遇到下列問題：
+ 在您釋放其他 IP 地址或連接具有其他 IP 地址的子網路之前，無法對工作區進行組態變更
+ 您的工作區將無法接收安全性更新或修補程式
+ 在極少數情況下，您可能會遇到工作區的完整可用性損失，導致無法運作的警示和無法存取的儀表板

**減少 IP 耗盡**

1. 如果子網路的可用 IP 地址少於 15 個，請釋出與執行個體相關聯的 IP 地址，或刪除未使用的網路介面以釋放 IP 容量。

1. 如果您無法釋放現有子網路中的 IP 地址，則必須將子網路取代為至少具有 15 個可用 IP 地址的子網路。我們建議對 Amazon Managed Grafana 使用專用子網路。

**取代子網路**

1. 開啟 [Amazon Managed Grafana 主控台](https://console.aws.amazon.com/grafana)。

1. 在左側導覽窗格中，選擇**所有工作區**，然後選取工作區的名稱。

1. 在**網路存取控制**索引標籤的**傳出 VPC 連線**旁，選擇**編輯**。

1. 在**映射**下，選取包含 IP 地址不足子網路的可用區域。

1. 在下拉式清單中，取消選取 IP 地址不足的子網路，然後選取至少具有 15 個可用 IP 地址的子網路。如有必要，請在 VPC 中建立新的子網路。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[建立子網路](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。

1. 選擇**儲存變更**以完成設定。

## 在設定 VPC 連線之前，我的 Grafana 警示已成功傳送至下游服務，例如 PagerDuty 和 Slack。設定 VPC 後，為什麼我的 Grafana 提醒未傳送至這些通知目的地？
<a name="vpc-faq-grafana-alert-destinations"></a>

為 Amazon Managed Grafana 工作區設定 VPC 連線後，工作區中資料來源的所有流量都會流經設定的 VPC。請確定 VPC 有到達這些提醒通知服務的路由。例如，第三方託管的提醒通知目的地可能需要連線至網際網路。與資料來源非常相似，請設定網際網路或 AWS Transit Gateway，或其他與外部目的地的 VPC 連線。

## 我可以手動編輯我的 VPC 嗎？ 為什麼修改我的安全群組或子網路會導致我的 Amazon Managed Grafana 工作區無法使用？
<a name="vpc-faq-manually-edit-vpc"></a>

Amazon Managed Grafana VPC 連線使用安全群組和子網路來控制 VPC 和 Amazon Managed Grafana 工作區之間允許的流量。從 Amazon Managed Grafana 主控台 （例如使用 VPC 主控台） 外修改或刪除安全群組或子網路時，Amazon Managed Grafana 工作區中的 VPC 連線會停止保護您的工作區安全，而且無法連線工作區。若要修正此問題，請在 Amazon Managed Grafana 主控台中更新為 Amazon Managed Grafana 工作區設定的安全群組。檢視工作區時，請在**網路存取控制**索引標籤上選取**傳出 VPC 連線**，以修改與 VPC 連線相關聯的子網路或安全群組。

# 設定 Amazon Managed Grafana 工作區
<a name="AMG-configure-workspace"></a>

Amazon Managed Grafana 組態可以分成 Amazon Managed Grafana 身分驗證和許可的組態，以及 Grafana 工作區的組態。本節包含 Grafana 工作區組態的相關資訊。

如需設定 Amazon Managed Grafana 身分驗證和許可的詳細資訊，請參閱下列主題。
+ [驗證 Amazon Managed Grafana 工作區中的使用者](authentication-in-AMG.md)
+ [管理 Amazon Managed Grafana 工作區的使用者和群組存取權](AMG-manage-users-and-groups-AMG.md)
+ [使用者、團隊和許可](Grafana-administration-authorization.md)

您可以在檢視工作區的屬性時，在**工作區組態選項索引標籤上的 Amazon Managed Grafana 中修改 Grafana 工作區的組態**。

對 Grafana 執行個體進行組態變更可能會導致執行個體重新啟動以重新載入新設定。進行組態變更後，您的使用者可能需要重新整理任何顯示 Grafana 工作區的瀏覽器頁面。

**注意**  
當您第一次建立工作區時，可以使用相同的選項。

**使用 Amazon Managed Grafana 主控台變更 Grafana 工作區的組態**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在左側導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇您要設定的工作區名稱。這會開啟該工作區的詳細資訊。

1. 選擇**工作區組態選項**索引標籤，以查看執行個體的執行個體組態選項。

1. 選取 **Grafana 提醒**或**外掛程式管理**旁的**編輯**。
   + **Grafana 提醒**

     您可以啟用 [Grafana 提醒](v10-alerts.md)。若要在 Grafana 工作區中檢視 Prometheus 提醒，請選取核取方塊以**開啟 Grafana 提醒**。在執行版本 8 或 9 的工作區中，這將傳送多個 Grafana 提醒的通知。如果您使用 Grafana 中定義的提醒，建議您將工作區更新為 10.4 版或更新版本。

     如果您想要改用傳統 Grafana 提醒，請*清除***開啟 Grafana 提醒**旁的核取方塊。這會開啟[傳統儀表板提醒](old-alerts-overview.md)。即使您未開啟 Grafana 提醒，也會評估您現有的 Grafana 提醒。
**注意**  
第 11 版中將移除傳統儀表板提醒。在 Grafana 第 10 版工作區中，您可以預覽 Grafana 提醒功能。如需詳細資訊，請參閱[將傳統儀表板提醒遷移至 Grafana 提醒](v10-alerting-use-grafana-alerts.md)。
   + **外掛程式管理**

     若要開啟外掛程式管理，請選取核取方塊以**開啟外掛程式管理**。開啟外掛程式管理功能可讓 Amazon Managed Grafana 工作區中的管理員[使用外掛程式擴展您的工作區](grafana-plugins.md)使用 Grafana 外掛程式目錄來安裝、更新或移除外掛程式。此選項僅適用於支援 Grafana 第 9 版或更新版本的工作區。

**注意**  
如果您*關閉* Grafana 提醒，則會遺失在 Grafana 提醒開啟時對提醒組態所做的所有變更。這包括您建立的任何新提醒規則。  
如需使用 Grafana 提醒的詳細資訊，以及開啟或關閉它的效果，請參閱 [Grafana 第 10 版中的提醒](v10-alerts.md)。

下一節說明如何使用 Amazon Managed Grafana API 或 對 Grafana 執行個體組態進行變更 AWS CLI。

## 使用 API 或 設定組態 AWS CLI
<a name="AMG-configuration-format"></a>

您可以使用 Amazon Managed Grafana API 或 來設定 Grafana 工作區組態 AWS CLI。

**注意**  
`configuration` 是 JSON 字串，允許未來進行稍後新增的組態設定。

------
#### [ AWS CLI ]

**使用 更新 Amazon Managed Grafana 執行個體組態 AWS CLI**  
執行下列命令來開啟執行個體的 Grafana 警示和外掛程式管理功能。將 *<region>* 和 *<workspace-id>* 字串取代為執行個體的適當值。

```
aws grafana update-workspace-configuration \
    --region region \
    --workspace-id <workspace-id> \
    --configuration '{"plugins": {"pluginAdminEnabled": true}, "unifiedAlerting": {"enabled": true}}'
```

組態目前支援下列選項。這些會開啟或關閉 Grafana 提醒或外掛程式管理。
+ 若要啟用 Grafana 提醒，請使用此組態選項：

  ```
  --configuration '{"unifiedAlerting": { "enabled": true }}'
  ```
+ 若要啟用外掛程式管理，請使用此組態選項：

  ```
  --configuration '{"plugins": {"pluginAdminEnabled": true }}'
  ```

  此選項僅適用於支援 Grafana 第 9 版或更新版本的工作區。

------
#### [ Amazon Managed Grafana API ]

**使用 API 更新 Amazon Managed Grafana 執行個體組態**  
使用下列動作來開啟執行個體的 Grafana 提醒和外掛程式管理功能。將 *<workspace-id>* 字串取代為執行個體的適當值。

```
PUT /workspaces/<workspace-id>/configuration HTTP/1.1
Content-type: application/json

{
   "configuration": "{ \"unifiedAlerting\": { \"enabled\": true }, \"plugins\": { \"pluginAdminEnabled\": true }}"
}
```

組態目前支援下列選項。這些會開啟或關閉 Grafana 提醒或外掛程式管理。
+ 若要啟用 Grafana 提醒，請使用此組態選項：

  ```
  "configuration": "{\"unifiedAlerting\": { \"enabled\": true }}"
  ```
+ 若要啟用外掛程式管理，請使用此選項：

  ```
  "plugins": "{\"pluginAdminEnabled\": true }"
  ```

  此選項僅適用於支援 Grafana 第 9 版或更新版本的工作區。

------

# 刪除 Amazon Managed Grafana 工作區
<a name="AMG-edit-delete-workspace"></a>

如果您刪除 Amazon Managed Grafana 工作區，也會刪除該工作區的所有組態資料。這包括儀表板、資料來源組態、提醒和快照。

**刪除 Amazon Managed Grafana 工作區**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在左側導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇您要刪除的工作區名稱。

1. 選擇 **刪除**。

1. 若要確認刪除，請輸入工作區的名稱，然後選擇**刪除**。

**注意**  
此程序會刪除工作區。無法刪除其他資源。例如，不會刪除工作區正在使用的 IAM 角色 （但如果不再使用，可能會解除鎖定）。