Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Benutzer- und Gruppenzugriff auf Amazon Managed Grafana-Workspaces verwalten
<a name="AMG-manage-users-and-groups-AMG"></a>

Sie greifen auf Amazon Managed Grafana-Workspaces mit Benutzern zu, die in Ihrem Identity Provider (IdP) eingerichtet sind oder. AWS IAM Identity Center Sie müssen diesen Benutzern (oder Gruppen, denen sie angehören) Berechtigungen für den Workspace erteilen. Du kannst ihnen `User` oder `Admin` Berechtigungen geben. `Editor`

## Erteilen Sie einem Benutzer oder einer Gruppe Berechtigungen
<a name="AMG-manage-users-and-groups-proc"></a>

**Voraussetzungen**
+ Um einem Benutzer oder einer Benutzergruppe Zugriff auf Amazon Managed Grafana-Workspaces zu gewähren, muss der Benutzer oder die Gruppe zunächst in einem Identity Provider (IdP) oder in bereitgestellt werden. AWS IAM Identity Center Weitere Informationen finden Sie unter [Authentifizieren Sie Benutzer in Amazon Managed Grafana-Arbeitsbereichen](authentication-in-AMG.md).
+ Um den Benutzer- und Gruppenzugriff zu verwalten, müssen Sie als Benutzer angemeldet sein, der über die AWS Identity and Access Management (IAM-) Richtlinie **AWSGrafanaWorkspacePermissionManagementV2** oder gleichwertige Berechtigungen verfügt. Wenn Sie Benutzer mit IAM Identity Center verwalten, müssen Sie auch über die Richtlinien **AWSSSOMemberAccountAdministrator**und **AWSSSODirectoryReadOnly**IAM oder entsprechende Berechtigungen verfügen. Weitere Informationen finden Sie unter [Benutzerzugriff auf Amazon Managed Grafana zuweisen und die Zuweisung aufheben](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users).

**Um den Benutzerzugriff auf einen Grafana-Workspace mithilfe der Amazon Managed Grafana-Konsole zu verwalten**

1. Öffnen Sie die Amazon Managed Grafana-Konsole unter [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).

1. Wählen Sie im linken Navigationsbereich das Menüsymbol.

1. Wählen Sie **Alle Workspaces**.

1. Wählen Sie den Namen des Workspace, den Sie verwalten möchten.

1. Wählen Sie die Registerkarte **Authentifizierung** aus.

1. Wenn Sie IAM Identity Center in diesem Workspace verwenden, wählen Sie **Benutzer und Benutzergruppen konfigurieren** und führen Sie einen oder mehrere der folgenden Schritte aus:
   + Um einem Benutzer Zugriff auf den Amazon Managed Grafana-Arbeitsbereich zu gewähren, aktivieren Sie das Kontrollkästchen neben dem Benutzer und wählen Sie **Benutzer zuweisen**.
   + Um einen Benutzer zum Mitglied `Admin` des Workspace zu **machen, wählen Sie Zum Administrator ernennen**.
   + Um einem Benutzer den Workspace-Zugriff zu entziehen, wähle **Benutzerzuweisung aufheben**.
   + Um Benutzergruppen wie eine LDAP-Gruppe hinzuzufügen, wähle den Tab **Zugewiesene Benutzergruppen**. Führen Sie dann einen der folgenden Schritte aus: 
     + Um allen Mitgliedern einer Gruppe Zugriff auf den Amazon Managed Grafana-Workspace zu gewähren, aktivieren Sie das Kontrollkästchen neben der Gruppe und wählen Sie **Gruppe zuweisen** aus.
     + Um allen Mitgliedern einer Gruppe die `Admin` Rolle im Workspace zuzuweisen, wählen **Sie Zum Administrator** ernennen.
     + Um allen Mitgliedern einer Gruppe den Workspace-Zugriff zu **entziehen, wähle Gruppe zuweisen** aus.
**Anmerkung**  
Wenn Sie IAM Identity Center zur Verwaltung von Benutzern verwenden, verwenden Sie die IAM Identity Center-Konsole nur, um neue Benutzer und Gruppen bereitzustellen. Verwenden Sie die Amazon Managed Grafana-Konsole oder APIs um Zugriff auf Ihre Grafana-Workspaces zu gewähren oder zu entfernen.  
Wenn IAM Identity Center und Amazon Managed Grafana nicht mehr synchron sind, wird Ihnen die Option zur **Lösung aller Konflikte** angezeigt. Weitere Informationen finden Sie weiter unten[Bei der Konfiguration von Benutzern und Gruppen treten Fehler aufgrund fehlender Rechteübereinstimmungen auf](#AMG-manage-users-and-groups-mismatch).

1. Wenn Sie SAML in diesem Workspace verwenden, wählen Sie **SAML-Konfiguration und führen** Sie einen oder mehrere der folgenden Schritte aus:
   + Führen **Sie für die Importmethode** einen der folgenden Schritte aus:
     + Wählen Sie **URL** und geben Sie die URL der IdP-Metadaten ein.
     + Wählen Sie **Hochladen oder Kopieren/Einfügen**. Wenn Sie die Metadaten hochladen, wählen Sie Datei auswählen und **wählen Sie die Metadatendatei** aus. Oder, wenn Sie Kopieren und Einfügen verwenden, kopieren Sie die Metadaten in den Ordner **Metadaten importieren**.
   + Geben Sie **unter Assertion-Attributrolle** den Namen des SAML-Assertion-Attributs ein, aus dem Rolleninformationen extrahiert werden sollen.
   + Geben Sie für **Admin-Rollenwerte** entweder die Benutzerrollen Ihres IdP ein, denen alle die `Admin` Rolle im Amazon Managed Grafana-Workspace zugewiesen werden sollen, oder wählen Sie **Ich möchte die Zuweisung von Admins zu meinem Workspace deaktivieren**.
**Anmerkung**  
Wenn du möchtest, **möchte ich die Zuweisung von Admins zu meinem Workspace abbestellen.** , können Sie die Amazon Managed Grafana-Konsole nicht zur Verwaltung des Workspace verwenden, einschließlich Aufgaben wie der Verwaltung von Datenquellen, Benutzern und Dashboard-Berechtigungen. Sie können administrative Änderungen am Workspace nur mit Amazon Managed Grafana APIs vornehmen.
   + (Optional) Um zusätzliche SAML-Einstellungen einzugeben, wählen Sie **Zusätzliche Einstellungen** und führen Sie einen oder mehrere der folgenden Schritte aus. Wählen Sie dann **SAML-Konfiguration speichern** aus. Alle diese Felder sind optional.
     + Geben Sie **unter Assertion-Attributname** den Namen des Attributs innerhalb der SAML-Assertion an, das für den Benutzer verwendet werden soll. Vollständige „benutzerfreundliche“ Namen für SAML-Benutzer.
     + Geben Sie für die **Anmeldung mit dem Assertion-Attribut** den Namen des Attributs innerhalb der SAML-Assertion an, das für die Benutzeranmeldenamen für SAML-Benutzer verwendet werden soll.
     + Geben Sie für **E-Mail mit Assertion-Attributen** den Namen des Attributs innerhalb der SAML-Assertion an, das für die Benutzer-E-Mail-Namen für SAML-Benutzer verwendet werden soll.
     + Geben **Sie für die Gültigkeitsdauer der Anmeldung (in Minuten)** an, wie lange die Anmeldung eines SAML-Benutzers gültig ist, bevor sich der Benutzer erneut anmelden muss.
     + Geben Sie unter **Organisation des Assertion-Attributs** den Namen des Attributs innerhalb der SAML-Assertion an, das als „benutzerfreundlicher“ Name für Benutzerorganisationen verwendet werden soll.
     + Geben Sie für **Assertion-Attributgruppen** den Namen des Attributs innerhalb der SAML-Assertion an, das als „benutzerfreundlicher“ Name für Benutzergruppen verwendet werden soll.
     + Für **zugelassene Organisationen** können Sie den Benutzerzugriff auf Benutzer beschränken, die Mitglieder bestimmter Organisationen im IdP sind. Geben Sie eine oder mehrere Organisationen ein, die Sie zulassen möchten, und trennen Sie sie durch Kommas.
     + Geben Sie für **Editor-Rollenwerte** die Benutzerrollen Ihres IdP ein, denen alle die `Editor` Rolle im Amazon Managed Grafana-Arbeitsbereich zugewiesen werden sollen. Geben Sie eine oder mehrere Rollen ein, getrennt durch Kommas.

1. Um Benutzergruppen, z. B. eine LDAP-Gruppe, hinzuzufügen, wählen Sie alternativ die Registerkarte **Benutzergruppe**. Führen Sie dann einen der folgenden Schritte aus: 
   + Um allen Mitgliedern einer Gruppe Zugriff auf den Amazon Managed Grafana-Workspace zu gewähren, aktivieren Sie das Kontrollkästchen neben der Gruppe und wählen Sie **Gruppe zuweisen** aus.
   + Um allen Mitgliedern einer Gruppe die `Admin` Rolle im Workspace zuzuweisen, wählen **Sie Zum Administrator** ernennen.
   + Um allen Mitgliedern einer Gruppe den Workspace-Zugriff zu **entziehen, wähle Gruppe zuweisen** aus.

## Bei der Konfiguration von Benutzern und Gruppen treten Fehler aufgrund fehlender Rechteübereinstimmungen auf
<a name="AMG-manage-users-and-groups-mismatch"></a>

Bei der Konfiguration von Benutzern und Gruppen in der Amazon Managed Grafana-Konsole können Fehler auftreten, die nicht übereinstimmen. Dies weist darauf hin, dass Amazon Managed Grafana und IAM Identity Center nicht synchron sind. In diesem Fall zeigt Amazon Managed Grafana eine Warnung und die Möglichkeit, die Diskrepanz zu **beheben**, an. Wenn Sie **Resolve** wählen, zeigt Amazon Managed Grafana ein Dialogfeld mit einer Liste von Benutzern an, deren Berechtigungen nicht synchron sind.

Benutzer, die aus IAM Identity Center entfernt wurden, werden im Dialogfeld als`Unknown user`, mit einer numerischen ID angezeigt. Für diese Benutzer besteht die einzige Möglichkeit, die Diskrepanz zu beheben, darin, **Resolve** zu wählen und ihnen die entsprechenden Berechtigungen zu entziehen.

Benutzer, die sich noch im IAM Identity Center befinden, aber nicht mehr zu einer Gruppe mit den Zugriffsrechten gehören, die sie zuvor hatten, werden mit ihrem Benutzernamen in der **Resolve-Liste** angezeigt. Es gibt zwei Möglichkeiten, dieses Problem zu beheben. Sie können das Dialogfeld „**Auflösen**“ verwenden, um ihnen den Zugriff zu entziehen oder einzuschränken, oder Sie können ihnen Zugriff gewähren, indem Sie den Anweisungen im vorherigen Abschnitt folgen.

## Häufig gestellte Fragen zu nicht übereinstimmenden Berechtigungen
<a name="AMG-manage-users-and-groups-mismatch-faq"></a>

**Warum erhalte ich im Abschnitt „**Benutzer und Gruppen konfigurieren**“ der Amazon Managed Grafana-Konsole eine Fehlermeldung, die darauf hinweist, dass die Berechtigungen nicht übereinstimmen?**  
Sie sehen diese Meldung, weil bei den Benutzer- und Gruppenzuordnungen in IAM Identity Center und den Berechtigungen in Amazon Managed Grafana für Ihren Workspace eine Diskrepanz festgestellt wurde. Sie können Benutzer zu Ihrem Grafana-Workspace über die Amazon Managed Grafana-Konsole (auf der Registerkarte „**Benutzer und Gruppen konfigurieren**“) oder über die IAM Identity Center-Konsole (Seite „**Anwendungszuweisungen**“) hinzufügen oder entfernen. Die Grafana-Benutzerberechtigungen können jedoch nur von Amazon Managed Grafana aus (mithilfe der Amazon Managed Grafana-Konsole oder APIs) definiert werden, indem dem Benutzer oder der Gruppe **Viewer** -, **Editor** - oder **Admin-Rechte** zugewiesen werden. Ein Benutzer kann mehreren Gruppen mit unterschiedlichen Berechtigungen angehören. In diesem Fall basiert seine Berechtigung auf der höchsten Zugriffsebene für alle Gruppen und Berechtigungen, denen der Benutzer angehört.

Nicht übereinstimmende Datensätze können folgende Ursachen haben:
+ Ein Benutzer oder eine Gruppe wird aus dem IAM Identity Center gelöscht, jedoch nicht in Amazon Managed Grafana. Diese Datensätze werden in der Amazon Managed Grafana-Konsole als **Unbekannte Benutzer** angezeigt.
+ Die Zuordnung eines Benutzers oder einer Gruppe zu Grafana wird im IAM Identity Center (unter **Anwendungszuweisungen**) gelöscht, nicht jedoch in Amazon Managed Grafana.
+ Benutzerberechtigungen wurden zuvor direkt im Grafana-Arbeitsbereich aktualisiert. Updates aus dem Grafana-Arbeitsbereich werden in Amazon Managed Grafana nicht unterstützt.

Um diese Diskrepanzen zu vermeiden, verwenden Sie die Amazon Managed Grafana-Konsole oder Amazon Managed Grafana, APIs um Benutzer- und Gruppenberechtigungen für Ihren Workspace zu verwalten.

**Ich habe zuvor die Zugriffsebenen für einige meiner Teammitglieder aus dem Grafana-Arbeitsbereich aktualisiert. Jetzt sehe ich, dass ihre Zugriffsebenen auf ihre ältere Zugriffsebene zurückgesetzt wurden. Warum sehe ich das und wie behebe ich das?**  
Dies ist höchstwahrscheinlich auf eine Diskrepanz zurückzuführen, die zwischen der Benutzer- und Gruppenverknüpfung in IAM Identity Center und den Berechtigungsdatensätzen Amazon Managed Grafana für Ihren Workspace festgestellt wurde. Wenn Ihre Teammitglieder unterschiedliche Zugriffsebenen haben, haben Sie oder ein Administrator für Ihr Amazon Managed Grafana die Diskrepanz möglicherweise über die Amazon Managed Grafana-Konsole behoben und die nicht übereinstimmenden Datensätze entfernt. Sie können die erforderlichen Zugriffsebenen über die Amazon Managed Grafana-Konsole neu APIs zuweisen oder die gewünschten Berechtigungen wiederherstellen.

**Anmerkung**  
Die Benutzerzugriffsverwaltung wird vom Grafana-Arbeitsbereich aus nicht unterstützt. Verwenden Sie die Amazon Managed Grafana-Konsole oder weisen APIs Sie Benutzer- oder Gruppenberechtigungen zu.

**Warum bemerke ich Änderungen in meinen Zugriffsebenen? Zum Beispiel hatte ich zuvor Administratorzugriff, habe aber jetzt nur noch Editor-Rechte.**  
Ein Administrator für deinen Workspace hat möglicherweise deine Berechtigungen geändert. Dies kann versehentlich passieren, wenn Ihre Benutzer- und Gruppenzuordnungen in IAM Identity Center und Ihren Berechtigungen in Amazon Managed Grafana nicht übereinstimmen. In diesem Fall könnten Ihre höheren Zugriffsberechtigungen durch die Behebung der Diskrepanz aufgehoben worden sein. Sie können einen Administrator bitten, die erforderliche Zugriffsebene über die Amazon Managed Grafana-Konsole neu zuzuweisen.