Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Benutzer, Teams und Berechtigungen
Berechtigungen in Amazon Managed Grafana werden über die Amazon Managed Grafana-Konsole und direkt im Workspace verwaltet.
+ **Benutzer** — Benutzer werden im IAM Identity Center oder einem Identitätsanbieter [authentifiziert](authentication-in-AMG.md), den Sie über SAML in der Amazon Managed Grafana-Konsole eingerichtet haben.
+ **Rollenzugriff** — Sie können Ihren Benutzern oder Gruppen [Zugriff](AMG-manage-users-and-groups-AMG.md) mit den `Admin` Rollen, oder gewähren `User``Editor`, um ihnen mithilfe der Amazon Managed Grafana-Konsole Standardberechtigungen für Ihren Workspace zu erteilen.
+ **Gruppen oder Teams** — Sie können Benutzergruppen erstellen, denen Sie auf zwei Arten Zugriff gewähren. Sie können Gruppen in Ihrem Identitätsanbieter (oder IAM Identity Center) erstellen. Sie können diesen Gruppen dann, genau wie einem Benutzer, in der Amazon Managed Grafana-Konsole Zugriff gewähren. Oder Sie können [Teams](Grafana-teams.md) im Grafana-Arbeitsbereich erstellen und ihnen die Rolle geben, die Sie ihnen zuweisen möchten.
+ **Spezifische Berechtigungen** — Wenn Sie [die von Rollen für ein bestimmtes Dashboard, einen bestimmten Ordner oder eine bestimmte Datenquelle gewährten Berechtigungen überschreiben](Grafana-permissions.md) möchten, können Sie die Standardberechtigungen entfernen und bestimmten Benutzern oder Teams Berechtigungen zuweisen. Dies erfolgt im Grafana-Arbeitsbereich.
In diesem Abschnitt wird beschrieben, wie Sie die Rechteverwaltung im Grafana-Arbeitsbereich durchführen.
**Topics**
+ [Benutzer](Grafana-users.md)
+ [Benutzerrollen](Grafana-user-roles.md)
+ [Teams managen](Grafana-teams.md)
+ [Berechtigungen verwenden](Grafana-permissions.md)
# Benutzer
In Amazon Managed Grafana fügen Sie dem Grafana-Arbeitsbereich keine Benutzer hinzu. Stattdessen verwenden Sie IAM Identity Center oder einen Identitätsanbieter, um Benutzer zu authentifizieren, und gewähren Benutzern dann Zugriff auf Amazon Managed Grafana-Arbeitsbereiche von der Amazon Managed Grafana-Konsole aus. Weitere Informationen finden Sie unter [Benutzer- und Gruppenzugriff auf Amazon Managed Grafana-Workspaces verwalten](AMG-manage-users-and-groups-AMG.md).
# Benutzerrollen
In Amazon Managed Grafana wird jedem Benutzer, der zur Nutzung des Amazon Managed Grafana-Workspace berechtigt ist, eine von drei [Rollen](AMG-manage-users-and-groups-AMG.md) in der Amazon Managed Grafana-Konsole zugewiesen.
+ **Administratorrolle** — Benutzer mit der Administratorrolle können Folgendes tun:
+ Kann Datenquellen hinzufügen, bearbeiten und löschen.
+ Kann Benutzer und Teams hinzufügen und bearbeiten.
+ Kann Ordner mit Dashboards hinzufügen, bearbeiten und löschen.
+ Kann alles tun, was die Editor-Rolle erlaubt.
+ **Rolle „Redakteur**“ — Benutzer mit der Rolle „Editor“ können Folgendes tun:
+ Sie können Dashboards, Bereiche und Warnungsregeln in Dashboards, auf die sie Zugriff haben, anzeigen, hinzufügen und bearbeiten. Dies kann für bestimmte Ordner und Dashboards deaktiviert werden.
+ Kann Playlisten erstellen, aktualisieren oder löschen.
+ Kann auf Explore zugreifen.
+ Kann Benachrichtigungskanäle hinzufügen, bearbeiten und löschen.
+ Datenquellen können nicht hinzugefügt, bearbeitet oder gelöscht werden.
+ Kann alles tun, was die Viewer-Rolle erlaubt.
+ **Zuschauer-Rolle** — Benutzer mit der Viewer-Rolle können Folgendes tun:
+ Sie können jedes Dashboard anzeigen, auf das sie Zugriff haben. Dies kann in bestimmten Ordnern und Dashboards deaktiviert werden.
+ Playlisten können nicht erstellt, aktualisiert oder gelöscht werden.
+ Auf Explore kann nicht zugegriffen werden.
+ Benachrichtigungskanäle können nicht hinzugefügt, bearbeitet und gelöscht werden.
+ Datenquellen können nicht hinzugefügt, bearbeitet oder gelöscht werden.
+ Dashboards oder Bereiche können nicht hinzugefügt, bearbeitet oder gelöscht werden.
+ Andere Benutzer oder Teams können nicht verwaltet werden.
Benutzerzuweisung und Benutzerzugriffsverwaltung vom Grafana-Arbeitsbereich aus werden in Amazon Managed Grafana nicht unterstützt. Wie Sie den Benutzer- und Gruppenzugriff verwalten, hängt davon ab, ob Sie IAM Identity Center oder SAML für die Authentifizierung verwenden:
+ Wenn Ihr Workspace IAM Identity Center zur Authentifizierung verwendet, können Sie die Amazon Managed Grafana-Konsole verwenden oder Rollen APIs zuweisen. Weitere Informationen finden Sie unter [Benutzer- und Gruppenzugriff auf Amazon Managed Grafana-Workspaces verwalten](AMG-manage-users-and-groups-AMG.md).
+ Wenn Ihr Workspace SAML zur Authentifizierung verwendet, werden Benutzerrollen nur durch Assertion-Attribute definiert. Weitere Informationen finden Sie unter [Zuordnung von Assertionen](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping).
# Teams managen
Durch die Verwendung von *Teams* können Sie einer Gruppe von Benutzern gleichzeitig Berechtigungen erteilen. Sie können die Teamsynchronisierung auch so einrichten, dass die Teammitgliedschaft automatisch zwischen Ihrem Grafana-Workspace und Ihrem Autorisierungsanbieter synchronisiert wird.
## Ein Team erstellen oder entfernen
Erstellen Sie Teams, um Benutzer in Gruppen zu verwalten.
**Um ein Team zu erstellen**
1. Wählen Sie in der Seitenleiste das Symbol **Konfiguration** (Zahnrad) und dann **Teams** aus.
1. Wähle „**Neues Team**“.
1. Geben Sie unter **Name** einen Namen für das neue Team ein und wählen Sie dann **Create** aus.
**Um ein Team zu entfernen**
1. Wählen Sie in der Seitenleiste das Symbol **Konfiguration** (Zahnrad) und dann **Teams** aus.
1. Wählen Sie rechts neben dem Namen des Teams **X** aus.
1. Wählen Sie zur Bestätigung „**Löschen“**.
## Einen Benutzer zu einem Team hinzufügen oder daraus entfernen
Gehen Sie wie folgt vor, um Benutzer zu Teams hinzuzufügen oder sie aus Teams zu entfernen.
**Um einen Benutzer zu einem Team hinzuzufügen**
1. Wählen Sie in der Seitenleiste das **Konfigurationssymbol** (Zahnrad) und dann **Teams** aus.
1. Wählen Sie das Team aus, zu dem Sie den Benutzer hinzufügen möchten.
1. Wählen **Sie Mitglied hinzufügen**.
1. Wählen **Sie im Feld Teammitglied hinzufügen** den Benutzer aus, der dem Team hinzugefügt werden soll, und wählen Sie dann **Zum Team hinzufügen** aus.
**Um einen Benutzer aus einem Team zu entfernen**
1. Wählen Sie in der Seitenleiste das **Konfigurationssymbol** (Zahnrad) und dann **Teams** aus.
1. Wählen Sie das Team aus, aus dem Sie den Benutzer entfernen möchten.
1. Wählen Sie rechts neben dem Namen des Benutzers **X** aus.
1. Um zu bestätigen, wählen Sie **Löschen**.
## Verwenden Sie Team-Synchronisierung
Mit *Team Sync* können Sie die Synchronisation zwischen den Gruppen Ihres Autorisierungsanbieters und den Teams in Grafana einrichten. Die derzeit unterstützten Autorisierungsanbieter sind IAM Identity Center und SAML.
**Um ein Grafana-Team mit einer externen Gruppe zu synchronisieren.**
1. Navigieren Sie in der Grafana-Konsole zu **Konfiguration**, **Teams**.
1. Um mit einer IAM Identity Center-Gruppe zu synchronisieren, geben Sie die IAM Identity Center-Gruppen-ID ein. Um mit einer Gruppe von einem SAML-basierten Identitätsanbieter zu synchronisieren, geben Sie den Wert des Attributnamens ein, der in das Feld **Assersion-Attributgruppen** im Abschnitt SAML-Konfiguration auf der Amazon Managed Grafana-Workspace-Konfigurationsseite eingegeben wurde.
1. Wählen Sie **Add Group (Gruppe hinzufügen)** aus.
# Berechtigungen verwenden
Was Sie in einem Grafana-Workspace in Amazon Managed Grafana tun können, hängt von den *Berechtigungen* ab, die Ihrem Benutzer zugeordnet sind.
Amazon Managed Grafana verwendet drei Arten von Berechtigungen:
+ Als Grafana-Administrator erteilte Berechtigungen
+ Berechtigungen im Zusammenhang mit Ihrer Mitgliedschaft in einem Team
+ Berechtigungen, die einem bestimmten Ordner oder Dashboard gewährt wurden
Ihnen können Berechtigungen auf der Grundlage Ihres Administratorstatus, der Ihrem Benutzer zugewiesenen Dashboard- oder Ordnerberechtigungen und der Datenquellenberechtigungen erteilt werden.
## Übersicht über Dashboard- und Ordnerberechtigungen
Mithilfe von Dashboard- und Ordnerberechtigungen können Sie die standardmäßigen rollenbasierten Berechtigungen für Redakteure und Betrachter entfernen. Anschließend können Sie bestimmten Benutzern und Teams Berechtigungen zuweisen. Weitere Informationen finden Sie unter [Dashboard- und Ordnerberechtigungen](dashboard-and-folder-permissions.md).
## Übersicht über Datenquellenberechtigungen
Standardmäßig kann eine Datenquelle von jedem Benutzer abgefragt werden. Beispielsweise kann ein Benutzer mit dieser `Viewer` Rolle jede mögliche Abfrage an eine Datenquelle stellen, nicht nur die Abfragen, die in Dashboards vorhanden sind, auf die er Zugriff hat.
Mithilfe von Datenquellenberechtigungen können Sie die Standardberechtigungen für Datenquellen ändern und Abfrageberechtigungen auf bestimmte **Benutzer** und **Teams** beschränken. Weitere Informationen finden Sie unter [Datenquellenberechtigungen](data-source-permissions.md).
# Dashboard- und Ordnerberechtigungen
Für Dashboards und Dashboard-Ordner können Sie die Seite „**Berechtigungen**“ verwenden, um die standardmäßigen rollenbasierten Berechtigungen für **Redakteure** und **Betrachter** zu entfernen. Auf dieser Seite können Sie bestimmten **Benutzern und **Teams** Berechtigungen hinzufügen und ihnen** zuweisen.
Amazon Managed Grafana bietet die folgenden Berechtigungsstufen. Die Berechtigungen variieren je nach der Version von Grafana, die der Workspace unterstützt.
**Für Workspaces, die Version 8 unterstützen:**
+ `Admin`: Kann Dashboards bearbeiten und erstellen und Berechtigungen bearbeiten. Kann auch Ordner hinzufügen, bearbeiten und löschen.
+ `Edit`: Kann Dashboards bearbeiten und erstellen. Ordner- oder Dashboard-Berechtigungen **können nicht** bearbeitet oder Ordner hinzugefügt, bearbeitet oder gelöscht werden.
+ `View`: Kann nur vorhandene Dashboards und Ordner anzeigen.
**Für Workspaces, die Version 9 und höher unterstützen:**
+ `Admin`: Kann ein Dashboard erstellen, bearbeiten oder löschen. Kann Ordner hinzufügen, bearbeiten oder löschen und Dashboards und Unterordner in einem Ordner erstellen. Administratoren können auch Dashboard- und Ordnerberechtigungen ändern.
+ `Edit`: Kann ein Dashboard erstellen, bearbeiten oder löschen. Kann einen Ordner bearbeiten oder löschen und Dashboards und Unterordner in einem Ordner erstellen. Ein Editor **kann Ordner- oder Dashboard-Berechtigungen nicht** ändern.
+ `View`: Kann nur vorhandene Dashboards und Ordner anzeigen.
## Ordnerberechtigungen gewähren
**Um Ordnerberechtigungen zu gewähren**
1. **Bewegen Sie den Mauszeiger in der Seitenleiste über das Symbol **Dashboards** (Quadrate) und wählen Sie dann Verwalten aus.**
1. **Zeigen Sie mit der Maus auf einen Ordner und wählen Sie dann Gehe zum Ordner.**
1. Wählen Sie auf der Registerkarte „**Berechtigungen**“ die Option „**Berechtigung hinzufügen**“ aus.
1. Wählen **Sie im Dialogfeld „Berechtigung hinzufügen für**“ die Option „**Benutzer**“, „**Team**“ oder eine der Rollenoptionen aus. Wenn Ihr Workspace Grafana-Version 10 oder neuer verwendet, wählen Sie **Benutzer, Team, Dienstkonto oder Rolle**.
1. Wählen Sie im zweiten Feld den Benutzer, das Team, das Dienstkonto oder die Rolle aus, zu der Sie Berechtigungen hinzufügen möchten. Wenn Ihr Workspace Grafana-Version 9 oder früher verwendet und Sie im vorherigen Schritt eine Rollenoption ausgewählt haben, überspringen Sie diesen Schritt.
1. Wählen Sie im dritten Feld die Berechtigung aus, die Sie hinzufügen möchten.
1. Wählen Sie **Speichern**.
## Erteilen von Dashboard-Berechtigungen
**Um Dashboard-Berechtigungen zu gewähren**
1. Wählen Sie in der oberen rechten Ecke Ihres Dashboards das Zahnradsymbol, um zu den **Dashboard-Einstellungen** zu gelangen.
1. Wählen Sie auf der Registerkarte „**Berechtigungen**“ die Option „**Berechtigung hinzufügen**“ aus.
1. Wählen **Sie im Dialogfeld „Berechtigung hinzufügen für**“ die Option „**Benutzer**“, „**Team**“ oder eine der Rollenoptionen aus. Wenn Ihr Workspace Grafana-Version 10 oder neuer verwendet, wählen Sie **Benutzer, Team, Dienstkonto oder Rolle**.
1. Wählen Sie im zweiten Feld den Benutzer, das Team, das Dienstkonto oder die Rolle aus, zu der Sie Berechtigungen hinzufügen möchten. Wenn Ihr Workspace Grafana-Version 9 oder früher verwendet und Sie im vorherigen Schritt eine Rollenoption ausgewählt haben, überspringen Sie diesen Schritt.
1. Wählen Sie im dritten Feld die Berechtigung aus, die Sie hinzufügen möchten.
1. Wählen Sie **Speichern**.
## Beschränken des Zugriffs
Die höchste Berechtigung gewinnt immer.
+ Sie können die Berechtigungen für Benutzer mit dieser `Admin` Rolle nicht überschreiben. Admins haben immer Zugriff auf alles.
+ Eine spezifischere Berechtigung mit einer niedrigeren Berechtigungsstufe hat keine Auswirkung, wenn eine allgemeinere Regel mit einer höheren Berechtigungsstufe existiert. Sie müssen die Berechtigungsstufe der allgemeineren Regel entfernen oder herabsetzen.
## Wie Amazon Managed Grafana mehrere Berechtigungen löst — Beispiele
Die folgenden Beispiele zeigen, wie mehrere Berechtigungen aufgelöst werden.
### Beispiel 1: `user1` hat die `Editor` Rolle
Berechtigungen für ein Dashboard:
+ Jeder mit der `Editor` Rolle kann Änderungen vornehmen.
+ `user1`kann ansehen.
Ergebnis: `user1` hat die Bearbeitungsberechtigung, da die höchste Berechtigung immer gewinnt.
### Beispiel 2: `user1` hat die Viewer-Rolle und ist Mitglied von `team1`
Berechtigungen für ein Dashboard:
+ Jeder mit der `Viewer` Rolle kann es sehen.
+ `user1`hat die `Editor` Rolle und kann sie bearbeiten.
+ `team1`hat die `Admin` Rolle.
Ergebnis: `user1` hat Administratorrechte, weil die höchste Berechtigung immer gewinnt.
### Beispiel 3: `user1` hat mehrere Berechtigungen auf verschiedenen Ebenen
Berechtigungen für ein Dashboard:
+ `user1`hat die `Admin` Rolle (vom übergeordneten Ordner geerbt).
+ `user1`hat die `Editor` Rolle und kann sie bearbeiten.
Ergebnis: Sie können nicht zu einer niedrigeren Zugriffsberechtigung übergehen. `user1`hat Administratorrechte, weil die höchste Berechtigung immer gewinnt.
## Zusammenfassung
+ **Ansicht**: Es können nur vorhandene Dashboards oder Ordner angezeigt werden.
+ Eine spezifischere Berechtigung mit einer niedrigeren Berechtigungsstufe hat keine Auswirkung, wenn eine allgemeinere Regel mit einer höheren Berechtigungsstufe existiert.
# Datenquellenberechtigungen
Standardmäßig können Datenquellen von jedem Benutzer abgefragt werden. Beispielsweise kann ein Benutzer mit dieser `Viewer` Rolle jede mögliche Abfrage an eine Datenquelle stellen, nicht nur Abfragen, die in Dashboards existieren, auf die er Zugriff hat.
Sie können Datenquellenberechtigungen verwenden, um den Zugriff von Benutzern auf Abfragen einer Datenquelle einzuschränken. Für jede Datenquelle gibt es eine Berechtigungsseite, auf der Sie Abfrageberechtigungen für bestimmte **Benutzer** und **Teams** aktivieren oder einschränken können.
## Datenquellenberechtigungen aktivieren
Wenn Berechtigungen für eine Datenquelle aktiviert sind, beschränken Sie den Administrator- und Abfragezugriff für diese Datenquelle standardmäßig auf Admin-Benutzer. Sie können selektiv Zugriff für bestimmte Benutzer und Teams hinzufügen.
**Um Berechtigungen für eine Datenquelle zu aktivieren**
1. Navigieren Sie zu **Konfiguration**, **Datenquellen**. Navigieren Sie für Arbeitsbereiche, die Grafana-Version 10 unterstützen, zu **Verbindungen**, **Datenquellen**.
1. Wählen Sie die Datenquelle aus, für die Sie Berechtigungen aktivieren möchten.
1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Aktivieren** aus.
**Warnung**
Wenn Sie Berechtigungen für die Standarddatenquelle aktivieren, können Benutzer, die nicht in den Berechtigungen aufgeführt sind, keine Abfragen aufrufen. Panels, die die Standarddatenquelle verwenden, geben den `Access denied to data source` Fehler für diese Benutzer zurück.
## Benutzern und Teams ermöglichen, eine Datenquelle abzufragen
Nachdem Sie die Berechtigungen für eine Datenquelle aktiviert haben, haben standardmäßig nur Administratoren Zugriff auf diese Datenquelle. Sie können Benutzern oder Teams Abfrageberechtigungen zuweisen. Die Abfrageberechtigungen ermöglichen den Zugriff auf die Abfrage der Datenquelle.
**Um Benutzern und Teams Abfrageberechtigungen zuzuweisen**
1. Navigieren Sie zu **Konfiguration**, **Datenquellen**. Navigieren Sie für Arbeitsbereiche, die Grafana-Version 10 unterstützen, zu **Verbindungen**, **Datenquellen**.
1. Wählen Sie die Datenquelle aus, für die Sie Abfrageberechtigungen zuweisen möchten.
1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Berechtigung hinzufügen** aus.
1. Wählen Sie **Team** oder **Benutzer** aus. **Für Workspaces, die Grafana-Version 10 oder neuer unterstützen, können Sie auch **Dienstkonto oder Rolle** auswählen.**
1. **Wählen Sie das Team, den Benutzer, das Dienstkonto oder die Rolle aus, dem Sie Abfragezugriff gewähren möchten, und wählen Sie dann Speichern.**
## Datenquellenberechtigungen deaktivieren
Wenn Sie Berechtigungen für eine Datenquelle aktiviert haben und die Datenquellenberechtigungen auf die Standardwerte zurücksetzen möchten, gehen Sie wie folgt vor.
**Anmerkung**
*Alle* vorhandenen Berechtigungen, die für die Datenquelle erstellt wurden, werden gelöscht.
**Um Berechtigungen für eine Datenquelle zu deaktivieren**
1. Navigieren Sie zu **Konfiguration**, **Datenquellen**. Navigieren Sie für Arbeitsbereiche, die Grafana-Version 10 unterstützen, zu **Verbindungen**, **Datenquellen**.
1. Wählen Sie die Datenquelle aus, für die Sie Berechtigungen deaktivieren möchten.
1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Berechtigungen deaktivieren** aus.