Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Administración de espacios de trabajo, usuarios y políticas en Amazon Managed Grafana Administración de espacios de trabajo Para utilizar Amazon Managed Grafana, debe crear espacios de trabajo de Grafana. Un espacio de trabajo de Grafana es un servidor lógico de Grafana en el que puede crear paneles y visualizaciones de Grafana para analizar sus métricas, registros y rastros. Puede agregar usuarios y administrar sus permisos para administrar, editar o ver los espacios de trabajo. Puede actualizar su espacio de trabajo a versiones más recientes de Grafana o actualizarlo para agregar compatibilidad con los complementos de Enterprise, lo que permite que sus espacios de trabajo accedan a más tipos de orígenes de datos. También puede administrar el acceso a la red para su espacio de trabajo. Puedes crear y gestionar tus espacios de trabajo de Grafana gestionados por Amazon utilizando. CloudFormation En los temas de esta sección se explica cómo administrar sus espacios de trabajo, usuarios y políticas en Amazon Managed Grafana. **Topics** + [ # Diferencias entre las versiones de Grafana ](version-differences.md) + [ # Creación de un espacio de trabajo de Amazon Managed Grafana ](AMG-create-workspace.md) + [ # Autenticación de usuarios en los espacios de trabajo de Amazon Managed Grafana ](authentication-in-AMG.md) + [ # Actualización de la versión de su espacio de trabajo ](AMG-workspace-version-update.md) + [ # Administración del acceso a los complementos empresariales ](upgrade-to-enterprise-plugins.md) + [ # Migración de contenido entre los espacios de trabajo de Amazon Managed Grafana ](AMG-workspace-content-migration.md) + [ # Administración del acceso de usuarios y grupos a los espacios de trabajo de Amazon Managed Grafana ](AMG-manage-users-and-groups-AMG.md) + [ # Administración de los permisos de los orígenes de datos y los canales de notificación ](AMG-datasource-and-notification.md) + [ # Creación de recursos de Grafana gestionados por Amazon con AWS CloudFormation ](creating-resources-with-cloudformation.md) + [ # Configuración del acceso a la red para un espacio de trabajo de Amazon Managed Grafana ](AMG-configure-nac.md) + [ # Cifrado en reposo ](AMG-encryption-at-rest.md) + [ # Conexión a orígenes de datos o canales de notificación en Amazon VPC desde Amazon Managed Grafana ](AMG-configure-vpc.md) + [ # Configuración de un espacio de trabajo de Amazon Managed Grafana ](AMG-configure-workspace.md) + [ # Eliminación de un espacio de trabajo de Amazon Managed Grafana ](AMG-edit-delete-workspace.md) # Diferencias entre las versiones de Grafana Diferencias entre versiones de Grafana Al [crear un espacio de trabajo de Grafana](AMG-create-workspace.md), debe elegir una versión de Grafana para crearlo. Puede elegir entre versiones compatibles con las versiones 8, 9 y 10 de Grafana. Cada una de ellas ha agregado las funcionalidades de la versión anterior. En los temas siguientes se describen los cambios en las versiones 9 y 10, incluidos los cambios en la versión 10 que podrían interrumpir las funcionalidades que se utilizan en la versión 9. **nota** Puede leer la documentación específica de cada versión con respecto al uso del espacio de trabajo de Grafana en los temas [Uso de la versión 8 de Grafana](using-grafana-v8.md), [Uso de la versión 9 de Grafana](using-grafana-v9.md) y [Uso de la versión 10 de Grafana](using-grafana-v10.md). Para obtener notas detalladas por versión y más información de Grafana Labs, consulte [What's new in Grafana](https://grafana.com/docs/grafana/latest/whatsnew/) en la *documentación de Grafana Labs*. ## Versión 10 de Grafana En la versión 10 de Grafana se agregaron las siguientes características. + **Correlaciones**: las correlaciones definen cómo se utilizan los datos de un origen de datos para consultar los datos de otro origen de datos y permiten que la visualización de Explore ejecute fácilmente consultas relacionadas con los datos mostrados. Para obtener más información, consulte [Correlaciones en la versión 10 de Grafana](v10-correlations.md). + **Subcarpetas**: al organizar los paneles de control, ahora puede usar subcarpetas para crear una jerarquía anidada. Para obtener más información, consulte [Creación de carpetas de panel de control](v10-dash-managing-dashboards.md#v10-dash-create-dashboard-folder). + **Alertas**: Grafana Alerting permite ahora silenciar las alertas. Además, Grafana Alerting ya no envía notificaciones 3 veces. + **Vista previa de la actualización de alertas**: antes de cambiar de las alertas clásicas del panel de control a las alertas de Grafana, puede ver el aspecto que tendrán sus alertas e incluso hacer cambios que se aplicarán al migrar. Para obtener más información, consulte [Migración de las alertas clásicas del panel de control a Grafana Alerting](v10-alerting-use-grafana-alerts.md). Grafana Labs ha anunciado que la versión 11 y posteriores de Grafana ya no admitirán las alertas de panel de control clásicas. + **Conjuntos de soporte técnico: ** los conjuntos de soporte técnico proporcionan una forma sencilla de recopilar información sobre su espacio de trabajo de Grafana para compartirla con el soporte técnico del producto. Puede crear rápidamente un paquete de soporte técnico que contenga datos sobre migraciones, complementos, configuraciones, etc. Para obtener más información, consulte [Recopilación de información para soporte](support-bundles.md). + **Nuevas visualizaciones**: hay tres visualizaciones nuevas disponibles. [Gráfico XY](v10-panels-xychart.md), la [cuadrícula de datos](v10-panels-datagrid.md) y el [panel de tendencias](v10-panels-trend.md) están disponibles para los espacios de trabajo compatibles con la versión 10. Los espacios de trabajo de la versión 9 también pueden usar gráficos XY. + **PagerDuty**— Los complementos empresariales ahora incluyen un complemento para PagerDuty. + **Rediseño de las transformaciones**: la pestaña de transformaciones cuenta con una experiencia de usuario y un diseño visual mejorados. Las transformaciones se clasifican y cada tipo de transformación tiene una ilustración que le ayudará a elegir la más adecuada. + *Enciclopedia **métrica de Prometheus: el menú desplegable de métricas** de Prometheus en el generador de consultas de Prometheus se ha sustituido por una enciclopedia métrica paginada y con capacidad de búsqueda.* + Se **suspendió la interfaz de usuario de la clave API**: [las cuentas de servicio](service-accounts.md) son la forma recomendada de autenticar las llamadas al HTTP de APIs Grafana. Como parte del trabajo de Grafana Labs para discontinuar el uso de las claves de API, ya no se pueden crear claves de API a través de la interfaz de usuario del espacio de trabajo. Solo puede crear claves de API a través de. AWS APIs Para obtener más información sobre la suspensión de las claves de API por parte de Grafana Labs, [APIKeysconsulte: Anulación de las claves de API en la lista de problemas de](https://github.com/grafana/grafana/issues/53567) GitHub Grafana. **Cambios importantes** La versión 10.4 de Grafana incluye cambios de las versiones 9.5 a 10.4 de Grafana. Las versiones 10.0 y 10.3 de Grafana incluían ciertos cambios que, en algunos casos, podrían interrumpir la funcionalidad. Al actualizar a una nueva versión, se recomienda probarla en un entorno que no sea de producción antes de actualizar los espacios de trabajo de producción. Los siguientes cambios pueden afectar a algunos usuarios que se actualicen a la versión 10 de Grafana. + **Angular suspendido**: los complementos que usen Angular dejarán de ser compatibles en futuras versiones de Grafana. En la versión 10, los paneles que usen Angular mostrarán un banner para indicar que usan una característica suspendida y que no funcionarán en futuras versiones. + ** CloudWatch Se ha eliminado el alias**: los patrones de alias del editor de CloudWatch consultas se han sustituido por Label (etiquetas dinámicas). Abra cualquier panel de control que use el campo Alias y guárdelo. El alias se migra a etiqueta automáticamente. + **Hay que actualizar los complementos más antiguos**: los complementos del origen de datos de Athena y Amazon Redshift deben actualizarse en los espacios de trabajo de Grafana v10. El complemento de origen de datos de Athena debe ser versión 2.9.3 o posterior; el complemento de origen de datos de Amazon Redshift debe ser versión 1.8.3 o posterior. Para obtener más información acerca de la instalación o la actualización de complementos, consulte [Búsqueda de complementos con el catálogo de complementos](grafana-plugins.md#plugin-catalog). + El ** BigQuery complemento DoIt ya no es compatible**: el complemento de fuente de BigQuery datos DoIt ya no es compatible. En su lugar, utilice el complemento de fuente de BigQuery datos oficial de Grafana Labs. + **Cambios en las transformaciones**: se han hecho algunos cambios en la versión 10 de Grafana para corregir errores en los nombres y claves de los campos. Para obtener más información, consulte [Transformation breaking changes](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#transformations) en la documentación de Grafana Labs. + **Permisos de la fuente de datos APIs**: los puntos finales para acceder a los permisos de la fuente de datos han cambiado. Para obtener más información, consulte [Data source permissions changes](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#data-source-permissions) en la documentación de Grafana Labs. Para obtener más información sobre los cambios importantes y los que afectan a los desarrolladores de complementos, consulte los siguientes temas de la *documentación de Grafana Labs*: + [Cambios importantes en Grafana v10.0](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-0/) + [Cambios importantes en Grafana v10.3](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/) ## Versión 9 de Grafana En Grafana v9 se agregaron las siguientes características. + **Alertas**: las reglas de alerta administradas por Grafana ahora admiten nombres de grupos. + **Explore**: cree un panel de control desde la vista de Explore. + **Consultas de Prometheus**: el nuevo generador de consultas de Prometheus (con PromQL) facilita la redacción de consultas. + **Consultas de Loki**: el nuevo generador de consultas de Loki (con LogQL) facilita la redacción de consultas. + **Tokens de API/cuentas de servicio**: las cuentas de servicio simplifican el acceso a las máquinas en Grafana y le ayudan a administrar los tokens de API. + **Administración de complementos**: puede habilitar la administración de complementos para instalar, eliminar o actualizar los complementos comunitarios en su espacio de trabajo. Esto le da acceso a más orígenes de datos y visualizaciones, y le permite controlar la versión de cada complemento que utilice. + **Seguimiento a métricas**: configure un origen de datos de seguimiento para agregar enlaces a las métricas con consultas y etiquetas. + **Panel de lienzo**: nueva visualización de panel con elementos estáticos y dinámicos para crear paneles personalizados basados en datos con imágenes y texto superpuesto. + **Reorganización de la interfaz**: interfaz de usuario actualizada con una navegación más sencilla en la consola de Grafana. + **CloudWatch**: La fuente de CloudWatch datos de Amazon ahora puede monitorear las métricas en Cuentas de AWS todas partes Regiones de AWS. + **Registros**: se ha mejorado la interfaz para mostrar los detalles de los registros. + **General**: se han corregido errores y se han hecho pequeñas mejoras en general. **Cambios importantes** La versión 9.4 de Grafana incluye una serie de nuevas características y mejoras, basadas en versiones anteriores. Esta versión incluía ciertos cambios que, en algunos casos, podrían interrumpir la funcionalidad. Al actualizar a una nueva versión, recomendamos que la pruebe en un entorno que no sea de producción antes de actualizar los espacios de trabajo de producción. Los siguientes cambios pueden afectar a algunos usuarios que se actualicen a la versión 9.4 de Grafana. Para obtener una lista detallada de estos cambios, consulta el [registro de cambios de Grafana 9.4](https://github.com/grafana/grafana/blob/release-9.4.17/CHANGELOG.md) en. *GitHub* + **API suspendida**: la API `/api/tsdb/query` se ha eliminado. **Acción requerida:** Utilice `/api/ds/query` en su lugar. Consulte [Consultar una fuente de datos](https://grafana.com/docs/grafana/latest/http_api/data_source/#query-a-data-source) en la *documentación pública de Grafana* y en el número [\$149916](https://github.com/grafana/grafana/issues/49916) en adelante. *GitHub* + **Cambios en los puntos de conexión de la API**: varios puntos de conexión de la API de alertas ahora requieren un UID de origen de datos en lugar de un ID numérico. **Puntos de conexión afectados:** `api/v1/rule/test`, `api/prometheus/`, `api/ruler/`, `api/alertmanager/` **Acción requerida:** actualice las llamadas a la API para usar el UID de origen de datos como parámetro de ruta. Consulte los números [\$148070](https://github.com/grafana/grafana/issues/48070), [\$148052](https://github.com/grafana/grafana/issues/48052), [\$148046](https://github.com/grafana/grafana/issues/48046) y [\$147978](https://github.com/grafana/grafana/issues/47978) en adelante *GitHub*. + **Se eliminaron las consultas de Azure Monitor**: las consultas sobre información de aplicaciones y análisis de información ya no se admiten. Obsoleto en la versión 8.0, eliminado en la versión 9.0 de Grafana. Las consultas obsoletas no se ejecutarán. **Acción requerida:** consulte el [origen de datos de Azure Monitor](https://grafana.com/docs/grafana/latest/datasources/azuremonitor/deprecated-application-insights/) en la *documentación pública de Grafana* para obtener orientación sobre la migración. + **Modo de acceso al navegador eliminado**: el modo de acceso al navegador ya no está disponible para los orígenes de datos de InfluxDB y Prometheus. **Acción requerida:** cambie al modo de acceso al servidor en la configuración de origen de datos. InfluxDB: obsoleto en la versión 8.0.0, eliminado en la versión 9.2.0. Consulte el número [\$153529](https://github.com/grafana/grafana/issues/53529) en *GitHub*. Prometheus: obsoleto en la versión 7.4.0, eliminado en la versión 9.2.0. Consulte el número [\$150162](https://github.com/grafana/grafana/issues/50162) en *GitHub*. + **Acceso restringido a la configuración del panel**: ya no puede abrir la configuración del panel mientras edita los paneles. La configuración del panel se bloquea cuando el modo de edición del panel está activo. Cierre el modo de edición del panel antes de acceder a la configuración del panel. Consulte el número [\$154746](https://github.com/grafana/grafana/issues/54746) en *GitHub*. + **Cifrado de contraseñas de origen de datos**: ya no se admiten contraseñas no cifradas. **Acción requerida:** utilice `secureJsonData.password` y `secureJsonData.basicAuthPassword`. Suspendido anteriormente en la versión 8.1.0. Consulte el número [\$149987](https://github.com/grafana/grafana/issues/49987) en *GitHub*. + **Comportamiento predeterminado del origen de datos**: la selección del origen de datos predeterminado ya no afecta a los paneles existentes. El origen de datos predeterminado solo se aplica a los paneles nuevos. Si se cambia la configuración predeterminada, no se actualizarán los paneles existentes. Los paneles guardados con anterioridad retienen la configuración del origen de datos. Consulte el número [\$145132](https://github.com/grafana/grafana/issues/45132) en *GitHub*. + **Se modificó la propiedad del intervalo de Elasticsearch**: se actualizó la especificación del intervalo de consulta para Elasticsearch 7.x. Se modificó de propiedad `interval` a `fixed_interval`. Proporciona coherencia con Elasticsearch 8.x. La mayoría de las consultas no mostrarán los cambios visibles. Consulte el número [\$150297](https://github.com/grafana/grafana/issues/50297) en *GitHub*. + **Modo de documento sin procesar de Elasticsearch suspendido**: el modo de visualización cambia en el origen de datos de Elasticsearch. **Acción requerida:** utilice el modo de **datos sin procesar** en su lugar. Consulte el número [\$162236](https://github.com/grafana/grafana/issues/62236) en *GitHub*. + **Soporte de versiones de Elasticsearch**: las versiones anteriores de Elasticsearch ya no son compatibles. **Acción requerida:** actualice Elasticsearch a la versión 7.10.0 o posterior. Las versiones anteriores a la 7.10.0 son anteriores. end-of-life Consulte el número [\$148715](https://github.com/grafana/grafana/issues/48715) en. *GitHub* + Se ha **dejado de utilizar el formato URL** de Explore: Compact Explore se URLs eliminará en una versión futura. **Acción requerida:** actualice los enlaces con codificación rígida para que utilicen el formato de URL estándar. Compacto URLs:`&left=["now-1h","now"...]`. Estándar URLs:`&left={"datasource":"test"...}`. Consulte el número [\$150873](https://github.com/grafana/grafana/issues/50873) en *GitHub*. + **GitHub OAuth cambios de visualización**: se actualizaron la pantalla de GitHub nombre e inicio de sesión. GitHub el nombre aparece como nombre de Grafana. GitHub el inicio de sesión aparece como inicio de sesión de Grafana. Mejora la claridad de la identificación del usuario. Consulte el número [\$145438](https://github.com/grafana/grafana/issues/45438) en. *GitHub* + **Implementación del panel Heatmap actualizada**: los paneles Heatmap utilizan una nueva implementación a partir de la versión 9.1.0. Se mejoró de manera significativa el rendimiento de representación. Los buckets se colocan en bordes razonables (1 m, 5 m, 30 s). Las celdas redondas ya no son compatibles. **Acción requerida:** pruebe los paneles de su mapa de calor tras la actualización. Deshabilite la nueva implementación al configurar la marca de característica `useLegacyHeatmapPanel` en verdadero si es necesario. `?__feature.useLegacyHeatmapPanel=true`Añádelo al panel URLs de control para realizar pruebas. Consulte el número [\$150229](https://github.com/grafana/grafana/issues/50229) en *GitHub*. + **Migración del backend de InfluxDB**: el comportamiento de análisis de datos de InfluxDB ha cambiado. El conmutador de características de migración del backend de InfluxDB (`influxdbBackendMigration`) se ha vuelto a introducir debido a problemas de procesamiento del backend. De forma predeterminada, los datos de InfluxDB se analizan en el frontend. Si actualizó a la versión 9.4.4 y agregó transformaciones en los datos de InfluxDB, esos paneles no se representarán. **Acción requerida:** elimine los paneles afectados y vuelva a crearlos o edite el campo `time` como aparece en `Time`, en `panel.json` o en `dashboard.json`. Consulte el número [\$164842](https://github.com/grafana/grafana/issues/64842) en *GitHub*. + **Formato de mensaje de registro actualizado**: la estructura de los mensajes de registro ha cambiado. `lvl` es ahora `level`. `eror` y `dbug` son ahora `error` y`debug`. Mayor precisión de timestamp. La opción de exclusión está disponible con el conmutador de características `oldlog` (temporal). Consulte el número [\$147584](https://github.com/grafana/grafana/issues/47584) en *GitHub*. + **Optimización del formato de datos de Loki**: los datos de registro de Loki utilizan un formato de marco de datos más eficiente. Marco de datos único con columna de **etiquetas** en lugar de marcos de datos separados. Los paneles de exploración y registro funcionan sin cambios. Es posible que sea necesario ajustar otros paneles o transformaciones. **Acción requerida:** sustituya la transformación de **etiquetas para campos** por la transformación de **campos de extracción**. Consulte el número [\$147153](https://github.com/grafana/grafana/issues/47153) en *GitHub*. + **Administración de valores de NaN**: representación `NaN` coherente en todos los orígenes de datos de Prometheus y Loki. Los valores `NaN` permanecen como `NaN` en lugar de convertirse en `null`. El cambio debería ser prácticamente invisible para los usuarios. Afecta tanto al panel como a las rutas de alerta. Consulte los números [\$149475](https://github.com/grafana/grafana/issues/49475) y [\$145389](https://github.com/grafana/grafana/issues/45389) en adelante *GitHub*. + **Enlaces para restablecer la contraseña invalidados**: los enlaces para restablecer la contraseña existentes no funcionarán después de la actualización. Los enlaces para restablecer la contraseña enviados antes de la actualización no son válidos. Los usuarios deben solicitar nuevos enlaces para restablecer la contraseña. Los enlaces caducan después de 2 horas. Consulte el número [\$142334](https://github.com/grafana/grafana/issues/42334) en *GitHub*. + **Prefijo de etiqueta reservada**: las etiquetas que comienzan con `grafana_` están reservadas. Es posible que se sobrescriban las etiquetas configuradas manualmente que comiencen con `grafana_`. Etiquetas reservadas actuales: `grafana_folder` (Título de la carpeta que contiene la alerta). Consulte el número [\$150262](https://github.com/grafana/grafana/issues/50262) en *GitHub*. + **Mejoras en la transformación**: la transformación **Cambiar nombre por expresión regular** ahora admite patrones globales. Los patrones globales utilizan el formato `//g`. Es posible que algunas transformaciones se comporten de forma diferente. Coloque las cadenas coincidentes en barras inclinadas para el comportamiento anterior: `(.*)` se convierte en `/(.*)/`. Consulte el número [\$148179](https://github.com/grafana/grafana/issues/48179) en *GitHub*. # Creación de un espacio de trabajo de Amazon Managed Grafana Creación de un espacio de trabajo Un *espacio de trabajo* es un servidor lógico de Grafana. Puede tener hasta cinco espacios de trabajo en cada región de su cuenta. **Permisos necesarios** Para crear un espacio de trabajo, debe iniciar sesión con un director AWS Identity and Access Management (IAM) que tenga la **AWSGrafanaAccountAdministrator**política adjunta. Para crear su primer espacio de trabajo que utilice IAM Identity Center para la autorización, su entidad principal de IAM también debe tener adjuntas estas políticas adicionales (o permisos equivalentes): + **AWSSSOMemberAccountAdministrator** + **AWSSSODirectoryAdministrador** Para obtener más información, consulte [Creación y administración de espacios de trabajo y usuarios de Amazon Managed Grafana en una única cuenta independiente mediante IAM Identity Center](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone). ## Creación de un espacio de trabajo Los siguientes pasos lo guiarán por el proceso de creación de un nuevo espacio de trabajo de Amazon Managed Grafana. **Creación de un espacio de trabajo en Amazon Managed Grafana** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/). 1. Elija **Crear espacio de trabajo**. 1. En la ventana **Detalles del espacio de trabajo**, en **Nombre del espacio de trabajo**, ingrese un nombre para el espacio de trabajo. Si lo desea, ingrese una descripción para el espacio de trabajo. De manera opcional, agregue las etiquetas que desee asociar a este espacio de trabajo. Las etiquetas ayudan a identificar y organizar los espacios de trabajo y también se pueden usar para controlar el acceso a los AWS recursos. Por ejemplo, puede asignar una etiqueta al espacio de trabajo y solo unos grupos o roles limitados pueden tener el permiso para acceder al espacio de trabajo mediante la etiqueta. Para obtener más información sobre el control de acceso basado en etiquetas, consulte [Controlar el acceso a AWS los recursos mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la Guía del usuario de IAM. ![\[Workspace details form with name field and optional tags section highlighted.\]](http://docs.aws.amazon.com/es_es/grafana/latest/userguide/images/tagworkspace.png) 1. Elija una **versión de Grafana** para el espacio de trabajo. Puede elegir la versión 8, 9 o 10. Para entender las diferencias entre las versiones, consulte [Diferencias entre las versiones de Grafana](version-differences.md). 1. Elija **Siguiente**. 1. Para **Acceso de autenticación**, seleccione **AWS IAM Identity Center **, **Lenguaje de marcado para confirmaciones de seguridad (SAML)** o ambos. Para obtener más información, consulte [Autenticación de usuarios en los espacios de trabajo de Amazon Managed Grafana](authentication-in-AMG.md). + **Centro de identidad de IAM**: si selecciona el Centro de identidad de IAM y aún no lo ha habilitado AWS IAM Identity Center en su cuenta, se le solicitará que lo habilite creando su primer usuario del Centro de identidades de IAM. IAM Identity Center gestiona la administración de los usuarios para el acceso a los espacios de trabajo de Amazon Managed Grafana. Para habilitar IAM Identity Center, siga estos pasos: 1. Seleccione la opción **Crear un usuario**. 1. Ingrese una dirección de correo electrónico, un nombre y un apellido para el usuario y seleccione **Crear usuario**. En este tutorial, use el nombre y la dirección de correo electrónico de la cuenta que quiere usar para probar Amazon Managed Grafana. Recibirá un mensaje de correo electrónico en el que se le pedirá que cree una contraseña para esta cuenta de IAM Identity Center. **importante** El usuario que cree no tiene acceso automáticamente a su espacio de trabajo de Amazon Managed Grafana. Más adelante, proporcionará al usuario acceso al espacio de trabajo en la página de detalles del espacio de trabajo. + **SAML**: si selecciona **SAML**, completará la configuración de SAML una vez creado el espacio de trabajo. 1. Elija **Servicio administrado** o **Administrado por el cliente**. Si eliges **Servicio gestionado**, Amazon Managed Grafana crea automáticamente las funciones de IAM y proporciona los permisos que necesitas para las fuentes de AWS datos de esta cuenta que decidas usar para este espacio de trabajo. Si desea administrar estos roles y permisos usted mismo, elija **Administrado por el cliente**. Si va a crear un espacio de trabajo en una cuenta de miembro de una organización, para poder elegir **Servicio administrado**, la cuenta de miembro debe ser una cuenta de administrador delegado en una organización. Para obtener más información acerca de las cuentas de administradores delegados, consulte [Registro de un administrador delegado](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html). 1. (Opcional) Puede optar por conectarse a una nube privada virtual (VPC) de Amazon en esta página o puede conectarse a una VPC más adelante. Para obtener más información, consulte [Conexión a orígenes de datos o canales de notificación en Amazon VPC desde Amazon Managed Grafana](AMG-configure-vpc.md). 1. (Opcional) Puede elegir otras opciones de configuración del espacio de trabajo en esta página, incluidas las siguientes: + Habilite las [alertas de Grafana](alerts-overview.md). Las alertas de Grafana le permiten ver las alertas de Grafana y las alertas definidas en Prometheus en una única interfaz de alertas dentro de su espacio de trabajo de Grafana. En los espacios de trabajo que ejecutan la versión 8 o 9, esto enviará varias notificaciones para sus alertas de Grafana. Si utiliza las alertas definidas en Grafana, le recomendamos crear su espacio de trabajo en la versión 10.4 o posterior. + Permita que los administradores de Grafana [administren los complementos](grafana-plugins.md) de este espacio de trabajo. Si no habilita la administración de complementos, sus administradores no podrán instalar, desinstalar ni eliminar los complementos de su espacio de trabajo. Es posible que esté limitado a los tipos de orígenes de datos y paneles de visualización que puede utilizar con Amazon Managed Grafana. También puede hacer estos cambios de configuración después de crear su espacio de trabajo. Para obtener más información sobre cómo configurar el espacio de trabajo, consulte [Configuración de un espacio de trabajo de Amazon Managed Grafana](AMG-configure-workspace.md). 1. (Opcional) Puede optar por agregar el **control de acceso a la red** para su espacio de trabajo. Para agregar el control de acceso a la red, seleccione **Acceso restringido**. También puede habilitar el control de acceso a la red después de haber creado su espacio de trabajo. Para obtener más información sobre el control de acceso a la red, consulte [Configuración del acceso a la red para un espacio de trabajo de Amazon Managed Grafana](AMG-configure-nac.md). 1. (Opcional) De forma predeterminada, Grafana gestionada por Amazon te proporciona automáticamente el cifrado en reposo y lo hace mediante claves AWS de cifrado propias. Sin embargo, como alternativa, tiene la opción de utilizar una clave gestionada por el cliente que cree, posea y gestione. Para obtener más información, consulte [Cifrado en reposo](AMG-encryption-at-rest.md). 1. Elija **Siguiente**. 1. Si eligió **Servicio gestionado**, elija **Cuenta corriente** para que Amazon Managed Grafana cree automáticamente políticas y permisos que le permitan leer los AWS datos solo de la cuenta corriente. Si vas a crear un espacio de trabajo en la cuenta de administración o una cuenta de administrador delegado en una organización, puedes elegir **Organización** para que Amazon Managed Grafana cree automáticamente políticas y permisos que le permitan AWS leer los datos de otras cuentas de las unidades organizativas que especifiques. Para obtener más información acerca de las cuentas de administradores delegados, consulte [Registro de un administrador delegado](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html). **nota** Crear recursos como los espacios de trabajo de Grafana gestionados por Amazon en la cuenta de administración de una organización va en contra de las mejores prácticas de AWS seguridad. 1. Si ha elegido **Organización** y se le pide que la active AWS CloudFormation StackSets, seleccione **Activar el acceso de confianza**. A continuación, añade las unidades AWS Organizations organizativas (OUs) de las que quieres que Amazon Managed Grafana lea los datos. De este modo, Amazon Managed Grafana puede leer los datos de todas las cuentas de cada OU que elija. 1. Si eligió **Organización**, elija **Orígenes de datos y canales de notificación (opcional)**. 1. Seleccione las fuentes AWS de datos que desee consultar en este espacio de trabajo. Seleccionar los orígenes de datos permite a Amazon Managed Grafana crear roles y permisos de IAM para que Amazon Managed Grafana pueda leer datos de dichos orígenes. Aún debe agregar los orígenes de datos en la consola del espacio de trabajo de Grafana. 1. (Opcional) Si quiere que las alertas de Grafana de este espacio de trabajo se envíen a un canal de notificaciones de Amazon Simple Notification Service (Amazon SNS), seleccione **Amazon SNS**. Esto permite a Amazon Managed Grafana crear una política de IAM para publicar en los temas de Amazon SNS de su cuenta con valores de `TopicName` que comiencen por `grafana`. Esto no configura completamente Amazon SNS como canal de notificaciones para el espacio de trabajo. Puede hacerlo en la consola de Grafana en el espacio de trabajo. 1. Elija **Siguiente**. 1. Confirme los detalles del espacio de trabajo y elija **Crear espacio de trabajo**. Se abrirá la página de detalles del espacio de trabajo. Inicialmente, el **estado** es **CREANDO**. **importante** Espere a que el estado sea **ACTIVO** antes de llevar a cabo una de las siguientes acciones: Completar la configuración de SAML, si está utilizando SAML. Asignar a los usuarios de IAM Identity Center acceso al espacio de trabajo, si utiliza IAM Identity Center. Puede que tenga que actualizar el navegador para ver el estado actual. 1. Si utiliza IAM Identity Center, haga lo siguiente: 1. En la pestaña **Autenticación**, elija **Asignar nuevo usuario o grupo**. 1. Seleccione la casilla de verificación situada junto al usuario al que quiere conceder acceso al espacio de trabajo y elija **Asignar usuario**. 1. Seleccione la casilla de verificación situada junto al usuario y elija **Hacer administrador**. **importante** Asigne al menos a un usuario como `Admin` a cada espacio de trabajo para iniciar sesión en la consola del espacio de trabajo de Grafana y administrar el espacio de trabajo. 1. Si utiliza SAML, haga lo siguiente: 1. En la pestaña **Autenticación**, en **Lenguaje de marcado para confirmaciones de seguridad (SAML)**, seleccione **Completar configuración**. 1. Para **Método de importación**, lleve a cabo una de las siguientes acciones: + Elija **URL** e ingrese la URL de los metadatos del IdP. + Elija **Cargar o copiar y pegar**. Si va a cargar los metadatos, seleccione **Elegir archivo** y elija el archivo de metadatos. O bien, si utiliza copiar y pegar, copie los metadatos en **Importar los metadatos**. 1. En **Rol de atributo de confirmación**, ingrese el nombre del atributo de aserción de SAML del que se va a extraer la información del rol. 1. Para **Valores de rol de administrador**, ingrese los roles de usuario de su IdP, a los que se les debería conceder el rol `Admin` en el espacio de trabajo de Amazon Managed Grafana, o seleccione **Quiero excluirme de la asignación de administradores a mi espacio de trabajo**. **nota** Si elige **Quiero excluirme de la asignación de administradores a mi espacio de trabajo**, no podrá usar la consola para administrar el espacio de trabajo, incluidas tareas como la administración de los orígenes de datos, los usuarios y los permisos del panel. Solo puede realizar cambios administrativos en el espacio de trabajo mediante Amazon Managed Grafana APIs. 1. (Opcional) Para ingresar ajustes de SAML adicionales, seleccione **Configuración adicional** y lleve a cabo una o varias de las siguientes acciones. Todos estos campos son opcionales. + En el caso de **Nombre de atributo de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres completos “descriptivos” de los usuarios de SAML. + En el caso de **Inicio de sesión de atributo de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres de inicio de sesión de los usuarios de SAML. + En el caso de **Email de atributo de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres de correo electrónico de los usuarios de SAML. + En el caso de **Duración de validez de inicio de sesión (en minutos)**, especifique cuánto tiempo es válido el inicio de sesión de un usuario de SAML antes de que el usuario deba volver a iniciar sesión. El valor predeterminado es 1 día y el máximo es 30 días. + En el caso de **Organización de atributos de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para el nombre “descriptivo” de las organizaciones de usuarios. + En el caso de **Grupos de atributos de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para el nombre “descriptivo” de los grupos de usuarios. + En el caso de **Organizaciones permitidas**, puede limitar el acceso de los usuarios únicamente a los usuarios que son miembros de determinadas organizaciones del IdP. Ingrese una o más organizaciones para permitirlas y sepárelas con comas. + En el caso de **Valores de rol del editor**, ingrese los roles de usuario de su IdP a los que se les debe conceder el rol `Editor` en el espacio de trabajo de Amazon Managed Grafana. Ingrese uno o más roles y sepárelos por comas. 1. Elija **Guardar la configuración de SAML**. 1. En la página de detalles del espacio de trabajo, elija la URL que aparece en **URL del espacio de trabajo de Grafana**. 1. Si elige la URL del espacio de trabajo, accederá a la página de destino de la consola del espacio de trabajo de Grafana. Realice una de las siguientes acciones: + Seleccione **Iniciar sesión con SAML** e ingrese el nombre y la contraseña. + Seleccione **Iniciar sesión con AWS IAM Identity Center** e introduzca la dirección de correo electrónico y la contraseña del usuario que creó anteriormente en este procedimiento. Estas credenciales solo funcionan si ha respondido al correo electrónico de Amazon Managed Grafana en el que se le pedía que creara una contraseña para IAM Identity Center. Ahora se encuentra en su espacio de trabajo de Grafana, o servidor lógico de Grafana. Puede empezar a agregar orígenes de datos para consultar, visualizar y analizar datos. Para obtener más información, consulte [Uso de su espacio de trabajo de Grafana](AMG-working-with-Grafana-workspace.md). Para obtener más información sobre las **sugerencia** Puede automatizar la creación de espacios de trabajo de Grafana gestionados por Amazon mediante. CloudFormation Para obtener información más detallada, consulte [Creación de recursos de Grafana gestionados por Amazon con AWS CloudFormation](creating-resources-with-cloudformation.md). # Autenticación de usuarios en los espacios de trabajo de Amazon Managed Grafana Autenticación del usuario Los usuarios individuales inician sesión en sus espacios de trabajo para editar y ver sus paneles. Puede asignar usuarios a sus espacios de trabajo y [darles permisos de usuario, editor o administrador](AMG-manage-users-and-groups-AMG.md). Para empezar, debe crear un proveedor de identidades (o utilizar uno existente) para autenticar a los usuarios. Los usuarios se autentican para usar la consola de Grafana en un espacio de trabajo de Amazon Managed Grafana mediante el inicio de sesión único con el proveedor de identidades de su organización, en lugar de mediante IAM. Cada espacio de trabajo puede usar uno o los siguientes métodos de autenticación: + Credenciales de usuario almacenadas en proveedores de identidad (IdPs) que admiten Security Assertion Markup Language 2.0 (SAML 2.0) + AWS IAM Identity Center. AWS Single-sign-on (**AWS SSO**) pasó a llamarse **IAM** Identity Center. Para cada uno de sus espacios de trabajo, puede usar SAML, IAM Identity Center o ambos. Si comienza utilizando un método, puede cambiar al otro. Debe conceder a sus usuarios (o grupos a los que pertenecen) permisos para acceder al espacio de trabajo antes de que puedan acceder a las funciones del espacio de trabajo. Para obtener más información sobre la concesión de permisos a sus usuarios, consulte [Administración del acceso de usuarios y grupos a los espacios de trabajo de Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md). **Topics** + [ # Uso de SAML con su espacio de trabajo de Amazon Managed Grafana ](authentication-in-AMG-SAML.md) + [ # Úsalo AWS IAM Identity Center con tu espacio de trabajo de Grafana gestionado por Amazon ](authentication-in-AMG-SSO.md) # Uso de SAML con su espacio de trabajo de Amazon Managed Grafana SAML **nota** Actualmente, Amazon Managed Grafana no admite el inicio de sesión iniciado por el IdP en los espacios de trabajo. Debe configurar sus aplicaciones de SAML con un estado de retransmisión vacío. Puede usar la autenticación SAML para usar su proveedor de identidades actual y ofrecer un inicio de sesión único para iniciar sesión en la consola de Grafana de sus espacios de trabajo de Amazon Managed Grafana. En lugar de autenticarse a través de IAM, la autenticación SAML para Amazon Managed Grafana permite utilizar proveedores de identidades de terceros a fin de iniciar sesión en Grafana, administrar el control de acceso, buscar sus datos y crear visualizaciones. Amazon Managed Grafana es compatible con los proveedores de identidad que utilizan el estándar SAML 2.0 y que han creado y probado aplicaciones de integración con Azure AD CyberArk, Okta y Ping Identity. OneLogin Para obtener información detallada acerca de cómo configurar la autenticación SAML durante la creación del espacio de trabajo, consulte [Creación de un espacio de trabajo](AMG-create-workspace.md#creating-workspace). En el flujo de autenticación SAML, un espacio de trabajo de Amazon Managed Grafana actúa como proveedor de servicios (SP) e interactúa con el IdP para obtener información del usuario. Para obtener más información sobre SAML, consulte [Security Assertion Markup Language](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language). Puede asignar grupos de su IdP a los equipos del espacio de trabajo de Amazon Managed Grafana y establecer permisos de acceso detallados para esos equipos. También puede asignar los roles de la organización definidos en el IdP a los roles del espacio de trabajo de Amazon Managed Grafana. Por ejemplo, si tiene un rol de **desarrollador** definido en el IdP, puede asignar ese rol al rol de **administrador de Grafana** en el espacio de trabajo de Amazon Managed Grafana. **nota** Cuando creas un espacio de trabajo de Grafana gestionado por Amazon que utiliza un IdP y un SAML para la autorización, debes iniciar sesión con un director de IAM que tenga la política adjunta. **AWSGrafanaAccountAdministrator** Para iniciar sesión en el espacio de trabajo de Amazon Managed Grafana, el usuario visita la página de inicio de la consola de Grafana del espacio de trabajo y selecciona **Iniciar sesión con SAML**. El espacio de trabajo lee la configuración de SAML y redirige al usuario al IdP para su autenticación. El usuario ingresa sus credenciales de inicio de sesión en el portal del IdP y, si es un usuario válido, el IdP emite una aserción de SAML y redirige al usuario de vuelta al espacio de trabajo de Amazon Managed Grafana. Amazon Managed Grafana verifica que la aserción de SAML sea válida y que el usuario haya iniciado sesión y pueda usar el espacio de trabajo. Amazon Managed Grafana admite los siguientes enlaces de SAML 2.0: + Del proveedor de servicios (SP) al proveedor de identidades (IdP): + Enlace HTTP-POST + Enlace de redireccionamiento HTTP + Del proveedor de identidades (IdP) al proveedor de servicios (SP): + Enlace HTTP-POST Amazon Managed Grafana admite aserciones firmadas y cifradas, pero no admite solicitudes firmadas o cifradas. Amazon Managed Grafana admite las solicitudes iniciadas por el SP y no admite las solicitudes iniciadas por el IdP. ## Asignación de aserciones Asignación de aserciones Durante el flujo de autenticación SAML, Amazon Managed Grafana recibe la devolución llamada del servicio de consumidor de aserciones (ACS). La devolución de llamada contiene toda la información pertinente del usuario que se está autenticando incrustada en la respuesta de SAML. Amazon Managed Grafana analiza la respuesta para crear (o actualizar) el usuario en su base de datos interna. Cuando Amazon Managed Grafana asigna la información del usuario, examina los atributos individuales de la aserción. Puede pensar en estos atributos como pares de clave-valor, aunque contienen más información que esa. Amazon Managed Grafana ofrece opciones de configuración para que pueda modificar las claves que debe buscar para estos valores. Puede utilizar la consola de Amazon Managed Grafana para asignar los siguientes atributos de aserción de SAML a valores de Amazon Managed Grafana: + En el caso de **Rol de atributo de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los roles de usuario. + En el caso de **Nombre de atributo de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres completos “descriptivos” de los usuarios de SAML. + En el caso de **Inicio de sesión de atributo de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres de inicio de sesión de los usuarios de SAML. + En el caso de **Email de atributo de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres de correo electrónico de los usuarios de SAML. + En el caso de **Organización de atributos de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para el nombre “descriptivo” de las organizaciones de usuarios. + En el caso de **Grupos de atributos de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para el nombre “descriptivo” de los grupos de usuarios. + En el caso de **Organizaciones permitidas**, puede limitar el acceso de los usuarios únicamente a los usuarios que son miembros de determinadas organizaciones del IdP. + En el caso de **Valores de rol del editor**, especifique los roles de usuario de su IdP a los que se les debe conceder el rol `Editor` en el espacio de trabajo de Amazon Managed Grafana. ## Conexión a su proveedor de identidades Los siguientes proveedores de identidades externos se han probado con Amazon Managed Grafana y proporcionan aplicaciones directamente en sus directorios o galerías de aplicaciones para ayudarlo a configurar Amazon Managed Grafana con SAML. **Topics** + [ ## Asignación de aserciones ](#AMG-SAML-Assertion-Mapping) + [ ## Conexión a su proveedor de identidades ](#authentication-in-AMG-SAML-providers) + [ # Configuración de Amazon Managed Grafana para usar Azure AD ](AMG-SAML-providers-Azure.md) + [ # Configure Grafana gestionada por Amazon para usar CyberArk ](AMG-SAML-providers-CyberArk.md) + [ # Configuración de Amazon Managed Grafana para usar Okta ](AMG-SAML-providers-okta.md) + [ # Configurar Amazon Managed Grafana para usar OneLogin ](AMG-SAML-providers-onelogin.md) + [ # Configuración de Amazon Managed Grafana para usar Ping Identity ](AMG-SAML-providers-pingone.md) # Configuración de Amazon Managed Grafana para usar Azure AD Azure AD Siga los pasos que se indican a continuación para configurar Amazon Managed Grafana para que utilice Azure Active Directory como proveedor de identidades. En estos pasos se supone que ya has creado tu espacio de trabajo de Grafana gestionado por Amazon y que has anotado el *ID* del espacio de trabajo *URLs*, y. *Región de AWS* ## Paso 1: Pasos que completar en Azure Active Directory Siga estos pasos en Azure Active Directory. **Configuración de Azure Active Directory como proveedor de identidades para Amazon Managed Grafana** 1. Inicie sesión en la consola de Azure como administrador. 1. Elija **Azure Active Directory**. 1. Elija **Aplicaciones Enterprise**. 1. Busca **Amazon Managed Grafana SAML2 2.0** y selecciónala. 1. Seleccione la aplicación y elija **Configuración**. 1. En la configuración de la aplicación de Azure Active Directory, elija **Usuarios y grupos**. 1. Asigne la aplicación a los usuarios y grupos que desee. 1. Elija **Single sign-on** (Inicio de sesión único). 1. Seleccione **Siguiente** para ir a la página de configuración de SAML. 1. Especifique la configuración de SAML: + En **Identificador (ID de entidad)**, pegue su URL de **identificador de proveedor de servicios** del espacio de trabajo de Amazon Managed Grafana. + En **URL de respuesta (URL de servicio del consumidor de aserción)**, pegue la **respuesta de su proveedor de servicios** desde el espacio de trabajo de Amazon Managed Grafana. + Asegúrese de que **Firmar aserción** esté seleccionada y que **Cifrar aserción** no esté seleccionada. 1. En la sección **Atributos de usuario y solicitudes**, asegúrese de que estos atributos estén asignados. Distinguen entre mayúsculas y minúsculas. + **mail** se establece con **user.userprincipalname**. + **displayName** se establece con **user.displayname**. + **Identificador de usuario único** se establece con **user.userprincipalname**. + Agregue cualquier otro atributo que desee transferir. Para obtener más información sobre los atributos que puede transferir a Amazon Managed Grafana en la asignación de aserciones, consulte [Asignación de aserciones](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping). 1. Copie la **URL de metadatos de SAML** para utilizarla en la configuración del espacio de trabajo de Amazon Managed Grafana. ## Paso 2: Pasos que completar en Amazon Managed Grafana Complete los siguientes pasos en la consola de Amazon Managed Grafana. **Finalización de la configuración de Azure Active Directory como proveedor de identidades con Amazon Managed Grafana** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. Elija el nombre del espacio de trabajo. 1. En la pestaña **Autenticación**, seleccione **Configurar SAML**. 1. En **Importar los metadatos**, seleccione **Cargar o copiar y pegar** y pegue la URL de Azure Active Directory que copió desde **URL de metadatos de SAML** en la sección anterior. 1. En **Mapeo de confirmación**, haga lo siguiente: + Asegúrese de que no esté seleccionada la opción **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**. **nota** Si elige **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**, no podrá usar la consola del espacio de trabajo de Amazon Managed Grafana para administrar el espacio de trabajo, incluidas tareas como la administración de los orígenes de datos, los usuarios y los permisos del panel. Solo puede realizar cambios administrativos en el espacio de trabajo mediante Grafana APIs. + Defina **Rol de atributo de confirmación** en el nombre de atributo que haya elegido. + Defina **Valores de rol de administrador** en un valor correspondiente a los roles de los usuarios administradores. + (Opcional) Si ha cambiado los atributos predeterminados en su aplicación de Azure Active Directory, expanda **Configuración adicional: opcional** y, a continuación, defina los nuevos nombres de los atributos. De forma predeterminada, el atributo **displayName** de Azure se transfiere al atributo **Name** y el atributo **mail** de Ping Identity se transfiere a los atributos **email** y **login**. 1. Elija **Guardar la configuración de SAML**. # Configure Grafana gestionada por Amazon para usar CyberArk CyberArk Sigue los siguientes pasos para configurar Grafana gestionada por Amazon para que se utilice CyberArk como proveedor de identidad. En estos pasos se supone que ya has creado tu espacio de trabajo de Grafana gestionado por Amazon y que has anotado el ID y la región del espacio de trabajo. URLs ## Paso 1: Pasos para completar CyberArk Complete los siguientes pasos en CyberArk. **Para configurarse CyberArk como proveedor de identidad para Amazon Managed Grafana** 1. Inicie sesión en el portal de administración de CyberArk identidades. 1. Elija **Aplicaciones**, **Aplicaciones web**. 1. Elija **Agregar aplicación web**. 1. **Busca **Grafana gestionada por Amazon para SAML2 3.0** y selecciona Añadir.** 1. En la configuración de la CyberArk aplicación, vaya a la sección **Confianza**. 1. En **Configuración del proveedor de identidades**, elija **Metadatos**. 1. Elija **Copiar URL** y guarde la URL para usarla más adelante en estos pasos. 1. En **Configuración del proveedor de servicios**, seleccione **Configuración manual**. 1. Especifique la configuración de SAML: + En **ID de entidad de SP**, pegue la URL de su **identificador de proveedor de servicios** del espacio de trabajo de Amazon Managed Grafana. + En **URL del Servicio de Consumidor de Aserción (ACS)**, pegue la **respuesta de su proveedor de servicios** desde el espacio de trabajo de Amazon Managed Grafana. + Defina **Firmar aserción de respuesta** como **Aserción**. + Asegúrese de que **Formato de NameID** sea **emailAddress**. 1. Seleccione **Save**. 1. En la sección **Respuesta de SAML**, asegúrate de que el atributo Grafana gestionado por Amazon esté **en Nombre de aplicación** y que CyberArk el atributo esté **en** Valor de atributo. Una vez hecho esto, asegúrese de que están asignados los siguientes atributos. Distinguen entre mayúsculas y minúsculas. + **DisplayName** **se establece con. LoginUser DisplayName**. + el **correo** se configura con **LoginUser.Email.** + Agregue cualquier otro atributo que desee transferir. Para obtener más información sobre los atributos que puede transferir a Amazon Managed Grafana en la asignación de aserciones, consulte [Asignación de aserciones](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping). 1. Seleccione **Save**. 1. En la sección **Permisos**, elija a qué usuarios y grupos desea asignar esta aplicación y, a continuación, seleccione **Guardar**. ## Paso 2: Pasos que completar en Amazon Managed Grafana Complete los siguientes pasos en la consola de Amazon Managed Grafana. **Para terminar de configurarse CyberArk como proveedor de identidad para Amazon Managed Grafana** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. Elija el nombre del espacio de trabajo. 1. En la pestaña **Autenticación**, seleccione **Configurar SAML**. 1. En **Importar los metadatos**, selecciona **Cargar o copia/pega y pega** la CyberArk URL que copiaste en el procedimiento anterior. 1. En **Mapeo de confirmación**, haga lo siguiente: + Asegúrese de que no esté seleccionada la opción **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**. **nota** Si elige **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**, no podrá usar la consola del espacio de trabajo de Amazon Managed Grafana para administrar el espacio de trabajo, incluidas tareas como la administración de los orígenes de datos, los usuarios y los permisos del panel. Solo puede realizar cambios administrativos en el espacio de trabajo mediante Grafana APIs. + Defina **Rol de atributo de confirmación** en el nombre de atributo que haya elegido. + Defina **Valores de rol de administrador** en un valor correspondiente a los roles de los usuarios administradores. + (Opcional) Si ha cambiado los atributos predeterminados en su CyberArk aplicación, expanda **Configuración adicional: opcional** y, a continuación, defina los nuevos nombres de los atributos. De forma predeterminada, el atributo **DisplayName** de CyberA se pasa al atributo de nombre y ** CyberArk **el**** atributo de correo se pasa a los atributos de correo electrónico **e** **inicio** de sesión. 1. Elija **Guardar la configuración de SAML**. # Configuración de Amazon Managed Grafana para usar Okta Okta Siga los pasos que se indican a continuación para configurar Amazon Managed Grafana para que utilice Okta como proveedor de identidades. En estos pasos se supone que ya has creado tu espacio de trabajo de Grafana gestionado por Amazon y que has anotado el ID y la región del espacio de trabajo. URLs ## Paso 1: Pasos que completar en Okta Siga estos pasos en Okta. **Configuración de Okta como proveedor de identidades con Amazon Managed Grafana** 1. Inicie sesión en la consola de Okta como administrador. 1. En el panel de navegación de la izquierda, elija **Aplicaciones**, **Aplicaciones**. 1. Seleccione **Navegar en el catálogo de aplicaciones** y busque **Amazon Managed Grafana**. 1. Elija **Amazon Managed Grafana** y seleccione **Agregar**, **Listo**. 1. Elija la aplicación para empezar a configurarla. 1. En la pestaña **Inicio de sesión**, seleccione **Editar**. 1. En **Configuración avanzada de inicio de sesión**, ingrese el ID de su espacio de trabajo de Amazon Managed Grafana y su región en los campos **Espacio de nombres** y **Región**, respectivamente. **El identificador y la región del espacio de trabajo de Grafana gestionado por Amazon se encuentran en la URL del espacio de trabajo de Grafana gestionado por Amazon, que tiene el formato .grafana-workspace. *workspace-id* *Region*.amazonaws.com.** 1. Seleccione **Save**. 1. En **SAML 2.0**, copie la URL de **Metadatos del proveedor de identidades**. Se utilizará más adelante en este procedimiento en la consola de Amazon Managed Grafana. 1. En la pestaña **Asignaciones**, elija las **personas** y los **grupos** que quiere que puedan usar Amazon Managed Grafana. ## Paso 2: Pasos que completar en Amazon Managed Grafana Complete los siguientes pasos en la consola de Amazon Managed Grafana. **Finalización de la configuración de Okta como proveedor de identidades con Amazon Managed Grafana** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. Elija el nombre del espacio de trabajo. 1. En la pestaña **Autenticación**, seleccione **Completar configuración**. 1. En **Importar los metadatos**, seleccione **Cargar o copiar y pegar** y pegue la URL de Okta que copió en el procedimiento anterior. 1. En **Mapeo de confirmación**, haga lo siguiente: + Asegúrese de que no esté seleccionada la opción **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**. **nota** Si elige **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**, no podrá usar la consola del espacio de trabajo de Amazon Managed Grafana para administrar el espacio de trabajo, incluidas tareas como la administración de los orígenes de datos, los usuarios y los permisos del panel. Solo puede realizar cambios administrativos en el espacio de trabajo mediante Grafana APIs. + Defina **Rol de atributo de confirmación** en el nombre de atributo que haya elegido. + Defina **Valores de rol de administrador** en un valor correspondiente a los roles de los usuarios administradores. + (Opcional) Si ha cambiado los atributos predeterminados en su aplicación de Okta, expanda **Configuración adicional: opcional** y, a continuación, defina los nuevos nombres de los atributos. De forma predeterminada, el atributo **displayName** de Okta se transfiere al atributo **name** y el atributo **mail** de Okta se transfiere a los atributos **email** y **login**. 1. Elija **Guardar la configuración de SAML**. # Configurar Amazon Managed Grafana para usar OneLogin OneLogin Sigue los siguientes pasos para configurar Grafana gestionada por Amazon para que se utilice OneLogin como proveedor de identidad. En estos pasos se supone que ya has creado tu espacio de trabajo de Grafana gestionado por Amazon y que has anotado el ID y la región del espacio de trabajo. URLs ## Paso 1: Pasos para completarlos OneLogin Complete los siguientes pasos en OneLogin. **Para configurarse OneLogin como proveedor de identidad para Amazon Managed Grafana** 1. Inicie sesión en el OneLogin portal como administrador. 1. Seleccione **Aplicaciones**, **Aplicaciones** y **Agregar aplicación**. 1. Busque **Amazon Managed Service para Grafana**. 1. Elija un **nombre para mostrar** y seleccione **Guardar**. 1. Vaya a **Configuración** e ingrese el ID del espacio de trabajo de Amazon Managed Grafana en **Espacio de nombres** e ingrese la región de su espacio de trabajo de Amazon Managed Grafana. 1. En la pestaña **Configuración**, ingrese la URL de su espacio de trabajo de Amazon Managed Grafana. 1. Si un administrador requiere un valor correspondiente en Amazon Managed Grafana, puede dejar el parámetro **adminRole** como el valor predeterminado **No predeterminado** y rellenarlo mediante la pestaña **Reglas**. En este ejemplo, el **rol del atributo de confirmación** se establecería en **adminRole** en Amazon Managed Grafana, con el valor true. Puede dirigir este valor a cualquier atributo de su inquilino. Haga clic en el signo **\$1** para agregar y configurar parámetros que se ajusten a los requisitos de su organización. 1. Seleccione la pestaña **Reglas**, elija **Agregar regla** y asigne un nombre a la regla. En el campo **Condiciones** (la declaración if), agregamos **El correo electrónico contiene [dirección de correo electrónico]**. **En el campo **Acciones** (la sentencia then), seleccionamos **Set AdminRole in Amazon Managed Service** y seleccionamos **Macro** en el menú desplegable **Set AdminRole** to, con el valor true.** Su organización puede elegir diferentes reglas para resolver diferentes casos de uso. 1. Seleccione **Save**. Vaya a **Más acciones** y seleccione **Volver a aplicar las asignaciones de derechos**. Debe volver a aplicar las asignaciones cada vez que cree o actualice las reglas. 1. Anote la **URL del emisor**, que utilizará más adelante en la configuración en la consola de Amazon Managed Grafana. A continuación, elija **Guardar**. 1. Elija la pestaña **Acceso** para asignar las OneLogin funciones que van a acceder a Amazon Managed Grafana y seleccione una política de seguridad de la aplicación. ## Paso 2: Pasos que completar en Amazon Managed Grafana Complete los siguientes pasos en la consola de Amazon Managed Grafana. **Para terminar de configurarse OneLogin como proveedor de identidad para Amazon Managed Grafana** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. Elija el nombre del espacio de trabajo. 1. En la pestaña **Autenticación**, seleccione **Configurar SAML**. 1. En **Importar los metadatos**, selecciona **Cargar o copia/pega** y pega la URL del OneLogin emisor que copiaste de la OneLogin consola en el procedimiento anterior. 1. En **Mapeo de confirmación**, haga lo siguiente: + Asegúrese de que no esté seleccionada la opción **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**. **nota** Si elige **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**, no podrá usar la consola del espacio de trabajo de Amazon Managed Grafana para administrar el espacio de trabajo, incluidas tareas como la administración de los orígenes de datos, los usuarios y los permisos del panel. Solo puede realizar cambios administrativos en el espacio de trabajo mediante Grafana APIs. + Defina **Rol de atributo de confirmación** en el nombre de atributo que haya elegido. El valor predeterminado OneLogin es **AdminRole**. + Defina **Valores de rol de administrador** en un valor correspondiente a los roles de los usuarios administradores. + (Opcional) Si ha cambiado los atributos predeterminados de la OneLogin aplicación, expanda **Configuración adicional: opcional** y, a continuación, defina los nuevos nombres de los atributos. De forma predeterminada, el atributo OneLogin **DisplayName** se pasa al atributo **name** y el atributo OneLogin **mail** se pasa a los atributos **email** e **login**. 1. Elija **Guardar la configuración de SAML**. # Configuración de Amazon Managed Grafana para usar Ping Identity Ping Identity Siga los pasos que se indican a continuación para configurar Amazon Managed Grafana para que utilice Ping Identity como proveedor de identidades. En estos pasos se supone que ya has creado tu espacio de trabajo de Grafana gestionado por Amazon y que has anotado el ID y la región del espacio de trabajo. URLs ## Paso 1: Pasos que completar en Ping Identity Siga estos pasos en Ping Identity. **Configuración de Ping Identity como proveedor de identidades con Amazon Managed Grafana** 1. Inicie sesión en la consola de Ping Identity como administrador. 1. Elija **Aplicaciones**. 1. Seleccione **Agregar aplicación**, **Buscar en el catálogo de aplicaciones**. 1. Busque la aplicación **Amazon Managed Grafana para SAML**, selecciónela y seleccione **Configuración**. 1. En la aplicación de Ping Identity, seleccione **Siguiente** para ir a la página de configuración de SAML. A continuación, aplique los siguientes ajustes de SAML: + En **Servicio de Consumidor de Aserción**, pegue la **URL de respuesta de su proveedor de servicios** desde el espacio de trabajo de Amazon Managed Grafana. + En **ID de entidad**, pegue el **identificador de su proveedor de servicios** del espacio de trabajo de Amazon Managed Grafana. + Asegúrese de que **Firmar aserción** esté seleccionada y que **Cifrar aserción** no esté seleccionada. 1. Elija **Continuar con el paso siguiente**. 1. En **Asignación de atributos de SSO**, asegúrese de que el atributo de Amazon Managed Grafana esté en el **atributo de la aplicación** y que el atributo de Ping Identity esté en el **atributo del puente de identidad**. A continuación, aplique los siguientes ajustes: + **mail** debe ser **Correo electrónico (trabajo)**. + **displayName** debe ser **Nombre para mostrar**. + **SAML\$1SUBJECT** debe ser **Correo electrónico (trabajo)**. A continuación, para este atributo, seleccione **Avanzado**, establezca **Formato de ID de nombre que se va a enviar a SP** en **urn:oasis:names:tc:SAML:2.0:nameid-format:transient** y seleccione **Guardar**. + Agregue cualquier otro atributo que desee transferir. + Agregue otros atributos que quiera transferir. Para obtener más información sobre los atributos que puede transferir a Amazon Managed Grafana en la asignación de aserciones, consulte [Asignación de aserciones](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping). 1. Elija **Continuar con el paso siguiente**. 1. En **Acceso a grupos**, elija a qué grupos desea asignar esta aplicación. 1. Elija **Continuar con el paso siguiente**. 1. Copie la **URL de metadatos de SAML** que comienza por `https://admin- api.pingone.com/latest/metadata/`. Se usará más adelante en la configuración. 1. Seleccione **Finalizar**. ## Paso 2: Pasos que completar en Amazon Managed Grafana Complete los siguientes pasos en la consola de Amazon Managed Grafana. **Finalización de la configuración de Ping Identity como proveedor de identidades con Amazon Managed Grafana** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. Elija el nombre del espacio de trabajo. 1. En la pestaña **Autenticación**, seleccione **Configurar SAML**. 1. En **Importar los metadatos**, seleccione **Cargar o copiar y pega** y pegue la URL de Ping que copió en el procedimiento anterior. 1. En **Mapeo de confirmación**, haga lo siguiente: + Asegúrese de que no esté seleccionada la opción **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**. **nota** Si elige **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**, no podrá usar la consola del espacio de trabajo de Amazon Managed Grafana para administrar el espacio de trabajo, incluidas tareas como la administración de los orígenes de datos, los usuarios y los permisos del panel. Solo puede realizar cambios administrativos en el espacio de trabajo mediante Grafana APIs. + Defina **Rol de atributo de confirmación** en el nombre de atributo que haya elegido. + Defina **Valores de rol de administrador** en un valor correspondiente a los roles de los usuarios administradores. + (Opcional) Si ha cambiado los atributos predeterminados en su aplicación de Ping Identity, expanda **Configuración adicional: opcional** y, a continuación, defina los nuevos nombres de los atributos. De forma predeterminada, el atributo **displayName** de Ping Identity se transfiere al atributo **name** y el atributo **mail** de Okta se transfiere a los atributos **email** y **login**. 1. Elija **Guardar la configuración de SAML**. # Úsalo AWS IAM Identity Center con tu espacio de trabajo de Grafana gestionado por Amazon IAM Identity Center Amazon Managed Grafana se integra AWS IAM Identity Center para proporcionar una federación de identidades a sus empleados. Mediante Amazon Managed Grafana y IAM Identity Center, se redirige a los usuarios al directorio de su empresa actual para que inicien sesión con sus credenciales actuales. Luego, inician sesión sin problemas en su espacio de trabajo de Amazon Managed Grafana. Esto garantiza que se apliquen los ajustes de seguridad, como las políticas de contraseñas y la autenticación en dos fases. El uso de IAM Identity Center no afecta a la configuración de IAM actual. Si no tiene un directorio de usuarios existente o prefiere no federarlo, IAM Identity Center ofrece un directorio de usuarios integrado que puede usar para crear usuarios y grupos para Amazon Managed Grafana. Amazon Managed Grafana no admite el uso de usuarios y roles de IAM para asignar permisos dentro de un espacio de trabajo de Amazon Managed Grafana. Para obtener más información sobre el Centro de identidad de IAM, consulte [Qué es](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). AWS IAM Identity Center Para obtener más información sobre los primeros pasos con IAM Identity Center, consulte [Introducción](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html). Para utilizar el Centro de identidad de IAM, también debe haber AWS Organizations activado la cuenta. Si es necesario, Amazon Managed Grafana puede activar Organizations por usted al crear su primer espacio de trabajo que esté configurado para usar IAM Identity Center. ## Permisos necesarios para los escenarios de IAM Identity Center En esta sección se explican las políticas necesarias para utilizar Amazon Managed Grafana con IAM Identity Center. Las políticas necesarias para administrar Amazon Managed Grafana varían en función de si su cuenta de AWS forma parte de una organización o no. ### Crear un administrador de Grafana en las cuentas AWS Organizations Para conceder permisos para crear y gestionar espacios de trabajo de Grafana gestionados por Amazon en una organización y permitir dependencias como, por ejemplo AWS IAM Identity Center, asignar las siguientes políticas a un rol. + Asigne la política de **AWSGrafanaAccountAdministrator**IAM para permitir la administración de los espacios de trabajo de Grafana gestionados por Amazon. + AWSSSODirectoryEl **administrador** permite que el rol utilice el Centro de identidad de IAM al configurar los espacios de trabajo de Grafana gestionados por Amazon. + Para permitir la creación y la gestión de espacios de trabajo de Grafana gestionados por Amazon en toda la organización, asigne a la función la **AWSSSOMasterAccountAdministrator**política de IAM. Como alternativa, asigne al rol la política de **AWSSSOMemberAccountAdministrator**IAM para permitir la creación y administración de espacios de trabajo dentro de una sola cuenta de miembro de la organización. + También puedes asignar al rol la política de **AWSMarketplaceManageSubscriptions**IAM (o permisos equivalentes) si quieres permitir que el rol actualice un espacio de trabajo de Grafana gestionado por Amazon a Grafana enterprise. Si quiere usar permisos administrados por el servicio al crear un espacio de trabajo de Amazon Managed Grafana , el rol que crea el espacio de trabajo también debe tener los permisos `iam:CreateRole`, `iam:CreatePolicy` y `iam:AttachRolePolicy`. Estos son necesarios CloudFormation StackSets para implementar políticas que te permitan leer las fuentes de datos en las cuentas de la organización. **importante** Otorgar a un usuario los permisos `iam:CreateRole`, `iam:CreatePolicy` e `iam:AttachRolePolicy` proporciona a ese usuario acceso administrativo a su cuenta de AWS . Por ejemplo, un usuario con estos permisos puede crear una política que tenga permisos completos para todos los recursos y asociarla a cualquier rol. Sea muy cauteloso en lo referente a la persona a la que concede estos permisos. Para ver los permisos concedidos a **AWSGrafanaAccountAdministrator**, consulte [AWS política gestionada: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) ### Creación y administración de espacios de trabajo y usuarios de Amazon Managed Grafana en una única cuenta independiente Una AWS cuenta independiente es una cuenta que no es miembro de una organización. Para obtener más información al respecto AWS Organizations, consulte [¿Qué es? AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) Para conceder permiso para crear y administrar espacios de trabajo y usuarios de Amazon Managed Grafana en una cuenta independiente, asigne las siguientes políticas de IAM a un rol: + **AWSGrafanaAccountAdministrator** + **AWSSSOMasterAccountAdministrator** + **AWSOrganizationsFullAccess** + **AWSSSODirectoryAdministrador** **importante** Al conceder un rol, la **AWSOrganizationsFullAccess**política otorga a ese rol acceso administrativo total a su AWS cuenta. Sea muy cauteloso en lo referente a la persona a la que concede estos permisos. Para ver los permisos concedidos a **AWSGrafanaAccountAdministrator**, consulta [AWS política gestionada: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) # Actualización de la versión de su espacio de trabajo Versión de Grafana Puede actualizar su espacio de trabajo de Amazon Managed Grafana a una versión más reciente de Grafana en la consola de Amazon Managed Grafana de dos maneras. **nota** Solo puede actualizar la versión a una versión más reciente de Grafana. No puede cambiar a una versión anterior de Grafana. La actualización de su versión de Grafana no actualizará los complementos que están instalados en su espacio de trabajo. Es posible que tenga que actualizar individualmente los complementos que no sean compatibles con la nueva versión de Grafana. Para obtener más información sobre cómo ver y administrar los complementos, consulte [Búsqueda de complementos con el catálogo de complementos](grafana-plugins.md#plugin-catalog). Para obtener una lista de los cambios de cada versión, consulte [Diferencias entre las versiones de Grafana](version-differences.md). **Opción 1: Actualizar la versión de la lista de espacios de trabajo** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana). 1. En el panel de navegación de la izquierda, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. En la fila que contiene los detalles del espacio de trabajo que desea actualizar, seleccione **Actualizar versión**. Solo los espacios de trabajo que puedan actualizarse incluirán esta opción. **aviso** El proceso de actualización es irreversible y no se puede pausar ni cancelar. Recomendamos probar la versión más reciente en un entorno que no sea de producción antes de actualizar un espacio de trabajo de producción. Durante una actualización, no puede hacer cambios en el espacio de trabajo. 1. Elija un número de versión en el menú desplegable de la pantalla **Actualizar versión** y haga clic en **Actualizar** para confirmarlo. 1. Compruebe periódicamente el estado de la actualización en la pestaña **Espacios de trabajo**. Este proceso de actualización puede tardar hasta 10 minutos. Durante este proceso, el espacio de trabajo estará en modo de “solo lectura”. Aparecerá un banner de actualización para indicar si la actualización de su espacio de trabajo se ha completado correctamente o no. Si la actualización ha fallado, siga las acciones descritas en el banner e inténtelo de nuevo. **Opción 2: Actualizar la versión desde la página de resumen del espacio de trabajo** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana). 1. En el panel de navegación de la izquierda, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. Elija el hipervínculo **Nombre del espacio de trabajo** que desee actualizar. Solo los espacios de trabajo que puedan actualizarse incluirán esta opción. 1. Seleccione el mensaje **Actualizar versión** en el bloque **Resumen**. **aviso** El proceso de actualización es irreversible y no se puede pausar ni cancelar. Recomendamos probar la versión más reciente en un entorno que no sea de producción antes de actualizar un espacio de trabajo de producción. Durante una actualización, no puede hacer cambios en el espacio de trabajo. 1. Elija un número de versión en el menú desplegable de la pantalla **Actualizar versión** y haga clic en **Actualizar** para confirmarlo. 1. Compruebe periódicamente el estado de la actualización en la pestaña **Espacios de trabajo**. Este proceso de actualización puede tardar hasta 10 minutos. Durante este proceso, el espacio de trabajo estará en modo de “solo lectura”. Aparecerá un banner de actualización para indicar si la actualización de su espacio de trabajo se ha completado correctamente o no. Si la actualización ha fallado, siga las acciones descritas en el banner e inténtelo de nuevo. **nota** También puedes actualizar la versión mediante la [UpdateWorkspaceConfiguration](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspaceConfiguration.html)operación de la API de Grafana gestionada por Amazon. Si tiene problemas con su espacio de trabajo actualizado, consulte [Solución de problemas con los espacios de trabajo actualizados](AMG-workspace-version-update-troubleshoot.md). # Solución de problemas con los espacios de trabajo actualizados El espacio de trabajo actualizado debería seguir funcionando después de la actualización. Esta sección puede ayudarlo a localizar posibles problemas con la actualización. + **Diferencias entre las versiones.** Algunas funciones han cambiado de una versión a otra. + Para obtener una lista de los principales cambios entre versiones, incluidos los cambios que pueden provocar problemas de funcionalidad, consulte [Diferencias entre las versiones de Grafana](version-differences.md). + Para obtener documentación sobre las funciones específicas de la versión 9, consulte [Uso de la versión 9 de Grafana](using-grafana-v9.md). Para la versión 10, consulte [Uso de la versión 10 de Grafana](using-grafana-v10.md). + **Problema de TLS en PostgreSQL** Si el **modo TLS/SSL** estaba configurado como `require` en la versión 8 y solo utilizaba un certificado raíz, podrían producirse problemas con TLS o el certificado con el origen de datos de PostgreSQL tras la actualización. Modifique la configuración de TLS para su origen de datos de PostgreSQL (disponible en el menú lateral del espacio de trabajo de Grafana, seleccionando el icono de **Configuración** y, a continuación, **Orígenes de datos**). + Cambie **Modo TLS/SSL** a `verify-ca`. + Establezca **Método TLS/SSL** en `Certificate content`. + Establezca **Certificado raíz** en el certificado raíz de su servidor de base de datos de PostgreSQL. Este es el único campo en el que debe ingresar un certificado. # Administración del acceso a los complementos empresariales Complementos empresariales Puede utilizar la consola de Amazon Managed Grafana para gestionar su espacio de trabajo y obtener acceso a los complementos empresariales. La actualización le da acceso a complementos empresariales con soporte para fuentes de datos de una variedad de proveedores de software independientes de terceros (ISVs), incluida la lista siguiente. Una licencia Enterprise también le da acceso a los servicios de consultoría y soporte de [Grafana Labs](https://grafana.com). **Los orígenes de datos empresariales disponibles con los complementos de Amazon Managed Grafana Enterprise incluyen lo siguiente:** + AppDynamics + Databricks + Datadog + Dynatrace + GitLab + Honeycomb + Jira + MongoDB + New Relic + Oracle Database + Salesforce + SAP/HANA + ServiceNow + Snowflake + Splunk + Splunk Infrastructure Monitoring (anteriormente SignalFx) + Wavefront Para obtener más información sobre los complementos de orígenes de datos empresariales disponibles al actualizar, consulte [Conexión con orígenes de datos de Enterprise](AMG-data-sources-enterprise.md). Se pueden agregar complementos nuevos en cualquier momento. Para obtener una lista completa y actualizada, puede utilizar el [catálogo de complementos](grafana-plugins.md#manage-plugins) de su espacio de trabajo de Amazon Managed Grafana. Cuando crea un espacio de trabajo, de manera predeterminada, este no tiene acceso a los complementos empresariales, pero puede actualizarlo en cualquier momento. Si quiere tener varios espacios de trabajo de Amazon Managed Grafana con complementos empresariales, debe actualizar cada uno de estos. Puede administrar su licencia de complementos empresariales, lo que incluye la adición o eliminación de acceso a través de la página **Administración de Amazon Managed Grafana Empresarial**. El proceso de administración del acceso a los complementos empresariales de Amazon Managed Grafana ha cambiado. Si lo utilizaste anteriormente AWS Marketplace, puede que te interese el [Preguntas frecuentes para usuarios AWS Marketplace de Enterprise](AMG-ws-mp-license-faq.md) tema. **Topics** + [ # Administración de su acceso a los complementos de Amazon Managed Grafana Enterprise ](AMG-workspace-manage-enterprise.md) + [ # Vinculación de su cuenta con Grafana Labs ](AMG-workspace-register-enterprise.md) + [ # Preguntas frecuentes para usuarios AWS Marketplace de Enterprise ](AMG-ws-mp-license-faq.md) # Administración de su acceso a los complementos de Amazon Managed Grafana Enterprise Administración del acceso a los complementos de Enterprise **Administración del acceso a los complementos de Enterprise** 1. [Abre la consola de Amazon Managed Grafana en https://console.aws.amazon.com /grafana.](https://console.aws.amazon.com/grafana) 1. En el panel de navegación de la izquierda, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. Puede ver la lista de espacios de trabajo. Para cada espacio de trabajo, en las columnas **Licencias de Enterprise** se muestra el tipo de licencia que tiene el espacio de trabajo (sin licencia o la licencia de **complementos de Enterprise**). 1. Seleccione el nombre del espacio de trabajo cuya licencia desea administrar. Esto abre la página de detalles de ese espacio de trabajo. 1. En el resumen, en **Licencia Enterprise**, seleccione **Administrar** o **Actualizar a Amazon Managed Grafana Enterprise** (solo hay una opción disponible, según el estado actual de la licencia Enterprise). Se abrirá la página **Administrar Amazon Managed Grafana Enterprise**. Puede elegir entre dos opciones. La opción activa está marcada con **(actual)**. + **Ninguna**: esta es la opción para eliminar o no tener una licencia de Amazon Managed Grafana Enterprise. Si actualmente tiene una licencia Enterprise, si selecciona esta opción para su espacio de trabajo, se elimina inmediatamente el acceso a los complementos de Enterprise al guardarlos. + **Complementos de Enterprise**: esto le permite instalar cualquier complemento de Enterprise en su espacio de trabajo, además de dar acceso a los servicios de consultoría y soporte de [Grafana Labs](https://grafana.com). La instalación de complementos de Enterprise en su espacio de trabajo le da acceso a [orígenes de datos](AMG-data-sources-enterprise.md) adicionales. La primera vez que elijas esta opción, deberás vincularte Cuenta de AWS con un token de Grafana Labs y se te pedirá que lo hagas. Para obtener más información, consulte la siguiente sección, [Vinculación de su cuenta con Grafana Labs](AMG-workspace-register-enterprise.md). El acceso al complemento de Amazon Managed Grafana Enterprise incluye tarifas de usuario que se suman a los precios de Amazon Managed Grafana. Para obtener información detallada sobre las tarifas, consulte la página [Precios de Amazon Managed Grafana](https://aws.amazon.com/grafana/pricing/). 1. Después de hacer la selección, seleccione **Guardar** para continuar. # Vinculación de su cuenta con Grafana Labs Vinculación con Grafana Labs Los espacios de trabajo actualizados a los complementos de Amazon Managed Grafana Enterprise obtienen acceso al soporte y la consultoría de Grafana Labs. Para acceder a esta función, Cuenta de AWS debe estar vinculada a un token de cuenta de Grafana Labs. Registra su cuenta de Grafana Labs nueva o existente AWS al [actualizar a una licencia Enterprise](AMG-workspace-manage-enterprise.md). **nota** Solo necesita registrar el token de su cuenta de Grafana Labs una vez por región. Si su cuenta estaba vinculada anteriormente (por ejemplo, al actualizar un espacio de trabajo diferente de la región para acceder a los complementos de Enterprise), no se le pedirá que vuelva a vincularla. La vinculación consiste en obtener un token de una cuenta de Grafana Labs que se utiliza en Amazon Managed Grafana para registrar la cuenta. Puede utilizar una cuenta nueva de Grafana Labs o utilizar una existente. Le recomendamos que copie y guarde su token de Grafana Labs en un lugar seguro y práctico para usarlo en el futuro. **Vinculación de su cuenta con Grafana Labs** 1. Siga las instrucciones que se describen en [Administración de su acceso a los complementos de Amazon Managed Grafana Enterprise](AMG-workspace-manage-enterprise.md) para actualizar su cuenta y poder acceder a los complementos de Enterprise. Durante el proceso de actualización, se le solicitará que vincule su cuenta agregando un token. 1. Si ya lo tiene, puede ingresarlo directamente. Si no lo tiene, seleccione **Obtenga su token**. De esta forma, se abre el [sitio web de Grafana Labs](https://grafana.com/partners/amg/support) en una nueva pestaña del navegador. Desde el sitio web de Grafana Labs, puede iniciar sesión en su cuenta de Grafana Labs (o crear una nueva) y obtener un token. 1. Tras copiar el token, vuelva a la pestaña o ventana del navegador de Amazon Managed Grafana. Ingrese el token en la sección **Token de Grafana Labs**. 1. Ahora puede elegir **Guardar** para completar la actualización. **Reutilización de su token con otros espacios de trabajo** Si ya ha registrado su cuenta de Grafana Labs y se le pide un token de Grafana Labs (por ejemplo, al actualizar un espacio de trabajo en otra región), puede usar el mismo token para registrarse cada vez, de modo que no tenga que crear una nueva cuenta de Grafana Labs. Si no ha guardado su token, es posible que pueda recuperarlo de una de las siguientes maneras: + **Puedes obtener el token buscándolo en tu cuenta de Grafana Labs, yendo a [https://grafana.com/partners/amg/support](https://grafana.com/partners/amg/support) y seleccionando Mi cuenta.** + Puedes obtener el token de un espacio de trabajo existente y ya vinculado mediante la [DescribeWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DescribeWorkspace.html)API para recuperarlo. + Si el token ya no está disponible para usted a través de ninguno de esos métodos, debe [ponerse en contacto con el soporte de Grafana Labs](https://grafana.com/contact). # Preguntas frecuentes para usuarios AWS Marketplace de Enterprise Anteriormente, es posible que haya comprado una licencia para Grafana Enterprise a través de. AWS Marketplace Ya no puede comprar nuevas licencias ni renovar ninguna licencia que haya adquirido anteriormente a través AWS Marketplace de ella. AWS Marketplace Las siguientes preguntas frecuentes pueden ayudarle en función del estado de su AWS Marketplace licencia. ## Me suscribí a una prueba gratuita de 30 días desde AWS Marketplace, pero no la he asociado a mi espacio de trabajo. ¿Puedo aplicarla ahora? No. Las versiones de prueba gratuitas ya no son compatibles con Amazon Managed Grafana. ## He comprado una prueba gratuita de AWS Marketplace 30 días en y ya la he asociado a mi espacio de trabajo. ¿Qué pasará con mi versión de prueba? La versión de prueba gratuita continuará hasta que caduque. Si desea actualizar y usar los complementos de Enterprise, puede hacerlo a través de la consola de Amazon Managed Grafana, como se describe en la sección anterior. ## Tengo una licencia de AWS Marketplace pago que aún no ha caducado, pero quiero usar los complementos empresariales gestionados por Amazon Managed Grafana. ¿Cómo lo hago? Mientras tengas una AWS Marketplace licencia vigente, solo podrás asociarla a tus espacios de trabajo. Solo podrás realizar la actualización en la consola de Grafana gestionada por AWS Marketplace Amazon cuando tu AWS Marketplace licencia caduque (o la canceles). En las siguientes preguntas y respuestas se proporciona más información. ## Compré una licencia completa de Grafana Enterprise AWS Marketplace y la asocié a uno o más espacios de trabajo. ¿Qué pasará con ellos? Cuando su licencia caduque (pasados 30 días, a menos que tenga activada la renovación automática), todos los orígenes de datos de Enterprise que utilice en su espacio de trabajo dejarán de funcionar. Si desea seguir utilizando orígenes de datos de Enterprise, puede [actualizarlos para utilizar complementos de Enterprise](AMG-workspace-manage-enterprise.md) directamente desde la consola de Amazon Managed Grafana. ## Parece que habrá un tiempo de inactividad asociado a la caducidad de mi licencia, por lo que mi espacio de trabajo no podrá acceder a ningún complemento de Enterprise. ¿Cómo lo puedo evitar? Al cambiar a la nueva licencia de complementos de Enterprise, se producirá un tiempo de inactividad asociado a la caducidad de la licencia. Sin embargo, esto se puede minimizar. **nota** Los siguientes pasos deben seguirse con precisión para minimizar el tiempo de inactividad. Le recomendamos que los lea atentamente antes de empezar. Para obtener el nuevo [precio](https://aws.amazon.com/grafana/pricing), le recomendamos que actualice a los complementos de Grafana Enterprise gestionados por Amazon, en lugar de seguir utilizando la AWS Marketplace licencia. **Para cambiar de la licencia AWS Marketplace Enterprise a los complementos de Grafana Enterprise gestionados por Amazon y, al mismo tiempo, minimizar el tiempo de inactividad.** 1. Para prepararse, primero vaya al [sitio web de Grafana Labs](https://grafana.com/partners/amg/support) e inicie sesión en su cuenta (o cree una nueva). Obtenga su token de Grafana Labs que utilizará más adelante en el proceso. Para obtener más información de esta parte del proceso, consulte [Vinculación de su cuenta con Grafana Labs](AMG-workspace-register-enterprise.md). 1. Inicie sesión en la [consola de AWS Marketplace](https://console.aws.amazon.com/marketplace/) y seleccione **Administrar suscripciones** en el menú de la izquierda. 1. Busque la suscripción a la que quiere cambiar y seleccione **Administrar**. Aparecerán los detalles de su suscripción. **nota** En esta página se muestra la fecha de finalización del servicio. Puede esperar hasta que se acerque esa fecha para continuar con estos pasos y maximizar el uso de su suscripción actual antes de cancelarla. 1. Elija **Acciones** y después **Cancelar suscripción**. Esto cancela su suscripción en AWS Marketplace. Sin embargo, puede seguir utilizando los orígenes de datos de Enterprise hasta que Amazon Managed Grafana retire automáticamente su licencia al final del día (hora local de su espacio de trabajo). Para obtener más información sobre la cancelación de suscripciones AWS Marketplace, consulte [Cancelar la suscripción de un producto](https://docs.aws.amazon.com/marketplace/latest/buyerguide/cancel-subscription.html) en la Guía del *AWS Marketplace comprador*. 1. Una vez cancelada tu suscripción AWS Marketplace, cancélala en Amazon Managed Grafana: 1. Inicie la sesión en la [consola de Amazon Managed Grafana](https://console.aws.amazon.com/grafana). 1. En el menú de la izquierda, seleccione **Todos los espacios de trabajo**. 1. Seleccione el nombre del espacio de trabajo al que va a cambiar. 1. En **Licencia Enterprise**, seleccione **Administrar**. 1. Seleccione **Ninguno** y, a continuación, **Guardar**. Esto eliminará la AWS Marketplace licencia de Grafana gestionada por Amazon Cuando se retire la licencia Enterprise, ya no podrá acceder a los complementos de Enterprise de su espacio de trabajo. 1. Ahora puede completar la actualización en la consola de Amazon Managed Grafana. Siga las instrucciones del tema [Administración de su acceso a los complementos de Amazon Managed Grafana Enterprise](AMG-workspace-manage-enterprise.md) con el token de Grafana Labs que creó en el primer paso. **nota** Su espacio de trabajo no podrá acceder a los orígenes de datos de Enterprise desde el momento en que cancele la licencia en Amazon Managed Grafana hasta que actualice para acceder a los complementos de Enterprise. Esto suele tardar entre 10 y 15 minutos, pero puede tardar más, según la rapidez con la que lleve a cabo estos pasos. Asegurarse de tener listo el token de Grafana Labs minimizará este tiempo. ## Tengo una AWS Marketplace licencia con renovación automática. ¿Seguirá funcionando? Sí. La AWS Marketplace suscripción está retirada y no puedes renovarla manualmente, pero si tenías configurada la renovación automática, continuará hasta que la desactives. Cuando lo haga, podrá completar la actualización siguiendo las instrucciones de las respuestas anteriores. Para obtener el nuevo [precio](https://aws.amazon.com/grafana/pricing), le recomendamos que actualice a los complementos de Grafana Enterprise gestionados por Amazon, en lugar de seguir utilizando la AWS Marketplace licencia. ## Tengo una AWS Marketplace licencia que aún no he asociado a un espacio de trabajo, ¿puedo usarla? Sí, puedes asociar esa AWS Marketplace licencia y usarla hasta que caduque. Esto ocurrirá en un plazo de 30 días, a menos que haya activado la renovación automática. Consulte las preguntas y respuestas anteriores para obtener más información. # Migración de contenido entre los espacios de trabajo de Amazon Managed Grafana Migración de contenido entre espacios de trabajo Hay ocasiones en las que quiere migrar su contenido (incluidos los orígenes de datos, los paneles, las carpetas y las reglas de alerta) de un espacio de trabajo a otro. Por ejemplo, está migrando de una instancia de Grafana en las instalaciones a un espacio de trabajo de Amazon Managed Grafana y desea migrar el contenido existente al nuevo espacio de trabajo. Amazon Managed Grafana no admite directamente la migración de contenido entre espacios de trabajo; sin embargo, AWS proporciona una utilidad de migración de código abierto que puede administrar este escenario al proporcionar funciones de exportación e importación dentro de un espacio de trabajo o una instancia de Grafana. Esta utilidad se denomina **Amazon Managed Grafana Migrator**. Para obtener más información, consulte [Amazon Managed Grafana Migrator](https://github.com/aws-observability/amazon-managed-grafana-migrator) en. GitHub # Administración del acceso de usuarios y grupos a los espacios de trabajo de Amazon Managed Grafana Acceso de usuarios a espacios de trabajo Acceda a los espacios de trabajo de Amazon Managed Grafana con usuarios configurados en su proveedor de identidades (IdP) o AWS IAM Identity Center. Debe conceder a esos usuarios (o grupos a los que pertenezcan) permisos para acceder al espacio de trabajo. Puede concederles los permisos `User`, `Editor` o `Admin`. ## Concesión de permisos a un usuario o grupo **Requisitos previos** + Para conceder a un usuario o un grupo de usuarios acceso a los espacios de trabajo de Amazon Managed Grafana, el usuario o grupo debe aprovisionarse primero en un proveedor de identidades (IdP) o en AWS IAM Identity Center. Para obtener más información, consulte [Autenticación de usuarios en los espacios de trabajo de Amazon Managed Grafana](authentication-in-AMG.md). + Para administrar el acceso de usuarios y grupos, debe iniciar sesión como usuario que tenga la política AWS Identity and Access Management (IAM) **AWSGrafanaWorkspacePermissionManagementV2** o permisos equivalentes. Si administra usuarios con el Centro de identidad de IAM, también debe tener las **AWSSSOMemberAccountAdministrator**políticas de **AWSSSODirectoryReadOnly**IAM o permisos equivalentes. Para obtener más información, consulte [Asignación a los usuarios de acceso a Amazon Managed Grafana y anulación de la asignación](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users). **Administración del acceso de los usuarios a un espacio de trabajo de Grafana mediante la consola de Amazon Managed Grafana** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación de la izquierda, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. Elija el nombre del espacio de trabajo que desea administrar. 1. Seleccione la pestaña **Autenticación**. 1. Si utiliza IAM Identity Center en este espacio de trabajo, elija **Configurar usuarios y grupos de usuarios** y lleve a cabo una o varias de las siguientes acciones: + Para conceder a un usuario acceso al espacio de trabajo de Amazon Managed Grafana, seleccione la casilla de verificación situada junto al usuario y seleccione **Asignar usuario**. + Para convertir a un usuario en `Admin` del espacio de trabajo, seleccione **Hacer administrador**. + Para eliminar el acceso de un usuario al espacio de trabajo, seleccione **Anular la asignación de usuario**. + Para agregar grupos de usuarios, como un grupo de LDAP, seleccione la pestaña **Grupos de usuarios asignados**. A continuación, lleve a cabo alguna de las operaciones siguientes: + Para conceder a todos los miembros de un grupo acceso al espacio de trabajo de Amazon Managed Grafana, seleccione la casilla de verificación situada junto al grupo y seleccione **Asignar grupo**. + Para conceder a todos los miembros de un grupo el rol `Admin` en el espacio de trabajo, seleccione **Hacer administrador**. + Para eliminar el acceso al espacio de trabajo para todos los miembros de un grupo, seleccione **Anular la asignación del grupo**. **nota** Si utiliza IAM Identity Center para administrar los usuarios, utilice la consola de IAM Identity Center únicamente para aprovisionar nuevos usuarios y grupos. Usa la consola de Grafana gestionada por Amazon o APIs para conceder o eliminar el acceso a tus espacios de trabajo de Grafana. Si IAM Identity Center y Amazon Managed Grafana no están sincronizados, se le presenta la opción de **resolver** cualquier conflicto. Para obtener más información, consulte [Errores de discrepancia de permisos al configurar usuarios y grupos](#AMG-manage-users-and-groups-mismatch) más abajo. 1. Si utiliza SAML en este espacio de trabajo, elija **Configuración de SAML** y lleve a cabo una o varias de las siguientes acciones: + Para **Método de importación**, lleve a cabo una de las siguientes acciones: + Elija **URL** e ingrese la URL de los metadatos del IdP. + Elija **Cargar o copiar y pegar**. Si va a cargar los metadatos, seleccione **Elegir archivo** y elija el archivo de metadatos. O bien, si utiliza copiar y pegar, copie los metadatos en **Importar los metadatos**. + En **Rol de atributo de confirmación**, ingrese el nombre del atributo de aserción de SAML del que se va a extraer la información del rol. + Para **Valores de rol de administrador**, ingrese los roles de usuario de su IdP, a los que se les debería conceder el rol `Admin` en el espacio de trabajo de Amazon Managed Grafana, o seleccione **Quiero excluirme de la asignación de administradores a mi espacio de trabajo**. **nota** Si elige **Quiero excluirme de la asignación de administradores en mi espacio de trabajo**, no podrá usar la consola de Amazon Managed Grafana para administrar el espacio de trabajo, incluidas tareas como la administración de los orígenes de datos, los usuarios y los permisos del panel. Solo puede realizar cambios administrativos en el espacio de trabajo mediante Amazon Managed Grafana APIs. + (Opcional) Para ingresar ajustes de SAML adicionales, seleccione **Configuración adicional** y lleve a cabo una o varias de las siguientes acciones y elija **Guardar la configuración de SAML**. Todos estos campos son opcionales. + En el caso de **Nombre de atributo de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres completos “descriptivos” de los usuarios de SAML. + En el caso de **Inicio de sesión de atributo de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres de inicio de sesión de los usuarios de SAML. + En el caso de **Email de atributo de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para los nombres de correo electrónico de los usuarios de SAML. + En el caso de **Duración de validez de inicio de sesión (en minutos)**, especifique cuánto tiempo es válido el inicio de sesión de un usuario de SAML antes de que el usuario deba volver a iniciar sesión. + En el caso de **Organización de atributos de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para el nombre “descriptivo” de las organizaciones de usuarios. + En el caso de **Grupos de atributos de confirmación**, especifique el nombre del atributo de la aserción de SAML que se va a utilizar para el nombre “descriptivo” de los grupos de usuarios. + En el caso de **Organizaciones permitidas**, puede limitar el acceso de los usuarios únicamente a los usuarios que son miembros de determinadas organizaciones del IdP. Ingrese una o más organizaciones para permitirlas y sepárelas con comas. + En el caso de **Valores de rol del editor**, ingrese los roles de usuario de su IdP a los que se les debe conceder el rol `Editor` en el espacio de trabajo de Amazon Managed Grafana. Ingrese uno o más roles y sepárelos por comas. 1. Para agregar grupos de usuarios, como un grupo de LDAP, también puede seleccionar la pestaña **Grupos de usuarios**. A continuación, lleve a cabo alguna de las operaciones siguientes: + Para conceder a todos los miembros de un grupo acceso al espacio de trabajo de Amazon Managed Grafana, seleccione la casilla de verificación situada junto al grupo y seleccione **Asignar grupo**. + Para conceder a todos los miembros de un grupo el rol `Admin` en el espacio de trabajo, seleccione **Hacer administrador**. + Para eliminar el acceso al espacio de trabajo para todos los miembros de un grupo, seleccione **Anular la asignación del grupo**. ## Errores de discrepancia de permisos al configurar usuarios y grupos Errores de discrepancia de permisos Es posible que se produzcan errores de discrepancia al configurar usuarios y grupos en la consola de Amazon Managed Grafana. Esto indica que Amazon Managed Grafana y IAM Identity Center no están sincronizados. En este caso, Amazon Managed Grafana muestra una advertencia y una opción para **resolver** la discrepancia. Si elige **Resolver**, Amazon Managed Grafana mostrará un cuadro de diálogo con una lista de usuarios que tienen permisos que no están sincronizados. Los usuarios que se han eliminado de IAM Identity Center aparecen como `Unknown user`, con un ID numérico en el cuadro de diálogo. Para estos usuarios, la única forma de corregir la discrepancia es elegir **Resolver** y eliminar sus permisos. Los usuarios que siguen en IAM Identity Center, pero que ya no pertenecen a un grupo con los derechos de acceso que tenían anteriormente, aparecen con su nombre de usuario en la lista **Resolver**. Existen dos maneras de resolver este problema. Puede utilizar el cuadro de diálogo **Resolver** para eliminar o reducir su acceso, o bien puede concedérselo siguiendo las instrucciones de la sección anterior. ## Preguntas frecuentes sobre discrepancias de permisos Preguntas frecuentes de discrepancias de permisos **¿Por qué aparece un error que indica una discrepancia en los permisos en la sección **Configurar usuarios y grupos** de la consola de Amazon Managed Grafana?** Está viendo este mensaje porque se ha identificado una discrepancia en las asociaciones de usuarios y grupos de IAM Identity Center y en los permisos de Amazon Managed Grafana para su espacio de trabajo. Puede agregar o eliminar usuarios de su espacio de trabajo de Grafana desde la consola de Amazon Managed Grafana (en la pestaña **Configurar usuarios y grupos**) o desde la consola de IAM Identity Center (página **Asignaciones de aplicaciones**). Sin embargo, los permisos de usuario de Grafana solo se pueden definir desde Amazon Managed Grafana (mediante la consola de Amazon Managed Grafana o APIs), mediante la asignación de permisos de **visor**, **editor** o **administrador** al usuario o grupo. Un usuario puede pertenecer a varios grupos con distintos permisos, en cuyo caso su permiso se basa en el nivel de acceso más alto de todos los grupos y permisos a los que pertenece el usuario. Los registros discrepantes pueden deberse a los siguientes motivos: + Se elimina un usuario o un grupo de IAM Identity Center, pero no en Amazon Managed Grafana. Estos registros aparecen como **Usuarios desconocidos** en la consola de Amazon Managed Grafana. + La asociación de un usuario o grupo con Grafana se elimina en IAM Identity Center (en **Asignaciones de aplicaciones**), pero no en Amazon Managed Grafana. + Los permisos de los usuarios se actualizaban previamente directamente desde el espacio de trabajo de Grafana. Las actualizaciones del espacio de trabajo de Grafana no se admiten en Amazon Managed Grafana. Para evitar estos desajustes, utiliza la consola Amazon Managed Grafana o Amazon Managed APIs Grafana para gestionar los permisos de usuario y grupo de tu espacio de trabajo. **Actualicé previamente los niveles de acceso de algunos de los miembros de mi equipo desde el espacio de trabajo de Grafana. Ahora veo que sus niveles de acceso han vuelto a su nivel de acceso anterior. ¿Por qué veo esto y cómo lo soluciono?** Lo más probable es que esto se deba a una discrepancia que se identificó entre la asociación de usuarios y grupos en IAM Identity Center y los registros de permisos de Amazon Managed Grafana para su espacio de trabajo. Si los miembros de su equipo tienen diferentes niveles de acceso, es posible que usted o un administrador de Amazon Managed Grafana hayan resuelto la discrepancia desde la consola de Amazon Managed Grafana y hayan eliminado los registros discrepantes. Puede volver a asignar los niveles de acceso necesarios desde la consola de Amazon Managed Grafana APIs o restaurar los permisos deseados. **nota** El espacio de trabajo de Grafana no admite la administración del acceso de los usuarios. Usa la consola de Grafana gestionada por Amazon o APIs para asignar permisos de usuario o grupo. **¿Por qué noto cambios en mis niveles de acceso? Por ejemplo, antes tenía acceso de administrador, pero ahora solo tengo permisos de editor.** Es posible que un administrador de su espacio de trabajo haya cambiado sus permisos. Esto puede ocurrir de forma inadvertida si no coinciden sus asociaciones de usuarios y grupos en IAM Identity Center y sus permisos en Amazon Managed Grafana. En este caso, es posible que, al resolver la discrepancia, se hayan eliminado sus permisos de acceso superiores. Puede solicitar a un administrador que reasigne el nivel de acceso requerido desde la consola de Amazon Managed Grafana. # Administración de los permisos de los orígenes de datos y los canales de notificación Permisos de los orígenes de datos y las notificaciones Tu espacio de trabajo de Grafana gestionado por Amazon debe tener permiso para acceder a las fuentes de AWS datos de tus métricas y los canales de notificación de tus alertas. Puede utilizar la consola de Amazon Managed Grafana para que Amazon Managed Grafana cree automáticamente AWS Identity and Access Management (IAM) políticas y permisos para las fuentes de AWS datos y los canales de notificación que desee utilizar en el espacio de trabajo de Amazon Managed Grafana. **Administración de los permisos y las políticas de los orígenes de datos y los canales de notificación** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación de la izquierda, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. Elija el nombre del espacio de trabajo que desea administrar. 1. Para cambiar entre el uso de los permisos **Servicio administrado** y **Administrado por el cliente**, seleccione el icono de edición del **rol de IAM** y, a continuación, seleccione su opción. Para obtener más información, consulte [Amazon gestionó los permisos y las políticas de Grafana para las fuentes de datos AWS](AMG-manage-permissions.md). Si cambia de permisos **Servicio administrado** a permisos **Administrado por el cliente**, los roles y las políticas que Amazon Managed Grafana creó para usted no se eliminarán de la cuenta actual. Si utilizaba permisos **Servicio administrado** para una organización, se eliminarán los roles y las políticas de otras cuentas de la organización. 1. Elija la pestaña **Orígenes de datos**. 1. Si utiliza permisos **Servicio administrado**, puede seleccionar **Editar** junto a **Configuración del permiso de acceso de IAM** para cambiar si los permisos **Servicio administrado** se aplican únicamente a la cuenta actual o a toda la organización. Para obtener más información, consulte [Amazon gestionó los permisos y las políticas de Grafana para las fuentes de datos AWS](AMG-manage-permissions.md). En **Fuentes de datos**, selecciona las fuentes de AWS datos que deseas consultar en este espacio de trabajo. Seleccionar los orígenes de datos permite a Amazon Managed Grafana crear roles y permisos de IAM para que Amazon Managed Grafana pueda leer datos de dichos orígenes. Aún debe agregar los orígenes de datos en la consola del espacio de trabajo de Grafana. Para administrar AWS los servicios que se pueden usar como canales de notificación, selecciona **Canales de notificación**. Seleccione el canal de AWS notificaciones que desee usar en este espacio de trabajo. Seleccionar un canal de notificación permite a Amazon Managed Grafana crear roles y permisos de IAM para que Amazon Managed Grafana pueda usar estos servicios. Aún debe agregar los canales de notificación en la consola del espacio de trabajo de Grafana. **nota** Para obtener más información sobre el uso de notificaciones, consulte [Administración de notificaciones de alerta](v9-alerting-managenotifications.md). # Creación de recursos de Grafana gestionados por Amazon con AWS CloudFormation Crear recursos con AWS CloudFormation Amazon Managed Grafana está integrado con AWS CloudFormation un servicio que le ayuda a modelar y configurar sus AWS recursos para que pueda dedicar menos tiempo a crear y administrar sus recursos e infraestructura. Cree una plantilla que describa todos los AWS recursos que desee (como los espacios de trabajo) y CloudFormation aprovisione y configure esos recursos por usted. Cuando la utilices CloudFormation, podrás reutilizar tu plantilla para configurar tus recursos de Grafana gestionados por Amazon de forma coherente y repetida. Describa sus recursos una vez y, a continuación, aprovisione los mismos recursos una y otra vez en varias Cuentas de AWS regiones. ## Grafana y plantillas gestionadas por Amazon CloudFormation Para aprovisionar y configurar los recursos de Amazon Managed Grafana y los servicios relacionados, debe entender las [plantillas de CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html). Las plantillas son archivos de texto con formato JSON o YAML. Estas plantillas describen los recursos que deseas aprovisionar en tus CloudFormation pilas. Si no estás familiarizado con JSON o YAML, puedes usar CloudFormation Designer para ayudarte a empezar con CloudFormation las plantillas. Para obtener más información, consulta [¿Qué es CloudFormation Designer?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) en la *Guía AWS CloudFormation del usuario*. Amazon Managed Grafana admite la creación de espacios de trabajo en CloudFormation. Para obtener más información, incluidos ejemplos de plantillas JSON y YAML para los espacios de trabajo, consulte [Referencia del tipo de recurso de Amazon Managed Grafana](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-grafana-workspace.html) en la *Guía del usuario de AWS CloudFormation *. ## Obtenga más información sobre CloudFormation Para obtener más información CloudFormation, consulte los siguientes recursos: + [AWS CloudFormation](https://aws.amazon.com/cloudformation/) + [AWS CloudFormation Guía del usuario](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) + [CloudFormation Referencia de la API](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html) + [AWS CloudFormation Guía del usuario de la interfaz de línea de comandos](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html) # Configuración del acceso a la red para un espacio de trabajo de Amazon Managed Grafana Control de acceso a la red Puede controlar la forma en que los usuarios y hosts acceden a sus espacios de trabajo de Grafana. Grafana requiere que todos los usuarios estén autenticados y autorizados. Sin embargo, de forma predeterminada, los espacios de trabajo de Amazon Managed Grafana están abiertos a todo el tráfico de la red. Puede configurar el control de acceso a la red para un espacio de trabajo a fin de controlar qué tráfico de red puede llegar a él. Puede controlar el tráfico a su espacio de trabajo de dos maneras. + **Direcciones IP** (listas de prefijos): puede crear una [lista de prefijos administrada](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html) con los intervalos de IP que pueden acceder a los espacios de trabajo. Amazon Managed Grafana solo admite IPv4 direcciones públicas para el control de acceso a la red. + **Puntos de conexión de VPC**: puede crear una lista de puntos de conexión de VPC para sus espacios de trabajo a los que se les permite acceder a un espacio de trabajo específico. Al configurar el control de acceso a la red, debe incluir al menos una lista de prefijos o un punto de conexión de VPC. Amazon Managed Grafana utiliza las listas de prefijos y los puntos de conexión de VPC para decidir qué solicitudes al espacio de trabajo de Grafana pueden conectarse. En el siguiente diagrama se muestra esta filtración. ![\[Imagen en la que se muestra el control de acceso a la red de Amazon Managed Grafana, que permite algunas solicitudes y bloquea otras que intentan acceder a un espacio de trabajo de Amazon Managed Grafana.\]](http://docs.aws.amazon.com/es_es/grafana/latest/userguide/images/grafana-nac.png) La configuración del control de acceso a la red (**1**) para un espacio de trabajo de Amazon Managed Grafana especifica qué solicitudes deben poder acceder al espacio de trabajo. El control de acceso a la red puede permitir o bloquear el tráfico por dirección IP (**2**) o por el punto de conexión de interfaz que se utilice (**3**). En la sección siguiente, se describe cómo configurar el control de acceso a la red. ## Configuración del control de acceso a la red Puede agregar el control de acceso a la red a un espacio de trabajo existente o configurarlo como parte de la creación inicial del espacio de trabajo. **Requisitos previos** Para configurar el control de acceso a la red, primero debe crear un punto de conexión de VPC de interfaz para sus espacios de trabajo o al menos una lista de prefijos de IP para las direcciones IP que desee permitir. También puede crear ambas opciones o más de una de las dos. + **Punto de conexión de VPC**: puede crear un punto de conexión de VPC de interfaz que dé acceso a todos sus espacios de trabajo. Una vez creado el punto de conexión, necesitará el ID del punto de conexión de VPC para cada punto de conexión que desee permitir. Los puntos finales de VPC IDs tienen el formato. `vpce-1a2b3c4d` Para obtener más información acerca de cómo crear un punto de conexión de VPC para sus espacios de trabajo de Grafana, consulte [Puntos de conexión de VPC de la interfaz](VPC-endpoints.md). Para crear un punto de conexión de VPC específico para sus espacios de trabajo, utilice el nombre de punto de conexión `com.amazonaws.region.grafana-workspace`. En el caso de los puntos de conexión de VPC a los que dé acceso a su espacio de trabajo, puede limitar aún más su acceso configurando grupos de seguridad para los puntos de conexión. Para obtener más información, consulte [Asociación de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups) y [Reglas de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) en la *documentación de Amazon VPC*. + **Lista de prefijos administrada** (para intervalos de direcciones IP): para permitir direcciones IP, debe crear una o más listas de prefijos en Amazon VPC con la lista de intervalos de IP que desee permitir. Existen algunas limitaciones para las listas de prefijos cuando se utilizan para Amazon Managed Grafana: + Cada lista de prefijos puede contener hasta 100 intervalos de direcciones IP. + Los intervalos de direcciones IP privadas (por ejemplo, `10.0.0.0/16`) se ignoran. Puede incluir intervalos de direcciones IP privadas en una lista de prefijos, pero Amazon Managed Grafana los ignora al filtrar el tráfico al espacio de trabajo. Para permitir que esos hosts lleguen al espacio de trabajo, cree un punto de conexión de VPC para sus espacios de trabajo y concédales acceso. + Amazon Managed Grafana solo admite IPv4 direcciones en listas de prefijos, no. IPv6 IPv6 las direcciones se ignoran. Las listas de prefijos administradas se crean a través de la [consola de Amazon VPC](https://console.aws.amazon.com/vpc/home?#ManagedPrefixLists). Una vez que haya creado las listas de prefijos, necesitará el ID de cada lista de prefijos que desee permitir en Amazon Managed Grafana. La lista de prefijos IDs tiene el formato`pl-1a2b3c4d`. Para obtener más información sobre cómo crear listas de prefijos, consulte [Agrupación de bloques de CIDR con listas de prefijos administradas](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. + Debe tener los permisos necesarios para configurar o crear un espacio de trabajo de Amazon Managed Grafana. Por ejemplo, puede utilizar la política AWS gestionada,`AWSGrafanaAccountAdministrator`. Una vez que tenga la lista de IDs las listas de prefijos o puntos finales de VPC a los que quiere dar acceso a su espacio de trabajo, estará listo para crear la configuración de control de acceso a la red. **nota** Si habilita el control de acceso a la red, pero no agrega una lista de prefijos a la configuración, no se permitirá el acceso a su espacio de trabajo, excepto a través de los puntos de conexión de VPC permitidos. Del mismo modo, si habilita el control de acceso a la red, pero no agrega un punto de conexión de VPC a la configuración, no se permitirá el acceso a su espacio de trabajo, excepto a través de las direcciones IP permitidas. Debe incluir al menos una lista de prefijos o un punto de conexión de VPC en la configuración de control de acceso a la red o no podrá acceder a su espacio de trabajo desde ningún lugar. **Configuración del control de acceso a la red para un espacio de trabajo** 1. Abra la [consola de Amazon Managed Grafana](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación izquierdo, elija **Todos los espacios de trabajo**. 1. Seleccione el nombre del espacio de trabajo en el que desea configurar el control de acceso a la red. 1. En la pestaña **Control de acceso a la red**, en **Control de acceso a la red**, elija **Acceso restringido** para configurar el control de acceso a la red. **nota** Puede acceder a estas mismas opciones al crear un espacio de trabajo. 1. En el menú desplegable, seleccione si va a agregar una **lista de prefijos** o un **punto de conexión de VPC**. 1. Seleccione el ID de la lista de prefijos o el punto de conexión de VPC que desee agregar (también puede escribir el ID que desee utilizar). Debe elegir al menos uno. 1. Para agregar más puntos de conexión o listas, seleccione **Agregar nuevo recurso** para cada uno que desee agregar. **nota** Puede agregar hasta 5 listas de prefijos y 5 puntos de conexión de VPC. 1. Elija **Guardar cambios** para completar la configuración. **aviso** Si ya tiene usuarios en su espacio de trabajo, incluya sus intervalos de IP o puntos de conexión de VPC en la configuración; de lo contrario, perderán el acceso con un error `403 Forbidden`. Se recomienda probar los puntos de acceso existentes después de configurar o modificar la configuración del control de acceso a la red. # Cifrado en reposo Cifrado en reposo De forma predeterminada, Amazon Managed Grafana te proporciona automáticamente el cifrado en reposo y lo hace con las claves de cifrado AWS propias. + **AWS claves propias**: Grafana, gestionada por Amazon, utiliza estas claves para cifrar automáticamente los datos de tu espacio de trabajo. No puedes ver, administrar ni usar las claves AWS propias, ni auditar su uso. Sin embargo, no tiene que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran sus datos. Para obtener más información, consulta [las claves AWS propias](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) en la *Guía para AWS KMS desarrolladores*. El cifrado de datos en reposo ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales de los clientes, como la información de identificación personal. Le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad del cifrado. Cuando cree su espacio de trabajo, también puede optar por utilizar una clave administrada por el cliente: + **Claves administradas por el cliente**: Amazon Managed Grafana admite el uso de una clave simétrica administrada por el cliente que usted crea, posee y administra para cifrar los datos de su espacio de trabajo. Como usted tiene el control total de este cifrado, puede realizar tareas como las siguientes: + Establecer y mantener políticas de claves + Establecer y mantener concesiones y políticas de IAM + Habilitar y deshabilitar políticas de claves + Rotar el material criptográfico + Adición de etiquetas de + Crear alias de clave + Programar la eliminación de claves [Para obtener más información, consulte [las claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en la *Guía para AWS KMS desarrolladores* y ¿Qué es? AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) Elija si desea utilizar con cuidado las claves gestionadas por el cliente o las claves AWS propias. Los espacios de trabajo creados con claves administradas por el cliente no se pueden convertir para usar claves AWS propias más adelante (y viceversa). **nota** Grafana gestionada por Amazon habilita automáticamente el cifrado en reposo mediante claves AWS propias para proteger tus datos sin coste alguno. Sin embargo, se aplican AWS KMS cargos por el uso de una clave administrada por el cliente. Para obtener más información acerca de los precios, consulte [Precios de AWS KMS](https://aws.amazon.com/kms/pricing/). **importante** Si inhabilitas la clave gestionada por el cliente o eliminas el acceso a Grafana gestionado por Amazon en la política de claves, tu espacio de trabajo quedará inaccesible. El espacio de trabajo permanecerá en un `ACTIVE` estado, pero no estará disponible desde el punto de vista funcional. Dispones de 7 días para restablecer el acceso volviendo a habilitar la clave o restaurando la política de claves. Después de 7 días, el espacio de trabajo pasará a un `FAILED` estado y solo se podrá eliminar. Si se programa la eliminación de una clave, hay un período de espera mínimo de 7 días antes de que se elimine la clave. AWS KMS Una vez que se elimina una clave, no se puede restaurar y cualquier espacio de trabajo cifrado con esa clave perderá permanentemente el acceso a sus datos. El cifrado de claves gestionado por el cliente solo está disponible al crear nuevos espacios de trabajo. Los espacios de trabajo existentes no se pueden convertir para usar claves administradas por el cliente. No puedes modificar la clave gestionada por el cliente de un espacio de trabajo tras su creación. ## Cómo Amazon Managed Grafana utiliza las subvenciones en AWS KMS Amazon Managed Grafana requiere subvenciones para utilizar tu clave gestionada por el cliente. Cuando creas un espacio de trabajo de Grafana gestionado por Amazon cifrado con una clave gestionada por el cliente, Amazon Managed Grafana crea subvenciones en tu nombre enviando solicitudes a. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS Las concesiones se AWS KMS utilizan para conceder a Grafana gestionada por Amazon acceso a la clave KMS de su cuenta, incluso cuando no se ha llamado directamente en su nombre (por ejemplo, al almacenar datos del panel de control o configuraciones de usuario). Amazon Managed Grafana exige que las subvenciones utilicen tu clave gestionada por el cliente para las siguientes operaciones internas: + Envíe [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitudes para AWS KMS crear subvenciones adicionales según sea necesario. + Envíe [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)solicitudes AWS KMS a para comprobar que la clave KMS simétrica gestionada por el cliente que se proporcionó al crear un espacio de trabajo es válida. + Envía [ReEncryptTo y ReEncryptFrom](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) solicita que se vuelvan AWS KMS a cifrar los datos cuando cambies de un contexto de cifrado diferente. + Envíe solicitudes de cifrado AWS KMS a para [cifrar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) los datos directamente con la clave gestionada por el cliente. + Envíe solicitudes de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS a para descifrar las claves de datos cifrados para que puedan usarse para cifrar sus datos. + Envíe [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitudes AWS KMS para generar claves de datos cifradas con su clave gestionada por el cliente. + Envíe [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)solicitudes AWS KMS para generar claves de datos cifradas sin devolver la versión de texto simple. + Envíe [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)solicitudes AWS KMS para retirar las subvenciones que ya no sean necesarias. Amazon Managed Grafana crea concesiones a la AWS KMS clave que permiten a Amazon Managed Grafana utilizar la clave en tu nombre. Puede eliminar el acceso a la clave cambiando la política de claves, deshabilitando la clave o revocando la concesión. Debe comprender las consecuencias de estas acciones antes de llevarlas a cabo. Esto puede provocar la pérdida de datos en su espacio de trabajo. Si eliminas el acceso a alguna de las subvenciones de alguna forma, Amazon Managed Grafana no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente ni almacenar los nuevos datos que se envíen al espacio de trabajo, lo que afectará a las operaciones que dependen de esos datos. No se podrá acceder a las nuevas actualizaciones del espacio de trabajo y es posible que se pierdan permanentemente. **aviso** Si inhabilitas la clave o eliminas el acceso a Grafana gestionado por Amazon en la política de claves, ya no podrás acceder a los datos del espacio de trabajo. El espacio de trabajo permanecerá en un `ACTIVE` estado, pero no estará disponible desde el punto de vista funcional. No se podrá acceder a las nuevas actualizaciones que se envíen al espacio de trabajo y es posible que se pierdan permanentemente. Puedes restablecer el acceso a los datos del espacio de trabajo y reanudar la recepción de nuevos datos si vuelves a habilitar la clave o restablece el acceso de Grafana gestionado por Amazon a la clave en un plazo de 7 días. Tras 7 días sin acceso, el espacio de trabajo pasará a un `FAILED` estado. Si programa la eliminación de la clave AWS KMS, se eliminará una vez transcurrido el período de espera obligatorio de 7 días. Una vez eliminada, la clave no se podrá restaurar y los datos del espacio de trabajo permanecerán inaccesibles de forma permanente. Si *revoca* una concesión, no se podrá volver a crear y los datos del espacio de trabajo se perderán de forma permanente. Amazon Managed Grafana crea subvenciones adicionales para niños a través de Amazon RDS debido a su dependencia de RDS para el almacenamiento de datos. La revocación de estas subvenciones relacionadas con el RDS tendrá el mismo efecto de pérdida permanente de datos que la revocación de las subvenciones principales de Grafana. ## Paso 1: Crear una clave administrada por el cliente Puede crear una clave simétrica gestionada por el cliente mediante la Consola de administración o la AWS . AWS KMS APIs La clave debe estar en la misma región que el espacio de trabajo de Grafana gestionado por Amazon y debe ser una clave simétrica con `ENCRYPT_DECRYPT` el uso de claves. **Para crear una clave simétrica administrada por el cliente** + Siga los pasos para [crear una clave simétrica gestionada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) que se indican en la *Guía para desarrolladores de AWS KMS *. Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte [Administración del acceso a las claves](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) en la *Guía para desarrolladores de AWS KMS *. Para usar tu clave gestionada por el cliente en tus espacios de trabajo de Grafana gestionados por Amazon, la política de claves debe permitir las siguientes operaciones de API: + [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Añade una concesión a una clave gestionada por el cliente. Otorga el acceso de control a una clave de KMS específica, que permite el acceso a [las operaciones de subvención](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) que Amazon Managed Grafana requiere. Para obtener más información, consulte [Uso de concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *Guía para desarrolladores de AWS KMS *. Esto permite a Amazon Managed Grafana hacer lo siguiente: + Llame `GenerateDataKey` para generar una clave de datos cifrada y almacenarla. + Llamar a `Decrypt` para usar la clave de datos cifrados almacenada para acceder a los datos cifrados. + [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Proporciona los detalles clave gestionados por el cliente para que Amazon Managed Grafana pueda validar la clave. Los siguientes son ejemplos de declaraciones de política que puedes añadir a Grafana gestionada por Amazon: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow IAM Users and Roles to validate KMS key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/root" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "grafana..amazonaws.com" ] } } }, { "Sid": "Allow IAM Users and Roles to create grant on KMS key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/root" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "grafana..amazonaws.com" ], "kms:GrantConstraintType": "EncryptionContextSubset" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "CreateGrant", "RetireGrant", "Decrypt", "Encrypt", "GenerateDataKey", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo" ] } } } ] } ``` + Para obtener más información sobre cómo especificar los permisos en una política, consulte la [Guía para desarrolladores de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/). + Para obtener más información sobre la solución de problemas de acceso a las claves, consulte la [Guía AWS para desarrolladores del Servicio de administración](https://docs.aws.amazon.com/kms/latest/developerguide/) de claves. ## Paso 2: Especificar una clave gestionada por el cliente para Amazon Managed Grafana Al crear un espacio de trabajo, puede especificar la clave gestionada por el cliente introduciendo un ARN de clave KMS, que Amazon Managed Grafana utiliza para cifrar los datos almacenados en el espacio de trabajo. 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/). 1. Elija **Crear espacio de trabajo**. 1. En la sección **Cifrado**, seleccione **Clave gestionada por el cliente**. 1. Introduzca el ARN de la clave gestionada por el cliente en el campo **ARN de clave de KMS.** 1. Complete la configuración restante del espacio de trabajo y elija **Crear** espacio de trabajo. Puede especificar una clave gestionada por el cliente al crear un espacio de trabajo mediante el `--kms-key-id` parámetro: ``` aws grafana create-workspace \ --workspace-name "my-encrypted-workspace" \ --workspace-description "Workspace with customer managed encryption" \ --account-access-type "CURRENT_ACCOUNT" \ --authentication-providers "AWS_SSO" \ --permission-type "SERVICE_MANAGED" \ --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ``` ## Supervisión de las claves de cifrado de Grafana gestionado por Amazon Cuando utilizas una clave gestionada por el AWS KMS cliente en tus espacios de trabajo de Grafana gestionada por Amazon, puedes utilizar AWS CloudTrail Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que envía Amazon Managed Grafana. AWS KMS Los siguientes ejemplos son AWS CloudTrail eventos para `CreateGrant` `DescribeKey``GenerateDataKey`, y para monitorear las operaciones de KMS `Decrypt` a las que Amazon Managed Grafana llama para acceder a los datos cifrados por su clave administrada por el cliente: Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tu espacio de trabajo, Amazon Managed Grafana `CreateGrant` envía solicitudes en tu nombre para acceder a la clave de KMS que has especificado. Las subvenciones que crea Amazon Managed Grafana son específicas del recurso asociado a la clave gestionada por el AWS KMS cliente. El siguiente evento de ejemplo registra una operación `CreateGrant`: ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLE-KEY-ID1", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "grafana.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "retiringPrincipal": "grafana.amazonaws.com", "operations": [ "CreateGrant", "DescribeKey", "ReEncryptTo", "ReEncryptFrom", "Encrypt", "Decrypt", "GenerateDataKey", "GenerateDataKeyWithoutPlaintext", "RetireGrant" ], "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "granteePrincipal": "grafana.amazonaws.com" }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE" }, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" } ``` Amazon Managed Grafana utiliza la `DescribeKey` operación para verificar si la clave gestionada por el AWS KMS cliente asociada a tu espacio de trabajo existe en la cuenta y la región. El siguiente evento de ejemplo registra la operación `DescribeKey`: ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLE-KEY-ID1", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "grafana.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" } ``` Amazon Managed Grafana utiliza la `GenerateDataKey` operación para generar claves de datos que se utilizan para cifrar los datos del espacio de trabajo. El siguiente evento de ejemplo registra la operación `GenerateDataKey`: ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLE-KEY-ID1", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "grafana.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "keySpec": "AES_256" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" } ``` Amazon Managed Grafana utiliza la `Decrypt` operación para descifrar las claves de datos cifradas para que puedan usarse para descifrar los datos del espacio de trabajo. El siguiente evento de ejemplo registra la operación `Decrypt`: ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLE-KEY-ID1", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "grafana.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "encryptionContext": { "aws:grafana:workspace-id": "g-1234567890abcdef0" } }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" } ``` ## Más información Los siguientes recursos proporcionan más información sobre cifrado de datos en reposo. + [Para obtener más información sobre los conceptos AWS KMS básicos, consulte la AWS KMS Guía para desarrolladores.](https://docs.aws.amazon.com/kms/latest/developerguide/) + Para obtener más información sobre las prácticas recomendadas de seguridad AWS KMS, consulte la [Guía para AWS KMS desarrolladores](https://docs.aws.amazon.com/kms/latest/developerguide/). # Conexión a orígenes de datos o canales de notificación en Amazon VPC desde Amazon Managed Grafana Conexión a datos en Amazon VPC De forma predeterminada, el tráfico desde su espacio de trabajo de Amazon Managed Grafana a los orígenes de datos o los canales de notificación fluye a través de la Internet pública. Esto limita la conectividad de Su espacio de trabajo de Amazon Managed Grafana a los servicios de acceso público. **nota** Si no ha configurado una VPC privada y Amazon Managed Grafana se conecta a fuentes de datos de acceso público, se conecta a algunos AWS servicios de la misma región a través de. AWS PrivateLink Esto incluye servicios como CloudWatch Amazon Managed Service for AWS X-Ray Prometheus y. El tráfico a esos servicios no fluye a través de la Internet pública. Si desea conectarse a orígenes de datos privados que se encuentran dentro de una VPC o mantener el tráfico local en una VPC, puede conectar su espacio de trabajo de Amazon Managed Grafana a la Amazon Virtual Private Cloud (Amazon VPC) que aloja estos orígenes de datos. Después de configurar la conexión al origen de datos de la VPC, todo el tráfico fluye a través de la VPC. Una *nube privada virtual* (VPC) es una red virtual dedicada a usted. Cuenta de AWS Está aislada lógicamente de otras redes virtuales, incluidas otras redes de Internet VPCs y de la red pública. Utilice Amazon VPC para crear y gestionar su VPCs . Nube de AWS Amazon VPC le ofrece un control completo sobre su entorno de redes virtuales, incluida la ubicación de los recursos, la conectividad y la seguridad. Los orígenes de datos de Amazon Managed Grafana y otros recursos se pueden crear en su VPC. Para obtener más información sobre Amazon VPC, consulte [¿Qué es Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. **nota** Si quiere que su espacio de trabajo de Amazon Managed Grafana se conecte a datos fuera de la VPC, en otra red o en Internet pública, debe agregar el enrutamiento a la otra red. Para obtener información sobre cómo conectar la VPC a otra red, consulte [Conectar la VPC a otras redes](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. ## Cómo funciona VPC [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) le proporciona un control total sobre su entorno de redes virtuales, lo que incluye la creación de *subredes* públicas y privadas para que su aplicación se conecte, y *grupos de seguridad* para administrar qué servicios o recursos tienen acceso a las subredes. Para utilizar Amazon Managed Grafana con los recursos de una VPC, debe crear una conexión a esa VPC para el espacio de trabajo de Amazon Managed Grafana. Tras configurar la conexión, Amazon Managed Grafana conecta su espacio de trabajo con cada subred proporcionada en cada zona de disponibilidad de esa VPC, y todo el tráfico hacia o desde el espacio de trabajo de Amazon Managed Grafana fluye a través de la VPC. El siguiente diagrama muestra cómo funciona esta conectividad, de manera lógica. ![\[Imagen que muestra a Amazon Managed Grafana conectándose a una VPC en varias zonas de disponibilidad.\]](http://docs.aws.amazon.com/es_es/grafana/latest/userguide/images/grafana-vpc-connection.png) Amazon Managed Grafana crea una conexión (**1**) por subred (mediante una [interfaz de red elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) o ENI) para conectarse a la VPC (**2**). La conexión de VPC de Amazon Managed Grafana está asociada con un conjunto de grupos de seguridad (**3**) que controlan el tráfico permitido entre la VPC y su espacio de trabajo de Amazon Managed Grafana. Todo el tráfico se enruta a través de la VPC configurada, incluido el destino de la alerta y la conectividad del origen de datos. Para conectarse a fuentes de datos y destinos de alertas en otra red VPCs o en Internet pública (**4**), cree una [puerta de enlace](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**) entre la otra red y su VPC. ## Creación de una conexión a una VPC En esta sección se describen los pasos para conectarse a una VPC desde su espacio de trabajo de Amazon Managed Grafana. Puede seguir estas mismas instrucciones al crear su espacio de trabajo. Para obtener información sobre la creación de un espacio de trabajo, consulte [Creación de un espacio de trabajo de Amazon Managed Grafana](AMG-create-workspace.md). ### Requisitos previos Los siguientes son requisitos previos para establecer una conexión a una VPC desde un espacio de trabajo de Amazon Managed Grafana existente. + Debe tener los permisos necesarios para configurar o crear un espacio de trabajo de Amazon Managed Grafana. Por ejemplo, puede utilizar la política AWS gestionada,`AWSGrafanaAccountAdministrator`. + Debe tener una configuración de VPC en su cuenta con al menos dos zonas de disponibilidad configuradas, con una *subred privada* configurada para cada una. Debe conocer la información de subred y grupo de seguridad de su VPC. **nota** No se admiten las [Zonas Locales](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html) ni las [Zonas Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html). [VPCsconfigurados](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) con `Tenancy` el valor establecido en no `Dedicated` son compatibles. **importante** Debe haber un mínimo de 15 direcciones IP disponibles en cada subred conectada a su espacio de trabajo de Amazon Managed Grafana. Recomendamos fehacientemente que configure alarmas para [supervisar el uso de IP](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html) en las subredes de su VPC. Si el número de direcciones IP disponibles para una subred es inferior a 15, es posible que se produzcan los siguientes problemas: Imposibilidad de realizar cambios de configuración en su espacio de trabajo hasta que libere direcciones IP adicionales o conecte subredes con direcciones IP adicionales Su espacio de trabajo no podrá recibir actualizaciones ni parches de seguridad En raras ocasiones, podría sufrir una pérdida total de disponibilidad del espacio de trabajo, lo que provocaría que las alertas no funcionaran y que los paneles fueran inaccesibles + Si va a conectar un espacio de trabajo de Amazon Managed Grafana existente que tiene orígenes de datos configurados, recomendamos configurar su VPC para conectarse a esos orígenes de datos antes de conectar Amazon Managed Grafana a la VPC. Esto incluye servicios como los CloudWatch que están conectados a través de AWS PrivateLink. De lo contrario, se pierde la conectividad con esos orígenes de datos. + Si su VPC ya tiene varias puertas de enlace a otras redes, es posible que deba configurar la resolución de DNS en las varias puertas de enlace. Para obtener más información, consulte [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html). ### Conexión a una VPC desde un espacio de trabajo de Amazon Managed Grafana Conexión a una VPC El siguiente procedimiento describe cómo agregar una conexión de origen de datos de Amazon VPC a un espacio de trabajo de Amazon Managed Grafana existente. **nota** Al configurar la conexión a Amazon VPC, se crea un rol de IAM. Con esta función, Amazon Managed Grafana puede crear conexiones con la VPC. El rol de IAM utiliza la política administrada de `AmazonGrafanaServiceLinkedRolePolicy`. Para obtener más información sobre los roles vinculados a servicios, consulte [Permisos de roles vinculados a un servicio para Amazon Managed Grafana](using-service-linked-roles.md#slr-permissions). **Conexión a una VPC desde un espacio de trabajo de Amazon Managed Grafana** 1. Abra la [consola de Amazon Managed Grafana](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación izquierdo, elija **Todos los espacios de trabajo**. 1. Seleccione el nombre del espacio de trabajo al que desea agregar una conexión a origen de datos VPC. 1. En la pestaña **Configuración de acceso a la red**, junto a **Conexión de VPC saliente**, seleccione **Editar** para crear su conexión de VPC. 1. Elija la **VPC** que desea conectar. 1. En **Mapeos**, seleccione las zonas de disponibilidad que desee utilizar. Debe elegir al menos dos elementos. 1. Seleccione al menos una *subred privada* en cada zona de disponibilidad. Las subredes deben ser compatibles IPv4. 1. Seleccione al menos un **grupo de seguridad** para la VPC. Puede especificar hasta 5 grupos de seguridad. Alternativamente, puede crear un grupo de seguridad para aplicarlo a esta conexión. 1. Elija **Guardar cambios** para completar la configuración. Ahora que ha configurado su conexión de VPC, puede agregar el acceso [Conexión con orígenes de datos](AMG-data-sources.md) desde esa VPC a su espacio de trabajo de Amazon Managed Grafana. **Cambiar la configuración de la VPC saliente** Para cambiar la configuración, puede volver a la pestaña **Configuración de acceso a la red** de la configuración de su espacio de trabajo o puede usar la [UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html)API. **importante** Amazon Managed Grafana gestiona la configuración de la VPC por usted. No edite estos ajustes de VPC con la consola Amazon EC2 APIs o, de lo contrario, los ajustes se desincronizarán. # Solución de problemas de uso de VPC con Amazon Managed Grafana Solución de problemas de VPC Respuestas a preguntas frecuentes sobre el uso de Amazon Virtual Private Cloud (Amazon VPC) con Amazon Managed Grafana. ## ¿Cuándo debo configurar una VPC en Amazon Managed Grafana? Debe configurar una VPC en Amazon Managed Grafana si intenta conectarse a un origen de datos que solo está disponible en una VPC privada (que no es de acceso público). En el caso de los orígenes de datos que están disponibles públicamente o que tienen un punto de conexión público, no es necesario configurar una VPC. Si se conecta a Amazon CloudWatch, Amazon Managed Service for Prometheus AWS X-Ray o no necesita configurar una VPC. Estos orígenes de datos se conectan a Amazon Managed Grafana a través de AWS PrivateLink de forma predeterminada. ## ¿Por qué mis orígenes de datos existentes no se conectan después de configurar una VPC con mi espacio de trabajo de Amazon Managed Grafana? Es probable que se pueda acceder a sus orígenes de datos existentes a través de la red pública y que su configuración de Amazon VPC no permita el acceso a esta red. Tras configurar la conexión de VPC en su espacio de trabajo de Amazon Managed Grafana, todo el tráfico debe pasar por dicha VPC. Esto incluye orígenes de datos privados alojados en esa VPC, orígenes de datos en otra VPC, AWS Managed Services que no están disponibles en la VPC y orígenes de datos expuestos a Internet. Para resolver este problema, debe conectar los demás orígenes de datos a la VPC que ha configurado: + En el caso de los orígenes de datos expuestos a Internet, conecte la VPC a Internet. Puede, por ejemplo, [conectarse a Internet u otras redes mediante dispositivos NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) (información de la *Guía del usuario de Amazon Virtual Private Cloud*). + Para las fuentes de datos de otras fuentes VPCs, cree una interconexión entre ambas. VPCs Para obtener más información, consulte [Conectarse VPCs mediante el emparejamiento de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) (de la Guía del *usuario de Amazon Virtual Private Cloud*). + En el caso de los servicios AWS gestionados a los que no se puede acceder en su VPC, como CloudWatch X-Ray o Amazon Managed Service for Prometheus, es posible que necesite crear un punto de enlace de VPC de interfaz para ese servicio en su VPC. *Para obtener más información, consulte [Acceder a un AWS servicio mediante un punto final de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) en la AWS PrivateLink Guía.* ## ¿Puedo usar una VPC con tenencia dedicada? No, no se admiten las configuraciones [VPCs `Tenancy``Dedicated`configuradas](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) en. ## ¿Puedo conectar tanto AWS Managed Services (como Amazon Managed Service for Prometheus CloudWatch o X-Ray) como fuentes de datos privadas (incluido Amazon Redshift) al mismo espacio de trabajo de Grafana gestionado por Amazon? Sí. Debe configurar la conectividad con los AWS Managed Services en la misma VPC que sus fuentes de datos privadas (por ejemplo, mediante un [punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz o una [puerta de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)) y configurar su espacio de trabajo de Amazon Managed Grafana para que se conecte a la misma VPC. ## ¿Por qué aparece `502 Bad Gateway Error` cuando intento conectarme a un origen de datos después de configurar la VPC en mi espacio de trabajo de Amazon Managed Grafana? A continuación se indican los tres motivos más comunes por los que la conexión al origen de datos genera un error `502`. + **Error de grupo de seguridad**: los grupos de seguridad seleccionados durante la configuración de la VPC en Amazon Managed Grafana deben permitir la conectividad con el origen de datos mediante reglas de entrada y salida. Para resolver este problema, asegúrese de que las reglas del grupo de seguridad del origen de datos y del grupo de seguridad de Amazon Managed Grafana permitan esta conectividad. + **Error de permiso de usuario**: el usuario del espacio de trabajo asignado no tiene los permisos adecuados para consultar el origen de datos. Para resolver este problema, confirme que el usuario tenga los permisos de IAM necesarios para editar el espacio de trabajo y la política de orígenes de datos correcta para acceder a los datos y consultarlos desde el servicio de alojamiento. Los permisos están disponibles en la consola AWS Identity and Access Management (IAM) en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) + **Se proporcionaron detalles de conexión incorrectos**: el espacio de trabajo de Amazon Managed Grafana no puede conectarse a su origen de datos debido a que se proporcionaron detalles de conexión incorrectos. Para resolver este problema, confirme la información de la conexión al origen de datos, incluida la autenticación del origen de datos y la URL del punto de conexión, y vuelva a intentar la conexión. ## ¿Puedo conectarme a varios VPCs desde el mismo espacio de trabajo de Grafana gestionado por Amazon? Solo puede configurar una única VPC para un espacio de trabajo de Amazon Managed Grafana. Para acceder a los orígenes de datos de una VPC diferente o entre regiones, consulte la siguiente pregunta. ## ¿Cómo me conecto a los orígenes de datos de una VPC diferente? ¿Cómo me conecto a las fuentes de datos desde una VPC que se encuentra en un entorno diferente Región de AWS ? Cuenta de AWS Puedes usar la interconexión de [VPC o conectar la VPC entre regiones o cuentas y, [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)a VPCs continuación, conectar la VPC que se encuentra en la misma región y que tu espacio de trabajo de Grafana gestionado](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) por Cuenta de AWS Amazon. Amazon Managed Grafana se conecta a los orígenes de datos externos como cualquier otra conexión dentro de la VPC. **nota** [Si la interconexión de VPC no es una opción para ti, comparte tu caso de uso con tu administrador de cuentas o envía un correo electrónico a aws-grafana-feedback @amazon .com.](mailto:aws-grafana-feedback@amazon.com) ## Cuando mi espacio de trabajo de Amazon Managed Grafana esté conectado a una VPC, ¿podré seguir conectándome a otros orígenes de datos públicos? Sí. Puede conectar orígenes de datos de su VPC y orígenes de datos públicos a un único espacio de trabajo de Amazon Managed Grafana al mismo tiempo. En el caso de los orígenes de datos públicos, debe configurar la conectividad de la VPC a través de una [puerta de enlace de NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) u otra [conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html). Las solicitudes a orígenes de datos públicos pasan por su VPC, lo que le brinda visibilidad y control adicionales sobre esas solicitudes. ## ¿Qué debo hacer si no puedo actualizar un espacio de trabajo de Amazon Managed Grafana por falta de direcciones IP? Es posible que encuentre el siguiente error al modificar la configuración del espacio de trabajo de Amazon Managed Grafana: todas las subredes de la configuración de VPC deben tener al menos 15 direcciones IP disponibles. Recibirá este error si una o más subredes conectadas a su espacio de trabajo no cumplen los requisitos mínimos de IP. Debe haber un mínimo de 15 direcciones IP disponibles en cada subred conectada a su espacio de trabajo. Cuando el número de direcciones IP disponibles para una subred sea inferior a 15, es posible que se produzcan los siguientes problemas: + Imposibilidad de realizar cambios de configuración en su espacio de trabajo hasta que libere direcciones IP adicionales o conecte subredes con direcciones IP adicionales + Su espacio de trabajo no podrá recibir actualizaciones ni parches de seguridad + En raras ocasiones, podría sufrir una pérdida total de disponibilidad del espacio de trabajo, lo que provocaría que las alertas no funcionaran y que los paneles fueran inaccesibles **Mitigación del riesgo de agotamiento de la IP** 1. Si una subred tiene menos de 15 direcciones IP disponibles, libere las direcciones IP asociadas a las instancias o elimine las interfaces de red no utilizadas para liberar capacidad IP. 1. Si no puede liberar direcciones IP en la subred existente, debe reemplazar la subred por una que tenga al menos 15 direcciones IP disponibles. Recomendamos utilizar subredes dedicadas para Amazon Managed Grafana. **Sustitución de una subred** 1. Abra la [consola de Amazon Managed Grafana](https://console.aws.amazon.com/grafana). 1. En el panel de navegación izquierdo, seleccione **Todos los espacios de trabajo** y, a continuación, seleccione el nombre de su espacio de trabajo. 1. En la pestaña **Control de acceso a la red**, junto a **Conexión de VPC saliente**, seleccione **Editar**. 1. En **Asignaciones**, seleccione la zona de disponibilidad que contiene la subred con direcciones IP insuficientes. 1. En el menú desplegable, anule la selección de la subred con direcciones IP insuficientes y seleccione una subred con al menos 15 direcciones IP disponibles. Si es necesario, cree una nueva subred en su VPC. Para obtener más información, consulte [Crear una subred](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) en la *Guía del usuario de Amazon VPC*. 1. Elija **Guardar cambios** para completar la configuración. ## Antes de configurar una conexión de VPC, mis alertas de Grafana se enviaban correctamente a los servicios descendentes, como Slack. PagerDuty Tras configurar la VPC, ¿por qué mis alertas de Grafana no se entregan en estos destinos de notificación? Tras configurar una conexión de VPC para un espacio de trabajo de Amazon Managed Grafana, todo el tráfico a los orígenes de datos del espacio de trabajo pasa por la VPC configurada. Asegúrese de que la VPC tenga una ruta para llegar a estos servicios de notificación de alertas. Por ejemplo, los destinos de notificación de alertas alojados por terceros pueden necesitar conectividad a Internet. Al igual que los orígenes de datos, configure una puerta de enlace de Internet o AWS Transit Gateway u otra conexión de VPC al destino externo. ## ¿Puedo editar mi VPC manualmente? ¿Por qué la modificación de mi grupo de seguridad o subred hace que mi espacio de trabajo de Amazon Managed Grafana deje de estar disponible? La conexión de VPC de Amazon Managed Grafana utiliza los grupos de seguridad y las subredes para controlar el tráfico permitido entre la VPC y su espacio de trabajo de Amazon Managed Grafana. Cuando el grupo de seguridad o la subred se modifican o eliminan desde fuera de la consola de Amazon Managed Grafana (por ejemplo, con la consola de VPC), la conexión de VPC del espacio de trabajo de Amazon Managed Grafana deja de proteger la seguridad de su espacio de trabajo y este pasa a ser inaccesible. Para solucionar este problema, actualice los grupos de seguridad configurados para su espacio de trabajo de Amazon Managed Grafana en la consola de Amazon Managed Grafana. Al ver su espacio de trabajo, seleccione **Conexión de VPC saliente** en la pestaña **Control de acceso a la red** para modificar las subredes o grupos de seguridad asociados a la conexión de VPC. # Configuración de un espacio de trabajo de Amazon Managed Grafana Configuración de un espacio de trabajo La configuración de Amazon Managed Grafana se puede dividir en la configuración de la autenticación y los permisos de Amazon Managed Grafana y la configuración del espacio de trabajo de Grafana. Esta sección incluye información sobre la configuración de su espacio de trabajo de Grafana. Para obtener más información sobre la configuración de la autenticación y los permisos de Amazon Managed Grafana, consulte los siguientes temas. + [Autenticación de usuarios en los espacios de trabajo de Amazon Managed Grafana](authentication-in-AMG.md) + [Administración del acceso de usuarios y grupos a los espacios de trabajo de Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md) + [Usuarios, equipos y permisos](Grafana-administration-authorization.md) Puede modificar la configuración de su espacio de trabajo de Grafana en Amazon Managed Grafana en la pestaña **Opciones de configuración del espacio de trabajo** al ver las propiedades de su espacio de trabajo. Hacer cambios de configuración en la instancia de Grafana puede provocar que la instancia se reinicie para volver a cargar la nueva configuración. Una vez hechos los cambios de configuración, es posible que los usuarios tengan que actualizar las páginas del navegador que muestren el espacio de trabajo de Grafana. **nota** Tiene a su disposición las mismas opciones cuando crea su espacio de trabajo por primera vez. **Cambio de la configuración de un espacio de trabajo de Grafana mediante la consola de Amazon Managed Grafana** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación de la izquierda, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. Elija el nombre del espacio de trabajo que desea configurar. Así se abren los detalles de ese espacio de trabajo. 1. Seleccione la pestaña **Opciones de configuración del espacio de trabajo** para ver las opciones de configuración de la instancia. 1. Seleccione **Editar** junto a **Alertas de Grafana** o **Administración de complementos**. + **Alertas de Grafana** Puede habilitar las [alertas de Grafana](v10-alerts.md). Para ver las alertas de Prometheus en su espacio de trabajo de Grafana, seleccione la casilla de verificación **Activar las alertas de Grafana**. En los espacios de trabajo que ejecutan la versión 8 o 9, esto enviará varias notificaciones para sus alertas de Grafana. Si utiliza las alertas definidas en Grafana, le recomendamos actualizar su espacio de trabajo a la versión 10.4 o posterior. Si prefiere usar las alertas clásicas de Grafana, *desactive* la casilla de verificación situada junto a **Activar las alertas de Grafana**. Esto activa las [alertas clásicas del panel](old-alerts-overview.md). Incluso si no activa las alertas de Grafana, se evaluarán sus alertas de Grafana existentes. **nota** Las alertas clásicas del panel se eliminarán en la versión 11. En los espacios de trabajo de la versión 10 de Grafana, puede obtener una versión preliminar de la característica de alertas de Grafana. Para obtener más información, consulte [Migración de las alertas clásicas del panel de control a Grafana Alerting](v10-alerting-use-grafana-alerts.md). + **Administración de complementos** Para activar la administración de complementos, seleccione la casilla de verificación **Activar administración de complementos**. Activar la administración de complementos permite a los administradores de su espacio de trabajo de Amazon Managed Grafana instalar, actualizar o eliminar [complementos](grafana-plugins.md) mediante el catálogo de complementos de Grafana. Esta opción solo está disponible para los espacios de trabajo que admiten la versión 9 o posterior de Grafana. **nota** Si *desactiva* las alertas de Grafana, perderá todos los cambios hechos en la configuración de alertas mientras las alertas de Grafana estaban activadas. Esto incluye cualquier regla de alerta nueva que haya creado. Para obtener más información sobre el uso de las alertas de Grafana y los efectos de activarlas o desactivarlas, consulte [Alertas en la versión 10 de Grafana](v10-alerts.md). En la siguiente sección se muestra cómo hacer cambios en la configuración de la instancia de Grafana mediante la API Amazon Managed Grafana o la AWS CLI. ## Configuración de configuración con API o AWS CLI Puede establecer la configuración del espacio de trabajo de Grafana mediante la API de Amazon Managed Grafana o la AWS CLI. **nota** `configuration` es una cadena JSON para permitir que los ajustes de configuración futuros que se hayan aplicado se agreguen más adelante. ------ #### [ AWS CLI ] **Para actualizar la configuración de la instancia de Grafana gestionada por Amazon mediante AWS CLI** Ejecute el siguiente comando para activar las características de alertas y administración de complementos de Grafana para una instancia. Sustituya las ** cadenas ** y por los valores adecuados para su instancia. ``` aws grafana update-workspace-configuration \ --region region \ --workspace-id \ --configuration '{"plugins": {"pluginAdminEnabled": true}, "unifiedAlerting": {"enabled": true}}' ``` En este momento, la configuración es compatible con las siguientes opciones. Estas activan o desactivan las alertas o la administración de complementos de Grafana. + Para habilitar las alertas de Grafana, utilice esta opción de configuración: ``` --configuration '{"unifiedAlerting": { "enabled": true }}' ``` + Para habilitar la administración de complementos, utilice esta opción de configuración: ``` --configuration '{"plugins": {"pluginAdminEnabled": true }}' ``` Esta opción solo está disponible en los espacios de trabajo que admiten la versión 9 o posterior de Grafana. ------ #### [ Amazon Managed Grafana API ] **Actualización de la configuración de la instancia de Amazon Managed Grafana mediante la API** Use la siguiente acción para activar las características de alertas y administración de complementos de Grafana para una instancia. Sustituya la ** cadena por un valor adecuado para su instancia. ``` PUT /workspaces//configuration HTTP/1.1 Content-type: application/json { "configuration": "{ \"unifiedAlerting\": { \"enabled\": true }, \"plugins\": { \"pluginAdminEnabled\": true }}" } ``` En este momento, la configuración es compatible con las siguientes opciones. Estas activan o desactivan las alertas o la administración de complementos de Grafana. + Para habilitar las alertas de Grafana, utilice esta opción de configuración: ``` "configuration": "{\"unifiedAlerting\": { \"enabled\": true }}" ``` + Para habilitar la administración de complementos, use esta opción: ``` "plugins": "{\"pluginAdminEnabled\": true }" ``` Esta opción solo está disponible en los espacios de trabajo que admiten la versión 9 o posterior de Grafana. ------ # Eliminación de un espacio de trabajo de Amazon Managed Grafana Eliminación de un espacio de trabajo Si elimina un espacio de trabajo de Amazon Managed Grafana, todos los datos de configuración de ese espacio de trabajo también se eliminan. Esto incluye paneles, configuración de orígenes de datos, alertas e instantáneas. **Eliminación de un espacio de trabajo de Amazon Managed Grafana** 1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/). 1. En el panel de navegación de la izquierda, elija el icono del menú. 1. Elija **Todos los espacios de trabajo**. 1. Elija el nombre del espacio de trabajo que desea eliminar. 1. Elija **Eliminar**. 1. Para confirmar la eliminación, ingrese el nombre del espacio de trabajo y elija **Eliminar**. **nota** Este procedimiento elimina un espacio de trabajo. Es posible que no se eliminen otros recursos. Por ejemplo, los roles de IAM que estaban en uso en el espacio de trabajo no se eliminan (pero se pueden desbloquear si ya no se utilizan).