Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Usuarios, equipos y permisos
Los permisos de Amazon Managed Grafana se administran en la consola de Amazon Managed Grafana y directamente en el espacio de trabajo.
+ **Usuarios**: los usuarios se [autentican](authentication-in-AMG.md) en IAM Identity Center o en un proveedor de identidades que configure mediante SAML en la consola de Amazon Managed Grafana.
+ **Acceso a los roles**: puede conceder a sus usuarios o grupos [acceso](AMG-manage-users-and-groups-AMG.md) con los roles `User`, `Editor` o `Admin` para darles los permisos predeterminados a su espacio de trabajo mediante la consola de Amazon Managed Grafana.
+ **Grupos o equipos**: puede crear grupos de usuarios a los que les dará acceso de dos maneras. Puede crear grupos en su proveedor de identidades (o IAM Identity Center). A continuación, puede conceder acceso a estos grupos, igual que a un usuario, en la consola de Amazon Managed Grafana. También puede crear [equipos](Grafana-teams.md) en el espacio de trabajo de Grafana y asignarles el rol que quiere que tengan.
+ **Permisos específicos**: si quiere [anular los permisos](Grafana-permissions.md) otorgados por los roles para un panel, carpeta u origen de datos específico, puede eliminar los permisos predeterminados y asignarlos a usuarios o equipos específicos. Esto se hace dentro del espacio de trabajo de Grafana.
En esta sección, se describe cómo administrar los permisos en el espacio de trabajo de Grafana.
**Topics**
+ [Users](Grafana-users.md)
+ [Roles de usuario](Grafana-user-roles.md)
+ [Administración de equipos](Grafana-teams.md)
+ [Uso de permisos](Grafana-permissions.md)
# Users
En Amazon Managed Grafana, no se agregan usuarios al espacio de trabajo de Grafana. En su lugar, se utiliza IAM Identity Center o un proveedor de identidades para autenticar a los usuarios y, a continuación, se concede a los usuarios acceso a los espacios de trabajo de Amazon Managed Grafana desde la consola de Amazon Managed Grafana. Para obtener más información, consulte [Administración del acceso de usuarios y grupos a los espacios de trabajo de Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md).
# Roles de usuario
En Amazon Managed Grafana, a cada usuario habilitado para usar el espacio de trabajo de Amazon Managed Grafana se le asigna uno de los tres [roles](AMG-manage-users-and-groups-AMG.md) en la consola de Amazon Managed Grafana.
+ **Rol de administrador**: los usuarios con el rol de administrador pueden hacer lo siguiente:
+ Pueden agregar, editar y eliminar orígenes de datos.
+ Pueden agregar y editar usuarios y equipos.
+ Pueden agregar, editar y eliminar carpetas que contengan paneles.
+ Pueden hacer todo lo que les permite el rol de editor.
+ **Rol de editor**: los usuarios con el rol de editor pueden hacer lo siguiente:
+ Pueden ver, agregar y editar paneles y reglas de alerta en los paneles a los que tienen acceso. Esto se puede deshabilitar en carpetas y paneles específicos.
+ Pueden crear, actualizar o eliminar listas de reproducción.
+ Pueden acceder a Explore.
+ Pueden agregar, editar y eliminar canales de notificación.
+ Pueden agregar, editar o eliminar orígenes de datos.
+ Pueden hacer todo lo que les permite el rol de espectador.
+ **Rol de espectador**: los usuarios con el rol de espectador pueden hacer lo siguiente:
+ Pueden ver cualquier panel al que tengan acceso. Esto se puede deshabilitar en carpetas y paneles específicos.
+ No pueden crear, actualizar ni eliminar listas de reproducción.
+ No pueden acceder a Explore.
+ No pueden agregar, editar ni eliminar canales de notificación.
+ Pueden agregar, editar o eliminar orígenes de datos.
+ No pueden agregar, editar ni eliminar paneles.
+ No pueden administrar otros usuarios o equipos.
La asignación de usuarios y la administración del acceso de los usuarios desde el espacio de trabajo de Grafana no son compatibles con Amazon Managed Grafana. La forma en que administre el acceso de los usuarios y los grupos depende de si utiliza IAM Identity Center o SAML para la autenticación:
+ Si su espacio de trabajo utiliza el Centro de identidad de IAM para la autenticación, puede utilizar la consola de Grafana gestionada por Amazon APIs o para asignar funciones. Para obtener más información, consulte [Administración del acceso de usuarios y grupos a los espacios de trabajo de Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md).
+ Si su espacio de trabajo utiliza SAML para la autenticación, los roles de usuario se definen únicamente mediante los atributos de aserción. Para obtener más información, consulte [Asignación de aserciones](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping).
# Administración de equipos
El uso de *equipos* le permite conceder permisos a un grupo de usuarios al mismo tiempo. También puede configurar la sincronización de equipos para sincronizar automáticamente la membresía del equipo entre su espacio de trabajo de Grafana y su proveedor de autorización.
## Creación o eliminación de un equipo
Cree equipos para administrar usuarios en grupos.
**Creación de un equipo**
1. En la barra lateral, seleccione el icono de **Configuración** (engranaje) y seleccione **Equipos**.
1. Seleccione **Nuevo equipo**.
1. En **Nombre**, escriba un nombre para el equipo nuevo y seleccione **Crear**.
**Eliminación de un equipo**
1. En la barra lateral, seleccione el icono de **Configuración** (engranaje) y seleccione **Equipos**.
1. A la derecha del nombre del equipo, seleccione **X**.
1. Elija **Eliminar** para confirmar.
## Cómo agregar o eliminar un usuario de un equipo
Siga estos pasos para agregar usuarios a los equipos o eliminarlos de estos.
**Cómo agregar un usuario a un equipo**
1. En la barra lateral, seleccione el icono de **Configuración** (engranaje) y seleccione **Equipos**.
1. Seleccione el equipo al que desee agregar el usuario.
1. Seleccione **Agregar miembro**.
1. En el cuadro **Agregar miembro del equipo**, seleccione el usuario que quiere agregar al equipo y, a continuación, seleccione **Agregar al equipo**.
**Eliminación de un usuario de un equipo**
1. En la barra lateral, seleccione el icono de **Configuración** (engranaje) y seleccione **Equipos**.
1. Elija el equipo del que quiera eliminar al usuario.
1. A la derecha del nombre del usuario , seleccione **X**.
1. Elija **Eliminar** para confirmar.
## Uso de la sincronización de equipos
Mediante la *sincronización de equipos* puede configurar la sincronización entre los grupos y equipos de su proveedor de autorización en Grafana. Los proveedores de autorización compatibles actualmente son IAM Identity Center y SAML.
**Sincronización de un equipo de Grafana con un grupo externo.**
1. En la consola de Grafana, vaya a **Configuración**, **Equipos**.
1. Para llevar a cabo la sincronización con un grupo de IAM Identity Center, ingrese el ID del grupo de IAM Identity Center. Para llevar a cabo la sincronización con un grupo de un proveedor de identidades basado en SAML, ingrese el valor del nombre de atributo ingresado en el campo **Grupos de atributos de confirmación** en la sección de configuración de SAML de la página de configuración del espacio de trabajo de Amazon Managed Grafana.
1. Elija **Agregar grupo**.
# Uso de permisos
Lo que puede hacer en un espacio de trabajo de Grafana en Amazon Managed Grafana se define según los *permisos* asociados a su usuario.
Amazon Managed Grafana ofrece tres tipos de permisos:
+ Permisos otorgados como administrador de Grafana
+ Permisos asociados a su membresía en un equipo
+ Permisos otorgados a una carpeta o un panel específicos
Se le pueden conceder permisos en función de su estado de administrador, de los permisos del panel o la carpeta asignados a su usuario y de los permisos del origen de datos.
## Descripción general de los permisos de paneles y carpetas
En el caso de los permisos de paneles y carpetas, puede eliminar los permisos predeterminados basados en roles para los editores y los espectadores. A continuación, puede asignar permisos a usuarios y equipos específicos. Para obtener más información, consulte [Permisos de paneles y carpetas](dashboard-and-folder-permissions.md).
## Descripción general de los permisos de orígenes de datos
De forma predeterminada, cualquier usuario puede consultar un origen de datos. Por ejemplo, un usuario con el rol `Viewer` puede hacer cualquier consulta posible a un origen de datos, no solo las consultas que existen en los paneles a los que tiene acceso.
Con los permisos de los orígenes de datos, puede cambiar los permisos predeterminados de los orígenes de datos y restringir los permisos de consulta a **usuarios** y **equipos** específicos. Para obtener más información, consulte [Permisos de orígenes de datos](data-source-permissions.md).
# Permisos de paneles y carpetas
En el caso de los paneles y las carpetas de los paneles, puede utilizar la página **Permisos** para eliminar los permisos predeterminados basados en roles para **editores** y **espectadores**. En esta página, puede agregar y asignar permisos a **usuarios** y **equipos** específicos.
Amazon Managed Grafana ofrece los siguientes niveles de permisos. Los permisos varían según la versión de Grafana que admita el espacio de trabajo.
**Para los espacios de trabajo compatibles con la versión 8:**
+ `Admin`: puede editar y crear paneles y editar permisos. También puede agregar, editar y eliminar carpetas.
+ `Edit`: puede editar y crear paneles. **No puede** editar los permisos de las carpetas o los paneles, ni agregar, editar o eliminar carpetas.
+ `View`: solo puede ver los paneles y carpetas existentes.
**Para los espacios de trabajo compatibles con la versión 9 y posteriores:**
+ `Admin`: puede crear, editar o eliminar un panel. Puede agregar, editar o eliminar carpetas y crear paneles y subcarpetas en una carpeta. Los administradores también pueden cambiar los permisos de los paneles y las carpetas.
+ `Edit`: puede crear, editar o eliminar un panel. Puede editar o eliminar una carpeta y crear paneles y subcarpetas en una carpeta. Un editor **no puede** cambiar los permisos de las carpetas o los paneles.
+ `View`: solo puede ver los paneles y carpetas existentes.
## Concesión de permisos para carpetas
**Concesión de permisos para carpetas**
1. En la barra lateral, coloque el cursor sobre el icono de **Paneles** (cuadrados) y, a continuación, seleccione **Administrar**.
1. Pase el cursor sobre una carpeta y, a continuación, seleccione **Ir a la carpeta**.
1. En la pestaña **Permisos**, seleccione **Agregar permiso**.
1. En el cuadro de diálogo **Agregar permiso para**, seleccione **Usuario**, **Equipo** o una de las opciones de rol. Si su espacio de trabajo usa la versión 10 o posterior de Grafana, seleccione **Usuario, equipo, cuenta de servicio o rol**.
1. En el segundo cuadro, seleccione el usuario, el equipo, la cuenta de servicio o el rol al que quiere agregar permisos. Si su espacio de trabajo usa la versión 9 o anterior de Grafana y seleccionó una opción de rol en el paso anterior, omita este paso.
1. En el tercer cuadro, seleccione el permiso que desea agregar.
1. Seleccione **Save**.
## Concesión de permisos para paneles
**Concesión de permisos para paneles**
1. En la esquina superior derecha del panel, elija el icono de engranaje para ir a **Configuración del panel**.
1. En la pestaña **Permisos**, seleccione **Agregar permiso**.
1. En el cuadro de diálogo **Agregar permiso para**, seleccione **Usuario**, **Equipo** o una de las opciones de rol. Si su espacio de trabajo usa la versión 10 o posterior de Grafana, seleccione **Usuario, equipo, cuenta de servicio o rol**.
1. En el segundo cuadro, seleccione el usuario, el equipo, la cuenta de servicio o el rol al que quiere agregar permisos. Si su espacio de trabajo usa la versión 9 o anterior de Grafana y seleccionó una opción de rol en el paso anterior, omita este paso.
1. En el tercer cuadro, seleccione el permiso que quiere agregar.
1. Seleccione **Save**.
## Restricción del acceso
El permiso con el nivel más alto siempre prevalece.
+ No puede anular los permisos de los usuarios con el rol `Admin`. Los administradores siempre tienen acceso a todo.
+ Un permiso más específico con un nivel de permiso inferior no tiene ningún efecto si existe una regla más general con un nivel de permiso superior. Debe eliminar o reducir el nivel de permiso de la regla más general.
## Cómo resuelve Amazon Managed Grafana varios permisos: ejemplos
En los siguientes ejemplos se muestra cómo resolver permisos múltiples.
### Ejemplo 1: `user1` tiene el rol `Editor`
Permisos para un panel:
+ Todos los que tengan el rol `Editor` pueden editar.
+ `user1` puede ver.
Resultado: `user1` tiene permiso de edición porque el permiso con el nivel más alto siempre prevalece.
### Ejemplo 2: `user1` tiene el rol de espectador y es miembro de `team1`
Permisos para un panel:
+ Todos los que tengan el rol `Viewer` pueden ver.
+ `user1` tiene el rol `Editor` y puede editar.
+ `team1` tiene el rol `Admin`.
Resultado: `user1` tiene permiso de administración porque el permiso con el nivel más alto siempre prevalece.
### Ejemplo 3: `user1` tiene varios permisos en diferentes niveles
Permisos para un panel:
+ `user1` tiene el rol `Admin` (heredado de la carpeta principal).
+ `user1` tiene el rol `Editor` y puede editar.
Resultado: no se puede sustituir por un permiso inferior. `user1` tiene permiso de administrador porque el permiso con el nivel más alto siempre prevalece.
## Resumen
+ **Ver**: solo puede ver los paneles o carpetas existentes.
+ Un permiso más específico con un nivel de permiso inferior no tendrá ningún efecto si existe una regla más general con un nivel de permiso superior.
# Permisos de orígenes de datos
De forma predeterminada, cualquier usuario puede consultar los orígenes de datos. Por ejemplo, un usuario con el rol `Viewer` puede hacer cualquier consulta posible a un origen de datos, no solo consultas que existen en los paneles a los que tiene acceso.
Puede usar los permisos del origen de datos para restringir el acceso de los usuarios a la hora de consultar un origen de datos. Para cada origen de datos, hay una página de permisos en la que puede habilitar o restringir los permisos de consulta a **usuarios** y **equipos** específicos.
## Habilitación de permisos para un origen de datos
Cuando los permisos están habilitados para un origen de datos, se restringe el acceso de administrador y de consulta a ese origen de datos a los usuarios administradores de forma predeterminada. Puede agregar el acceso de forma selectiva para usuarios y equipos específicos.
**Habilitación de los permisos para un origen de datos**
1. Vaya a **Configuración**, **Orígenes de datos**. Para los espacios de trabajo compatibles con la versión 10 de Grafana, vaya a **Conexiones**, **Orígenes de datos**.
1. Elija el origen de datos para el que desea habilitar los permisos.
1. En la pestaña **Permisos**, elija **Habilitar**.
**aviso**
Si habilita los permisos para el origen de datos predeterminado, los usuarios que no figuran en los permisos no podrán invocar consultas. Los paneles que utilizan el origen de datos predeterminado devolverán el error `Access denied to data source` a esos usuarios.
## Cómo permitir a los usuarios y equipos consultar un origen de datos
Después de habilitar los permisos para un origen de datos, solo los administradores tienen acceso a ese origen de datos de forma predeterminada. Puede asignar permisos de consulta a usuarios o equipos. Los permisos de consulta permitirán acceder al origen de datos para consultarlo.
**Asignación de permisos de consulta a usuarios y equipos**
1. Vaya a **Configuración**, **Orígenes de datos**. Para los espacios de trabajo compatibles con la versión 10 de Grafana, vaya a **Conexiones**, **Orígenes de datos**.
1. Elija el origen de datos para el que desea asignar los permisos de consulta.
1. En la pestaña **Permisos**, seleccione **Agregar permiso**.
1. Seleccione **Equipo** o **Usuario**. Para los espacios de trabajo que admiten la versión 10 o posterior de Grafana, también puede seleccionar **Cuenta de servicio** o **Rol**.
1. Seleccione el equipo, el usuario, la cuenta de servicio o el rol al que quiere conceder el acceso a las consultas y, a continuación, seleccione **Guardar**.
## Deshabilitación de permisos para un origen de datos
Si ha habilitado los permisos para un origen de datos y desea volver a los permisos predeterminados del origen de datos, siga estos pasos.
**nota**
Se eliminarán *todos* los permisos existentes creados para el origen de datos.
**Deshabilitación de los permisos para un origen de datos**
1. Vaya a **Configuración**, **Orígenes de datos**. Para los espacios de trabajo compatibles con la versión 10 de Grafana, vaya a **Conexiones**, **Orígenes de datos**.
1. Elija el origen de datos para el que desea deshabilitar los permisos.
1. En la pestaña **Permisos**, seleccione **Deshabilitar permisos**.