Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gérez les espaces de travail, les utilisateurs et les politiques dans Amazon Managed Grafana
<a name="AMG-manage-workspaces-users"></a>

Pour utiliser Amazon Managed Grafana, vous devez créer des espaces de travail Grafana. Un espace de travail Grafana est un serveur Grafana logique, sur lequel vous pouvez créer des tableaux de bord et des visualisations Grafana pour analyser vos métriques, vos journaux et vos traces. Vous ajoutez des utilisateurs et gérez leurs autorisations pour administrer, modifier ou consulter les espaces de travail.

Vous pouvez mettre à niveau votre espace de travail vers des versions plus récentes de Grafana ou le mettre à jour pour ajouter la prise en charge des plug-ins Enterprise, permettant ainsi à vos espaces de travail d'accéder à davantage de types de sources de données. Vous pouvez également gérer l'accès réseau à votre espace de travail. Vous pouvez créer et gérer vos espaces de travail Amazon Managed Grafana à l'aide de. CloudFormation

Les rubriques de cette section expliquent comment gérer vos espaces de travail, vos utilisateurs et vos politiques dans Amazon Managed Grafana.

**Topics**
+ [Différences entre les versions de Grafana](version-differences.md)
+ [Création d'un espace de travail Grafana géré par Amazon](AMG-create-workspace.md)
+ [Authentifier les utilisateurs dans les espaces de travail Amazon Managed Grafana](authentication-in-AMG.md)
+ [Mettez à jour votre version d'espace de travail](AMG-workspace-version-update.md)
+ [Gérer l'accès aux plug-ins d'entreprise](upgrade-to-enterprise-plugins.md)
+ [Migrer le contenu entre les espaces de travail Amazon Managed Grafana](AMG-workspace-content-migration.md)
+ [Gérez l'accès des utilisateurs et des groupes aux espaces de travail Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md)
+ [Gérer les autorisations pour les sources de données et les canaux de notification](AMG-datasource-and-notification.md)
+ [Création de ressources Amazon Managed Grafana avec AWS CloudFormation](creating-resources-with-cloudformation.md)
+ [Configurer l'accès réseau à votre espace de travail Amazon Managed Grafana](AMG-configure-nac.md)
+ [Chiffrement au repos](AMG-encryption-at-rest.md)
+ [Connectez-vous à des sources de données ou à des canaux de notification dans Amazon VPC depuis Amazon Managed Grafana](AMG-configure-vpc.md)
+ [Configuration d'un espace de travail Grafana géré par Amazon](AMG-configure-workspace.md)
+ [Supprimer un espace de travail Grafana géré par Amazon](AMG-edit-delete-workspace.md)

# Différences entre les versions de Grafana
<a name="version-differences"></a>

Lorsque vous [créez un espace de travail Grafana](AMG-create-workspace.md), vous devez choisir une version de Grafana à créer. Vous pouvez choisir entre les versions compatibles avec les versions 8, 9 et 10 de Grafana. Chacun d'entre eux a ajouté des fonctionnalités par rapport à la version précédente. Les rubriques suivantes décrivent les modifications apportées aux versions 9 et 10, y compris les modifications apportées à la version 10 susceptibles d'interrompre les fonctionnalités que vous utilisez dans la version 9.

**Note**  
Vous pouvez lire la documentation spécifique à la version sur l'utilisation de votre espace de travail Grafana dans les rubriques[Travailler dans la version 8 de Grafana](using-grafana-v8.md), et[Travailler dans la version 9 de Grafana](using-grafana-v9.md). [Travailler dans la version 10 de Grafana](using-grafana-v10.md)

*Pour des notes détaillées par version et plus d'informations sur Grafana Labs, voir [Nouveautés de Grafana dans la documentation de Grafana](https://grafana.com/docs/grafana/latest/whatsnew/) Labs.*

## Grafana version 10
<a name="version-diff-v10"></a>

Les fonctionnalités suivantes ont été ajoutées dans la version 10 de Grafana.
+ **Corrélations** : les corrélations définissent la manière dont les données d'une source de données sont utilisées pour interroger les données d'une autre source de données et permettent à la visualisation Explore d'exécuter facilement des requêtes liées aux données affichées. Pour en savoir plus, consultez [Corrélations dans Grafana version 10](v10-correlations.md).
+ **Sous-dossiers** : lorsque vous organisez vos tableaux de bord, vous pouvez désormais utiliser des sous-dossiers pour créer une hiérarchie imbriquée. Pour en savoir plus, consultez [Création de dossiers de tableau de bord](v10-dash-managing-dashboards.md#v10-dash-create-dashboard-folder).
+ **Alertes — Les alertes** Grafana permettent désormais de désactiver les alertes. De plus, les alertes Grafana n'envoient plus de notifications 3 fois.
+ **Aperçu de la mise à niveau des alertes** — Avant de passer des alertes classiques du tableau de bord aux alertes Grafana, vous pouvez voir à quoi ressembleront vos alertes et même apporter les modifications qui seront appliquées lors de la migration. Pour en savoir plus, consultez [Migration des alertes classiques du tableau de bord vers les alertes Grafana](v10-alerting-use-grafana-alerts.md). Grafana Labs a annoncé que les versions 11 et ultérieures de Grafana ne prendront plus en charge les alertes de tableau de bord classiques.
+ Offres d'**assistance : les** offres d'assistance constituent un moyen simple de collecter des informations sur votre espace de travail Grafana afin de les partager avec le support produit. Vous pouvez créer rapidement un bundle de support contenant des données sur les migrations, les plugins, les paramètres, etc. Pour en savoir plus, consultez [Recueillez des informations pour obtenir de l'aide](support-bundles.md).
+ **Nouvelles visualisations** — Trois nouvelles visualisations sont disponibles. Les [panneaux [XY Chart](v10-panels-xychart.md), [Datagrid](v10-panels-datagrid.md) et Trend](v10-panels-trend.md) sont tous disponibles pour les espaces de travail compatibles avec la version 10. Les espaces de travail de la version 9 peuvent également utiliser des diagrammes XY.
+ **PagerDuty**— Les plugins Enterprise incluent désormais un plugin pour PagerDuty.
+ **Refonte des transformations** — L'onglet Transformations offre une expérience utilisateur et une conception visuelle améliorées. Les transformations sont classées par catégories, et chaque type de transformation est illustré pour vous aider à choisir la bonne.
+ *Encyclopédie **métrique Prometheus — La liste déroulante des métriques** Prometheus dans le générateur de requêtes Prometheus a été remplacée par une encyclopédie métrique paginée et consultable.*
+ **Interface utilisateur de la clé API abandonnée** — Les [comptes de service](service-accounts.md) sont le moyen recommandé pour authentifier les appels vers le protocole HTTP de APIs Grafana. Dans le cadre des travaux de Grafana Labs visant à supprimer les clés d'API, vous ne pouvez plus créer de clés d'API via l'interface utilisateur de l'espace de travail. Vous ne pouvez créer des clés d'API que par le biais du AWS APIs.

  Pour plus d'informations sur l'arrêt des clés d'API par Grafana Labs, [APIKeysvoir : Suppression des clés d'API dans la liste des problèmes de](https://github.com/grafana/grafana/issues/53567) GitHub Grafana.

**Évolutions**

La version 10.4 de Grafana inclut des modifications par rapport aux versions 9.5 à 10.4 de Grafana. Les versions 10.0 et 10.3 de Grafana comportaient des modifications susceptibles d'interrompre les fonctionnalités dans certains cas. Lors de la mise à jour vers une nouvelle version, il est recommandé de tester dans un environnement hors production avant de mettre à jour vos espaces de travail de production.

Les modifications suivantes peuvent affecter la mise à jour de Grafana vers la version 10 de Grafana pour certains utilisateurs.
+ **Angular abandonné** — Les plugins qui utilisent Angular ne seront plus pris en charge dans les futures versions de Grafana. Dans la version 10, les panneaux utilisant l'angle afficheront une bannière indiquant qu'ils utilisent une fonctionnalité abandonnée, pour indiquer qu'ils ne fonctionneront pas dans les versions futures.
+ **Alias CloudWatch supprimé** — Les modèles d'alias dans l'éditeur de CloudWatch requêtes ont été remplacés par Label (étiquettes dynamiques).

  Ouvrez n'importe quel tableau de bord qui utilise le champ Alias, puis enregistrez-le. Alias est automatiquement migré vers Label.
+ **Les anciens plugins doivent être mis à niveau** — Les plugins pour Athena et la source de données Amazon Redshift doivent être mis à jour dans les espaces de travail Grafana v10. Le plug-in de source de données Athena doit être de version 2.9.3 ou ultérieure ; le plug-in de source de données Amazon Redshift doit être de version 1.8.3 ou ultérieure.

  Pour plus d'informations sur l'installation ou la mise à niveau des plug-ins, consultez[Trouvez des plugins avec le catalogue de plugins](grafana-plugins.md#plugin-catalog).
+ ** BigQuery Le plug-in DoIT n'est plus pris en charge** — Le plug-in de source de BigQuery données DoIT n'est plus pris en charge. Utilisez plutôt le plugin de source de BigQuery données officiel de Grafana Labs.
+ **Changements de transformation** — La version 10 de Grafana a apporté quelques corrections de bogues aux noms de champs et aux clés. Pour plus de détails, consultez les [modifications majeures apportées à la transformation](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#transformations) dans la documentation de Grafana Labs.
+ **Autorisations relatives aux sources de données APIs** : les points de terminaison permettant d'accéder aux autorisations des sources de données ont changé. Pour plus de détails, consultez la section [Modifications des autorisations relatives aux sources de données](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#data-source-permissions) dans la documentation de Grafana Labs.

Pour plus de détails sur les modifications majeures et celles qui concernent les développeurs de plugins, consultez les rubriques suivantes dans la documentation de *Grafana Labs* :
+ [Changements majeurs dans Grafana v10.0](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-0/)
+ [Changements majeurs dans Grafana v10.3](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/)

## Grafana version 9
<a name="version-diff-v9"></a>

Les fonctionnalités suivantes ont été ajoutées dans Grafana v9.
+ **Alerte : les** règles d'alerte gérées par Grafana prennent désormais en charge les noms de groupes.
+ **Explorer** : créez un tableau de bord depuis la vue Explore.
+ Requêtes **Prometheus** : un nouveau générateur de requêtes pour les requêtes Prometheus (utilisant ProMQL) facilite l'écriture de requêtes.
+ Requêtes **Loki : un nouveau générateur de requêtes** pour les requêtes Loki (utilisant LogQL) facilite l'écriture de requêtes.
+ **Jetons API/Comptes de service** : les comptes de service simplifient l'accès aux machines dans Grafana, vous aidant à gérer les jetons d'API.
+ **Gestion des plugins** : vous pouvez activer la gestion des plugins pour installer, supprimer ou mettre à jour les plugins communautaires dans votre espace de travail. Cela vous donne accès à davantage de sources de données et de visualisations, et vous permet de contrôler la version de chaque plugin que vous utilisez.
+ **Suivi des métriques** : configurez une source de données de suivi pour ajouter des liens vers des métriques avec des requêtes et des balises.
+ **Panneau Canvas** : nouvelle visualisation de panneau avec des éléments statiques et dynamiques pour créer des panneaux personnalisés pilotés par les données avec des images et du texte superposé.
+ Interface **réorganisée : interface** utilisateur mise à jour avec une navigation simplifiée dans la console Grafana.
+ **CloudWatch**: La source de CloudWatch données Amazon peut désormais surveiller les métriques Comptes AWS de manière transversale Régions AWS.
+ **Journaux** : L'interface pour les détails des journaux a été améliorée.
+ **Généralités** : corrections de bugs et améliorations mineures dans l'ensemble.

**Évolutions**

La version 9.4 de Grafana inclut une série de nouvelles fonctionnalités et améliorations, s'appuyant sur les versions précédentes. Cette version a apporté quelques modifications susceptibles de perturber les fonctionnalités dans certains cas. Lors de la mise à jour vers une nouvelle version, nous vous recommandons de tester dans un environnement hors production avant de mettre à jour vos espaces de travail de production.

Les modifications suivantes peuvent affecter la mise à jour de Grafana vers la version 9.4 de Grafana pour certains utilisateurs. Pour une liste détaillée de ces modifications, consultez le [journal des modifications de Grafana 9.4](https://github.com/grafana/grafana/blob/release-9.4.17/CHANGELOG.md) sur. *GitHub*
+ **API abandonnée** — L'`/api/tsdb/query`API a été supprimée.

  **Action requise :** Utiliser à la `/api/ds/query` place. Voir [Interroger une source de données](https://grafana.com/docs/grafana/latest/http_api/data_source/#query-a-data-source) dans la *documentation publique de Grafana* et numéro [\$149916](https://github.com/grafana/grafana/issues/49916) sur. *GitHub*
+ **Modifications des points de terminaison d'API** — Plusieurs points de terminaison d'API d'alerte nécessitent désormais un UID de source de données au lieu d'un identifiant numérique.

  **Points de terminaison concernés :**`api/v1/rule/test`,,`api/prometheus/`, `api/ruler/` `api/alertmanager/`

  **Action requise :** mettez à jour les appels d'API pour utiliser l'UID de la source de données comme paramètre de chemin. Voir les numéros [\$148070](https://github.com/grafana/grafana/issues/48070), [\$148052](https://github.com/grafana/grafana/issues/48052), [\$148046](https://github.com/grafana/grafana/issues/48046) et [\$147978](https://github.com/grafana/grafana/issues/47978) ci-dessous *GitHub*.
+ Requêtes **Azure Monitor supprimées : les requêtes** Application Insights et Insight Analytics ne sont plus prises en charge.

  Obsolète dans Grafana 8.0, supprimée dans la version 9.0. Les requêtes obsolètes ne seront pas exécutées.

  **Action requise :** consultez la [source de données Azure Monitor](https://grafana.com/docs/grafana/latest/datasources/azuremonitor/deprecated-application-insights/) dans la *documentation publique de Grafana* pour obtenir des conseils de migration.
+ **Mode d'accès au navigateur supprimé** — Le mode d'accès au navigateur n'est plus disponible pour les sources de données InfluxDB et Prometheus.

  **Action requise :** passez en mode d'accès au serveur dans la configuration de votre source de données. InfluxDB : obsolète dans la version 8.0.0, supprimée dans la version 9.2.0. Voir le numéro [\$153529](https://github.com/grafana/grafana/issues/53529) sur *GitHub*. Prometheus : obsolète dans la version 7.4.0, supprimé dans la version 9.2.0. Voir le numéro [\$150162](https://github.com/grafana/grafana/issues/50162) sur *GitHub*.
+ **Accès restreint aux paramètres du tableau de bord** : vous ne pouvez plus ouvrir les paramètres du tableau de bord lorsque vous modifiez des panneaux.

  Les paramètres du tableau de bord sont verrouillés lorsque le mode d'édition du panneau est actif. Fermez le mode d'édition du panneau avant d'accéder aux paramètres du tableau de bord. Voir le numéro [\$154746](https://github.com/grafana/grafana/issues/54746) sur *GitHub*.
+ **Chiffrement des mots de passe des sources de données** : les mots de passe non chiffrés ne sont plus pris en charge.

  **Action requise :** utilisez `secureJsonData.password` et`secureJsonData.basicAuthPassword`. Abandonné précédemment dans la version 8.1.0. Voir le numéro [\$149987](https://github.com/grafana/grafana/issues/49987) sur *GitHub*.
+ **Comportement de la source de données** par défaut : la sélection de la source de données par défaut n'affecte plus les panneaux existants.

  La source de données par défaut s'applique uniquement aux nouveaux panneaux. La modification de la valeur par défaut ne mettra pas à jour les tableaux de bord existants. Les panneaux précédemment enregistrés conservent leur configuration de source de données. Voir le numéro [\$145132](https://github.com/grafana/grafana/issues/45132) sur *GitHub*.
+ **Modification de la propriété d'intervalle Elasticsearch** : spécification de l'intervalle de requête mise à jour pour Elasticsearch 7.x.

  Transformé `interval` de `fixed_interval` propriété. Assure la cohérence avec Elasticsearch 8.x. La plupart des requêtes n'afficheront pas de modifications visibles. Voir le numéro [\$150297](https://github.com/grafana/grafana/issues/50297) sur *GitHub*.
+ **Mode document brut d'Elasticsearch abandonné : modifications du mode** d'affichage dans la source de données Elasticsearch.

  **Action requise :** utilisez plutôt le mode **Données brutes**. Voir le numéro [\$162236](https://github.com/grafana/grafana/issues/62236) sur *GitHub*.
+ **Support des versions d'Elasticsearch** : les anciennes versions d'Elasticsearch ne sont plus prises en charge.

  **Action requise :** mettez à niveau Elasticsearch vers la version 7.10.0 ou ultérieure. Les versions inférieures à 7.10.0 sont passées. end-of-life Voir le numéro [\$148715](https://github.com/grafana/grafana/issues/48715) sur *GitHub*.
+ **Le format d'URL Explore n'est plus disponible** — Compact Explore URLs sera supprimé dans une future version.

  **Action requise :** mettez à jour les liens codés en dur pour utiliser le format d'URL standard. Compact URLs :`&left=["now-1h","now"...]`. Norme URLs :`&left={"datasource":"test"...}`. Voir le numéro [\$150873](https://github.com/grafana/grafana/issues/50873) sur *GitHub*.
+ **GitHub OAuth affichage des modifications** : affichage GitHub du nom et de l'identifiant mis à jour.

  GitHub le nom apparaît sous la forme du nom de Grafana. GitHub login apparaît sous la forme de login Grafana. Améliore la clarté de l'identification des utilisateurs. Voir le numéro [\$145438](https://github.com/grafana/grafana/issues/45438) sur *GitHub*.
+ Mise **à jour de l'implémentation des panneaux Heatmap** — Les panneaux Heatmap utilisent une nouvelle implémentation à partir de la version 9.1.0.

  Performances de rendu nettement améliorées. Les seaux sont placés sur des bordures raisonnables (1 m, 5 m, 30 s). Les cellules rondes ne sont plus prises en charge.

  **Action requise :** testez vos panneaux Heatmap après la mise à niveau. Désactivez la nouvelle implémentation en définissant l'indicateur de `useLegacyHeatmapPanel` fonctionnalité sur true si nécessaire. Ajouter `?__feature.useLegacyHeatmapPanel=true` au tableau de bord URLs pour les tests. Voir le numéro [\$150229](https://github.com/grafana/grafana/issues/50229) sur *GitHub*.
+ **Migration du backend InfluxDB** — Le comportement d'analyse des données d'InfluxDB a changé.

  La fonction de migration du backend InfluxDB toggle (`influxdbBackendMigration`) est réintroduite en raison de problèmes de traitement du backend. Par défaut, les données InfluxDB sont analysées dans le frontend. Si vous êtes passé à la version 9.4.4 et que vous avez ajouté des transformations sur les données InfluxDB, le rendu de ces panneaux ne sera pas possible.

  **Action requise :** Supprimez les panneaux concernés et recréez-les, ou modifiez le `time` champ comme `Time` dans `panel.json` ou`dashboard.json`. Voir le numéro [\$164842](https://github.com/grafana/grafana/issues/64842) sur *GitHub*.
+ **Format des messages de journal mis à jour** — La structure des messages de journal a été modifiée.

  `lvl`c'est maintenant`level`. `eror`et `dbug` sont maintenant `error` et`debug`. Précision d'horodatage accrue. Possibilité de se désinscrire en activant les `oldlog` fonctionnalités (temporaire). Voir le numéro [\$147584](https://github.com/grafana/grafana/issues/47584) sur *GitHub*.
+ **Optimisation du format de données Loki** — Loki enregistre les données en utilisant un format de trame de données plus efficace.

  Dataframe unique avec colonne d'**étiquettes** au lieu de dataframes séparées. Les panneaux Explore et Logs fonctionnent sans modification. D'autres panneaux ou transformations peuvent nécessiter un ajustement.

  **Action requise :** remplacez les **libellés par la transformation des champs** par la transformation **des champs d'extraction**. Voir le numéro [\$147153](https://github.com/grafana/grafana/issues/47153) sur *GitHub*.
+ **Gestion des valeurs NaN** — `NaN` Représentation cohérente entre les sources de données Prometheus et Loki.

  `NaN`les valeurs restent telles qu'`NaN`elles ne sont pas converties en`null`. Le changement doit être généralement invisible pour les utilisateurs. Affecte à la fois le tableau de bord et les chemins d'alerte. Voir les numéros [\$149475](https://github.com/grafana/grafana/issues/49475) et [\$145389](https://github.com/grafana/grafana/issues/45389) sur *GitHub*.
+ **Liens de réinitialisation de mot de passe invalidés** — Les liens de réinitialisation de mot de passe existants ne fonctionneront pas après la mise à niveau.

  Les liens pour réinitialiser le mot de passe envoyés avant la mise à niveau ne sont pas valides. Les utilisateurs doivent demander de nouveaux liens de réinitialisation de mot de passe. Les liens expirent au bout de 2 heures. Voir le numéro [\$142334](https://github.com/grafana/grafana/issues/42334) sur *GitHub*.
+ **Préfixe d'étiquette réservée** : les étiquettes commençant par `grafana_` sont réservées.

  Les étiquettes configurées manuellement commençant par `grafana_` peuvent être remplacées. Libellés réservés actuels : `grafana_folder` (Titre du dossier contenant l'alerte). Voir le numéro [\$150262](https://github.com/grafana/grafana/issues/50262) sur *GitHub*.
+ **Améliorations apportées à la transformation** : la transformation **Rename by regex** prend désormais en charge les modèles mondiaux.

  Les modèles globaux utilisent le format`/<stringToReplace>/g`. Certaines transformations peuvent se comporter différemment. Enveloppez les chaînes correspondantes dans des barres obliques pour le comportement précédent : `(.*)` becomes. `/(.*)/` Voir le numéro [\$148179](https://github.com/grafana/grafana/issues/48179) sur *GitHub*.

# Création d'un espace de travail Grafana géré par Amazon
<a name="AMG-create-workspace"></a>

Un *espace de travail* est un serveur Grafana logique. Vous pouvez avoir jusqu'à cinq espaces de travail dans chaque région dans votre compte.

**Autorisations nécessaires**

Pour créer un espace de travail, vous devez être connecté à un principal Gestion des identités et des accès AWS (IAM) auquel la **AWSGrafanaAccountAdministrator**politique est attachée.

Pour créer votre premier espace de travail qui utilise IAM Identity Center à des fins d'autorisation, votre principal IAM doit également disposer des politiques supplémentaires (ou autorisations équivalentes) suivantes :
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectoryAdministrateur**

Pour de plus amples informations, veuillez consulter [Créez et gérez les espaces de travail et les utilisateurs Amazon Managed Grafana dans un seul compte autonome à l'aide d'IAM Identity Center](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone).

## Création d'un espace de travail
<a name="creating-workspace"></a>

Les étapes suivantes vous guident dans le processus de création d'un nouvel espace de travail Amazon Managed Grafana.

**Pour créer un espace de travail dans Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)

1. Choisissez **Create workspace**.

1. Dans la fenêtre des **détails de l'espace** de travail, pour **Nom de l'espace** de travail, entrez un nom pour l'espace de travail.

   Entrez éventuellement une description de l'espace de travail.

   Ajoutez éventuellement les balises que vous souhaitez associer à cet espace de travail. Les balises permettent d'identifier et d'organiser les espaces de travail et peuvent également être utilisées pour contrôler l'accès aux AWS ressources. Par exemple, vous pouvez attribuer une étiquette à l'espace de travail et seuls certains groupes ou rôles peuvent être autorisés à accéder à l'espace de travail à l'aide de cette balise. Pour plus d'informations sur le contrôle d'accès basé sur des balises, consultez la section Contrôle de [l'accès aux AWS ressources à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le Guide de l'utilisateur IAM.

   ![\[Workspace details form with name field and optional tags section highlighted.\]](http://docs.aws.amazon.com/fr_fr/grafana/latest/userguide/images/tagworkspace.png)

1. Choisissez une **version de Grafana** pour l'espace de travail. Vous pouvez choisir la version 8, 9 ou 10. Pour comprendre les différences entre les versions, voir[Différences entre les versions de Grafana](version-differences.md).

1. Choisissez **Suivant**.

1. Pour **l'accès à l'authentification **AWS IAM Identity Center ****, sélectionnez **SAML (Security Assertion Markup Language)** ou les deux. Pour de plus amples informations, veuillez consulter [Authentifier les utilisateurs dans les espaces de travail Amazon Managed Grafana](authentication-in-AMG.md).
   + **IAM Identity Center** : si vous sélectionnez IAM Identity Center et que vous ne l'avez pas encore activé AWS IAM Identity Center dans votre compte, vous êtes invité à l'activer en créant votre premier utilisateur IAM Identity Center. IAM Identity Center gère la gestion des utilisateurs pour l'accès aux espaces de travail Amazon Managed Grafana.

     Pour activer IAM Identity Center, procédez comme suit :

   1. Choisissez **Create user (Créer un utilisateur)**.

   1. Entrez l'adresse e-mail, le prénom et le nom de famille de l'utilisateur, puis choisissez **Créer un utilisateur**. Pour ce didacticiel, utilisez le nom et l'adresse e-mail du compte que vous souhaitez utiliser pour essayer Amazon Managed Grafana. Vous recevrez un e-mail vous demandant de créer un mot de passe pour ce compte pour IAM Identity Center.
**Important**  
L'utilisateur que vous créez n'a pas automatiquement accès à votre espace de travail Amazon Managed Grafana. Vous permettrez à l'utilisateur d'accéder à l'espace de travail sur la page de détails de l'espace de travail lors d'une étape ultérieure.
   + **SAML** — Si vous sélectionnez **SAML**, vous terminez la configuration SAML une fois l'espace de travail créé.

1. Choisissez **Service géré ou Géré** **par le client**.

   Si vous choisissez **Service managed**, Amazon Managed Grafana crée automatiquement les rôles IAM et fournit les autorisations dont vous avez besoin pour les sources de AWS données de ce compte que vous choisissez d'utiliser pour cet espace de travail.

   Si vous souhaitez gérer vous-même ces rôles et autorisations, choisissez **Gestion par le client**.

   Si vous créez un espace de travail dans un compte membre d'une organisation, pour pouvoir choisir **Service géré**, le compte membre doit être un compte d'administrateur délégué dans une organisation. Pour plus d'informations sur les comptes d'administrateur délégué, voir [Enregistrer un administrateur délégué](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html).

1. (Facultatif) Vous pouvez choisir de vous connecter à un cloud privé virtuel (VPC) Amazon sur cette page, ou vous pouvez vous connecter à un VPC ultérieurement. Pour en savoir plus, veuillez consulter la section [Connectez-vous à des sources de données ou à des canaux de notification dans Amazon VPC depuis Amazon Managed Grafana](AMG-configure-vpc.md).

1. (Facultatif) Vous pouvez choisir d'autres options de configuration de l'espace de travail sur cette page, notamment les suivantes :
   + Activez les [alertes Grafana](alerts-overview.md). Les alertes Grafana vous permettent de consulter les alertes Grafana et les alertes définies dans Prometheus au sein d'une interface d'alertes unique au sein de votre espace de travail Grafana.

     Dans les espaces de travail exécutant la version 8 ou 9, cela enverra plusieurs notifications pour vos alertes Grafana. Si vous utilisez les alertes définies dans Grafana, nous vous recommandons de créer votre espace de travail en version 10.4 ou ultérieure.
   + Autorisez les administrateurs de Grafana à [gérer les plugins pour cet espace](grafana-plugins.md) de travail. Si vous n'activez pas la gestion des plug-ins, vos administrateurs ne seront pas en mesure d'installer, de désinstaller ou de supprimer des plug-ins pour votre espace de travail. Vous pouvez être limité aux types de sources de données et de panneaux de visualisation que vous pouvez utiliser avec Amazon Managed Grafana.

   Vous pouvez également apporter ces modifications de configuration après avoir créé votre espace de travail. Pour en savoir plus sur la configuration de votre espace de travail, consultez[Configuration d'un espace de travail Grafana géré par Amazon](AMG-configure-workspace.md).

1. (Facultatif) Vous pouvez choisir d'ajouter un **contrôle d'accès réseau à** votre espace de travail. Pour ajouter le contrôle d'accès au réseau, choisissez **Accès restreint**. Vous pouvez également activer le contrôle d'accès au réseau après avoir créé votre espace de travail.

   Pour plus d'informations sur le contrôle d'accès au réseau, consultez[Configurer l'accès réseau à votre espace de travail Amazon Managed Grafana](AMG-configure-nac.md).

1. (Facultatif) Par défaut, Amazon Managed Grafana vous fournit automatiquement le chiffrement au repos, à l'aide de clés de AWS chiffrement détenues par celui-ci. Mais vous avez la possibilité d'utiliser une clé gérée par le client que vous créez, détenez et gérez comme alternative. Pour de plus amples informations, veuillez consulter [Chiffrement au repos](AMG-encryption-at-rest.md).

1. Choisissez **Suivant**.

1. Si vous avez choisi **Service géré**, choisissez **Compte courant** pour qu'Amazon Managed Grafana crée automatiquement des politiques et des autorisations lui permettant de lire uniquement AWS les données du compte courant.

   Si vous créez un espace de travail dans le compte de gestion ou un compte administrateur délégué dans une organisation, vous pouvez choisir **Organisation** pour qu'Amazon Managed Grafana crée automatiquement des politiques et des autorisations lui permettant de lire les AWS données des autres comptes des unités organisationnelles que vous spécifiez. Pour plus d'informations sur les comptes d'administrateur délégué, voir [Enregistrer un administrateur délégué](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html).
**Note**  
La création de ressources telles que les espaces de travail Grafana gérés par Amazon dans le compte de gestion d'une organisation va à l'encontre des meilleures pratiques en matière de AWS sécurité.

   1. Si vous avez choisi **Organisation** et que vous êtes invité à l'activer AWS CloudFormation StackSets, choisissez **Activer l'accès sécurisé**. Ajoutez ensuite les unités AWS Organizations organisationnelles (OUs) dont vous souhaitez qu'Amazon Managed Grafana lise les données. Amazon Managed Grafana peut ensuite lire les données de tous les comptes de chaque unité d'organisation de votre choix.

   1. Si vous avez choisi **Organisation**, choisissez **Sources de données et canaux de notification (facultatif)**.

1. Sélectionnez les sources de AWS données que vous souhaitez interroger dans cet espace de travail. La sélection de sources de données permet à Amazon Managed Grafana de créer des rôles et des autorisations IAM qui permettent à Amazon Managed Grafana de lire les données provenant de ces sources. Vous devez toujours ajouter les sources de données dans la console de l'espace de travail Grafana.

1. **(Facultatif) Si vous souhaitez que les alertes Grafana provenant de cet espace de travail soient envoyées à un canal de notification Amazon Simple Notification Service (Amazon SNS), sélectionnez Amazon SNS.** Cela permet à Amazon Managed Grafana de créer une politique IAM à publier sur les rubriques Amazon SNS de votre compte avec `TopicName` des valeurs commençant par. `grafana` Cela ne permet pas de configurer complètement Amazon SNS en tant que canal de notification pour l'espace de travail. Vous pouvez le faire dans la console Grafana de l'espace de travail.

1. Choisissez **Suivant**.

1. Vérifiez les détails de l'espace de travail, puis choisissez **Créer un espace de travail**.

   La page de détails de l’espace de travail s’affiche.

   Au départ, le **statut** est **CREATING**.
**Important**  
Attendez que le statut soit **ACTIF** avant d'effectuer l'une des opérations suivantes :  
Finalisation de la configuration SAML, si vous utilisez le protocole SAML.
Attribuer à vos utilisateurs IAM Identity Center l'accès à l'espace de travail, si vous utilisez IAM Identity Center.
Il se peut que vous deviez actualiser votre navigateur pour voir l'état actuel.

1. Si vous utilisez IAM Identity Center, procédez comme suit :

   1. Dans l'onglet **Authentification**, choisissez **Attribuer un nouvel utilisateur ou un nouveau groupe**. 

   1. Cochez la case à côté de l'utilisateur auquel vous souhaitez accorder l'accès à l'espace de travail, puis choisissez **Attribuer un utilisateur**.

   1. Cochez la case à côté de l'utilisateur, puis choisissez **Make admin**.
**Important**  
Attribuez au moins un utilisateur `Admin` pour chaque espace de travail, afin de se connecter à la console de l'espace de travail Grafana pour gérer l'espace de travail.

1. Si vous utilisez le protocole SAML, procédez comme suit :

   1. Dans l'onglet **Authentification**, sous **Security Assertion Markup Language (SAML)**, sélectionnez Configuration **complète**.

   1. Pour **Méthode d'importation**, effectuez l'une des opérations suivantes :
      + Choisissez **URL** et entrez l'URL des métadonnées de l'IdP.
      + Choisissez **Téléverser ou copier/coller**. Si vous chargez les métadonnées, choisissez **Choisir un fichier**, puis sélectionnez le fichier de métadonnées. Ou, si vous utilisez le copier-coller, copiez les métadonnées dans **Importer les métadonnées**.

   1. Pour le **rôle d'attribut d'assertion**, entrez le nom de l'attribut d'assertion SAML à partir duquel vous souhaitez extraire les informations de rôle.

   1. Pour les **valeurs des rôles d'administrateur**, saisissez les rôles utilisateur de votre IdP qui devraient tous se voir attribuer le `Admin` rôle dans l'espace de travail Amazon Managed Grafana, ou sélectionnez **Je souhaite désactiver l'attribution d'administrateurs à mon espace de** travail.
**Note**  
Si vous choisissez, **je souhaite refuser d'affecter des administrateurs à mon espace de travail**. , vous ne pourrez pas utiliser la console pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide d'Amazon Managed Grafana APIs.

   1. (Facultatif) Pour saisir des paramètres SAML supplémentaires, sélectionnez **Paramètres supplémentaires** et effectuez l'une ou plusieurs des opérations suivantes. Tous ces champs sont facultatifs.
      + Pour le **nom de l'attribut d'assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms complets « conviviaux » pour les utilisateurs SAML.
      + Pour la **connexion à l'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms de connexion des utilisateurs SAML.
      + Pour **l'e-mail d'attribut d'assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms d'e-mail des utilisateurs SAML.
      + Pour **la durée de validité de la connexion (en minutes)**, spécifiez la durée de validité de la connexion d'un utilisateur SAML avant que celui-ci ne doive se reconnecter. La valeur par défaut est de 1 jour et le maximum est de 30 jours.
      + Pour **l'organisation de l'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les organisations d'utilisateurs.
      + Pour les **groupes d'attributs Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les groupes d'utilisateurs.
      + Pour les **organisations autorisées**, vous pouvez limiter l'accès des utilisateurs aux seuls utilisateurs membres de certaines organisations de l'IdP. Entrez une ou plusieurs organisations à autoriser, en les séparant par des virgules.
      + Pour les **valeurs des rôles d'éditeur**, entrez les rôles utilisateur de votre IdP qui devraient tous se voir attribuer le `Editor` rôle dans l'espace de travail Amazon Managed Grafana. Entrez un ou plusieurs rôles, séparés par des virgules.

   1. Choisissez **Enregistrer la configuration SAML**.

1. Sur la page des détails de l'espace de travail, choisissez l'URL affichée sous URL de l'**espace de travail Grafana**.

1. Le choix de l'URL de l'espace de travail vous amène à la page d'accueil de la console de l'espace de travail Grafana. Effectuez l’une des actions suivantes :
   + Choisissez **Se connecter avec SAML**, puis entrez le nom et le mot de passe.
   +  Choisissez **Se connecter avec AWS IAM Identity Center**, puis entrez l'adresse e-mail et le mot de passe de l'utilisateur que vous avez créé plus tôt dans cette procédure. Ces informations d'identification ne fonctionnent que si vous avez répondu à l'e-mail d'Amazon Managed Grafana vous demandant de créer un mot de passe pour IAM Identity Center.

     Vous êtes maintenant dans votre espace de travail Grafana, ou serveur Grafana logique. Vous pouvez commencer à ajouter des sources de données pour interroger, visualiser et analyser des données. Pour de plus amples informations, veuillez consulter [Utilisez votre espace de travail Grafana](AMG-working-with-Grafana-workspace.md).

Pour plus d'informations sur 

**Astuce**  
Vous pouvez automatiser la création d'espaces de travail Amazon Managed Grafana en utilisant. CloudFormation Pour des informations plus détaillées, voir[Création de ressources Amazon Managed Grafana avec AWS CloudFormation](creating-resources-with-cloudformation.md).

# Authentifier les utilisateurs dans les espaces de travail Amazon Managed Grafana
<a name="authentication-in-AMG"></a>

Des utilisateurs individuels se connectent à vos espaces de travail pour modifier et consulter vos tableaux de bord. Vous pouvez affecter des utilisateurs à vos espaces de travail et [leur accorder des autorisations d'utilisateur, d'éditeur ou d'administrateur](AMG-manage-users-and-groups-AMG.md). Pour commencer, vous devez créer (ou utiliser un fournisseur d'identité existant) pour authentifier les utilisateurs.

Les utilisateurs sont authentifiés pour utiliser la console Grafana dans un espace de travail Grafana géré par Amazon par authentification unique en utilisant le fournisseur d'identité de votre organisation, plutôt qu'en utilisant IAM. Chaque espace de travail peut utiliser l'une des méthodes d'authentification suivantes ou les deux :
+ Informations d'identification utilisateur stockées dans des fournisseurs d'identité (IdPs) prenant en charge le langage SAML 2.0 (Security Assertion Markup Language 2.0)
+ AWS IAM Identity Center. AWS Single-sign-on (**AWS SSO**) a été rebaptisé **IAM** Identity Center. 

Pour chacun de vos espaces de travail, vous pouvez utiliser SAML, IAM Identity Center ou les deux. Si vous commencez par utiliser une méthode, vous pouvez passer à l'autre.

Vous devez accorder à vos utilisateurs (ou aux groupes auxquels ils appartiennent) des autorisations d'accès à l'espace de travail pour qu'ils puissent accéder aux fonctionnalités de l'espace de travail. Pour plus d'informations sur l'octroi d'autorisations à vos utilisateurs, consultez[Gérez l'accès des utilisateurs et des groupes aux espaces de travail Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md).

**Topics**
+ [Utilisez SAML avec votre espace de travail Amazon Managed Grafana](authentication-in-AMG-SAML.md)
+ [À utiliser AWS IAM Identity Center avec votre espace de travail Amazon Managed Grafana](authentication-in-AMG-SSO.md)

# Utilisez SAML avec votre espace de travail Amazon Managed Grafana
<a name="authentication-in-AMG-SAML"></a>

**Note**  
Amazon Managed Grafana ne prend actuellement pas en charge la connexion initiée par l'IdP pour les espaces de travail. Vous devez configurer vos applications SAML avec un état relais vide.

Vous pouvez utiliser l'authentification SAML pour utiliser votre fournisseur d'identité existant et proposer une authentification unique pour vous connecter à la console Grafana de vos espaces de travail Amazon Managed Grafana. Plutôt que de vous authentifier via IAM, l'authentification SAML pour Amazon Managed Grafana vous permet d'utiliser des fournisseurs d'identité tiers pour vous connecter, gérer le contrôle d'accès, rechercher vos données et créer des visualisations. Amazon Managed Grafana prend en charge les fournisseurs d'identité qui utilisent la norme SAML 2.0 et qui ont créé et testé des applications d'intégration avec Azure AD CyberArk, Okta et Ping Identity. OneLogin

Pour plus de détails sur la configuration de l'authentification SAML lors de la création de l'espace de travail, consultez[Création d'un espace de travail](AMG-create-workspace.md#creating-workspace).

Dans le flux d'authentification SAML, un espace de travail Amazon Managed Grafana agit en tant que fournisseur de services (SP) et interagit avec l'IdP pour obtenir des informations sur les utilisateurs. Pour plus d'informations sur le SAML, consultez [Security Assertion Markup Language.](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)

Vous pouvez associer les groupes de votre IdP aux équipes de l'espace de travail Amazon Managed Grafana et définir des autorisations d'accès précises pour ces équipes. Vous pouvez également mapper les rôles organisationnels définis dans l'IdP à des rôles dans l'espace de travail Amazon Managed Grafana. Par exemple, si un rôle de **développeur** est défini dans l'IdP, vous pouvez associer ce rôle au rôle d'**administrateur Grafana dans l'espace de travail Grafana** géré par Amazon.

**Note**  
Lorsque vous créez un espace de travail Amazon Managed Grafana qui utilise un IdP et un SAML pour l'autorisation, vous devez être connecté à un principal IAM auquel la politique est attachée. **AWSGrafanaAccountAdministrator**

Pour se connecter à l'espace de travail Amazon Managed Grafana, un utilisateur se rend sur la page d'accueil de la console Grafana de l'espace de travail et choisit **Se connecter** en utilisant SAML. L'espace de travail lit la configuration SAML et redirige l'utilisateur vers l'IdP pour l'authentification. L'utilisateur saisit ses informations de connexion sur le portail IdP, et s'il s'agit d'un utilisateur valide, l'IdP émet une assertion SAML et redirige l'utilisateur vers l'espace de travail Amazon Managed Grafana. Amazon Managed Grafana vérifie que l'assertion SAML est valide, que l'utilisateur est connecté et peut utiliser l'espace de travail.

Amazon Managed Grafana prend en charge les liaisons SAML 2.0 suivantes :
+ Du fournisseur de services (SP) au fournisseur d'identité (IdP) :
  + liaison HTTP-POST
  + Liaison de redirection HTTP
+ Du fournisseur d'identité (IdP) au fournisseur de services (SP) :
  + liaison HTTP-POST

Amazon Managed Grafana prend en charge les assertions signées et chiffrées, mais ne prend pas en charge les demandes signées ou chiffrées.

Amazon Managed Grafana prend en charge les demandes initiées par le fournisseur de services Internet, mais pas les demandes initiées par l'IdP.

## mappage des assertions
<a name="AMG-SAML-Assertion-Mapping"></a>

Pendant le flux d'authentification SAML, Amazon Managed Grafana reçoit le rappel ACS (Assertion Consumer Service). Le rappel contient toutes les informations pertinentes pour l'utilisateur authentifié, intégrées dans la réponse SAML. Amazon Managed Grafana analyse la réponse pour créer (ou mettre à jour) l'utilisateur dans sa base de données interne.

Lorsqu'Amazon Managed Grafana mappe les informations utilisateur, il examine les attributs individuels de l'assertion. Vous pouvez considérer ces attributs comme des paires clé-valeur, bien qu'ils contiennent plus d'informations que cela.

Amazon Managed Grafana propose des options de configuration qui vous permettent de modifier les clés à prendre en compte pour ces valeurs. 

Vous pouvez utiliser la console Amazon Managed Grafana pour mapper les attributs d'assertion SAML suivants aux valeurs d'Amazon Managed Grafana :
+ Pour le **rôle d'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme rôles utilisateur.
+ Pour le **nom de l'attribut d'assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms complets « conviviaux » pour les utilisateurs SAML.
+ Pour la **connexion à l'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms de connexion des utilisateurs SAML.
+ Pour **l'e-mail d'attribut d'assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms d'e-mail des utilisateurs SAML.
+ Pour **l'organisation de l'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les organisations d'utilisateurs.
+ Pour les **groupes d'attributs Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les groupes d'utilisateurs.
+ Pour les **organisations autorisées**, vous pouvez limiter l'accès des utilisateurs aux seuls utilisateurs membres de certaines organisations de l'IdP.
+ Pour les **valeurs des rôles d'éditeur**, spécifiez les rôles utilisateur de votre IdP qui devraient tous se voir attribuer le `Editor` rôle dans l'espace de travail Amazon Managed Grafana.

## Connexion à votre fournisseur d'identité
<a name="authentication-in-AMG-SAML-providers"></a>

Les fournisseurs d'identité externes suivants ont été testés avec Amazon Managed Grafana et fournissent des applications directement dans leurs répertoires ou galeries d'applications pour vous aider à configurer Amazon Managed Grafana avec SAML.

**Topics**
+ [mappage des assertions](#AMG-SAML-Assertion-Mapping)
+ [Connexion à votre fournisseur d'identité](#authentication-in-AMG-SAML-providers)
+ [Configurer Amazon Managed Grafana pour utiliser Azure AD](AMG-SAML-providers-Azure.md)
+ [Configurer Amazon Managed Grafana pour utiliser CyberArk](AMG-SAML-providers-CyberArk.md)
+ [Configurer Amazon Managed Grafana pour utiliser Okta](AMG-SAML-providers-okta.md)
+ [Configurer Amazon Managed Grafana pour utiliser OneLogin](AMG-SAML-providers-onelogin.md)
+ [Configurer Amazon Managed Grafana pour utiliser Ping Identity](AMG-SAML-providers-pingone.md)

# Configurer Amazon Managed Grafana pour utiliser Azure AD
<a name="AMG-SAML-providers-Azure"></a>

Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin d'utiliser Azure Active Directory en tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez noté l'*ID* de l'espace de travail *URLs*, et. *Région AWS*

## Étape 1 : étapes à suivre dans Azure Active Directory
<a name="AMG-SAML-providers-Azure-step1"></a>

Effectuez les étapes suivantes dans Azure Active Directory.

**Pour configurer Azure Active Directory en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Connectez-vous à la console Azure en tant qu'administrateur.

1. Choisissez **Azure Active Directory**.

1. Choisissez **Enterprise Applications**.

1. Recherchez **Amazon Managed Grafana SAML2 2.0**, puis sélectionnez-le.

1. Sélectionnez l'application, puis sélectionnez **Configuration**.

1. Dans la configuration de l'application Azure Active Directory, sélectionnez **Utilisateurs et groupes**.

1. Attribuez l'application aux utilisateurs et aux groupes de votre choix.

1. Choisissez **Single sign-on** (Authentification unique).

1. Choisissez **Next** pour accéder à la page de configuration SAML.

1. Spécifiez vos paramètres SAML :
   + Pour **Identifier (ID d'entité)**, collez l'URL de l'**identifiant de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
   + Pour **l'URL de réponse (URL d'assertion Consumer Service)**, collez la **réponse de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
   + Assurez-vous que l'option **Sign Assertion** est sélectionnée et que l'option **Chiffrer l'assertion** n'est pas sélectionnée.

1. Dans la section **Attributs et revendications des utilisateurs**, assurez-vous que ces attributs sont mappés. Ils font la distinction majuscules/minuscules.
   + **le courrier** est défini avec **user.userprincipalname.**
   + **DisplayName** **est défini avec user.displayname.**
   + **L'identifiant utilisateur unique** est défini avec **user.userprincipalname.**
   + Ajoutez tous les autres attributs que vous souhaiteriez transmettre. Pour plus d'informations sur les attributs que vous pouvez transmettre à Amazon Managed Grafana dans le mappage des assertions, consultez. [mappage des assertions](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Copiez l'**URL des métadonnées SAML** à utiliser dans la configuration de l'espace de travail Amazon Managed Grafana.

## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
<a name="AMG-SAML-providers-Azure-step2"></a>

Effectuez les étapes suivantes dans la console Amazon Managed Grafana.

**Pour terminer la configuration d'Azure Active Directory en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation, choisissez l’icône de menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail.

1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**

1. Sous **Importer les métadonnées**, choisissez **Charger ou copier/coller et collez** l'URL Azure Active Directory que vous avez copiée à partir de l'URL des **métadonnées SAML** dans la section précédente.

1. Sous **Mappage des assertions**, procédez comme suit :
   + Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**  
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
   + Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
   + Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
   + (Facultatif) Si vous avez modifié les attributs par défaut dans votre application Azure Active Directory, développez **Paramètres supplémentaires (facultatif)**, puis définissez les nouveaux noms d'attributs.

     Par défaut, l'attribut Azure **DisplayName** est transmis en tant qu'attribut **Name** et l'attribut de messagerie Ping Identity est transmis à la fois aux attributs de **courrier** **électronique** et de **connexion**.

1. Choisissez **Enregistrer la configuration SAML**.

# Configurer Amazon Managed Grafana pour utiliser CyberArk
<a name="AMG-SAML-providers-CyberArk"></a>

Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin de l'utiliser en CyberArk tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez noté l'ID et la région de l'espace de travail. URLs

## Étape 1 : Étapes à suivre CyberArk
<a name="AMG-SAML-providers-cyberark-step1"></a>

Effectuez les étapes suivantes dans CyberArk.

**Pour configurer en CyberArk tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Connectez-vous au portail CyberArk Identity Admin. 

1. Choisissez **Apps**, **Web Apps**.

1. Choisissez **Ajouter une application Web**.

1. **Recherchez **Amazon Managed Grafana pour la version SAML2 2.0, puis sélectionnez** Ajouter.**

1. Dans la configuration de CyberArk l'application, rendez-vous dans la section **Trust**.

1. Sous **Configuration du fournisseur d'identité**, choisissez **Metadata**.

1. Choisissez **Copier l'URL** et enregistrez l'URL pour l'utiliser ultérieurement au cours de ces étapes.

1. Sous **Configuration du fournisseur de services**, choisissez **Configuration manuelle**.

1. Spécifiez vos paramètres SAML :
   + Pour **SP Entity ID**, collez l'URL de votre **identifiant de fournisseur** de services depuis l'espace de travail Amazon Managed Grafana.
   + Pour **l'URL d'Assertion Consumer Service (ACS)**, collez la **réponse de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
   + Définissez **Sign Response Assertion** sur **Assertion**.
   + **Assurez-vous que le **format NameID** est EmailAddress.**

1. Choisissez **Enregistrer**.

1. Dans la section **Réponse SAML**, assurez-vous que l'attribut Amazon Managed Grafana se trouve **dans Nom de l'application** et que CyberArk l'attribut est **dans** Valeur d'attribut. Assurez-vous ensuite que les attributs suivants sont mappés. Ils font la distinction majuscules/minuscules.
   + **DisplayName** **est défini avec. LoginUser DisplayName**.
   + **le courrier** est défini avec **LoginUser.Email.**
   + Ajoutez tous les autres attributs que vous souhaiteriez transmettre. Pour plus d'informations sur les attributs que vous pouvez transmettre à Amazon Managed Grafana dans le mappage des assertions, consultez. [mappage des assertions](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Choisissez **Enregistrer**.

1. Dans la section **Autorisations**, choisissez les utilisateurs et les groupes auxquels attribuer cette application, puis sélectionnez **Enregistrer**.

## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
<a name="AMG-SAML-providers-cyberark-step2"></a>

Effectuez les étapes suivantes dans la console Amazon Managed Grafana.

**Pour terminer la configuration en CyberArk tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation, choisissez l’icône de menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail.

1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**

1. Sous **Importer les métadonnées**, choisissez **Charger ou copier/coller et collez** l' CyberArk URL que vous avez copiée lors de la procédure précédente.

1. Sous **Mappage des assertions**, procédez comme suit :
   + Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**  
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
   + Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
   + Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
   + (Facultatif) Si vous avez modifié les attributs par défaut dans votre CyberArk application, **sélectionnez Paramètres supplémentaires - facultatif**, puis définissez les nouveaux noms d'attributs.

     **Par défaut, l'attribut CyberA **DisplayName** est transmis à **l'**attribut name et CyberArk **l'**attribut mail est transmis aux attributs email **et** login.**

1. Choisissez **Enregistrer la configuration SAML**.

# Configurer Amazon Managed Grafana pour utiliser Okta
<a name="AMG-SAML-providers-okta"></a>

Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin d'utiliser Okta comme fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez noté l'ID et la région de l'espace de travail. URLs

## Étape 1 : Étapes à suivre dans Okta
<a name="AMG-SAML-providers-okta-step1"></a>

Effectuez les étapes suivantes dans Okta.

**Pour configurer Okta en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Connectez-vous à la console Okta en tant qu'administrateur. 

1. Dans le panneau de gauche, choisissez **Applications**, **Applications**.

1. Choisissez **Parcourir le catalogue d'applications** et recherchez **Amazon Managed Grafana**.

1. **Choisissez **Amazon Managed Grafana**, puis cliquez sur **Ajouter, OK**.**

1. Choisissez l'application pour commencer à la configurer.

1. Dans l'**onglet Connexion**, choisissez **Modifier**.

1. Dans **Paramètres de connexion avancés**, entrez votre identifiant d'espace de travail Amazon Managed Grafana et votre région dans **les champs Nom** Espace **et Région respectivement**. **L'identifiant et la région de votre espace de travail Amazon Managed Grafana se trouvent dans l'URL de votre espace de travail Amazon Managed Grafana au format .grafana-workspace. *workspace-id* *Region*.amazonaws.com**.

1. Choisissez **Enregistrer**.

1. Sous **SAML 2.0**, copiez l'URL des **métadonnées du fournisseur d'identité**. Vous l'utiliserez ultérieurement dans cette procédure dans la console Amazon Managed Grafana.

1. Dans l'onglet **Assignments**, sélectionnez les **personnes** et **les groupes** que vous souhaitez autoriser à utiliser Amazon Managed Grafana.

## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
<a name="AMG-SAML-providers-okta-step2"></a>

Effectuez les étapes suivantes dans la console Amazon Managed Grafana.

**Pour terminer la configuration d'Okta en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation, choisissez l’icône de menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail.

1. Dans l'onglet **Authentification**, sélectionnez **Configuration complète**.

1. Sous **Importer les métadonnées**, choisissez **Télécharger ou copier/coller et collez** l'URL Okta que vous avez copiée lors de la procédure précédente.

1. Sous **Mappage des assertions**, procédez comme suit :
   + Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**  
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
   + Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
   + Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
   + (Facultatif) Si vous avez modifié les attributs par défaut dans votre application Okta, sélectionnez **Paramètres supplémentaires - facultatif**, puis définissez les nouveaux noms d'attributs.

     **Par défaut, l'attribut Okta **DisplayName** est transmis à **l'**attribut name et l'attribut **Okta** mail est transmis aux attributs email et **login**.**

1. Choisissez **Enregistrer la configuration SAML**.

# Configurer Amazon Managed Grafana pour utiliser OneLogin
<a name="AMG-SAML-providers-onelogin"></a>

Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin de l'utiliser en OneLogin tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez pris note de l'ID et de la région de l'espace de travail. URLs

## Étape 1 : Étapes à suivre OneLogin
<a name="AMG-SAML-providers-onelogin-step1"></a>

Effectuez les étapes suivantes dans OneLogin.

**Pour configurer en OneLogin tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Connectez-vous au OneLogin portail en tant qu'administrateur. 

1. Choisissez **Applications**, **Applications**, **Ajouter une application**.

1. Recherchez **Amazon Managed Service for Grafana**.

1. Attribuez **le nom d'affichage** de votre choix et choisissez **Enregistrer**.

1. Accédez à **Configuration** et entrez l'ID de l'espace de travail Amazon Managed Grafana dans **Namespace**, puis entrez la région de votre espace de travail Amazon Managed Grafana.

1. Dans l'onglet **Configuration**, entrez l'URL de votre espace de travail Amazon Managed Grafana.

1. Vous pouvez laisser le paramètre **AdminRole** comme valeur par **défaut No** Default et le renseigner à l'aide de l'onglet **Règles**, si un administrateur a besoin d'une valeur correspondante dans Amazon Managed Grafana. Dans cet exemple, le **rôle de l'attribut Assertion** serait défini sur **AdminRole dans** Amazon Managed Grafana, avec la valeur true. Vous pouvez faire pointer cette valeur vers n'importe quel attribut de votre locataire. Cliquez sur le **signe \$1** pour ajouter et configurer des paramètres répondant aux exigences de votre organisation.

1. Choisissez l'onglet **Règles**, choisissez **Ajouter une règle** et nommez votre règle. Dans le champ **Conditions** (l'instruction if), nous ajoutons **Email contains [adresse e-mail]**. **Dans le champ **Actions** (l'instruction d'alors), nous sélectionnons **Set AdminRole in Amazon Managed Service** et nous sélectionnons **Macro** dans le menu déroulant **Set AdminRole** to, avec la valeur true.** Votre organisation peut choisir différentes règles pour résoudre différents cas d'utilisation.

1. Choisissez **Enregistrer**. Accédez à **Autres actions** et choisissez **Réappliquer les mappages de droits**. Vous devez réappliquer les mappages chaque fois que vous créez ou mettez à jour des règles.

1. Notez l'**URL de l'émetteur**, que vous utiliserez ultérieurement dans la configuration de la console Amazon Managed Grafana. Ensuite, choisissez **Save** (Enregistrer).

1. Choisissez l'onglet **Accès** pour attribuer les OneLogin rôles permettant d'accéder à Amazon Managed Grafana et sélectionnez une politique de sécurité des applications. 

## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
<a name="AMG-SAML-providers-onelogin-step2"></a>

Effectuez les étapes suivantes dans la console Amazon Managed Grafana.

**Pour terminer la configuration en OneLogin tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation, choisissez l’icône de menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail.

1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**

1. Sous **Importer les métadonnées**, choisissez **Télécharger ou copier/coller et collez** l'URL de l' OneLoginémetteur que vous avez copiée depuis la OneLogin console lors de la procédure précédente.

1. Sous **Mappage des assertions**, procédez comme suit :
   + Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**  
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
   + Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi. La valeur par défaut pour OneLogin est **AdminRole**.
   + Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
   + (Facultatif) Si vous avez modifié les attributs par défaut dans votre OneLogin application, **sélectionnez Paramètres supplémentaires - facultatif**, puis définissez les nouveaux noms d'attributs.

     Par défaut, l'attribut OneLogin **DisplayName** est transmis à l'attribut **name** et l'attribut OneLogin **mail** est transmis aux attributs **email** et **login**.

1. Choisissez **Enregistrer la configuration SAML**.

# Configurer Amazon Managed Grafana pour utiliser Ping Identity
<a name="AMG-SAML-providers-pingone"></a>

Suivez les étapes ci-dessous pour configurer Amazon Managed Grafana afin d'utiliser Ping Identity en tant que fournisseur d'identité. Ces étapes supposent que vous avez déjà créé votre espace de travail Amazon Managed Grafana et que vous avez pris note de l'ID et de la région de l'espace de travail. URLs

## Étape 1 : Étapes à suivre dans Ping Identity
<a name="AMG-SAML-providers-pingone-step1"></a>

Effectuez les étapes suivantes dans Ping Identity.

**Pour configurer Ping Identity en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Connectez-vous à la console Ping Identity en tant qu'administrateur. 

1. Choisissez **Applications**.

1. Choisissez **Ajouter une application**, puis **Rechercher dans le catalogue d'applications**.

1. **Recherchez l'application **Amazon Managed Grafana for SAML**, puis choisissez-la et choisissez Setup.**

1. Dans l'application Ping Identity, choisissez **Next** pour accéder à la page de configuration SAML. Définissez ensuite les paramètres SAML suivants :
   + Pour **Assertion Consumer Service**, collez l'**URL de réponse de votre fournisseur** de services depuis l'espace de travail Amazon Managed Grafana.
   + Pour **Entity ID**, collez l'**identifiant de votre fournisseur de services** depuis l'espace de travail Amazon Managed Grafana.
   + Assurez-vous que l'option **Sign Assertion** est sélectionnée et que l'option **Chiffrer l'assertion** n'est pas sélectionnée.

1. Choisissez **Passer à l'étape suivante**.

1. Dans le **mappage des attributs SSO, assurez-vous que l'attribut** Amazon Managed Grafana se trouve **dans l'attribut Application** et que l'attribut Ping Identity se trouve dans **l'attribut Identity Bridge**. Effectuez ensuite les réglages suivants :
   + **le courrier** doit être **Email (Work)**.
   + **DisplayName** doit être **Display** Name.
   + **SAML\$1SUBJECT** doit être **Email (**Work). **Ensuite, pour cet attribut, choisissez **Advanced**, définissez le **format d'identifiant du nom à envoyer au SP sur **urn:oasis:names:tc:saml:2.0:nameid-format:transient**** et choisissez Enregistrer.** 
   + Ajoutez tout autre attribut que vous souhaitez transmettre.
   + Ajoutez tous les autres attributs que vous souhaitez transmettre. Pour plus d'informations sur les attributs que vous pouvez transmettre à Amazon Managed Grafana dans le mappage des assertions, consultez. [mappage des assertions](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)

1. Choisissez **Passer à l'étape suivante**.

1. Dans **Accès aux groupes**, choisissez les groupes auxquels attribuer cette application.

1. Choisissez **Passer à l'étape suivante**.

1. Copiez l'**URL des métadonnées SAML** qui commence `https://admin- api.pingone.com/latest/metadata/` par. Vous l'utiliserez ultérieurement dans la configuration.

1. Choisissez **Finish** (Terminer).

## Étape 2 : Étapes à suivre dans Amazon Managed Grafana
<a name="AMG-SAML-providers-pingone-step2"></a>

Effectuez les étapes suivantes dans la console Amazon Managed Grafana.

**Pour terminer la configuration de Ping Identity en tant que fournisseur d'identité pour Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation, choisissez l’icône de menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail.

1. Dans l'onglet **Authentification**, choisissez **Configurer la configuration SAML.**

1. Sous **Importer les métadonnées**, choisissez **Télécharger ou copier/coller et collez** l'URL Ping que vous avez copiée lors de la procédure précédente.

1. Sous **Mappage des assertions**, procédez comme suit :
   + Assurez-vous que l'option **Je souhaite désactiver l'attribution d'administrateurs à mon espace** de travail n'est pas sélectionnée.
**Note**  
Si vous choisissez **Je ne souhaite pas affecter des administrateurs à mon espace de travail, vous ne pourrez pas utiliser la console d'espace** de travail Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide de Grafana APIs.
   + Définissez le **rôle d'attribut Assertion** sur le nom d'attribut que vous avez choisi.
   + Définissez **les valeurs des rôles d'administrateur** sur une valeur correspondant aux rôles de vos utilisateurs administrateurs.
   + (Facultatif) Si vous avez modifié les attributs par défaut dans votre application Ping Identity, **sélectionnez Paramètres supplémentaires (facultatif**), puis définissez les nouveaux noms d'attributs.

     Par défaut, l'attribut Ping Identity **DisplayName** est transmis à l'attribut **name** et l'attribut **mail** Ping Identity est transmis aux attributs **email** et **login**.

1. Choisissez **Enregistrer la configuration SAML**.

# À utiliser AWS IAM Identity Center avec votre espace de travail Amazon Managed Grafana
<a name="authentication-in-AMG-SSO"></a>

Amazon Managed Grafana s'intègre AWS IAM Identity Center pour fournir une fédération d'identité à votre personnel. À l'aide d'Amazon Managed Grafana et d'IAM Identity Center, les utilisateurs sont redirigés vers le répertoire de leur entreprise existant pour se connecter avec leurs informations d'identification existantes. Ils sont ensuite facilement connectés à leur espace de travail Amazon Managed Grafana. Cela garantit que les paramètres de sécurité tels que les politiques de mot de passe et l'authentification à deux facteurs sont appliqués. L'utilisation d'IAM Identity Center n'a aucune incidence sur votre configuration IAM existante.

Si vous n'avez pas d'annuaire d'utilisateurs existant ou si vous préférez ne pas vous fédérer, IAM Identity Center propose un annuaire d'utilisateurs intégré que vous pouvez utiliser pour créer des utilisateurs et des groupes pour Amazon Managed Grafana. Amazon Managed Grafana ne prend pas en charge l'utilisation d'utilisateurs et de rôles IAM pour attribuer des autorisations au sein d'un espace de travail Amazon Managed Grafana. 

Pour plus d'informations sur IAM Identity Center, consultez [Qu'est-ce AWS IAM Identity Center que](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Pour plus d'informations sur la prise en main d'IAM Identity Center, consultez [Getting started](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html).

Pour utiliser IAM Identity Center, vous devez également avoir AWS Organizations activé le compte. Si nécessaire, Amazon Managed Grafana peut activer Organizations pour vous lorsque vous créez votre premier espace de travail configuré pour utiliser IAM Identity Center.

## Autorisations requises pour les scénarios utilisant IAM Identity Center
<a name="SSO-permission-scenarios"></a>

Cette section explique les politiques requises pour utiliser Amazon Managed Grafana avec IAM Identity Center. Les politiques nécessaires à l'administration d'Amazon Managed Grafana varient selon que votre AWS compte fait partie d'une organisation ou non.

### Créez un administrateur Grafana dans les comptes AWS Organizations
<a name="SSO-policy-org"></a>

Pour accorder les autorisations nécessaires à la création et à la gestion des espaces de travail Amazon Managed Grafana dans une organisation, et pour autoriser les dépendances, par exemple AWS IAM Identity Center, attribuez les politiques suivantes à un rôle.
+ Attribuez la politique **AWSGrafanaAccountAdministrator**IAM pour autoriser l'administration des espaces de travail Amazon Managed Grafana.
+ **AWSSSODirectoryL'administrateur** autorise le rôle à utiliser IAM Identity Center lors de la configuration des espaces de travail Amazon Managed Grafana.
+ Pour permettre la création et la gestion des espaces de travail Amazon Managed Grafana dans l'ensemble de l'organisation, attribuez au rôle la **AWSSSOMasterAccountAdministrator**politique IAM. Vous pouvez également attribuer au rôle la politique **AWSSSOMemberAccountAdministrator**IAM afin de permettre la création et la gestion d'espaces de travail au sein d'un compte membre unique de l'organisation.
+ Vous pouvez également éventuellement attribuer au rôle la politique **AWSMarketplaceManageSubscriptions**IAM (ou des autorisations équivalentes) si vous souhaitez autoriser le rôle à mettre à niveau un espace de travail Grafana géré par Amazon vers Grafana enterprise.

Si vous souhaitez utiliser les autorisations gérées par les services lorsque vous créez un espace de travail Grafana géré par Amazon, le rôle qui crée l'espace de travail doit également disposer des autorisations`iam:CreateRole`, `iam:CreatePolicy` et. `iam:AttachRolePolicy` Ils sont nécessaires pour CloudFormation StackSets déployer des politiques qui vous permettent de lire les sources de données dans les comptes de l'organisation.

**Important**  
L'octroi à un utilisateur des autorisations `iam:CreateRole`, `iam:CreatePolicy` et `iam:AttachRolePolicy` lui permet de bénéficier d'un accès administratif complet à votre compte AWS . Par exemple, un utilisateur disposant de ces autorisations peut créer une politique disposant d'autorisations complètes pour toutes les ressources et attacher cette politique à n'importe quel rôle. Sélectionnez attentivement les personnes auxquelles vous accordez ces autorisations. 

Pour voir les autorisations accordées à **AWSGrafanaAccountAdministrator**, voir [AWS politique gérée : AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

### Créez et gérez les espaces de travail et les utilisateurs Amazon Managed Grafana dans un seul compte autonome
<a name="SSO-examples-standalone"></a>

Un AWS compte autonome est un compte qui n'est pas membre d'une organisation. Pour plus d'informations AWS Organizations, voir [Qu'est-ce que c'est AWS Organizations ?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)

Pour autoriser la création et la gestion d'espaces de travail et d'utilisateurs Amazon Managed Grafana dans un compte autonome, attribuez les politiques IAM suivantes à un rôle :
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrateur**

**Important**  
L'attribution de cette **AWSOrganizationsFullAccess**politique à un rôle donne à ce rôle un accès administratif complet à votre AWS compte. Sélectionnez attentivement les personnes auxquelles vous accordez ces autorisations.

Pour voir les autorisations accordées à **AWSGrafanaAccountAdministrator**, voir [AWS politique gérée : AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

# Mettez à jour votre version d'espace de travail
<a name="AMG-workspace-version-update"></a>

Vous pouvez mettre à jour votre espace de travail Amazon Managed Grafana vers une version plus récente de Grafana dans la console Amazon Managed Grafana de deux manières.

**Note**  
Vous ne pouvez mettre à jour la version que vers une version plus récente de Grafana. Vous ne pouvez pas rétrograder vers une version précédente de Grafana.  
La mise à jour de votre version de Grafana ne mettra pas à jour les plugins installés dans votre espace de travail. Vous devrez peut-être mettre à jour individuellement les plugins qui ne sont pas compatibles avec la nouvelle version de Grafana. Pour plus de détails sur l'affichage et la gestion des plug-ins, consultez[Trouvez des plugins avec le catalogue de plugins](grafana-plugins.md#plugin-catalog). Pour obtenir la liste des modifications apportées à chaque version, consultez[Différences entre les versions de Grafana](version-differences.md).

**Option 1 - Mettre à jour la version depuis la liste des espaces de travail**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)

1. Dans le volet de navigation de gauche, choisissez l'icône du menu.

1. Sélectionnez **All workspaces**.

1. Dans la ligne contenant les détails de l'espace de travail que vous souhaitez mettre à jour, sélectionnez **Mettre à jour la version**. Seuls les espaces de travail éligibles à la mise à jour incluront cette option.
**Avertissement**  
Le processus de mise à jour est irréversible et ne peut être ni suspendu ni annulé. Nous vous recommandons de tester la nouvelle version dans un environnement hors production avant de mettre à jour un espace de travail de production. Lors d'une mise à jour, vous ne pouvez pas apporter de modifications à l'espace de travail.

1. Choisissez un numéro de version dans le menu déroulant de l'écran **Mettre à jour la version** et cliquez sur **Mettre à jour** pour confirmer.

1. Vérifiez régulièrement l'état de votre mise à jour dans l'onglet **Espaces de travail**. Le processus de mise à jour peut prendre jusqu'à 10 minutes. Au cours de ce processus, l'espace de travail sera en mode « lecture seule ». Une bannière mise à jour s'affichera pour indiquer si la mise à jour de votre espace de travail a réussi ou échoué. Si votre mise à jour a échoué, suivez les actions décrites dans la bannière et réessayez.

**Option 2 - Mettre à jour la version depuis la page de résumé de l'espace de travail**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)

1. Dans le volet de navigation de gauche, choisissez l'icône du menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le **nom de l'espace** de travail que vous souhaitez mettre à jour en lien hypertexte. Seuls les espaces de travail éligibles à la mise à jour incluront cette option.

1. Choisissez l'invite de **mise à jour de la version** dans le bloc **Résumé**.
**Avertissement**  
Le processus de mise à jour est irréversible et ne peut être ni suspendu ni annulé. Nous vous recommandons de tester la nouvelle version dans un environnement hors production avant de mettre à jour un espace de travail de production. Lors d'une mise à jour, vous ne pouvez pas apporter de modifications à l'espace de travail.

1. Choisissez un numéro de version dans le menu déroulant de l'écran **Mettre à jour la version** et cliquez sur **Mettre à jour** pour confirmer.

1. Vérifiez régulièrement l'état de votre mise à jour dans l'onglet **Espaces de travail**. Le processus de mise à jour peut prendre jusqu'à 10 minutes. Au cours de ce processus, l'espace de travail sera en mode « lecture seule ». Une bannière mise à jour s'affichera pour indiquer si la mise à jour de votre espace de travail a réussi ou échoué. Si votre mise à jour a échoué, suivez les actions décrites dans la bannière et réessayez.

**Note**  
Vous pouvez également mettre à jour la version à l'aide de l'[UpdateWorkspaceConfiguration](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspaceConfiguration.html)opération dans l'API Amazon Managed Grafana.

Si vous rencontrez des problèmes avec votre espace de travail mis à jour, consultez[Résolution des problèmes liés aux espaces de travail mis à jour](AMG-workspace-version-update-troubleshoot.md).

# Résolution des problèmes liés aux espaces de travail mis à jour
<a name="AMG-workspace-version-update-troubleshoot"></a>

Votre espace de travail mis à jour devrait continuer à fonctionner après la mise à jour. Cette section peut vous aider à détecter d'éventuels problèmes après la mise à jour.
+ **Différences entre les versions.**

  Certaines fonctionnalités ont changé entre les versions.
  + Pour obtenir la liste des principales modifications apportées entre les versions, y compris les modifications susceptibles d'entraîner des problèmes de fonctionnalité, voir[Différences entre les versions de Grafana](version-differences.md). 
  + Pour la documentation des fonctionnalités spécifiques de la version 9, voir[Travailler dans la version 9 de Grafana](using-grafana-v9.md). Pour la version 10, voir[Travailler dans la version 10 de Grafana](using-grafana-v10.md).
+ **Problème avec PostgreSQL TLS**

  Si votre **mode TLS/SSL** était défini sur la version 8 et que vous utilisiez uniquement un certificat racine, vous pourriez rencontrer des problèmes de TLS ou de certificat avec la source de données PostgreSQL après la mise à jour. `require` **Modifiez les paramètres TLS de votre source de données PostgreSQL (disponibles dans le menu latéral de votre espace de travail Grafana, en choisissant l'icône Configuration, puis Sources **de** données).**
  + Changez le **mode TLS/SSL en.** `verify-ca`
  + Définissez la **méthode TLS/SSL** sur. `Certificate content`
  + Définissez le **certificat racine sur le certificat** racine de votre serveur de base de données PostgreSQL. C'est le seul champ dans lequel vous devez saisir un certificat.

# Gérer l'accès aux plug-ins d'entreprise
<a name="upgrade-to-enterprise-plugins"></a>

Vous pouvez utiliser la console Amazon Managed Grafana pour gérer votre espace de travail et accéder aux plug-ins Enterprise. La mise à niveau vous donne accès à des plug-ins d'entreprise prenant en charge les sources de données de divers fournisseurs de logiciels indépendants tiers (ISVs), dont la liste ci-dessous.

Une licence Enterprise vous donne également accès aux services de conseil et d'assistance de [Grafana Labs](https://grafana.com).

**Les sources de données d'entreprise disponibles avec les plug-ins Amazon Managed Grafana Enterprise incluent :**
+ AppDynamics
+ Databricks
+ Datadog
+ Dynatrace
+ GitLab
+ Honeycomb
+ Jira
+ MongoDB
+ New Relic
+ Oracle Database
+ Salesforce
+ SAP/HANA
+ ServiceNow
+ Snowflake
+ Splunk
+ Surveillance de l'infrastructure Splunk (anciennement SignalFx)
+ Front d'onde

Pour plus de détails sur les plug-ins de source de données d'entreprise disponibles lors de la mise à niveau, consultez[Connectez-vous aux sources de données de l'entreprise](AMG-data-sources-enterprise.md). De nouveaux plugins peuvent être ajoutés à tout moment. Pour obtenir une liste complète et à jour, vous pouvez utiliser le [catalogue de plugins](grafana-plugins.md#manage-plugins) dans votre espace de travail Amazon Managed Grafana.

Lorsque vous créez un espace de travail, celui-ci n'a pas accès par défaut aux plug-ins Enterprise, mais vous pouvez effectuer une mise à niveau à tout moment. Si vous souhaitez disposer de plusieurs espaces de travail Amazon Managed Grafana dotés de plug-ins Enterprise, vous devez mettre à niveau chacun d'entre eux.

Vous pouvez gérer la licence de votre plugin Enterprise, notamment en ajoutant ou en supprimant votre accès via la page **Manage Amazon Managed Grafana Enterprise**.

Le processus de gestion de l'accès aux plugins Amazon Managed Grafana Enterprise a changé. Si vous l'avez déjà utilisé AWS Marketplace, le [FAQ pour les utilisateurs AWS Marketplace d'Enterprise](AMG-ws-mp-license-faq.md) sujet peut vous intéresser.

**Topics**
+ [Gestion de votre accès aux plugins Amazon Managed Grafana Enterprise](AMG-workspace-manage-enterprise.md)
+ [Associez votre compte à Grafana Labs](AMG-workspace-register-enterprise.md)
+ [FAQ pour les utilisateurs AWS Marketplace d'Enterprise](AMG-ws-mp-license-faq.md)

# Gestion de votre accès aux plugins Amazon Managed Grafana Enterprise
<a name="AMG-workspace-manage-enterprise"></a>

**Pour gérer votre accès aux plug-ins d'entreprise**

1. [Ouvrez la console Amazon Managed Grafana à https://console.aws.amazon.com l'adresse /grafana.](https://console.aws.amazon.com/grafana)

1. Dans le volet de navigation de gauche, choisissez l'icône du menu.

1. Sélectionnez **All workspaces**.

   Vous pouvez consulter la liste des espaces de travail. Pour chaque espace de travail, les colonnes de **licence d'entreprise** indiquent le type de licence dont dispose l'espace de travail (soit aucune licence, soit licence de **plug-ins d'entreprise**).

1. Sélectionnez le nom de l'espace de travail dont vous souhaitez gérer la licence. Cela ouvre la page des détails de l'espace de travail correspondant à cet espace de travail.

1. Dans le résumé, sous **Licence d'entreprise**, choisissez **Gérer** ou **Mettre à niveau vers Amazon Managed Grafana Enterprise** (une seule option est disponible, en fonction de l'état actuel de la licence d'entreprise).

   Cela ouvre la page **Manage Amazon Managed Grafana Enterprise**. Vous pouvez choisir entre deux options. L'option active est marquée par **(current)**.
   + **Aucune** : il s'agit de l'option permettant de supprimer ou de ne pas avoir de licence Amazon Managed Grafana Enterprise. Si vous possédez actuellement une licence Enterprise, la sélection de cette option pour votre espace de travail supprime immédiatement l'accès aux plug-ins Enterprise lors de l'enregistrement.
   + **Plug-ins d'entreprise** — Cela vous permet d'installer n'importe quel plug-in d'entreprise sur votre espace de travail et de donner accès aux services de conseil et d'assistance de [Grafana Labs](https://grafana.com). L'installation de plug-ins Enterprise dans votre espace de travail vous donne accès à des [sources de données](AMG-data-sources-enterprise.md) supplémentaires.

     La première fois que vous choisissez cette option, vous devez l'associer à un jeton de Grafana Labs, et vous êtes invité à le faire. Compte AWS Pour plus d’informations, consultez la section suivante, [Associez votre compte à Grafana Labs](AMG-workspace-register-enterprise.md).

     L'accès au plugin Amazon Managed Grafana Enterprise inclut des frais d'utilisation qui s'ajoutent aux prix d'Amazon Managed Grafana. Pour obtenir des informations détaillées sur les frais, consultez la page de [tarification d'Amazon Managed Grafana](https://aws.amazon.com/grafana/pricing/).

1. Après avoir effectué votre sélection, choisissez **Enregistrer** pour continuer.

# Associez votre compte à Grafana Labs
<a name="AMG-workspace-register-enterprise"></a>

Les espaces de travail mis à niveau vers les plugins Amazon Managed Grafana Enterprise ont accès au support et aux conseils de Grafana Labs. Pour accéder à cette fonctionnalité, vous Compte AWS devez être associé à un jeton de compte Grafana Labs. Vous enregistrez votre compte Grafana Labs nouveau ou existant AWS lorsque vous [passez à une licence Enterprise](AMG-workspace-manage-enterprise.md).

**Note**  
Vous n'avez besoin d'enregistrer votre jeton de compte Grafana Labs qu'une seule fois par région. Si votre compte a déjà été associé (par exemple, lors de la mise à niveau d'un autre espace de travail dans la région pour accéder aux plug-ins Enterprise), vous n'êtes pas invité à le faire à nouveau.

La liaison consiste à obtenir un jeton d'un compte Grafana Labs qui est utilisé dans Amazon Managed Grafana pour enregistrer le compte. Vous pouvez créer un nouveau compte chez Grafana Labs ou utiliser un compte existant.

Nous vous recommandons de copier et d'enregistrer votre jeton Grafana Labs dans un endroit sûr et pratique pour une utilisation future.

**Pour associer votre compte Grafana Labs**

1. Suivez les instructions [Gestion de votre accès aux plugins Amazon Managed Grafana Enterprise](AMG-workspace-manage-enterprise.md) pour mettre à niveau votre compte avec les plugins Access Enterprise. Vous êtes invité à associer votre compte en ajoutant un jeton pendant le processus de mise à niveau.

1. Si vous avez déjà un jeton, vous pouvez le saisir directement. Si vous n'avez pas de jeton, sélectionnez **Obtenir votre jeton**. Cela ouvre le [site Web de Grafana Labs](https://grafana.com/partners/amg/support) dans un nouvel onglet du navigateur.

   Sur le site Web de Grafana Labs, vous pouvez vous connecter à votre compte Grafana Labs (ou en créer un nouveau), puis obtenir un jeton.

1. Après avoir copié le jeton, retournez à l'onglet ou à la fenêtre du navigateur Amazon Managed Grafana. Entrez le jeton dans la section **Grafana Labs Token**.

1. Vous pouvez désormais choisir **Enregistrer** pour terminer votre mise à niveau.

**Réutilisation de votre jeton avec d'autres espaces de travail**

Si vous avez déjà enregistré votre compte Grafana Labs et qu'on vous demande un jeton Grafana Labs (par exemple, lors de la mise à niveau d'un espace de travail dans une autre région), vous pouvez utiliser le même jeton pour vous inscrire à chaque fois, de sorte que vous n'avez pas besoin de créer un nouveau compte Grafana Labs. Si vous n'avez pas enregistré votre jeton, vous pouvez peut-être le récupérer de l'une des manières suivantes :
+ **Vous pouvez obtenir le jeton en le recherchant dans votre compte Grafana Labs en vous rendant sur [https://grafana.com/partners/amg/support](https://grafana.com/partners/amg/support) et en choisissant Mon compte.**
+ Vous pouvez obtenir le jeton depuis un espace de travail existant déjà lié en utilisant l'[DescribeWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DescribeWorkspace.html)API pour récupérer le jeton.
+ Si le jeton n'est plus disponible via l'une de ces méthodes, vous devez [contacter le support de Grafana Labs](https://grafana.com/contact).

# FAQ pour les utilisateurs AWS Marketplace d'Enterprise
<a name="AMG-ws-mp-license-faq"></a>

Auparavant, vous avez peut-être acheté une licence pour Grafana Enterprise via. AWS Marketplace Vous ne pouvez plus acheter de nouvelles licences par le biais de AWS Marketplace ce service et vous ne pouvez pas renouveler une licence précédemment achetée par le biais de ce service AWS Marketplace. La FAQ suivante peut vous être utile en fonction de l'état de votre AWS Marketplace licence.

## Je me suis abonné à un essai gratuit de 30 jours depuis AWS Marketplace, mais je ne l'ai pas associé à mon espace de travail. Puis-je l'appliquer maintenant ?
<a name="AMG-ws-mp-license-faq1"></a>

Non Les essais gratuits ne sont plus pris en charge dans Amazon Managed Grafana.

## J'ai acheté un essai gratuit de 30 jours auprès de AWS Marketplace, et je l'ai déjà associé à mon espace de travail. Qu'adviendra-t-il de mon essai ?
<a name="AMG-ws-mp-license-faq2"></a>

Votre essai gratuit se poursuivra jusqu'à son expiration. Si vous souhaitez effectuer une mise à niveau et utiliser les plug-ins Enterprise, vous pouvez effectuer la mise à niveau via la console Amazon Managed Grafana, comme décrit dans la section précédente.

## J'ai une licence AWS Marketplace payante qui n'a pas encore expiré, mais je souhaite utiliser les plugins Enterprise gérés par Amazon Managed Grafana. Comment est-ce que je peux m'y prendre ?
<a name="AMG-ws-mp-license-faq3"></a>

Tant que vous disposez d'une AWS Marketplace licence en cours de validité, vous ne pouvez associer cette licence qu'à vos espaces de travail. Vous ne pouvez effectuer la mise à niveau dans la console Amazon Managed Grafana qu'une fois votre AWS Marketplace licence expirée (ou après l'avoir annulée). AWS Marketplace

Les questions et réponses suivantes fournissent plus de détails.

## J'ai acheté une licence Grafana Enterprise complète auprès de AWS Marketplace laquelle je l'ai associée à un ou plusieurs espaces de travail. Que va-t-il arriver à ceux-là ?
<a name="AMG-ws-mp-license-faq4"></a>

À l'expiration de votre licence (après 30 jours, sauf si le renouvellement automatique est activé), toutes les sources de données d'entreprise que vous utilisez dans votre espace de travail cesseront de fonctionner. Si vous souhaitez continuer à utiliser les sources de données Enterprise, vous pouvez [effectuer une mise à niveau pour utiliser les plugins Enterprise](AMG-workspace-manage-enterprise.md) directement depuis la console Amazon Managed Grafana.

## Il semble qu'il y aura une interruption de service associée à l'expiration de ma licence, ce qui empêchera mon espace de travail d'accéder à aucun plug-in d'entreprise. Comment puis-je éviter cela ?
<a name="AMG-ws-mp-license-faq5"></a>

L'expiration de votre licence entraînera des interruptions de service lorsque vous passerez à la nouvelle licence des plugins d'entreprise. Cependant, vous pouvez le minimiser.

**Note**  
Les étapes suivantes doivent être effectuées avec précision afin de minimiser les temps d'arrêt. Nous vous recommandons de les lire attentivement avant de commencer.  
Pour bénéficier des nouveaux [tarifs](https://aws.amazon.com/grafana/pricing), nous vous recommandons de passer aux plugins Amazon Managed Grafana Enterprise, plutôt que de continuer à utiliser la AWS Marketplace licence.

**Passer de la licence AWS Marketplace Enterprise aux plug-ins Amazon Managed Grafana Enterprise tout en minimisant les temps d'arrêt.**

1. Pour vous préparer, rendez-vous d'abord sur le [site Web de Grafana Labs](https://grafana.com/partners/amg/support) et connectez-vous à votre compte (ou créez-en un nouveau). Obtenez votre jeton Grafana Labs que vous utiliserez plus tard dans le processus.

   Pour plus de détails sur cette partie du processus, voir[Associez votre compte à Grafana Labs](AMG-workspace-register-enterprise.md).

1. Connectez-vous à la [AWS Marketplace console](https://console.aws.amazon.com/marketplace/), puis choisissez **Gérer les abonnements** dans le menu de gauche.

1. Recherchez l'abonnement que vous souhaitez changer, puis choisissez **Gérer**. Cela fera apparaître les détails de votre abonnement.
**Note**  
Cette page indique la date de fin de votre service. Vous pouvez attendre que cette date soit proche pour poursuivre ces étapes, afin de maximiser l'utilisation de votre abonnement actuel avant de l'annuler.

1. Choisissez **Actions**, puis sélectionnez **Annuler l'abonnement**.

   Cela annule votre abonnement dans. AWS Marketplace Toutefois, vous pouvez continuer à utiliser les sources de données d'entreprise jusqu'à ce qu'Amazon Managed Grafana supprime automatiquement votre licence à la fin de la journée (heure locale de votre espace de travail).

   Pour plus d'informations sur l'annulation d'abonnements dans AWS Marketplace, consultez [la section Annuler l'abonnement de votre produit](https://docs.aws.amazon.com/marketplace/latest/buyerguide/cancel-subscription.html) dans le *Guide de l'AWS Marketplace acheteur*.

1. Une fois votre abonnement annulé en AWS Marketplace, annulez-le dans Amazon Managed Grafana :

   1. Connectez-vous à [la console Amazon Managed Grafana](https://console.aws.amazon.com/grafana).

   1. Dans le menu de gauche, sélectionnez **Tous les espaces de travail.**

   1. Choisissez le nom de l'espace de travail que vous souhaitez changer.

   1. Sous **Licence d'entreprise**, choisissez **Gérer**.

   1. Choisissez **Aucun**, puis **Enregistrer**. Cela supprimera la AWS Marketplace licence d'Amazon Managed Grafana

   Lorsque la licence Enterprise est supprimée, vous ne pourrez plus accéder aux plug-ins Enterprise dans votre espace de travail.

1. Vous pouvez désormais effectuer la mise à niveau dans la console Amazon Managed Grafana. Suivez les instructions de la [Gestion de votre accès aux plugins Amazon Managed Grafana Enterprise](AMG-workspace-manage-enterprise.md) rubrique en utilisant le jeton Grafana Labs que vous avez créé lors de la première étape.

**Note**  
Votre espace de travail n'est pas en mesure d'accéder aux sources de données d'entreprise entre le moment où vous annulez la licence dans Amazon Managed Grafana et celui où vous effectuez la mise à niveau pour accéder aux plug-ins d'entreprise. Cela prend généralement environ 10 à 15 minutes, mais cela peut prendre plus de temps en fonction de la rapidité avec laquelle vous pouvez effectuer ces étapes. En vous assurant que le jeton Grafana Labs est prêt, vous minimiserez ce temps.

## J'ai une AWS Marketplace licence avec renouvellement automatique. Est-ce que cela va continuer ?
<a name="AMG-ws-mp-license-faq6"></a>

Oui. L' AWS Marketplace abonnement est retiré et vous ne pouvez pas le renouveler manuellement, mais si vous aviez configuré le renouvellement automatique, il se poursuivra jusqu'à ce que vous le désactiviez. Dans ce cas, vous pouvez effectuer une mise à niveau en suivant les instructions des réponses précédentes.

Pour bénéficier des nouveaux [tarifs](https://aws.amazon.com/grafana/pricing), nous vous recommandons de passer aux plugins Amazon Managed Grafana Enterprise, plutôt que de continuer à utiliser la AWS Marketplace licence.

## J'ai une AWS Marketplace licence que je n'ai pas encore associée à un espace de travail, puis-je l'utiliser ?
<a name="AMG-ws-mp-license-faq7"></a>

Oui, vous pouvez associer cette AWS Marketplace licence et l'utiliser jusqu'à son expiration. Cela se produira dans les 30 jours, sauf si vous avez activé le renouvellement automatique. Consultez les questions et réponses précédentes pour plus d'informations.

# Migrer le contenu entre les espaces de travail Amazon Managed Grafana
<a name="AMG-workspace-content-migration"></a>

Il peut arriver que vous souhaitiez migrer votre contenu (y compris les sources de données, les tableaux de bord, les dossiers et les règles d'alerte) d'un espace de travail à un autre. Par exemple, vous migrez d'une instance Grafana sur site vers un espace de travail Grafana géré par Amazon, et vous souhaitez migrer votre contenu existant vers le nouvel espace de travail.

Amazon Managed Grafana ne prend pas directement en charge la migration de contenu entre les espaces de travail, mais AWS fournit un utilitaire de migration open source capable de gérer ce scénario en fournissant des fonctionnalités d'exportation et d'importation au sein d'un espace de travail ou d'une instance Grafana. Cet utilitaire s'appelle **Amazon Managed Grafana** Migrator.

Pour plus d'informations, consultez [Amazon Managed Grafana Migrator](https://github.com/aws-observability/amazon-managed-grafana-migrator) sur. GitHub

# Gérez l'accès des utilisateurs et des groupes aux espaces de travail Amazon Managed Grafana
<a name="AMG-manage-users-and-groups-AMG"></a>

Vous accédez aux espaces de travail Amazon Managed Grafana avec des utilisateurs configurés dans votre fournisseur d'identité (IdP) ou. AWS IAM Identity Center Vous devez accorder à ces utilisateurs (ou aux groupes auxquels ils appartiennent) des autorisations d'accès à l'espace de travail. Vous pouvez leur donner `User``Editor`, ou `Admin` des autorisations.

## Accorder des autorisations à un utilisateur ou à un groupe
<a name="AMG-manage-users-and-groups-proc"></a>

**Conditions préalables**
+ Pour accorder à un utilisateur ou à un groupe d'utilisateurs l'accès aux espaces de travail Amazon Managed Grafana, l'utilisateur ou le groupe doit d'abord être configuré auprès d'un fournisseur d'identité (IdP) ou dans. AWS IAM Identity Center Pour de plus amples informations, veuillez consulter [Authentifier les utilisateurs dans les espaces de travail Amazon Managed Grafana](authentication-in-AMG.md).
+ Pour gérer l'accès des utilisateurs et des groupes, vous devez être connecté en tant qu'utilisateur disposant de la politique Gestion des identités et des accès AWS (IAM) **AWSGrafanaWorkspacePermissionManagementV2** ou d'autorisations équivalentes. Si vous gérez des utilisateurs avec IAM Identity Center, vous devez également disposer des politiques **AWSSSOMemberAccountAdministrator**et **AWSSSODirectoryReadOnly**IAM, ou d'autorisations équivalentes. Pour de plus amples informations, veuillez consulter [Attribuer et annuler l'accès des utilisateurs à Amazon Managed Grafana](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users).

**Pour gérer l'accès des utilisateurs à un espace de travail Grafana à l'aide de la console Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation de gauche, choisissez l'icône du menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail que vous souhaitez gérer.

1. Choisissez l’onglet **Authentification**.

1. Si vous utilisez IAM Identity Center dans cet espace de travail, choisissez **Configurer les utilisateurs et les groupes d'utilisateurs** et effectuez une ou plusieurs des opérations suivantes :
   + Pour autoriser un utilisateur à accéder à l'espace de travail Amazon Managed Grafana, cochez la case à côté de l'utilisateur, puis choisissez **Attribuer** un utilisateur.
   + Pour faire d'un utilisateur un membre `Admin` de l'espace de travail, choisissez **Make admin**.
   + Pour supprimer l'accès à l'espace de travail d'un utilisateur, choisissez Annuler l'**attribution d'un utilisateur**.
   + Pour ajouter des groupes d'utilisateurs tels qu'un groupe LDAP, choisissez l'onglet **Groupes d'utilisateurs assignés**. Ensuite, effectuez l’une des actions suivantes : 
     + Pour permettre à tous les membres d'un groupe d'accéder à l'espace de travail Amazon Managed Grafana, cochez la case à côté du groupe, puis choisissez **Attribuer** un groupe.
     + Pour attribuer un `Admin` rôle à tous les membres d'un groupe dans l'espace de travail, choisissez **Make admin**.
     + Pour supprimer l'accès à l'espace de travail pour tous les membres d'un groupe, choisissez Annuler l'**attribution du groupe**.
**Note**  
Si vous utilisez IAM Identity Center pour gérer les utilisateurs, utilisez la console IAM Identity Center uniquement pour configurer de nouveaux utilisateurs et groupes. Utilisez la console Amazon Managed Grafana ou APIs pour accorder ou supprimer l'accès à vos espaces de travail Grafana.  
Si IAM Identity Center et Amazon Managed Grafana ne sont pas synchronisés, une option vous est proposée **pour résoudre les conflits**. Pour plus d'informations[Erreurs de non-concordance des autorisations lors de la configuration des utilisateurs et des groupes](#AMG-manage-users-and-groups-mismatch), voir ci-dessous.

1. Si vous utilisez le protocole SAML dans cet espace de travail, choisissez la **configuration SAML** et effectuez une ou plusieurs des opérations suivantes :
   + Pour **Méthode d'importation**, effectuez l'une des opérations suivantes :
     + Choisissez **URL** et entrez l'URL des métadonnées de l'IdP.
     + Choisissez **Téléverser ou copier/coller**. Si vous chargez les métadonnées, choisissez **Choisir un fichier**, puis sélectionnez le fichier de métadonnées. Ou, si vous utilisez le copier-coller, copiez les métadonnées dans **Importer les métadonnées**.
   + Pour le **rôle d'attribut d'assertion**, entrez le nom de l'attribut d'assertion SAML à partir duquel vous souhaitez extraire les informations de rôle.
   + Pour les **valeurs des rôles d'administrateur**, saisissez les rôles utilisateur de votre IdP qui devraient tous se voir attribuer le `Admin` rôle dans l'espace de travail Amazon Managed Grafana, ou sélectionnez **Je souhaite désactiver l'attribution d'administrateurs à mon espace de** travail.
**Note**  
Si vous choisissez, **je souhaite refuser d'affecter des administrateurs à mon espace de travail**. , vous ne pourrez pas utiliser la console Amazon Managed Grafana pour administrer l'espace de travail, y compris les tâches telles que la gestion des sources de données, des utilisateurs et des autorisations du tableau de bord. Vous pouvez apporter des modifications administratives à l'espace de travail uniquement à l'aide d'Amazon Managed Grafana APIs.
   + (Facultatif) Pour saisir des paramètres SAML supplémentaires, choisissez **Paramètres supplémentaires** et effectuez une ou plusieurs des opérations suivantes, puis sélectionnez **Enregistrer la configuration SAML.** Tous ces champs sont facultatifs.
     + Pour le **nom de l'attribut d'assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms complets « conviviaux » pour les utilisateurs SAML.
     + Pour la **connexion à l'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms de connexion des utilisateurs SAML.
     + Pour **l'e-mail d'attribut d'assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser pour les noms d'e-mail des utilisateurs SAML.
     + Pour **la durée de validité de la connexion (en minutes)**, spécifiez la durée de validité de la connexion d'un utilisateur SAML avant que celui-ci ne doive se reconnecter.
     + Pour **l'organisation de l'attribut Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les organisations d'utilisateurs.
     + Pour les **groupes d'attributs Assertion**, spécifiez le nom de l'attribut dans l'assertion SAML à utiliser comme nom « convivial » pour les groupes d'utilisateurs.
     + Pour les **organisations autorisées**, vous pouvez limiter l'accès des utilisateurs aux seuls utilisateurs membres de certaines organisations de l'IdP. Entrez une ou plusieurs organisations à autoriser, en les séparant par des virgules.
     + Pour les **valeurs des rôles d'éditeur**, entrez les rôles utilisateur de votre IdP qui devraient tous se voir attribuer le `Editor` rôle dans l'espace de travail Amazon Managed Grafana. Entrez un ou plusieurs rôles, séparés par des virgules.

1. Sinon, pour ajouter des groupes d'utilisateurs tels qu'un groupe LDAP, choisissez l'onglet **Groupe d'utilisateurs**. Ensuite, effectuez l’une des actions suivantes : 
   + Pour permettre à tous les membres d'un groupe d'accéder à l'espace de travail Amazon Managed Grafana, cochez la case à côté du groupe, puis choisissez **Attribuer** un groupe.
   + Pour attribuer un `Admin` rôle à tous les membres d'un groupe dans l'espace de travail, choisissez **Make admin**.
   + Pour supprimer l'accès à l'espace de travail pour tous les membres d'un groupe, choisissez Annuler l'**attribution du groupe**.

## Erreurs de non-concordance des autorisations lors de la configuration des utilisateurs et des groupes
<a name="AMG-manage-users-and-groups-mismatch"></a>

Vous pouvez rencontrer des erreurs de non-concordance lors de la configuration des utilisateurs et des groupes dans la console Amazon Managed Grafana. Cela indique qu'Amazon Managed Grafana et IAM Identity Center ne sont pas synchronisés. Dans ce cas, Amazon Managed Grafana affiche un avertissement et une option permettant de **résoudre** l'incompatibilité. Si vous choisissez **Résoudre**, Amazon Managed Grafana affiche une boîte de dialogue contenant la liste des utilisateurs dont les autorisations ne sont pas synchronisées.

Les utilisateurs qui ont été supprimés d'IAM Identity Center apparaissent sous la forme`Unknown user`, avec un identifiant numérique dans la boîte de dialogue. Pour ces utilisateurs, le seul moyen de corriger l'incompatibilité est de choisir **Résoudre** et de supprimer leurs autorisations.

Les utilisateurs qui se trouvent toujours dans IAM Identity Center, mais qui n'appartiennent plus à un groupe disposant des droits d'accès qu'ils détenaient auparavant, apparaissent avec leur nom d'utilisateur dans la liste **Résoudre**. Il existe deux manières de résoudre ce problème. Vous pouvez utiliser la boîte de dialogue **Résoudre** pour supprimer ou réduire leur accès, ou vous pouvez leur donner accès en suivant les instructions de la section précédente.

## Questions fréquemment posées sur les incohérences entre les autorisations
<a name="AMG-manage-users-and-groups-mismatch-faq"></a>

**Pourquoi est-ce que je vois un message d'erreur indiquant une incompatibilité entre les autorisations dans la section **Configurer les utilisateurs et les groupes** de la console Amazon Managed Grafana ?**  
Ce message s'affiche car une incompatibilité a été identifiée entre les associations d'utilisateurs et de groupes dans IAM Identity Center et les autorisations dans Amazon Managed Grafana pour votre espace de travail. **Vous pouvez ajouter ou supprimer des utilisateurs dans votre espace de travail Grafana depuis la console Amazon Managed Grafana (dans l'onglet **Configurer les utilisateurs et les groupes**) ou depuis la console IAM Identity Center (page d'attribution des applications).** Toutefois, les autorisations utilisateur de Grafana ne peuvent être définies que depuis Amazon Managed Grafana (à l'aide de la console Amazon Managed Grafana ou APIs), en attribuant des autorisations de **visionneur**, d'**éditeur** ou d'**administrateur** à l'utilisateur ou au groupe. Un utilisateur peut appartenir à plusieurs groupes avec des autorisations différentes, auquel cas son autorisation est basée sur le niveau d'accès le plus élevé parmi tous les groupes et autorisations auxquels l'utilisateur appartient.

Les enregistrements non concordants peuvent résulter des facteurs suivants :
+ Un utilisateur ou un groupe est supprimé d'IAM Identity Center, mais pas d'Amazon Managed Grafana. Ces enregistrements apparaissent comme des **utilisateurs inconnus** dans la console Amazon Managed Grafana.
+ L'association d'un utilisateur ou d'un groupe avec Grafana est supprimée dans IAM Identity Center (sous **Attributions d'applications**), mais pas dans Amazon Managed Grafana.
+ Les autorisations des utilisateurs étaient précédemment mises à jour directement depuis l'espace de travail Grafana. Les mises à jour depuis l'espace de travail Grafana ne sont pas prises en charge dans Amazon Managed Grafana.

Pour éviter ces incohérences, utilisez la console Amazon Managed Grafana ou Amazon Managed APIs Grafana pour gérer les autorisations des utilisateurs et des groupes pour votre espace de travail.

**J'ai déjà mis à jour les niveaux d'accès de certains membres de mon équipe depuis l'espace de travail Grafana. Je constate maintenant que leurs niveaux d'accès sont revenus à leur ancien niveau d'accès. Pourquoi est-ce que je vois ce problème et comment puis-je le résoudre ?**  
Cela est probablement dû à une incohérence identifiée entre l'association d'utilisateurs et de groupes dans IAM Identity Center et les enregistrements d'autorisations Amazon Managed Grafana pour votre espace de travail. Si les membres de votre équipe ont des niveaux d'accès différents, vous ou un administrateur de votre Amazon Managed Grafana avez peut-être résolu le problème depuis la console Amazon Managed Grafana, en supprimant les enregistrements incompatibles. Vous pouvez réattribuer les niveaux d'accès requis depuis la console Amazon Managed Grafana APIs ou pour restaurer les autorisations souhaitées.

**Note**  
La gestion des accès des utilisateurs n'est pas prise en charge depuis l'espace de travail Grafana. Utilisez la console Amazon Managed Grafana ou APIs pour attribuer des autorisations à un utilisateur ou à un groupe.

**Pourquoi est-ce que je remarque des changements dans mes niveaux d'accès ? Par exemple, j'avais auparavant un accès administrateur, mais je n'ai plus que des autorisations d'éditeur.**  
L'administrateur de votre espace de travail a peut-être modifié vos autorisations. Cela peut se produire par inadvertance en cas d'incompatibilité entre vos associations d'utilisateurs et de groupes dans IAM Identity Center et vos autorisations dans Amazon Managed Grafana. Dans ce cas, la résolution de l'incompatibilité a peut-être supprimé vos autorisations d'accès supérieures. Vous pouvez demander à un administrateur de réattribuer le niveau d'accès requis depuis la console Amazon Managed Grafana.

# Gérer les autorisations pour les sources de données et les canaux de notification
<a name="AMG-datasource-and-notification"></a>

Votre espace de travail Amazon Managed Grafana doit être autorisé à accéder aux sources de AWS données pour vos statistiques et aux canaux de notification pour vos alertes. Vous pouvez utiliser la console Amazon Managed Grafana pour qu'Amazon Managed Grafana crée automatiquement des politiques et des autorisations Gestion des identités et des accès AWS (IAM) pour les sources de AWS données et les canaux de notification que vous souhaitez utiliser dans l'espace de travail Amazon Managed Grafana.

**Pour gérer les autorisations et les politiques relatives aux sources de données et aux canaux de notification**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation de gauche, choisissez l'icône du menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail que vous souhaitez gérer.

1. Pour basculer entre l'utilisation des autorisations **gérées par le service** et celles **gérées par le client**, cliquez sur l'icône de modification du **rôle IAM**, puis effectuez votre sélection. Pour de plus amples informations, veuillez consulter [Autorisations et politiques Amazon Managed Grafana pour les sources de données AWS](AMG-manage-permissions.md). 

   Si vous passez des autorisations **gérées par le service** aux autorisations **gérées par le client**, les rôles et politiques créés pour vous par Amazon Managed Grafana ne sont pas supprimés du compte actuel. Si vous utilisiez les autorisations **gérées par le service** pour une organisation, les rôles et les politiques des autres comptes de l'organisation sont supprimés.

1. Choisissez l'onglet **Sources de données**.

1. Si vous utilisez des autorisations **gérées par le service**, vous pouvez choisir **Modifier** à côté des **paramètres d'accès aux autorisations IAM** pour modifier si vos autorisations **gérées par le service** s'appliquent uniquement au compte courant ou à l'ensemble de l'organisation. Pour de plus amples informations, veuillez consulter [Autorisations et politiques Amazon Managed Grafana pour les sources de données AWS](AMG-manage-permissions.md).

   Sous **Sources de données**, sélectionnez les sources de AWS données que vous souhaitez interroger dans cet espace de travail. La sélection de sources de données permet à Amazon Managed Grafana de créer les rôles et autorisations IAM qui permettent à Amazon Managed Grafana de lire les données provenant de ces sources. Vous devez toujours ajouter les sources de données dans la console de l'espace de travail Grafana.

   Pour gérer les AWS services qui peuvent être utilisés comme canaux de notification, choisissez **Canaux de notification**.

   Sélectionnez le canal de AWS notification que vous souhaitez utiliser dans cet espace de travail. La sélection d'un canal de notification permet à Amazon Managed Grafana de créer des rôles et des autorisations IAM qui permettent à Amazon Managed Grafana d'utiliser ces services. Vous devez toujours ajouter les canaux de notification dans la console de l'espace de travail Grafana.
**Note**  
Pour plus d'informations sur l'utilisation des notifications, consultez[Gérez vos notifications d'alerte](v9-alerting-managenotifications.md).

# Création de ressources Amazon Managed Grafana avec AWS CloudFormation
<a name="creating-resources-with-cloudformation"></a>

Amazon Managed Grafana est intégré à AWS CloudFormation un service qui vous aide à modéliser et à configurer vos AWS ressources afin que vous puissiez passer moins de temps à créer et à gérer vos ressources et votre infrastructure. Vous créez un modèle qui décrit toutes les AWS ressources que vous souhaitez (telles que les espaces de travail), et qui CloudFormation fournit et configure ces ressources pour vous.

Lorsque vous l'utilisez CloudFormation, vous pouvez réutiliser votre modèle pour configurer vos ressources Amazon Managed Grafana de manière cohérente et répétée. Décrivez vos ressources une seule fois, puis fournissez les mêmes ressources encore et encore dans plusieurs Comptes AWS régions. 

## Amazon Managed Grafana et modèles CloudFormation
<a name="working-with-templates"></a>

[Pour fournir et configurer des ressources pour Amazon Managed Grafana et les services associés, vous devez comprendre CloudFormation les modèles.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html) Les modèles sont des fichiers texte formatés en JSON ou YAML. Ces modèles décrivent les ressources que vous souhaitez mettre à disposition dans vos CloudFormation piles. Si vous n'êtes pas familiarisé avec JSON ou YAML, vous pouvez utiliser CloudFormation Designer pour vous aider à démarrer avec les CloudFormation modèles. Pour plus d'informations, voir [Qu'est-ce que CloudFormation Designer ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) dans le *guide de AWS CloudFormation l'utilisateur*.

Amazon Managed Grafana prend en charge la création d'espaces de travail dans. CloudFormation*Pour plus d'informations, notamment des exemples de modèles JSON et YAML pour les espaces de travail, consultez la [référence du type de ressource Amazon Managed Grafana](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-grafana-workspace.html) dans le guide de l'utilisateur.AWS CloudFormation *

## En savoir plus sur CloudFormation
<a name="learn-more-cloudformation"></a>

Pour en savoir plus CloudFormation, consultez les ressources suivantes :
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Guide de l'utilisateur](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API Reference](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation Guide de l'utilisateur de l'interface de ligne de commande](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# Configurer l'accès réseau à votre espace de travail Amazon Managed Grafana
<a name="AMG-configure-nac"></a>

Vous pouvez contrôler la manière dont les utilisateurs et les hôtes accèdent à vos espaces de travail Grafana.

Grafana exige que tous les utilisateurs soient authentifiés et autorisés. Toutefois, par défaut, les espaces de travail Amazon Managed Grafana sont ouverts à tout le trafic réseau. Vous pouvez configurer le contrôle d'accès réseau pour un espace de travail afin de contrôler le trafic réseau autorisé à y accéder.

Vous pouvez contrôler le trafic vers votre espace de travail de deux manières.
+ **Adresses IP** (listes de préfixes) : vous pouvez créer une [liste de préfixes gérée avec des](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html) plages d'adresses IP autorisées à accéder aux espaces de travail. Amazon Managed Grafana ne prend en charge que les IPv4 adresses publiques pour le contrôle d'accès au réseau.
+ **Points de terminaison VPC** : vous pouvez créer une liste de points de terminaison VPC pour vos espaces de travail autorisés à accéder à un espace de travail spécifique.

Lorsque vous configurez le contrôle d'accès réseau, vous devez inclure au moins une liste de préfixes ou un point de terminaison VPC.

Amazon Managed Grafana utilise les listes de préfixes et les points de terminaison VPC pour décider quelles demandes adressées à l'espace de travail Grafana sont autorisées à se connecter. Le schéma suivant illustre ce filtrage.

![\[Image montrant le contrôle d'accès au réseau Amazon Managed Grafana autorisant certaines demandes et bloquant d'autres tentatives d'accès à un espace de travail Amazon Managed Grafana.\]](http://docs.aws.amazon.com/fr_fr/grafana/latest/userguide/images/grafana-nac.png)


La configuration du contrôle d'accès réseau (**1**) pour un espace de travail Grafana géré par Amazon indique quelles demandes doivent être autorisées pour accéder à l'espace de travail. Le contrôle d'accès au réseau peut autoriser ou bloquer le trafic en fonction de l'adresse IP (**2**) ou du point de terminaison de l'interface utilisé (**3**).

La section suivante décrit comment configurer le contrôle d'accès au réseau.

## Configuration du contrôle d'accès au réseau
<a name="AMG-nac-how-to"></a>

Vous pouvez ajouter un contrôle d'accès réseau à un espace de travail existant ou le configurer dans le cadre de la création initiale de l'espace de travail.

**Conditions préalables**

Pour configurer le contrôle d'accès au réseau, vous devez d'abord créer un point de terminaison VPC d'interface pour vos espaces de travail ou au moins une liste de préfixes IP pour les adresses IP que vous souhaitez autoriser. Vous pouvez également créer les deux ou plusieurs des deux.
+ Point de **terminaison VPC** : vous pouvez créer un point de terminaison VPC d'interface qui donne accès à tous vos espaces de travail. Après avoir créé le point de terminaison, vous avez besoin de l'ID de point de terminaison VPC pour chaque point de terminaison que vous souhaitez autoriser. Les points de terminaison VPC IDs ont le format. `vpce-1a2b3c4d`

  Pour plus d'informations sur la création d'un point de terminaison VPC pour vos espaces de travail Grafana, consultez. [Points de terminaison de VPC d’Interface](VPC-endpoints.md) Pour créer un point de terminaison VPC spécifiquement pour vos espaces de travail, utilisez le nom du `com.amazonaws.region.grafana-workspace` point de terminaison.

  Pour les points de terminaison VPC auxquels vous donnez accès à votre espace de travail, vous pouvez limiter davantage leur accès en configurant des groupes de sécurité pour les points de terminaison. Pour en savoir plus, consultez [Associer des groupes de](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups) [sécurité et Règles de groupe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) de sécurité dans la *documentation Amazon VPC.*
+ **Liste de préfixes gérée** (pour les plages d'adresses IP) : pour autoriser les adresses IP, vous devez créer une ou plusieurs listes de préfixes dans Amazon VPC avec la liste des plages d'adresses IP à autoriser. Les listes de préfixes sont soumises à quelques restrictions lorsqu'elles sont utilisées pour Amazon Managed Grafana :
  + Chaque liste de préfixes peut contenir jusqu'à 100 plages d'adresses IP.
  + Les plages d'adresses IP privées (par exemple, `10.0.0.0/16` sont ignorées). Vous pouvez inclure des plages d'adresses IP privées dans une liste de préfixes, mais Amazon Managed Grafana les ignore lorsqu'il filtre le trafic vers l'espace de travail. Pour permettre à ces hôtes d'accéder à l'espace de travail, créez un point de terminaison VPC pour vos espaces de travail et donnez-leur accès.
  + Amazon Managed Grafana ne prend en charge que les IPv4 adresses figurant dans les listes de préfixes, pas. IPv6 IPv6 les adresses sont ignorées.

  Vous créez des listes de préfixes gérées via la console [Amazon VPC](https://console.aws.amazon.com/vpc/home?#ManagedPrefixLists). Après avoir créé les listes de préfixes, vous avez besoin de l'ID de liste de préfixes pour chaque liste que vous souhaitez autoriser dans Amazon Managed Grafana. La liste de préfixes IDs a le format. `pl-1a2b3c4d`

  Pour plus d'informations sur la création de listes de préfixes, consultez la section Groupes d'[adresses CIDR à l'aide de listes de préfixes gérées](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) dans le guide de l'utilisateur d'*Amazon Virtual Private Cloud*.
+ Vous devez disposer des autorisations nécessaires pour configurer ou créer un espace de travail Amazon Managed Grafana. Par exemple, vous pouvez utiliser la politique AWS gérée,`AWSGrafanaAccountAdministrator`.

Une fois que vous avez la liste IDs des listes de préfixes ou des points de terminaison VPC auxquels vous souhaitez donner accès à votre espace de travail, vous êtes prêt à créer la configuration du contrôle d'accès réseau.

**Note**  
Si vous activez le contrôle d'accès réseau, mais que vous n'ajoutez pas de liste de préfixes à la configuration, aucun accès à votre espace de travail n'est autorisé, sauf via les points de terminaison VPC autorisés.  
De même, si vous activez le contrôle d'accès réseau, mais que vous n'ajoutez pas de point de terminaison VPC à la configuration, aucun accès à votre espace de travail n'est autorisé, sauf via les adresses IP autorisées.  
Vous devez inclure au moins une liste de préfixes ou un point de terminaison VPC dans la configuration du contrôle d'accès réseau, sinon vous ne pourrez accéder à votre espace de travail de n'importe où.

**Pour configurer le contrôle d'accès réseau pour un espace de travail**

1. Ouvrez la console [Amazon Managed Grafana](https://console.aws.amazon.com/grafana/home/).

1. Dans le volet de navigation de gauche, sélectionnez **Tous les espaces de travail.**

1. Sélectionnez le nom de l'espace de travail dans lequel vous souhaitez configurer le contrôle d'accès au réseau.

1. Dans l'onglet **Contrôle d'accès réseau**, sous **Contrôle d'accès réseau**, choisissez **Accès restreint** pour configurer le contrôle d'accès réseau.
**Note**  
Vous pouvez accéder à ces mêmes options lors de la création d'un espace de travail.

1. Dans le menu déroulant, sélectionnez si vous ajoutez une **liste de préfixes** ou un point de terminaison **VPC**.

1. Sélectionnez le point de terminaison ou l'ID de liste de préfixes VPC que vous souhaitez ajouter (vous pouvez également saisir l'ID que vous souhaitez utiliser). Vous devez en choisir au moins un.

1. Pour ajouter d'autres points de terminaison ou listes, sélectionnez **Ajouter une nouvelle ressource** pour chacun d'entre eux que vous souhaitez ajouter.
**Note**  
Vous pouvez ajouter jusqu'à 5 listes de préfixes et 5 points de terminaison VPC.

1. Choisissez **Enregistrer les modifications** pour terminer la configuration.

**Avertissement**  
Si des utilisateurs utilisent déjà votre espace de travail, incluez leurs plages d'adresses IP ou leurs points de terminaison VPC dans la configuration, sinon ils perdront l'accès en cas d'erreur. `403 Forbidden` Il est recommandé de tester les points d'accès existants après avoir configuré ou modifié la configuration du contrôle d'accès au réseau.

# Chiffrement au repos
<a name="AMG-encryption-at-rest"></a>

Par défaut, Amazon Managed Grafana vous fournit automatiquement le chiffrement au repos, en utilisant les clés de chiffrement que vous AWS possédez.
+ **AWS clés détenues** : Amazon Managed Grafana utilise ces clés pour chiffrer automatiquement les données de votre espace de travail. Vous ne pouvez pas consulter, gérer ou utiliser AWS les clés que vous possédez, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section [AWS-owned keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dans le *guide du AWS KMS développeur*.

Le chiffrement au repos permet de réduire la charge opérationnelle et la complexité liées à la protection des données sensibles des clients, telles que les informations personnelles identifiables. Il vous permet de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.

Vous pouvez également choisir d'utiliser une clé gérée par le client lorsque vous créez votre espace de travail :
+ **Clés gérées par le client** — Amazon Managed Grafana prend en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez pour chiffrer les données de votre espace de travail. Étant donné que vous avez le contrôle total du chiffrement, vous pouvez effectuer les tâches suivantes :
  + Établissement et gestion des stratégies de clé
  + Établissement et gestion des politiques IAM et des octrois
  + Activation et désactivation des stratégies de clé
  + Rotation des matériaux de chiffrement de clé
  + Ajout de balises 
  + Création d’alias de clé
  + Planification des clés pour la suppression

Pour plus d'informations, consultez les [clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *guide du AWS KMS développeur* et [Qu'est-ce que c'est AWS KMS ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)

Choisissez d'utiliser avec soin les clés gérées par le client ou les clés AWS détenues par le client. Les espaces de travail créés avec des clés gérées par le client ne peuvent pas être convertis ultérieurement pour utiliser des clés AWS détenues (et vice versa).

**Note**  
Amazon Managed Grafana active automatiquement le chiffrement au repos à l'aide de clés AWS détenues afin de protéger gratuitement vos données.
Toutefois, AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS KMS](https://aws.amazon.com/kms/pricing/).

**Important**  
Si vous désactivez la clé gérée par le client ou si vous supprimez l'accès à Amazon Managed Grafana dans la politique relative aux clés, votre espace de travail deviendra inaccessible. L'espace de travail restera dans un `ACTIVE` état mais sera fonctionnellement indisponible. Vous disposez de 7 jours pour rétablir l'accès en réactivant la clé ou en rétablissant la politique relative aux clés. Après 7 jours, l'espace de travail passera à un `FAILED` état et ne pourra être que supprimé.
La planification de la suppression d'une clé AWS KMS comporte une période d'attente minimale de 7 jours avant que la clé ne soit supprimée. Une fois qu'une clé est supprimée, elle ne peut pas être restaurée et tout espace de travail chiffré avec cette clé perdra définitivement l'accès à ses données.
Le chiffrement par clé géré par le client n'est disponible que lors de la création de nouveaux espaces de travail. Les espaces de travail existants ne peuvent pas être convertis pour utiliser des clés gérées par le client.
Vous ne pouvez pas modifier la clé gérée par le client d'un espace de travail après sa création.

## Comment Amazon Managed Grafana utilise les subventions dans AWS KMS
<a name="AMG-encryption-grants"></a>

Amazon Managed Grafana nécessite des autorisations pour utiliser votre clé gérée par le client.

Lorsque vous créez un espace de travail Amazon Managed Grafana chiffré à l'aide d'une clé gérée par le client, Amazon Managed Grafana crée des subventions en votre nom en envoyant des demandes à. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS Les subventions AWS KMS sont utilisées pour permettre à Amazon Managed Grafana d'accéder à la clé KMS de votre compte, même si vous n'êtes pas appelé directement en votre nom (par exemple, lors du stockage des données du tableau de bord ou des configurations utilisateur).

Amazon Managed Grafana a besoin des autorisations nécessaires pour utiliser votre clé gérée par le client pour les opérations internes suivantes :
+ Envoyez [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)des demandes AWS KMS à pour créer des subventions supplémentaires si nécessaire.
+ Envoyez [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)des demandes AWS KMS à pour vérifier que la clé KMS symétrique gérée par le client fournie lors de la création d'un espace de travail est valide.
+ Envoyer [ReEncryptTo et demander ReEncryptFrom](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) AWS KMS à rechiffrer les données lorsque vous passez d'un contexte de chiffrement à un autre.
+ Envoyez des demandes de [chiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) AWS KMS à pour chiffrer les données directement avec la clé gérée par le client.
+ Envoyez des demandes de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.
+ Envoyez [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)des demandes AWS KMS à pour générer des clés de données chiffrées par votre clé gérée par le client.
+ Envoyez [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)des demandes AWS KMS à pour générer des clés de données chiffrées sans renvoyer la version en texte brut.
+ Envoyez [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)des demandes AWS KMS de retrait des subventions qui ne sont plus nécessaires.

Amazon Managed Grafana crée des subventions pour la AWS KMS clé qui permettent à Amazon Managed Grafana d'utiliser la clé en votre nom. Vous pouvez supprimer l'accès à la clé en modifiant la politique relative aux clés, en désactivant la clé ou en révoquant l'attribution. Vous devez comprendre les conséquences de ces actions avant de les exécuter. Cela peut entraîner une perte de données dans votre espace de travail.

Si vous supprimez l'accès à l'une des subventions de quelque manière que ce soit, Amazon Managed Grafana ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ni stocker les nouvelles données envoyées à l'espace de travail, ce qui affectera les opérations qui dépendent de ces données. Les nouvelles mises à jour de l'espace de travail ne seront pas accessibles et risquent d'être définitivement perdues.

**Avertissement**  
Si vous désactivez la clé ou si vous supprimez l'accès à Amazon Managed Grafana dans la politique relative aux clés, les données de l'espace de travail ne sont plus accessibles. L'espace de travail restera dans un `ACTIVE` état mais sera fonctionnellement indisponible. Les nouvelles mises à jour envoyées à l'espace de travail ne seront pas accessibles et risquent d'être définitivement perdues. Vous pouvez rétablir l'accès aux données de l'espace de travail et recommencer à recevoir de nouvelles données en réactivant la clé ou en rétablissant l'accès à la clé par Amazon Managed Grafana dans les 7 jours. Après 7 jours sans accès, l'espace de travail passera à un `FAILED` état.
Si vous programmez la suppression de la clé dans AWS KMS, elle sera supprimée après le délai d'attente obligatoire de 7 jours. Une fois supprimée, la clé ne peut pas être restaurée et les données de l'espace de travail seront définitivement inaccessibles.
Si vous *révoquez* une attribution, elle ne peut pas être recréée et les données de l'espace de travail sont définitivement perdues.
Amazon Managed Grafana crée des allocations familiales supplémentaires via Amazon RDS en raison de sa dépendance à l'égard de RDS pour le stockage des données. La révocation de ces subventions liées au RDS aura le même effet permanent de perte de données que la révocation des subventions principales de Grafana.

## Étape 1 : Créer une clé gérée par le client
<a name="AMG-encryption-create-key"></a>

Vous pouvez créer une clé symétrique gérée par le client à l'aide de la console AWS de gestion ou du AWS KMS APIs. La clé doit se trouver dans la même région que l'espace de travail Amazon Managed Grafana et doit être une clé symétrique avec utilisation des `ENCRYPT_DECRYPT` clés.

**Pour créer une clé symétrique gérée par le client**
+ Suivez les étapes de la rubrique [Création d'une clé symétrique gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *Guide du développeur AWS KMS *.

Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez [Gestion de l'accès aux clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) dans le *Guide du développeur AWS KMS *.

Pour utiliser votre clé gérée par le client avec vos espaces de travail Amazon Managed Grafana, les opérations d'API suivantes doivent être autorisées dans la politique relative aux clés :
+ [kms : CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Ajoute une autorisation à une clé gérée par le client. Accorde un accès de contrôle à une clé KMS spécifiée, ce qui permet d'accéder aux [opérations de subvention requises](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) par Amazon Managed Grafana. Pour plus d'informations, consultez [Utilisation des attributions](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dans le *Guide du développeur AWS KMS *. Cela permet à Amazon Managed Grafana d'effectuer les opérations suivantes :
  + Appelez `GenerateDataKey` pour générer une clé de données cryptée et la stocker.
  + Appelez `Decrypt` pour utiliser la clé de données chiffrée stockée afin d’accéder aux données chiffrées.
+ [kms : DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Fournit les informations relatives à la clé gérée par le client pour permettre à Amazon Managed Grafana de valider la clé.

Voici des exemples de déclarations de politique que vous pouvez ajouter pour Amazon Managed Grafana :

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow IAM Users and Roles to validate KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "Allow IAM Users and Roles to create grant on KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": "kms:CreateGrant",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ],
          "kms:GrantConstraintType": "EncryptionContextSubset"
        },
        "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
            "CreateGrant",
            "RetireGrant",
            "Decrypt",
            "Encrypt",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
          ]
        }
      }
    }
  ]
}
```
+ Pour plus d'informations sur la spécification des autorisations dans une politique, consultez le [Guide du développeur du service de gestion des AWS clés](https://docs.aws.amazon.com/kms/latest/developerguide/).
+ Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez le [Guide du développeur du service de gestion des AWS clés](https://docs.aws.amazon.com/kms/latest/developerguide/).

## Étape 2 : Spécification d'une clé gérée par le client pour Amazon Managed Grafana
<a name="AMG-encryption-specify-key"></a>

Lorsque vous créez un espace de travail, vous pouvez spécifier la clé gérée par le client en saisissant un ARN de clé KMS, qu'Amazon Managed Grafana utilise pour chiffrer les données stockées par l'espace de travail.

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)

1. Choisissez **Create workspace**.

1. Dans la section **Chiffrement**, sélectionnez **Clé gérée par le client**.

1. Entrez l'ARN de votre clé gérée par le client dans le champ **ARN de la clé KMS**.

1. Terminez la configuration de l'espace de travail restante et choisissez **Créer un espace de travail**.

Vous pouvez spécifier une clé gérée par le client lors de la création d'un espace de travail à l'aide du `--kms-key-id` paramètre :

```
aws grafana create-workspace \
    --workspace-name "my-encrypted-workspace" \
    --workspace-description "Workspace with customer managed encryption" \
    --account-access-type "CURRENT_ACCOUNT" \
    --authentication-providers "AWS_SSO" \
    --permission-type "SERVICE_MANAGED" \
    --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
```

## Surveillance de vos clés de chiffrement pour Amazon Managed Grafana
<a name="AMG-encryption-monitoring"></a>

Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos espaces de travail Amazon Managed Grafana, vous pouvez utiliser AWS CloudTrail Amazon CloudWatch Logs pour suivre les demandes auxquelles Amazon Managed Grafana envoie. AWS KMS

Les exemples suivants sont AWS CloudTrail des événements pour`CreateGrant`, `DescribeKey``GenerateDataKey`, et `Decrypt` pour surveiller les opérations KMS appelées par Amazon Managed Grafana pour accéder aux données chiffrées par votre clé gérée par le client :

Lorsque vous utilisez une clé gérée par le AWS KMS client pour chiffrer votre espace de travail, Amazon Managed Grafana `CreateGrant` envoie des demandes en votre nom pour accéder à la clé KMS que vous avez spécifiée. Les autorisations créées par Amazon Managed Grafana sont spécifiques à la ressource associée à la clé gérée par le AWS KMS client.

L'exemple d'événement suivant enregistre une opération `CreateGrant` :

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana utilise cette `DescribeKey` opération pour vérifier si la clé gérée par le AWS KMS client associée à votre espace de travail existe dans le compte et dans la région.

L’exemple d’événement suivant enregistre l’opération `DescribeKey` :

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana utilise cette `GenerateDataKey` opération pour générer des clés de données utilisées pour chiffrer les données de l'espace de travail.

L’exemple d’événement suivant enregistre l’opération `GenerateDataKey` :

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana utilise cette `Decrypt` opération pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour déchiffrer les données de l'espace de travail.

L’exemple d’événement suivant enregistre l’opération `Decrypt` :

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

## En savoir plus
<a name="AMG-encryption-learn-more"></a>

Les ressources suivantes fournissent plus d'informations sur le chiffrement des données au repos.
+ Pour plus d'informations sur AWS KMS les concepts de base, consultez le [guide du AWS KMS développeur](https://docs.aws.amazon.com/kms/latest/developerguide/).
+ Pour plus d'informations sur les meilleures pratiques de sécurité pour AWS KMS, consultez le [guide du AWS KMS développeur](https://docs.aws.amazon.com/kms/latest/developerguide/).

# Connectez-vous à des sources de données ou à des canaux de notification dans Amazon VPC depuis Amazon Managed Grafana
<a name="AMG-configure-vpc"></a>

Par défaut, le trafic de votre espace de travail Amazon Managed Grafana vers les sources de données ou les canaux de notification passe par l'Internet public. Cela limite la connectivité de votre espace de travail Amazon Managed Grafana aux services accessibles au public.

**Note**  
Lorsque vous n'avez pas configuré de VPC privé et qu'Amazon Managed Grafana se connecte à des sources de données accessibles au public, il se connecte à certains AWS services de la même région via. AWS PrivateLink Cela inclut des services tels que CloudWatch Amazon Managed Service for Prometheus et. AWS X-Ray Le trafic vers ces services ne passe pas par l'Internet public.

Si vous souhaitez vous connecter à des sources de données privées situées au sein d'un VPC, ou conserver le trafic local vers un VPC, vous pouvez connecter votre espace de travail Amazon Managed Grafana à l'Amazon Virtual Private Cloud (Amazon VPC) hébergeant ces sources de données. Après avoir configuré la connexion à la source de données VPC, tout le trafic circule via votre VPC.

Un *cloud privé virtuel* (VPC) est un réseau virtuel dédié à votre. Compte AWS Il est logiquement isolé des autres réseaux virtuels, y compris des autres réseaux VPCs et de l'Internet public. Utilisez Amazon VPC pour créer et gérer votre espace VPCs dans le. AWS Cloud Amazon VPC vous donne le contrôle total de votre environnement réseau virtuel, y compris le placement des ressources, la connectivité et la sécurité. Les sources de données Amazon Managed Grafana et d'autres ressources peuvent être créées dans votre VPC. Pour plus d'informations sur Amazon VPC, consultez [Qu'est-ce qu'Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ? dans le *guide de l'utilisateur d'Amazon Virtual Private Cloud*.

**Note**  
Si vous souhaitez que votre espace de travail Amazon Managed Grafana se connecte à des données situées en dehors du VPC, sur un autre réseau ou sur Internet public, vous devez ajouter un routage vers l'autre réseau. Pour plus d'informations sur la façon de connecter votre VPC à un autre réseau, consultez [Connecter votre VPC à d'autres réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) dans le guide de l'utilisateur *Amazon Virtual Private Cloud*.

## Comment fonctionne la connectivité VPC
<a name="AMG-VPC-how-it-works"></a>

[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) vous donne le contrôle total de votre environnement réseau virtuel, notamment en créant des *sous-réseaux* publics et privés auxquels votre application doit se connecter, ainsi que des *groupes de sécurité* pour gérer les services ou les ressources ayant accès aux sous-réseaux.

Pour utiliser Amazon Managed Grafana avec les ressources d'un VPC, vous devez créer une connexion à ce VPC pour l'espace de travail Amazon Managed Grafana. Après avoir configuré la connexion, Amazon Managed Grafana connecte votre espace de travail à chaque sous-réseau fourni dans chaque zone de disponibilité de ce VPC, et tout le trafic à destination ou en provenance de l'espace de travail Amazon Managed Grafana passe par le VPC. Le schéma suivant montre logiquement à quoi ressemble cette connectivité.

![\[Image montrant Amazon Managed Grafana se connectant à un VPC dans plusieurs zones de disponibilité.\]](http://docs.aws.amazon.com/fr_fr/grafana/latest/userguide/images/grafana-vpc-connection.png)


**Amazon Managed Grafana crée une connexion (**1**) par sous-réseau (à l'aide d'une [interface Elastic Network](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html), ou ENI) pour se connecter au VPC (2).** La connexion Amazon Managed Grafana VPC est associée à un ensemble de groupes de sécurité (**3**) qui contrôlent le trafic entre le VPC et votre espace de travail Amazon Managed Grafana. Tout le trafic est acheminé via le VPC configuré, y compris la destination des alertes et la connectivité à la source de données. Pour vous connecter à des sources de données et à des destinations d'alerte sur un autre réseau VPCs ou sur Internet public (**4**), créez une [passerelle](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**) entre l'autre réseau et votre VPC.

## Création d'une connexion à un VPC
<a name="AMG-to-create-vpc-connection"></a>

Cette section décrit les étapes de connexion à un VPC depuis votre espace de travail Amazon Managed Grafana existant. Vous pouvez suivre ces mêmes instructions lors de la création de votre espace de travail. Pour plus d'informations sur la création d'un espace de travail, consultez[Création d'un espace de travail Grafana géré par Amazon](AMG-create-workspace.md).

### Conditions préalables
<a name="config-vpc-prereqs"></a>

Les conditions suivantes sont requises pour établir une connexion à un VPC à partir d'un espace de travail Amazon Managed Grafana existant.
+ Vous devez disposer des autorisations nécessaires pour configurer ou créer un espace de travail Amazon Managed Grafana. Par exemple, vous pouvez utiliser la politique AWS gérée,`AWSGrafanaAccountAdministrator`.
+ Vous devez avoir configuré un VPC dans votre compte avec au moins deux zones de disponibilité configurées, avec un *sous-réseau privé configuré pour chacune*. Vous devez connaître les informations de sous-réseau et de groupe de sécurité de votre VPC.
**Note**  
[Les zones Locales et les Zones](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html) [de longueur d'onde](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html) ne sont pas prises en charge.  
[VPCsconfigurés](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) avec `Tenancy` set to ne `Dedicated` sont pas pris en charge.
**Important**  
Au moins 15 adresses IP disponibles doivent figurer dans chaque sous-réseau connecté à votre espace de travail Amazon Managed Grafana. Nous vous recommandons vivement de configurer des alarmes pour [surveiller l'utilisation des adresses IP](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html) dans vos sous-réseaux VPC. Si le nombre d'adresses IP disponibles pour un sous-réseau est inférieur à 15, vous pouvez rencontrer les problèmes suivants :  
Impossibilité de modifier la configuration de votre espace de travail avant de libérer des adresses IP supplémentaires ou d'associer des sous-réseaux avec des adresses IP supplémentaires
Votre espace de travail ne pourra pas recevoir de mises à jour ou de correctifs de sécurité
Dans de rares cas, vous pourriez subir une perte totale de disponibilité de l'espace de travail, ce qui se traduirait par des alertes non fonctionnelles et des tableaux de bord inaccessibles
+ Si vous connectez un espace de travail Amazon Managed Grafana existant dont les sources de données sont configurées, nous vous recommandons de configurer votre VPC pour qu'il se connecte à ces sources de données avant de connecter Amazon Managed Grafana au VPC. Cela inclut les services tels CloudWatch que ceux qui sont connectés via AWS PrivateLink. Dans le cas contraire, la connectivité à ces sources de données est perdue.
+ Si votre VPC possède déjà plusieurs passerelles vers d'autres réseaux, vous devrez peut-être configurer la résolution DNS sur les différentes passerelles. Pour plus d'informations, consultez [Route 53 Resolver.](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)

### Connexion à un VPC depuis un espace de travail Amazon Managed Grafana existant
<a name="config-vpc-use"></a>

La procédure suivante décrit l'ajout d'une connexion à une source de données Amazon VPC à un espace de travail Amazon Managed Grafana existant.

**Note**  
Lorsque vous configurez la connexion à Amazon VPC, celui-ci crée un rôle IAM. Grâce à ce rôle, Amazon Managed Grafana peut créer des connexions au VPC. Le rôle IAM utilise la politique de rôle liée au service,. `AmazonGrafanaServiceLinkedRolePolicy` Pour en savoir plus sur les rôles liés à un service, consultez. [Autorisations de rôle liées à un service pour Amazon Managed Grafana](using-service-linked-roles.md#slr-permissions)

**Pour vous connecter à un VPC depuis un espace de travail Amazon Managed Grafana existant**

1. Ouvrez la console [Amazon Managed Grafana](https://console.aws.amazon.com/grafana/home/).

1. Dans le volet de navigation de gauche, sélectionnez **Tous les espaces de travail.**

1. Sélectionnez le nom de l'espace de travail auquel vous souhaitez ajouter une connexion à une source de données VPC.

1. Dans l'onglet **Paramètres d'accès au réseau**, à côté de Connexion **VPC sortante**, **choisissez** Modifier pour créer votre connexion VPC.

1. Choisissez le **VPC** que vous souhaitez connecter.

1. Sous **Mappages**, sélectionnez les zones de disponibilité que vous souhaitez utiliser. Vous devez en choisir au moins deux.

1. Sélectionnez au moins un *sous-réseau privé* dans chaque zone de disponibilité. Les sous-réseaux doivent prendre en charge IPv4.

1. Sélectionnez au moins un **groupe de sécurité** pour votre VPC. Vous pouvez définir jusqu'à 5 groupes de sécurité. Vous pouvez également créer un groupe de sécurité à appliquer à cette connexion.

1. Choisissez **Enregistrer les modifications** pour terminer la configuration.

Maintenant que vous avez configuré votre connexion VPC, vous pouvez ajouter un [Connexion aux sources de données](AMG-data-sources.md) accès depuis ce VPC à votre espace de travail Amazon Managed Grafana.

**Modification des paramètres VPC sortants**

Pour modifier vos paramètres, vous pouvez revenir à l'onglet **Paramètres d'accès au réseau** de la configuration de votre espace de travail ou utiliser l'[UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html)API.

**Important**  
Amazon Managed Grafana gère la configuration de votre VPC pour vous. Ne modifiez pas ces paramètres VPC à l'aide de la console Amazon EC2, APIs sinon ils seront désynchronisés.

# Résoudre les problèmes liés à l'utilisation du VPC avec Amazon Managed Grafana
<a name="AMG-configure-vpc-faq"></a>

Réponses aux questions fréquentes concernant l'utilisation d'Amazon Virtual Private Cloud (Amazon VPC) avec Amazon Managed Grafana.

## Quand dois-je configurer un VPC dans Amazon Managed Grafana ?
<a name="vpc-faq-when-to-configure-vpc"></a>

Vous devez configurer un VPC dans Amazon Managed Grafana si vous essayez de vous connecter à une source de données uniquement disponible dans un VPC privé (qui n'est pas accessible au public).

Pour les sources de données accessibles au public ou dotées d'un point de terminaison destiné au public, il n'est pas nécessaire de configurer un VPC.

Si vous vous connectez à Amazon CloudWatch, Amazon Managed Service for Prometheus AWS X-Ray ou si vous n'avez pas besoin de configurer un VPC. Ces sources de données sont connectées AWS PrivateLink par défaut à Amazon Managed Grafana.

## Pourquoi mes sources de données existantes ne parviennent-elles pas à se connecter après avoir configuré un VPC avec mon espace de travail Amazon Managed Grafana ?
<a name="vpc-faq-existing-sources-failing"></a>

Vos sources de données existantes sont probablement accessibles via le réseau public et la configuration de votre Amazon VPC ne permet pas l'accès au réseau public. Après avoir configuré la connexion VPC dans votre espace de travail Amazon Managed Grafana, tout le trafic doit transiter par ce VPC. Cela inclut les sources de données privées hébergées au sein de ce VPC, les sources de données d'un autre VPC, les AWS Managed Services qui ne sont pas disponibles dans le VPC et les sources de données accessibles sur Internet.

Pour résoudre ce problème, vous devez connecter les autres sources de données au VPC que vous avez configuré :
+ Pour les sources de données connectées à Internet, connectez le VPC à Internet. Vous pouvez, par exemple, vous [connecter à Internet ou à d'autres réseaux à l'aide d'appareils NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) (voir le *guide de l'utilisateur d'Amazon Virtual Private Cloud*).
+ Pour les sources de données situées dans d'autres sources VPCs, créez un peering entre les deux VPCs. Pour plus d'informations, consultez [Connect VPCs using VPC peering](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) (extrait du guide de l'*utilisateur d'Amazon Virtual Private Cloud*).
+ Pour les services AWS gérés qui ne sont pas accessibles dans votre VPC, tels que CloudWatch X-Ray ou Amazon Managed Service for Prometheus, vous devrez peut-être créer un point de terminaison VPC d'interface pour ce service dans votre VPC. *Pour plus d'informations, consultez la section [Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) dans le AWS PrivateLink Guide.*

## Puis-je utiliser un VPC avec une location dédiée ?
<a name="vpc-faq-dedicated-tenancy"></a>

Non, les configurations [VPCs configurées](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) avec `Tenancy` set to ne `Dedicated` sont pas prises en charge.

## Puis-je connecter à la fois des services AWS gérés (tels qu'Amazon Managed Service for Prometheus CloudWatch ou X-Ray) et des sources de données privées (y compris Amazon Redshift) au même espace de travail Amazon Managed Grafana ?
<a name="vpc-faq-connect-services-and-private-sources"></a>

Oui. Vous devez configurer la connectivité aux AWS Managed Services dans le même VPC que vos sources de données privées (par exemple, en utilisant un point de [terminaison VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) d'interface ou une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)), et configurer votre espace de travail Amazon Managed Grafana pour qu'il se connecte au même VPC.

## Pourquoi est-ce que j'obtiens un `502 Bad Gateway Error` lorsque j'essaie de me connecter à une source de données après avoir configuré le VPC dans mon espace de travail Amazon Managed Grafana ?
<a name="vpc-faq-502-error"></a>

Les trois raisons les plus courantes pour lesquelles votre connexion à la source de données renvoie une `502` erreur sont les suivantes.
+ **Erreur de groupe de sécurité** — Les groupes de sécurité sélectionnés lors de la configuration du VPC dans Amazon Managed Grafana doivent autoriser la connectivité à la source de données via des règles entrantes et sortantes.

  Pour résoudre ce problème, assurez-vous que les règles du groupe de sécurité des sources de données et du groupe de sécurité Amazon Managed Grafana autorisent cette connectivité.
+ **Erreur d'autorisation utilisateur** : l'utilisateur de l'espace de travail assigné ne dispose pas des autorisations nécessaires pour interroger la source de données.

  Pour résoudre ce problème, vérifiez que l'utilisateur dispose des autorisations IAM requises pour modifier l'espace de travail, ainsi que de la politique de source de données appropriée pour accéder aux données et les interroger auprès du service d'hébergement. Les autorisations sont disponibles dans la console Gestion des identités et des accès AWS (IAM) à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
+ Informations de **connexion incorrectes fournies** — L'espace de travail Amazon Managed Grafana n'est pas en mesure de se connecter à votre source de données en raison d'informations de connexion incorrectes fournies.

  Pour résoudre ce problème, vérifiez les informations contenues dans la connexion à la source de données, y compris l'authentification de la source de données et l'URL du point de terminaison, puis réessayez la connexion.

## Puis-je me connecter à plusieurs VPCs depuis le même espace de travail Amazon Managed Grafana ?
<a name="vpc-faq-multiple-vpcs"></a>

Vous ne pouvez configurer qu'un seul VPC pour un espace de travail Grafana géré par Amazon. Pour accéder aux sources de données d'un autre VPC ou d'une région à l'autre, reportez-vous à la question suivante.

## Comment me connecter aux sources de données d'un autre VPC ? Comment me connecter aux sources de données depuis un VPC situé dans un autre Région AWS ou ? Compte AWS
<a name="vpc-faq-connect-to-different-vpc"></a>

Vous pouvez utiliser le [peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) ou [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)connecter le VPC entre régions ou entre comptes VPCs, puis connecter le VPC situé dans la même région Compte AWS que votre espace de travail Amazon Managed Grafana. Amazon Managed Grafana se connecte aux sources de données externes comme toute autre connexion au sein du VPC.

**Note**  
[Si le peering VPC n'est pas une option pour vous, partagez votre cas d'utilisation avec votre responsable de compte ou envoyez un e-mail à aws-grafana-feedback @amazon .com.](mailto:aws-grafana-feedback@amazon.com)

## Lorsque mon espace de travail Amazon Managed Grafana est connecté à un VPC, pourrai-je toujours me connecter à d'autres sources de données publiques ?
<a name="vpc-faq-connect-to-public-sources"></a>

Oui. Vous pouvez connecter simultanément des sources de données provenant de votre VPC et de sources de données publiques à un seul espace de travail Amazon Managed Grafana. [Pour les sources de données publiques, vous devez configurer la connectivité VPC via une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) ou une autre connexion VPC.](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) Les demandes adressées à des sources de données publiques transitent par votre VPC, ce qui vous donne une visibilité et un contrôle supplémentaires sur ces demandes.

## Que dois-je faire si je ne parviens pas à mettre à jour un espace de travail Amazon Managed Grafana en raison d'adresses IP insuffisantes ?
<a name="vpc-faq-ip-exhaustion"></a>

 Vous pouvez rencontrer l'erreur suivante lorsque vous modifiez la configuration de votre espace de travail Amazon Managed Grafana : tous les sous-réseaux de la configuration VPC doivent avoir au moins 15 adresses IP disponibles. 

 Vous recevrez cette erreur si un ou plusieurs sous-réseaux connectés à votre espace de travail ne répondent pas aux exigences minimales en matière d'adresse IP. Au moins 15 adresses IP disponibles doivent figurer dans chaque sous-réseau connecté à votre espace de travail. Lorsque le nombre d'adresses IP disponibles pour un sous-réseau tombe en dessous de 15, vous pouvez rencontrer les problèmes suivants : 
+ Impossibilité de modifier la configuration de votre espace de travail avant de libérer des adresses IP supplémentaires ou d'associer des sous-réseaux avec des adresses IP supplémentaires
+ Votre espace de travail ne pourra pas recevoir de mises à jour ou de correctifs de sécurité
+ Dans de rares cas, vous pourriez subir une perte totale de disponibilité de l'espace de travail, ce qui se traduirait par des alertes non fonctionnelles et des tableaux de bord inaccessibles

**Atténuer l'épuisement des IP**

1. Si un sous-réseau possède moins de 15 adresses IP disponibles, libérez les adresses IP associées aux instances ou supprimez les interfaces réseau non utilisées pour libérer de la capacité IP.

1. Si vous ne parvenez pas à libérer des adresses IP dans le sous-réseau existant, vous devez le remplacer par un sous-réseau comportant au moins 15 adresses IP disponibles. Nous vous recommandons d'utiliser des sous-réseaux dédiés pour Amazon Managed Grafana.

**Remplacer un sous-réseau**

1. Ouvrez la console [Amazon Managed Grafana](https://console.aws.amazon.com/grafana).

1. Dans le volet de navigation de gauche, choisissez **Tous les espaces de travail**, puis sélectionnez le nom de votre espace de travail.

1. **Dans l'onglet **Contrôle d'accès réseau**, à côté de Connexion **VPC sortante**, choisissez Modifier.**

1. Sous **Mappages**, sélectionnez la zone de disponibilité qui contient le sous-réseau dont les adresses IP sont insuffisantes.

1. Dans la liste déroulante, désélectionnez le sous-réseau dont les adresses IP sont insuffisantes et sélectionnez un sous-réseau avec au moins 15 adresses IP disponibles. Si nécessaire, créez un nouveau sous-réseau dans votre VPC. Pour plus d'informations, consultez la section [Créer un sous-réseau](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) dans le guide de l'*utilisateur Amazon VPC.*

1. Choisissez **Enregistrer les modifications** pour terminer la configuration.

## Avant de configurer une connexion VPC, mes alertes Grafana étaient envoyées avec succès aux services en aval, tels que Slack. PagerDuty Après avoir configuré le VPC, pourquoi mes alertes Grafana ne sont-elles pas envoyées à ces destinations de notification ?
<a name="vpc-faq-grafana-alert-destinations"></a>

Après avoir configuré une connexion VPC pour un espace de travail Grafana géré par Amazon, tout le trafic vers les sources de données de l'espace de travail passe par le VPC configuré. Assurez-vous que le VPC dispose d'un itinéraire pour accéder à ces services de notification d'alerte. Par exemple, les destinations de notification d'alerte hébergées par des tiers peuvent nécessiter une connexion à Internet. Tout comme pour les sources de données, configurez une connexion Internet ou AWS Transit Gateway une autre connexion VPC vers la destination externe.

## Puis-je modifier mon VPC manuellement ? Pourquoi la modification de mon groupe de sécurité ou de mon sous-réseau rend-elle mon espace de travail Amazon Managed Grafana indisponible ?
<a name="vpc-faq-manually-edit-vpc"></a>

La connexion Amazon Managed Grafana VPC utilise les groupes de sécurité et les sous-réseaux pour contrôler le trafic autorisé entre le VPC et votre espace de travail Amazon Managed Grafana. Lorsque le groupe de sécurité ou le sous-réseau est modifié ou supprimé depuis l'extérieur de la console Amazon Managed Grafana (par exemple avec la console VPC), la connexion VPC dans votre espace de travail Amazon Managed Grafana cesse de protéger la sécurité de votre espace de travail, et l'espace de travail devient inaccessible. Pour résoudre ce problème, mettez à jour les groupes de sécurité configurés pour votre espace de travail Amazon Managed Grafana dans la console Amazon Managed Grafana. Lorsque vous consultez votre espace de travail, sélectionnez Connexion **VPC sortante** dans **l'onglet Contrôle d'accès réseau** pour modifier les sous-réseaux ou les groupes de sécurité associés à la connexion VPC.

# Configuration d'un espace de travail Grafana géré par Amazon
<a name="AMG-configure-workspace"></a>

La configuration d'Amazon Managed Grafana peut être séparée en configuration de l'authentification et des autorisations Amazon Managed Grafana et en configuration de l'espace de travail Grafana. Cette section contient des informations concernant la configuration de votre espace de travail Grafana.

Pour plus d'informations sur la configuration de l'authentification et des autorisations Amazon Managed Grafana, consultez les rubriques suivantes.
+ [Authentifier les utilisateurs dans les espaces de travail Amazon Managed Grafana](authentication-in-AMG.md)
+ [Gérez l'accès des utilisateurs et des groupes aux espaces de travail Amazon Managed Grafana](AMG-manage-users-and-groups-AMG.md)
+ [Utilisateurs, équipes et autorisations](Grafana-administration-authorization.md)

Vous pouvez modifier la configuration de votre espace de travail Grafana dans Amazon Managed Grafana dans l'onglet **Options de configuration de l'espace** de travail lorsque vous consultez les propriétés de votre espace de travail.

Les modifications de configuration apportées à votre instance Grafana peuvent entraîner le redémarrage de l'instance pour recharger les nouveaux paramètres. Une fois les modifications de configuration apportées, vos utilisateurs devront peut-être actualiser toutes les pages du navigateur qui affichent l'espace de travail Grafana.

**Note**  
Les mêmes options s'offrent à vous lorsque vous créez votre espace de travail pour la première fois.

**Pour modifier la configuration d'un espace de travail Grafana à l'aide de la console Amazon Managed Grafana**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation de gauche, choisissez l'icône du menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail que vous souhaitez configurer. Cela ouvre les détails de cet espace de travail.

1. Choisissez l'onglet **Options de configuration de l'espace** de travail pour voir les options de configuration de votre instance.

1. **Sélectionnez **Modifier** à côté des **alertes Grafana** ou de la gestion des plugins.**
   + **Alerte Grafana**

     Vous pouvez activer les alertes [Grafana](v10-alerts.md). **Pour afficher les alertes Prometheus dans votre espace de travail Grafana, cochez la case pour activer les alertes Grafana.** Dans les espaces de travail exécutant la version 8 ou 9, cela enverra plusieurs notifications pour vos alertes Grafana. Si vous utilisez les alertes définies dans Grafana, nous vous recommandons de mettre à jour votre espace de travail vers la version 10.4 ou ultérieure.

     Si vous préférez les alertes Grafana classiques, décochez la *case* à côté de Activer les alertes **Grafana**. Cela active les [alertes classiques du tableau de bord](old-alerts-overview.md). Même si vous n'activez pas les alertes Grafana, vos alertes Grafana existantes sont évaluées.
**Note**  
Les alertes classiques du tableau de bord seront supprimées dans la version 11. Dans les espaces de travail Grafana version 10, vous pouvez prévisualiser la fonction d'alerte Grafana. Pour de plus amples informations, veuillez consulter [Migration des alertes classiques du tableau de bord vers les alertes Grafana](v10-alerting-use-grafana-alerts.md).
   + **Gestion des plugins**

     Pour activer la gestion des plugins, cochez la case **Activer la gestion des plugins**. L'activation de la gestion des plugins permet aux administrateurs de votre espace de travail Amazon Managed Grafana d'installer, de mettre à jour ou de [supprimer](grafana-plugins.md) des plug-ins à l'aide du catalogue de plugins Grafana. Cette option n'est disponible que pour les espaces de travail compatibles avec la version 9 ou ultérieure de Grafana.

**Note**  
Si vous *désactivez* les alertes Grafana, vous perdez toutes les modifications apportées à la configuration des alertes lorsque les alertes Grafana étaient activées. Cela inclut toutes les nouvelles règles d'alerte que vous avez créées.  
Pour plus d'informations sur l'utilisation des alertes Grafana et sur les effets de leur activation ou de leur désactivation, consultez. [Alertes dans la version 10 de Grafana](v10-alerts.md)

La section suivante explique comment modifier la configuration de l'instance Grafana à l'aide de l'API Amazon Managed Grafana ou du. AWS CLI

## Configuration de la configuration à l'aide de l'API ou AWS CLI
<a name="AMG-configuration-format"></a>

Vous pouvez définir la configuration de l'espace de travail Grafana à l'aide de l'API Amazon Managed Grafana ou du. AWS CLI

**Note**  
`configuration`Il s'agit d'une chaîne JSON permettant les futurs paramètres de configuration qui seront ajoutés ultérieurement.

------
#### [ AWS CLI ]

**Pour mettre à jour la configuration de l'instance Amazon Managed Grafana à l'aide du AWS CLI**  
Exécutez la commande suivante pour activer les fonctionnalités d'alerte et de gestion des plugins de Grafana pour une instance. Remplacez les *<workspace-id>* chaînes *<region>* et par les valeurs appropriées pour votre instance.

```
aws grafana update-workspace-configuration \
    --region region \
    --workspace-id <workspace-id> \
    --configuration '{"plugins": {"pluginAdminEnabled": true}, "unifiedAlerting": {"enabled": true}}'
```

La configuration prend actuellement en charge les options suivantes. Ils activent ou désactivent les alertes Grafana ou la gestion des plugins.
+ Pour activer les alertes Grafana, utilisez cette option de configuration :

  ```
  --configuration '{"unifiedAlerting": { "enabled": true }}'
  ```
+ Pour activer la gestion des plugins, utilisez cette option de configuration :

  ```
  --configuration '{"plugins": {"pluginAdminEnabled": true }}'
  ```

  Cette option n'est disponible que dans les espaces de travail compatibles avec la version 9 ou ultérieure de Grafana.

------
#### [ Amazon Managed Grafana API ]

**Pour mettre à jour la configuration de l'instance Amazon Managed Grafana à l'aide de l'API**  
Utilisez l'action suivante pour activer les fonctionnalités d'alerte et de gestion des plugins de Grafana pour une instance. Remplacez la *<workspace-id>* chaîne par une valeur appropriée pour votre instance.

```
PUT /workspaces/<workspace-id>/configuration HTTP/1.1
Content-type: application/json

{
   "configuration": "{ \"unifiedAlerting\": { \"enabled\": true }, \"plugins\": { \"pluginAdminEnabled\": true }}"
}
```

La configuration prend actuellement en charge les options suivantes. Ils activent ou désactivent les alertes Grafana ou la gestion des plugins.
+ Pour activer les alertes Grafana, utilisez cette option de configuration :

  ```
  "configuration": "{\"unifiedAlerting\": { \"enabled\": true }}"
  ```
+ Pour activer la gestion des plugins, utilisez cette option :

  ```
  "plugins": "{\"pluginAdminEnabled\": true }"
  ```

  Cette option n'est disponible que dans les espaces de travail compatibles avec la version 9 ou ultérieure de Grafana.

------

# Supprimer un espace de travail Grafana géré par Amazon
<a name="AMG-edit-delete-workspace"></a>

Si vous supprimez un espace de travail Grafana géré par Amazon, toutes les données de configuration de cet espace de travail sont également supprimées. Cela inclut les tableaux de bord, la configuration des sources de données, les alertes et les instantanés.

**Pour supprimer un espace de travail Grafana géré par Amazon**

1. Ouvrez la console Amazon Managed Grafana à l'adresse. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)

1. Dans le volet de navigation de gauche, choisissez l'icône du menu.

1. Sélectionnez **All workspaces**.

1. Choisissez le nom de l'espace de travail que vous souhaitez supprimer.

1. Sélectionnez **Delete (Supprimer)**.

1. Pour confirmer la suppression, entrez le nom de l'espace de travail et choisissez **Supprimer**.

**Note**  
Cette procédure supprime un espace de travail. Les autres ressources ne peuvent pas être supprimées. Par exemple, les rôles IAM utilisés par l'espace de travail ne sont pas supprimés (mais peuvent être déverrouillés s'ils ne sont plus utilisés).