翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Managed Grafana でワークスペース、ユーザー、ポリシーを管理する
Amazon Managed Grafana を使用するには、Grafana ワークスペースを作成します。Grafana ワークスペースは論理的な Grafana サーバーで、ここでダッシュボードや視覚的表現を作成して、メトリクス、ログ、トレースを分析できます。ユーザーを追加し、そのユーザーに対してワークスペースの管理、編集、閲覧権限を管理します。
ワークスペースを Grafana の新しいバージョンにアップグレードしたり、エンタープライズプラグインのサポートを追加して、さまざまなデータソースにアクセスできるようにすることができます。また、ワークスペースへのネットワークアクセスも管理できます。を使用して Amazon Managed Grafana ワークスペースを作成および管理できます CloudFormation。
このセクションのトピックでは、Amazon Managed Grafana でワークスペース、ユーザー、ポリシーを管理する方法について説明します。
**Topics**
+ [Grafana のバージョン間の違い](version-differences.md)
+ [Amazon Managed Grafana ワークスペースを作成する](AMG-create-workspace.md)
+ [Amazon Managed Grafana ワークスペースでユーザーを認証する](authentication-in-AMG.md)
+ [ワークスペースのバージョンを更新する](AMG-workspace-version-update.md)
+ [Enterprise プラグインへのアクセス許可の管理](upgrade-to-enterprise-plugins.md)
+ [Amazon Managed Grafana ワークスペース間でコンテンツを移行する](AMG-workspace-content-migration.md)
+ [Amazon Managed Grafana ワークスペースに対するユーザーとグループのアクセス権を管理する](AMG-manage-users-and-groups-AMG.md)
+ [データソースおよび通知チャネルのアクセス権管理](AMG-datasource-and-notification.md)
+ [を使用した Amazon Managed Grafana リソースの作成 AWS CloudFormation](creating-resources-with-cloudformation.md)
+ [Amazon Managed Grafana ワークスペースに対するネットワークからのアクセス制御を設定する](AMG-configure-nac.md)
+ [保管中の暗号化](AMG-encryption-at-rest.md)
+ [Amazon Managed Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する](AMG-configure-vpc.md)
+ [Amazon Managed Grafana ワークスペースを設定する](AMG-configure-workspace.md)
+ [Amazon Managed Grafana ワークスペースを削除する](AMG-edit-delete-workspace.md)
# Grafana のバージョン間の違い
[Grafana ワークスペースを作成する](AMG-create-workspace.md)ときは、作成する Grafana バージョンを選択する必要があります。Grafana バージョン 8、9、10 と互換性のあるバージョンを選択できます。いずれも、以前のバージョンから機能が追加されました。以下のトピックでは、バージョン 9 および 10 の変更点について説明します。これには、バージョン 9 で使用する機能を破損する可能性のあるバージョン 10 の変更点が含まれます。
**注記**
Grafana ワークスペースを使用するためのバージョン固有のドキュメントは、「[Grafana バージョン 8 での作業](using-grafana-v8.md)」、「[Grafana バージョン 9 での作業](using-grafana-v9.md)」、および「[Grafana バージョン 10 での作業](using-grafana-v10.md)」トピックで確認できます。
バージョン別の詳細なメモと Grafana Labs からの詳細については、「*Grafana Labs ドキュメント*」の「[Grafana の新機能](https://grafana.com/docs/grafana/latest/whatsnew/)」を参照してください。
## Grafana バージョン 10
Grafana バージョン 10 では、以下の機能が追加されました。
+ **[相関関係]** – 相関関係は、あるデータソース内のデータを使用して別のデータソース内のデータにクエリを実行する方法を定義し、Explore による視覚化が、表示されたデータに関連するクエリを簡単に実行できるようにします。詳細については、[Grafana バージョン 10 の相関関係](v10-correlations.md)を参照してください。
+ **サブフォルダ** – ダッシュボードを整理するときに、サブフォルダを使用してネストされた階層を作成できるようになりました。詳細については、[ダッシュボードフォルダの作成](v10-dash-managing-dashboards.md#v10-dash-create-dashboard-folder)を参照してください。
+ **アラート** – Grafana アラートは、サイレントアラートをサポートするようになりました。さらに、Grafana アラートは通知を 3 回送信しなくなりました。
+ **[アラートのアップグレードプレビュー]** – 従来のダッシュボードアラートから Grafana アラートにアップグレードする前に、アラートがどのように表示されるかを確認し、移行時に適用される変更を加えることもできます。詳細については、[従来のダッシュボードアラートを Grafana アラートに移行する](v10-alerting-use-grafana-alerts.md)を参照してください。Grafana Labs は、Grafana バージョン 11 以降では、従来のダッシュボードアラートがサポート対象外となることを発表しました。
+ **サポートバンドル** – サポートバンドルは、Grafana ワークスペースに関する情報を収集して製品サポートと共有するための簡単な方法を提供します。移行、プラグイン、設定などのデータを含むサポートバンドルをすばやく作成できます。詳細については、[サポート用情報の収集](support-bundles.md)を参照してください。
+ **新しいビジュアライゼーション** — 3 つの新しいビジュアライゼーションが利用可能です。[XY チャート](v10-panels-xychart.md)、[データグリッド](v10-panels-datagrid.md)、および [トレンドパネル](v10-panels-trend.md)はすべて、バージョン 10 と互換性のあるワークスペースで使用できます。また、バージョン 9 のワークスペースでも、XY チャートを使用できます。
+ **PagerDuty** – エンタープライズ向けプラグインに PagerDuty のプラグインが搭載されました。
+ **[トランスフォーメーションの再設計]** – トランスフォーメーションタブでは、ユーザーエクスペリエンスとビジュアルデザインが改善されています。トランスフォーメーションは分類され、各トランスフォーメーションタイプには、適切なタイプを選択するのに役立つ解説があります。
+ **Prometheus メトリクス百科事典** – Prometheus クエリビルダーにある Prometheus メトリクスのメトリクスドロップダウンが、ページ分割された検索可能なメトリクス*百科事典*に置き換わりました。
+ **API キー UI の中止** – [サービスアカウント](service-accounts.md)は、Grafana HTTP API への呼び出しを認証する方法としてお勧めします。Grafana Labs は API キーの中止を推進していて、ワークスペースユーザーインターフェイスを通じて API キーを作成することはできなくなりました。API キーは AWS APIsを介してのみ作成できます。
Grafana Labs による API キー中止の詳細については、Grafana GitHub の問題リストにある「[APIKeys: API キーの終了](https://github.com/grafana/grafana/issues/53567)」を参照してください。
**重要な変更**
Grafana バージョン 10.4 リリースには、Grafana バージョン 9.5 から 10.4 への変更が含まれています。Grafana バージョン 10.0 および 10.3 には、場合によっては機能を損なう可能性のある変更がいくつかありました。新しいバージョンに更新する場合は、本番稼働用ワークスペースを更新する前に、本番稼働用以外の環境でテストすることをお勧めします。
以下の変更は、Grafana バージョン 10 に更新する一部のユーザーに影響する可能性があります。
+ **Angular の中止** – Angular を使用するプラグインは、Grafana の今後のリリースではサポートされなくなります。バージョン 10 では、Angular を使用するパネルにおいて、廃止された機能を使用していることを示すバナーが表示され、将来のバージョンでは機能しないという通知が表示されます。
+ **CloudWatch のエイリアスを削除** – CloudWatch クエリエディタのエイリアスパターンがラベル (動的ラベル) に置き換えられました。
エイリアスフィールドを使用する任意のダッシュボードを開き、保存してください。エイリアスはラベルに自動的に移行されます。
+ **古いプラグインはアップグレードが必要** – Athena および Amazon Redshift データソースのプラグインを Grafana v10 ワークスペースで更新する必要があります。Athena データソースプラグインはバージョン 2.9.3 以降である必要があります。また、Amazon Redshift データソースプラグインはバージョン 1.8.3 以降である必要があります。
プラグインのインストールまたはアップグレードに関する詳細については、「[プラグインカタログによるプラグインの検索](grafana-plugins.md#plugin-catalog)」を参照してください。
+ **DoiT BigQuery プラグインは今後サポート対象外** – DoiT BigQuery データソースプラグインはサポートされなくなりました。代わりに、公式の Grafana Labs BigQuery データソースプラグインをご使用ください。
+ **[トランスフォーメーションの変更]** – Grafana バージョン 10 では、フィールド名とキーにいくつかのバグ修正変更を行いました。詳細については、Grafana Labs のドキュメントにある「[変換に関する重要な変更](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#transformations)」を参照してください。
+ **データソースへのアクセス許可 API** – データソースの権限にアクセスするためのエンドポイントが変更されました。詳細については、Grafana Labs ドキュメントにある「[データソースのアクセス許可の変更](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#data-source-permissions)」を参照してください。
変更の中断、およびプラグインデベロッパーに影響する重要な変更の詳細については、「*Grafana Labs ドキュメント*」にある以下のトピックを参照してください。
+ [Grafana v10.0 の重要な変更](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-0/)
+ [Grafana v10.3 の重要な変更](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/)
## Grafana バージョン 9
Grafana v9 では、以下の機能が追加されました。
+ **アラート**: Grafana が管理するアラートルールがグループ名をサポートするようになりました。
+ **[Explore]**: Explore ビュー内からダッシュボードを作成します。
+ **Prometheus クエリ**: Prometheus クエリの新しいクエリビルダー (PromQL を使用) を使用すると、クエリの書き込みが容易になります。
+ **Loki クエリ**: Loki クエリの新しいクエリビルダー (LogQL を使用) を使用すると、クエリの書き込みが容易になります。
+ **API トークン/サービスアカウント**: サービスアカウントは Grafana でのマシンアクセスを簡素化し、API トークンの管理に役立ちます。
+ **プラグイン管理**: プラグイン管理を有効にすると、ワークスペースにコミュニティプラグインをインストール、削除、更新できます。これにより、より多くのデータソースや視覚化にアクセスでき、使用する各プラグインのバージョン全体を管理できます。
+ **メトリクスへのトレース**: トレースデータソースを設定して、クエリとタグを含むメトリクスへのリンクを追加します。
+ **Canvas パネル**: 静的要素と動的要素を含む新しいパネル視覚化で、画像とオーバーレイテキストを含むデータ駆動型のカスタムパネルを作成します。
+ **インターフェイスの再編成**: Grafana コンソールでのナビゲーションを容易にして UI を更新しました。
+ **CloudWatch**: Amazon CloudWatch データソースは、 全体 AWS アカウント および 全体のメトリクスをモニタリングできるようになりました AWS リージョン。
+ **ログ**: ログの詳細のインターフェイスが改善されました。
+ **全般**: バグ修正と全体的に改良を行いました。
**重要な変更**
Grafana バージョン 9.4 リリースには、以前のバージョンに追加された、さまざまな新機能と改善点が含まれています。このバージョンには、場合によっては機能を損なう可能性のある変更がいくつかありました。新しいバージョンに更新する場合は、本番稼働用ワークスペースを更新する前に、本番稼働用以外の環境でテストすることをお勧めします。
以下の変更は、Grafana バージョン 9.4 に更新する一部のユーザーに影響を与える可能性があります。これらの変更の詳細なリストについては、*GitHub* の「[Grafana 9.4 変更ログ](https://github.com/grafana/grafana/blob/release-9.4.17/CHANGELOG.md)」を参照してください。
+ **API の中止** – `/api/tsdb/query` API は削除されました。
**必要なアクション:** 代わりに `/api/ds/query` を使用します。*Grafana 公開ドキュメント*の「[データソースのクエリ](https://grafana.com/docs/grafana/latest/http_api/data_source/#query-a-data-source)」および *GitHub* の「問題」[\$149916](https://github.com/grafana/grafana/issues/49916) を参照してください。
+ **API エンドポイントの変更** – 一部のアラート API エンドポイントでは、数値 ID の代わりにデータソース UID が必要になるようになりました。
**影響を受けるエンドポイント:** `api/v1/rule/test`、`api/prometheus/`、`api/ruler/`、`api/alertmanager/`
**必要なアクション:** データソース UID をパスパラメータとして使用するように API コールを更新します。*GitHub* の「問題」[\$148070](https://github.com/grafana/grafana/issues/48070)、[\$148052](https://github.com/grafana/grafana/issues/48052)、[\$148046](https://github.com/grafana/grafana/issues/48046)、[\$147978](https://github.com/grafana/grafana/issues/47978) を参照してください。
+ **Azure Monitor クエリの削除** – Application Insights クエリと Insight Analytics クエリはサポートされなくなりました。
Grafana 8.0 では廃止され、9.0 では削除されました。廃止されたクエリは実行されません。
**必要なアクション:** 移行ガイダンスについては、*Grafana 公開ドキュメント*の「[Azure Monitor データソース](https://grafana.com/docs/grafana/latest/datasources/azuremonitor/deprecated-application-insights/)」を参照してください。
+ **ブラウザアクセスモードの削除** – ブラウザアクセスモードは InfluxDB および Prometheus データソースで使用できなくなりました。
**必要なアクション:** データソース設定でサーバーアクセスモードに切り替えます。InfluxDB: 8.0.0 では廃止され、9.2.0 では削除されました。*GitHub* の「問題」[\$153529](https://github.com/grafana/grafana/issues/53529) を参照してください。Prometheus: 7.4.0 では廃止され、9.2.0 では削除されました。*GitHub* の「問題」[\$150162](https://github.com/grafana/grafana/issues/50162) を参照してください。
+ **ダッシュボード設定へのアクセスの制限** – パネルの編集中にダッシュボード設定を開くことができなくなりました。
ダッシュボード設定は、パネル編集モードがアクティブになるとロックされます。ダッシュボード設定にアクセスする前に、パネル編集モードを閉じます。*GitHub* の「問題」[\$154746](https://github.com/grafana/grafana/issues/54746) を参照してください。
+ **データソースパスワードの暗号化** – 暗号化されていないパスワードはサポートされなくなりました。
**必要なアクション:** `secureJsonData.password` と `secureJsonData.basicAuthPassword` を使用します。以前に v8.1.0 で中止されました。*GitHub* の「問題」[\$149987](https://github.com/grafana/grafana/issues/49987) を参照してください。
+ **デフォルトのデータソース動作** – デフォルトのデータソースの選択は、既存のパネルに影響を与えなくなりました。
デフォルトのデータソースは、新しいパネルにのみ適用されます。デフォルトを変更しても、既存のダッシュボードは更新されません。以前に保存したパネルは、データソース設定を保持します。*GitHub* の「問題」[\$145132](https://github.com/grafana/grafana/issues/45132) を参照してください。
+ **Elasticsearch 間隔プロパティの変更** – Elasticsearch 7.x のクエリ間隔仕様が更新されました。
`interval` プロパティから `fixed_interval` プロパティに変更しました。Elasticsearch 8.x と整合させました。ほとんどのクエリでは目に見える変更はありません。*GitHub* の「問題」[\$150297](https://github.com/grafana/grafana/issues/50297) を参照してください。
+ **Elasticsearch Raw ドキュメントモードの中止** – Elasticsearch データソースで表示モードが変更されます。
**必要なアクション:** 代わりに **Raw Data** モードを使用します。*GitHub* の「問題」[\$162236](https://github.com/grafana/grafana/issues/62236) を参照してください。
+ **Elasticsearch バージョンサポート** – 古い Elasticsearch バージョンはサポートされなくなりました。
**必要なアクション:** Elasticsearch をバージョン 7.10.0 以降にアップグレードします。7.10.0 より前のバージョンは有効期限を過ぎています。*GitHub* の「問題」[\$148715](https://github.com/grafana/grafana/issues/48715) を参照してください。
+ **Explore URL 形式の中止** – Compact Explore URL は今後のリリースで削除されます。
**必要なアクション:** ハードコードされたリンクを更新して、標準の URL 形式を使用します。Compact URL: `&left=["now-1h","now"...]`。標準 URL: `&left={"datasource":"test"...}`。*GitHub* の「問題」[\$150873](https://github.com/grafana/grafana/issues/50873) を参照してください。
+ **GitHub OAuth 表示の変更** – GitHub 名とログイン表示が更新されました。
GitHub 名は Grafana 名として表示されます。GitHub ログインは Grafana ログインとして表示されます。ユーザー識別の明確性が向上しました。*GitHub* の「問題」[\$145438](https://github.com/grafana/grafana/issues/45438) を参照してください。
+ **ヒートマップパネル実装の更新** – 9.1.0 以降、ヒートマップパネルは新しい実装を使用します。
レンダリングパフォーマンスが大幅に向上しました。バケットは妥当な境界線 (1m、5m、30s) に配置されます。ラウンドセルはサポートされなくなりました。
**必要なアクション:** アップグレード後にヒートマップパネルをテストします。必要に応じて `useLegacyHeatmapPanel` 機能フラグを True に設定して、新しい実装を無効にします。テストするには、ダッシュボード URL に `?__feature.useLegacyHeatmapPanel=true` を追加します。*GitHub* の「問題」[\$150229](https://github.com/grafana/grafana/issues/50229) を参照してください。
+ **InfluxDB バックエンド移行** — InfluxDB データ解析の動作が変更されました。
バックエンド処理の問題により、InfluxDB バックエンド移行機能のトグル (`influxdbBackendMigration`) が再導入されます。デフォルトでは、InfluxDB データはフロントエンドで解析されます。9.4.4 にアップグレードし、InfluxDB データに変換を追加した場合、これらのパネルはレンダリングに失敗します。
**必要なアクション:** 影響を受けるパネルを削除して再作成するか、`panel.json` または `dashboard.json` の `Time` のように `time` フィールドを編集します。*GitHub* の「問題」[\$164842](https://github.com/grafana/grafana/issues/64842) を参照してください。
+ **ログメッセージ形式の更新** – ログメッセージ構造が変更されました。
`lvl` は `level` になりました。`eror` と `dbug` は `error` と `debug` になりました。タイムスタンプの精度が向上しました。`oldlog` 機能トグルでオプトアウトできます (一時的)。*GitHub* の「問題」[\$147584](https://github.com/grafana/grafana/issues/47584) を参照してください。
+ **Loki データ形式の最適化** – Loki ログデータは、より効率的なデータフレーム形式を使用します。
個別のデータフレームではなく **[ラベル]** 列を持つ単一のデータフレーム。検索パネルとログパネルは変更なしで機能します。他のパネルや変換には調整が必要な場合があります。
**必要なアクション:** **[フィールドへのラベル付け]** 変換を **[フィールドの抽出]** 変換に置き換えます。*GitHub* の「問題」[\$147153](https://github.com/grafana/grafana/issues/47153) を参照してください。
+ **NaN 値処理** – Prometheus データソースと Loki データソース間で一貫した `NaN` 表現。
`NaN` 値は、`null` に変換する代わりに `NaN` のままになります。変更のほとんどはユーザーには見えません。ダッシュボードパスとアラートパスの両方に影響します。*GitHub* の「問題」[\$149475](https://github.com/grafana/grafana/issues/49475) と [\$145389](https://github.com/grafana/grafana/issues/45389) を参照してください。
+ **パスワードリセットリンクの無効化** – アップグレード後は、既存のパスワードリセットリンクが機能しません。
アップグレード前に送信されたパスワードリセットリンクは無効になります。ユーザーは新しいパスワードリセットリンクをリクエストする必要があります。リンクは 2 時間後に期限切れになります。*GitHub* の「問題」[\$142334](https://github.com/grafana/grafana/issues/42334) を参照してください。
+ **予約済みラベルプレフィックス** – `grafana_` で始まるラベルは予約されています。
`grafana_` で始まる手動で設定されたラベルは上書きされる場合があります。現在の予約済みラベル: `grafana_folder` (アラートを含むフォルダのタイトル)。*GitHub* の「問題」[\$150262](https://github.com/grafana/grafana/issues/50262) を参照してください。
+ **変換の改善** – **正規表現による名前変更**変換がグローバルパターンをサポートするようになりました。
グローバルパターンは `//g` 形式を使用します。一部の変換の動作は異なる場合があります。前の動作における一致文字列をスラッシュで囲みます。`(.*)` は `/(.*)/` になります。*GitHub* の「問題」[\$148179](https://github.com/grafana/grafana/issues/48179) を参照してください。
# Amazon Managed Grafana ワークスペースを作成する
*ワークスペース*は、論理 Grafana サーバーです。アカウント内の各リージョンには、最大 5 つのワークスペースを設定できます。
**必要なアクセス許可**
ワークスペースを作成するには、**AWSGrafanaAccountAdministrator** ポリシーがアタッチされている AWS Identity and Access Management (IAM) プリンシパルにサインインする必要があります。
IAM Identity Center を使用して認証を行う最初のワークスペースを作成するには、IAM プリンシパルに以下の追加ポリシー (または同等のアクセス許可) も付与されている必要があります。
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectoryAdministrator**
詳細については、「[Amazon Managed Grafana ワークスペースとユーザーを IAM Identity Center を使用する単一スタンドアロンアカウントで作成および管理する](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone)」を参照してください。
## ワークスペースの作成
Amazon Managed Grafana ワークスペースを新規に作成する手順について説明します。
**Amazon Managed Grafana でのワークスペースの作成方法**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)) を開きます。
1. **[ワークスペースを作成する]** を選択します。
1. **[ワークスペースの詳細]** ウィンドウで、**[ワークスペース名]** にワークスペースの名前を入力します。
オプションとして、ワークスペースの説明を入力します。
必要に応じて、このワークスペースに関連付けるタグを追加します。タグはワークスペースの識別と整理に役立ち、 AWS リソースへのアクセスを制御するためにも使用できます。たとえば、ワークスペースにタグを割り当てて、そのタグを持つ限定されたグループやロールだけがワークスペースにアクセスできる権限を持つように設定することができます。タグベースのアクセスコントロールの詳細については、IAM ユーザーガイドの[「タグを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。
![\[Workspace details form with name field and optional tags section highlighted.\]](http://docs.aws.amazon.com/ja_jp/grafana/latest/userguide/images/tagworkspace.png)
1. ワークスペースの [**Grafana バージョン**] を選択します。バージョン 8、9 または 10 を選択できます。バージョン間の違いについては「[Grafana のバージョン間の違い](version-differences.md)」を参照してください。
1. **[次へ]** を選択します。
1. **[認証アクセス]** では、**[AWS IAM アイデンティティセンター ]**、**[Security Assertion Markup Language (SAML)]**、またはその両方を選択します。詳細については、「[Amazon Managed Grafana ワークスペースでユーザーを認証する](authentication-in-AMG.md)」を参照してください。
+ **IAM アイデンティティセンター** — IAM アイデンティティセンターを選択し、アカウント AWS IAM アイデンティティセンター で をまだ有効にしていない場合は、最初の IAM アイデンティティセンターユーザーを作成して有効にするように求められます。IAM Identity Center は、Amazon Managed Grafana ワークスペースへのアクセスのユーザー管理を処理します。
IAM Identity Center を有効にするには、以下の手順に従います。
1. **[ユーザーの作成]** を選択します。
1. ユーザーのメールアドレス、名、姓を入力して、[**ユーザーの作成**] を選択します。このチュートリアルでは、Amazon Managed Grafana を試すために使用するアカウントの名前とメールアドレスを使用します。IAM Identity Center 用のこのアカウントのパスワードを作成するように求めるメールが送信されます。
**重要**
作成したユーザーに Amazon Managed Grafana ワークスペースーへのアクセス許可が自動的に付与されるわけではありません。後のステップのワークスペースの詳細ページで、ワークスペースへのアクセス許可をユーザーに付与します。
+ **SAML** — **SAML** を選択した場合、ワークスペースの作成後に SAML セットアップを完了します。
1. **[サービス管理]** または **[カスタマー管理]** を選択します。
**サービスマネージド**を選択した場合、Amazon Managed Grafana は自動的に IAM ロールを作成し、このワークスペースに使用するこのアカウントの AWS データソースに必要なアクセス許可をプロビジョニングします。
これらのロールとアクセス許可を自分で管理する場合、**[カスタマー管理]** を選択します。
組織のメンバーアカウントにワークスペースを作成する場合、**[サービス管理]** を選択できるようにするには、そのメンバーアカウントが組織内の被委任管理者アカウントである必要があります。被委任管理者の追加の詳細については、「[被委任管理者アカウントの登録](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)」を参照してください。
1. (任意) Amazon 仮想プライベートクラウド (VPC) にはこのページで接続できますが、後で接続することもできます。詳細については[Amazon Managed Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する](AMG-configure-vpc.md)を参照してください。
1. (任意) このページでは、以下を含む他のワークスペース設定オプションを選択できます。
+ [Grafana アラート](alerts-overview.md)を有効にする。Grafana アラートを使用すると、Grafana アラートと Prometheus で定義されたアラートを、Grafana ワークスペース内の単一のアラートインターフェイス内に表示することができます。
バージョン 8 または 9 を実行しているワークスペースでは、Grafana アラートに対して複数の通知が送信されます。Grafana で定義されたアラートを使用する場合は、ワークスペースをバージョン 10.4 以降として作成することをお勧めします。
+ Grafana 管理者がこのワークスペースの[プラグインを管理](grafana-plugins.md)できるようにします。プラグイン管理を有効にしない場合、管理者はワークスペースのプラグインをインストール、アンインストール、または削除できなくなります。Amazon Managed Grafana で使用できるデータソースと視覚的表現パネルの種類が制限される場合があります。
これらの設定は、ワークスペースの作成後に変更できます。ワークスペースの設定の詳細については、「[Amazon Managed Grafana ワークスペースを設定する](AMG-configure-workspace.md)」を参照してください。
1. (任意) ワークスペースに**ネットワークアクセスコントロール**を追加できます。ネットワークアクセスコントロールを追加するには、[**アクセス制限**] を選択します。ネットワークアクセスコントロールは、ワークスペースを作成した後で有効にすることもできます。
ネットワークアクセスコントロールの詳細については、「[Amazon Managed Grafana ワークスペースに対するネットワークからのアクセス制御を設定する](AMG-configure-nac.md)」を参照してください。
1. (オプション) デフォルトでは、Amazon Managed Grafana は保管時の暗号化を自動的に提供し、所有 AWSの暗号化キーを使用してこれを行います。ただし、代わりに作成、所有、管理するカスタマーマネージドキーを使用することもできます。詳細については、「[保管中の暗号化](AMG-encryption-at-rest.md)」を参照してください。
1. **[Next]** (次へ) を選択します。
1. **サービスマネージド**を選択した場合は、**現在のアカウント**を選択して、Amazon Managed Grafana が現在のアカウントでのみ AWS データを読み取れるようにするポリシーとアクセス許可を自動的に作成します。
管理アカウントまたは組織内の委任管理者アカウントにワークスペースを作成する場合は、**組織**を選択して、指定した組織単位内の他のアカウントの AWS データを読み取ることができるポリシーとアクセス許可を Amazon Managed Grafana が自動的に作成するようにできます。被委任管理者の追加の詳細については、「[被委任管理者アカウントの登録](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)」を参照してください。
**注記**
組織の管理アカウントに Amazon Managed Grafana ワークスペースなどのリソースを作成することは、 AWS セキュリティのベストプラクティスに違反します。
1. **Organization** を選択し、 AWS CloudFormation StackSets を有効にするように求められた場合は、**信頼されたアクセスを有効にする**を選択します。次に、Amazon Managed Grafana がデータを読み取る組織 AWS Organizations 単位 (OUs) を追加します。これにより、Amazon Managed Grafana が、選択した各 OU 内のすべてのアカウントからデータを読み取ることができます。
1. **[組織]**] を選択した場合は、**[データソースと通知チャネル - 任意]** を選択します。
1. このワークスペースでクエリを実行する AWS データソースを選択します。データソースを選択すると、Amazon Managed Grafana がこれらのソースからデータを読み取るのに必要な IAM ロールとアクセス許可を作成できるようになります。ただし、データソースは Grafana ワークスペースコンソールで追加する必要があります。
1. (オプション) このワークスペースの Grafana アラートを Amazon Simple Notification Service (Amazon SNS) 通知チャネルに送信する場合は、**[Amazon SNS]** を選択します。これにより、Amazon Managed Grafana は、`grafana` で始まる `TopicName` 値を使用して、ご使用のアカウントの Amazon SNS トピックに対して発行する IAM ポリシーを作成できます。これで、ワークスペースの通知チャネルとしての Amazon SNSの設定が完了するわけではありません。ワークスペースの Grafana コンソール内で完了できます。
1. **[次へ]** を選択します。
1. ワークスペースの詳細を確認して、**[ワークスペースの作成]** を選択します。
ワークスペースの詳細ページが表示されます。
最初は、**[ステータス]** が **[作成中]** です。
**重要**
ステータスが **[アクティブ]** になるまで待ってから、次のいずれかを実行します。
SAML を使用する場合は、SAML セットアップを完了します。
IAM Identity Center を使用する場合は、IAM Identity Center ユーザーにワークスペースへのアクセス許可を割り当てます。
現在のステータスを表示するには、ブラウザの更新が必要になる場合があります。
1. IAM Identity Center を使用する場合は、以下を実行します。
1. **[認証]** タブで、**[新しいユーザーまたはグループを割り当て]** を選択します。
1. ワークスペースへのアクセス許可を付与するユーザーの隣のチェックボックスをオンにして、**[ユーザーの割り当て]** を選択します。
1. ユーザーの横にあるチェックボックスを選択し、**[管理者にする]** を選択します。
**重要**
Grafana ワークスペースのコンソールにサインインしてワークスペースを管理するには、ワークスペースごとに少なくとも 1 人のユーザーを `Admin` として割り当てます。
1. SAML を使用する場合は、次の手順に従います。
1. **[認証]** タブの **[Security Assertion Markup Language (SAML)]** で、**[設定を完了]** を選択します。
1. **[インポート方法]** に、以下のいずれかを選択します。
+ **[URL]** を選択して、IdP メタデータの URL を入力します。
+ **[アップロードまたはコピー/貼り付け]** を選択します。メタデータをアップロードする場合は、**[ファイルを選択]** を選択してメタデータファイルを選択します。または、コピーアンドペーストを使用する場合は、メタデータを **[メタデータをインポート]** にコピーします。
1. **[アサーション属性ロール]** に、ロール情報を抽出する SAML アサーション属性の名前を入力します。
1. **[管理者ロール値]** に、Amazon Managed Grafana ワークスペースの `Admin` ロールをすべて付与する必要がある IdP のユーザーロールを入力、または **[ワークスペースへの管理者の割り当てをオプトアウトする]** を選択します。
**注記**
**[ワークスペースへの管理者の割り当てをオプトアウトする]** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、コンソールを使用してワークスペースを管理することはできません。ワークスペースに対する管理変更は、Amazon Managed Grafana API を使用してのみ実行できます。
1. (オプション) さらに SAML 設定を入力するには、**[詳細設定]** を選択し、以下を 1 つ以上実行します。このすべてのフィールドはオプションとなります。
+ **[アサーション属性名]** で、SAML ユーザーの完全な「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性ログイン]** で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性電子メール]** で、SAML ユーザーの電子メール名として使用する SAML アサーション内の属性の名前を指定します。
+ **[ログイン有効期間 (分単位)]** で、それを過ぎると再度サインインする必要がある、SAML ユーザーのサインイン有効期間を指定しします。デフォルトは 1 日で、最大は 30 日間です。
+ **[アサーション属性組織]** で、ユーザー組織の「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性グループ]** で、ユーザーグループの「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[許可される組織]** では、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する 1 つ以上の組織を、カンマで区切って入力します。
+ **[エディタロールの値]** で、Amazon Managed Grafana ワークスペースで `Editor` ロールをすべて付与する必要がある IdP のユーザーロールを入力します。1 つ以上のロールを、カンマで区切って入力します。
1. [**SAML 設定の保存**] を選択します。
1. ワークスペースの詳細ページで、[**Grafana ワークスペース URL**] の下に表示される URL を選択します。
1. ワークスペースの URL を選択すると、Grafana ワークスペースコンソールのランディングページに移動します。次のいずれかを行います。
+ **[SAML でサインイン]** を選択し、名前とパスワードを入力します。
+ **でサインイン AWS IAM アイデンティティセンター**を選択し、この手順の前半で作成したユーザーの E メールアドレスとパスワードを入力します。これらの認証情報は、IAM Identity Center のパスワードを作成するようプロンプトが表示される、Amazon Managed Grafana からのメールに応答した場合にのみ機能します。
Grafana ワークスペース、または論理 Grafana サーバーに移動しました。データのクエリ、視覚化、分析に対するデータソースの追加を開始できます。詳細については、「[Grafana ワークスペースを使用する](AMG-working-with-Grafana-workspace.md)」を参照してください。
詳細の参照先
**ヒント**
を使用して、Amazon Managed Grafana ワークスペースの作成を自動化できます CloudFormation。詳細については、「[を使用した Amazon Managed Grafana リソースの作成 AWS CloudFormation](creating-resources-with-cloudformation.md)」を参照してください。
# Amazon Managed Grafana ワークスペースでユーザーを認証する
個々のユーザーはワークスペースにサインインし、ダッシュボードの編集や表示を行います。ワークスペースにユーザーを割り当てた後、そのユーザーには[ユーザー、編集者、または管理者権限を付与](AMG-manage-users-and-groups-AMG.md)することができます。最初に、ID プロバイダーを作成して (既存の ID プロバイダーがあればこれを使用して) ユーザーを認証します。
ユーザーは、IAM を使用するのではなく、組織の ID プロバイダーを使ったシングルサインオンによって、Amazon Managed Grafana ワークスペースの Grafana コンソールを使用するように認証されます。各ワークスペースでは、次の認証方法のいずれかまたは両方を使用できます。
+ Security Assertion Markup Language 2.0 (SAML 2.0) をサポートする ID プロバイダー (IdP) に保存されたユーザー認証情報
+ AWS IAM アイデンティティセンター. AWS Single-sign-on (**AWS SSO**) が **IAM アイデンティティセンター**にブランド変更されました。
SAML、IAM Identity Center、またはその両方を使用するかはワークスペースごとに選択できます。最初にどちらを使用するかを選択した場合も、後でその他の方法に切り替えることができます。
ワークスペース内の機能にアクセスする前に、ユーザー (またはユーザーが属するグループ) にワークスペースへのアクセス権を付与する必要があります。ユーザーに権限を付与する方法の詳細については、「[Amazon Managed Grafana ワークスペースに対するユーザーとグループのアクセス権を管理する](AMG-manage-users-and-groups-AMG.md)」を参照してください。
**Topics**
+ [Amazon Managed Grafana ワークスペースで SAML を使用する](authentication-in-AMG-SAML.md)
+ [Amazon Managed Grafana ワークスペース AWS IAM アイデンティティセンター で を使用する](authentication-in-AMG-SSO.md)
# Amazon Managed Grafana ワークスペースで SAML を使用する
**注記**
現在、Amazon Managed Grafana はワークスペースに対する IdP 開始のログインをサポートしていません。SAML アプリケーションは、Relay State を空白で設定する必要があります。
SAML 認証を使用すると、既存の ID プロバイダーを使用して Amazon Managed Grafana ワークスペースの Grafana コンソールにシングルサインオンでログインできるようになります。IAM を介して認証する代わりに Amazon Managed Grafana の SAML 認証を使用すると、サードパーティーの ID プロバイダーを使用したログイン、アクセスコントロールの管理、データの検索、視覚的表現の構築を行うことができます。Amazon Managed Grafana は、SAML 2.0 標準を使用し、Azure AD、CyberArk、Okta、OneLogin、および Ping Identity と連携したアプリケーションを構築およびテストした ID プロバイダーをサポートします。
ワークスペース作成時の SAML 認証の設定方法の詳細については、「[ワークスペースの作成](AMG-create-workspace.md#creating-workspace)」を参照してください。
SAML 認証フローでは、Amazon Managed Grafana ワークスペースがサービスプロバイダー (SP) として機能し、IdP と対話してユーザー情報を取得します。SAML の詳細については、「[Security Assertion Markup Language](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)」を参照してください。
IdP のグループを Amazon Managed Grafana ワークスペースのチームにマッピングし、それらのチームにきめ細かなアクセス権限を設定することができます。また、IdP で定義されている組織ロールを Amazon Managed Grafana ワークスペースのロールにマッピングすることもできます。例えば、IdP で**開発者**ロールが定義されている場合、そのロールを Amazon Managed Grafana ワークスペースの **Grafana 管理者**ロールにマッピングすることができます。
**注記**
IdP と SAML を認証に使用する Amazon Managed Grafana ワークスペースを作成する際は、**AWSGrafanaAccountAdministrator** ポリシーがアタッチされている IAM プリンシパルにサインインしている必要があります。
Amazon Managed Grafana ワークスペースにサインインするには、ユーザーはワークスペースの Grafana コンソールのホームページにアクセスし、[**SAML を使用してログイン**] を選択します。ワークスペースは SAML 設定を読み込み、認証のためにユーザーを IdP にリダイレクトします。ユーザーは IdP ポータルにサインイン認証情報を入力し、有効なユーザーである場合、IdP は SAML アサーションを発行し、ユーザーを Amazon Managed Grafana ワークスペースにリダイレクトします。Amazon Managed Grafana は、SAML アサーションが有効であることを確認し、ユーザーはサインインしてワークスペースを使用できるようになります。
Amazon Managed Grafana は、次の SAML 2.0 バインディングをサポートしています。
+ サービスプロバイダー (SP) から ID プロバイダー (IdP):
+ HTTP-POST バインディング
+ HTTP-Redirect バインディング
+ ID プロバイダー (IdP) からサービスプロバイダー (SP):
+ HTTP-POST バインディング
Amazon Managed Grafana は、署名および暗号化されたアサーションをサポートしていますが、署名または暗号化されたリクエストはサポートしていません。
Amazon Managed Grafana は SP 開始のリクエストをサポートしており、IdP 開始のリクエストはサポートしていません。
## アサーションマッピング
SAML 認証フロー中、Amazon Managed Grafana はアサーションコンシューマーサービス (ACS) コールバックを受け取ります。このコールバックには、認証されるユーザーに関連するすべての情報が埋め込まれた SAML レスポンスが含まれています。Amazon Managed Grafana はそのレスポンスを解析して、内部データベース内でユーザーを作成 (または更新) します。
Amazon Managed Grafana がユーザー情報をマッピングする際、アサーション内の個々の属性が表示されます。これらの属性はキーと値のペアと考えることができますが、それ以上の情報も含んでいます。
Amazon Managed Grafana は、これらの値をどのキーから取得するかを変更できる設定オプションを提供しています。
Amazon Managed Grafana コンソールを使用して、次の SAML アサーション属性を Amazon Managed Grafana の値にマッピングできます。
+ [**アサーション属性ロール**]に、ユーザーロールとして使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性名]** で、SAML ユーザーの完全な「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性ログイン]** で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性電子メール]** で、SAML ユーザーの電子メール名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性組織]** で、ユーザー組織の「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性グループ]** で、ユーザーグループの「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[許可される組織]** では、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。
+ **[エディタロールの値]** に、Amazon Managed Grafana ワークスペースで `Editor` ロールをすべて付与する必要がある IdP のユーザーロールを入力します。
## ID プロバイダーへの接続
次の外部 ID プロバイダーは Amazon Managed Grafana でテストされており、SAML で Amazon Managed Grafana を設定するのに役立つアプリケーションをアプリケーションディレクトリまたはギャラリーで直接提供しています。
**Topics**
+ [アサーションマッピング](#AMG-SAML-Assertion-Mapping)
+ [ID プロバイダーへの接続](#authentication-in-AMG-SAML-providers)
+ [Azure AD を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-Azure.md)
+ [CyberArk を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-CyberArk.md)
+ [Okta を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-okta.md)
+ [OneLogin を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-onelogin.md)
+ [Ping Identity を使用するように Amazon Managed Grafana を設定する](AMG-SAML-providers-pingone.md)
# Azure AD を使用するように Amazon Managed Grafana を設定する
次の手順で、Azure Active Directory を ID プロバイダーとして使用するように Amazon Managed Grafana を設定します。この手順は、Amazon Managed Grafana ワークスペースを既に作成していることを前提としています。ワークスペースの *ID*、*URL*、および *AWS リージョン* の情報をお手元に用意してください。
## ステップ 1: Azure Active Directory での作業手順
Azure Active Directory で以下手順を実行します。
**Azure Active Directory を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Azure コンソールに管理者としてサインインします。
1. **[Azure Active Directory]** を選択します。
1. **[エンタープライズアプリケーション]** を選択します。
1. 「**Amazon Managed Grafana SAML2.0**」を検索して選択します。
1. アプリケーションを選択して **[セットアップ]** を選択します。
1. Azure Active Directory アプリケーション設定で、**[ユーザーとグループ]** を選択します。
1. 必要なユーザーとグループにアプリケーションを割り当てます。
1. **[Single Sign-On]** を選択します。
1. [次へ] を選択して、SAML 設定ページに移動します。
1. SAML の設定内容を指定します。
+ **識別子 (エンティティ ID)**に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダー識別子** URL を貼り付けます。
+ **返信 URL (Assertion Consumer Service URL)** に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダーの返信** URL を貼り付けます。
+ **[Sign Assertion]** が選択され、**[Encrypt Assertion]** が選択されていないことを確認します。
1. **ユーザー属性とクレーム**セクションで、これらの属性がマッピングされていることを確認します。大文字と小文字が区別されます。
+ **mail** は **user.userprincipalname** に設定されます。
+ **[表示名]** は **user.displayname** に設定されます。
+ **一意のユーザー識別子**は **user.userprincipalname** に設定されます。
+ 渡したい他の属性を追加します。アサーションマッピングで Amazon Managed Grafana に渡すことができる属性の詳細については、「[アサーションマッピング](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)」を参照してください。
1. Amazon Managed Grafana ワークスペース設定で使用する **SAML メタデータ URL** をコピーします。
## ステップ 2: Amazon Managed Grafana での作業手順
Amazon Managed Grafana コンソールで以下手順を実行します。
**Azure Active Directory を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. ナビゲーションペインで、メニューアイコンを選択します。
1. **[すべての WorkSpaces]** を選択します。
1. ワークスペースの名前を選択します。
1. **[認証]**] タブで、**[SAML 設定のセットアップ]**] を選択します。
1. **[Import the metadata (メタデータのインポート)]** で **[Upload or copy/paste (アップロードまたはコピー/貼り付け)** を選択し、前のセクションで**SAML Metadata URL (SAML メタデータ URL)** からコピーした Azure Active Directory URL を貼り付けます。
1. **[アサーションマッピング]** で、次を行います:
+ **I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** が選択されていないことを確認してください。
**注記**
**I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana ワークスペースコンソールを使用してワークスペースを管理することができなくなります。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。
+ **[アサーション属性ロール]** を選択した属性名に設定します。
+ **[管理者ロールの値]** を、管理者ユーザーのロールに対応する値に設定します。
+ (任意) Azure Active Directory アプリケーションでデフォルトの属性を変更した場合、**[追加設定 - オプション]** を展開し、新しい属性名を設定します。
デフォルトでは、Azure の **[表示名]** 属性が **[名前]** 属性として渡され、Ping Identity の **mail** (メール)属性が **email** (eメール) 属性と**[ログイン]** 属性の両方に渡されます。
1. **[SAML 設定の保存]** を選択します。
# CyberArk を使用するように Amazon Managed Grafana を設定する
次の手順で、CyberArk を ID プロバイダーとして使用するように Amazon Managed Grafana を設定します。この手順は、Amazon Managed Grafana ワークスペースを既に作成していることを前提としています。ワークスペースの ID、URL、および Region の情報をお手元に用意してください。
## ステップ 1: CyberArk での作業手順
CyberArk で以下のステップを完了します。
**CyberArk を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. CyberArk Identity 管理ポータルにサインインします。
1. **[アプリ]**、**[Web アプリ]** を選択します。
1. **[Web アプリの追加]** を選択します。
1. **[Amazon Managed Grafana for SAML2.0]** を検索して **[追加]**] を選択します。
1. CyberArk アプリケーション設定で、**Trust** (信頼) セクションに移動します。
1. **Identity Provider Configuration**で、**[メタデータ]** を選択します。
1. [**Copy URL**] (URL をコピー) を選択して URL を保存します (後で使用します)。
1. **[サービスプロバイダーの設定]**] で、**[手動設定]**] を選択します。
1. SAML の設定内容を指定します。
+ **SP Entity ID**に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダー識別子** URL を貼り付けます。
+ **アサーション カスタマー サービス (ACS) URL** に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダーの返信** URL を貼り付けます。
+ [**Sign Response Assertion**] (サイン レスポンス アサーション) を [**Assertion**] (アサーション) に設定します。
+ **[NameID の形式]** が **[emailAddress]** であることを確認します。
1. **[保存]** を選択します。
1. **[SAML レスポンス]** セクションで、Amazon Managed Grafana 属性が **[アプリケーション名]** にあり、CyberArk 属性が**[属性値]** にあることを確認します。次に、以下の属性がマッピングされていることを確認します。大文字と小文字が区別されます。
+ **[表示名]** は **LoginUser.DisplayName** に設定されます。
+ **mail** は **LoginUser.Email** に設定されます。
+ 渡したい他の属性を追加します。アサーションマッピングで Amazon Managed Grafana に渡すことができる属性の詳細については、「[アサーションマッピング](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)」を参照してください。
1. **[保存]** を選択します。
1. **[権限]** セクションで、このアプリケーションを割り当てるユーザーとグループを選択し、**[保存]** を選択します。
## ステップ 2: Amazon Managed Grafana での作業手順
Amazon Managed Grafana コンソールで以下手順を実行します。
**CyberArk を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. ナビゲーションペインで、メニューアイコンを選択します。
1. **[すべての WorkSpaces]** を選択します。
1. ワークスペースの名前を選択します。
1. **[認証]**] タブで、**[SAML 設定のセットアップ]**] を選択します。
1. **[Import the metadata (メタデータのインポート)]** で**[Upload or copy/paste (アップロードまたはコピー/貼り付け)** を選択し、前の手順でコピーした CyberArk の URL を貼り付けます。
1. **[アサーションマッピング]** で、次を行います:
+ **I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** が選択されていないことを確認してください。
**注記**
**I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana ワークスペースコンソールを使用してワークスペースを管理することができなくなります。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。
+ **[アサーション属性ロール]** を選択した属性名に設定します。
+ **[管理者ロールの値]** を、管理者ユーザーのロールに対応する値に設定します。
+ (任意) CyberArk アプリケーションでデフォルトの属性を変更した場合、**[追加設定 - オプション]** を展開し、新しい属性名を設定します。
デフォルトでは、CyberA の **[表示名]**属性が **[名前]** 属性に渡され、CyberArk の **[メール]** 属性が **[eメール]** 属性と**[ログイン]**属性の両方に渡されます。
1. **[SAML 設定の保存]** を選択します。
# Okta を使用するように Amazon Managed Grafana を設定する
次の手順で、Okta を ID プロバイダーとして使用するように Amazon Managed Grafana を設定します。この手順は、Amazon Managed Grafana ワークスペースを既に作成していることを前提としています。ワークスペースの ID、URL、および Region の情報をお手元に用意してください。
## ステップ 1: Okta での作業手順
Okta で以下の手順を実行します。
**Okta を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Okta コンソールに管理者としてサインインします。
1. 左側のパネルで、**[アプリケーション]**、**[アプリケーション]** の順に選択します。
1. **[アプリカタログを参照]** を選択して **[Amazon Managed Grafana]** を検索します。
1. **[Amazon Managed Grafana]** を選択して **[追加]**、**[完了]** の順に選択します。
1. アプリケーションを選択してセットアップを開始します。
1. [**Sign On**] (サインオン) タブで、[**編集**] を選択します。
1. **[詳細サインオン設定]** の **[名前空間]** フィールドに Amazon Managed Grafana ワークスペース ID を、**[リージョン]** フィールドにリージョンをそれぞれ入力します。Amazon Managed Grafana ワークスペース ID とリージョンは Amazon Managed Grafana ワークスペース URL に、***workspace-id*.grafana-workspace.*Region*.amazonaws.com** の形式で記載されています。
1. **[保存]** を選択します。
1. **SAML 2.0** で、**Identity Provider metadata** (ID プロバイダーのメタデータ) の URL をコピーします。この URL は後で Amazon Managed Grafana コンソールで使用します。
1. **[割り当て]** タブで、Amazon Managed Grafana を使用する**[ユーザー]**と**[グループ]**を選択します。
## ステップ 2: Amazon Managed Grafana での作業手順
Amazon Managed Grafana コンソールで以下手順を実行します。
**Okta を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. ナビゲーションペインで、メニューアイコンを選択します。
1. **[すべての WorkSpaces]** を選択します。
1. ワークスペースの名前を選択します。
1. **[認証]** タブで、**[セットアップの完了]** を選択します。
1. **[メタデータのインポート]** で **[Upload or copy/paste]** (アップロードまたはコピー/貼り付け) を選択し、前の手順でコピーした Okta の URL を貼り付けます。
1. **[アサーションマッピング]** で、次を行います:
+ **I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** が選択されていないことを確認してください。
**注記**
**I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana ワークスペースコンソールを使用してワークスペースを管理することができなくなります。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。
+ **[アサーション属性ロール]** を選択した属性名に設定します。
+ **[管理者ロールの値]** を、管理者ユーザーのロールに対応する値に設定します。
+ (任意) Okta アプリケーションでデフォルトの属性を変更した場合、**[追加設定 - オプション]** を展開し、新しい属性名を設定します。
デフォルトでは、Okta の **[表示名]** 属性が **[名前]** 属性に渡され、Okta の **[メール]** 属性が **[eメール]** 属性と**[ログイン]** 属性の両方に渡されます。
1. **[SAML 設定の保存]** を選択します。
# OneLogin を使用するように Amazon Managed Grafana を設定する
次の手順で、OneLogin を ID プロバイダーとして使用するように Amazon Managed Grafana を設定します。この手順は、Amazon Managed Grafana ワークスペースを既に作成していることを前提としています。ワークスペースの ID、URL、および Region の情報をお手元に用意してください。
## ステップ 1: OneLogin での作業手順
OneLogin で次のステップを完了します。
**OneLogin を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. ステップ 1: 管理者として OneLogin ポータルにサインインする。
1. **[アプリケーション]**、**[アプリケーション]**、**[アプリの追加]** の順に選択します。
1. **[Amazon Managed Service for Grafana]** を検索します。
1. 任意の**表示名**を設定して **[保存]** を選択します。
1. **[設定]** に移動し、**[名前空間]** に Amazon Managed Grafana ワークスペース ID を入力し、Amazon Managed Grafana ワークスペースのリージョンを入力します。
1. **[設定]** タブで、Amazon Managed Grafana ワークスペースの URL を入力します。
1. **[adminRole]** パラメータはデフォルトの **[No Default]** のままで構いません。必要に応じて**[ルール]** タブから Amazon Managed Grafana に対応する値を設定できます。この例では、Amazon Managed Grafana の **[アサーション属性ロール]** が **[adminRole]** に設定され、値は真になります。この値は、テナント内の任意の属性に設定できます。**+** をクリックして、組織の要件を満たすようにパラメータを追加および設定します。
1. **[ルール]** タブで **[ルールの追加]** を選択してルールに名前を付けます。**[条件]** フィールド (if 文) に**メール ([email address] を含む)** を追加します。**[アクション]** フィールド (then 文) で **[Amazon Managed Service で AdminRole を設定]** を選択し、**[Set adminRole]** ドロップダウンで **[マクロ]** を選択し、値に **[真]** を設定します。異なるルールを選択して、さまざまなユースケースに対応できます。
1. **[保存]** を選択します。**[その他のアクション]** へ移動して、**[エンタイトルメントマッピングの再適用]** を選択します。ルールを作成または更新した都度、マッピングを再適用する必要があります。
1. **発行者 URL** を控えます。この URL は Amazon Managed Grafana コンソールで行う設定 (後述) で使用します。次に、**[保存]** を選択します。
1. **[アクセス]** タブを選択して、Amazon Managed Grafana にアクセスする OneLogin のロールを割り当て、アプリケーションセキュリティポリシーを選択します。
## ステップ 2: Amazon Managed Grafana での作業手順
Amazon Managed Grafana コンソールで以下手順を実行します。
**OneLogin を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. ナビゲーションペインで、メニューアイコンを選択します。
1. **[すべての WorkSpaces]** を選択します。
1. ワークスペースの名前を選択します。
1. **[認証]**] タブで、**[SAML 設定のセットアップ]**] を選択します。
1. **[メタデータのインポート]**] で **[アップロードまたはコピー/貼り付け]** を選択し、前の手順で OneLogin コンソールからコピーした OneLogin の 発行者 URL を貼り付けます。
1. **[アサーションマッピング]** で、次を行います:
+ **I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** が選択されていないことを確認してください。
**注記**
**I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana ワークスペースコンソールを使用してワークスペースを管理することができなくなります。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。
+ **[アサーション属性ロール]** を選択した属性名に設定します。OneLogin のデフォルト値は **[adminRole]**です。
+ **[管理者ロールの値]** を、管理者ユーザーのロールに対応する値に設定します。
+ (任意) OneLogin アプリケーションでデフォルトの属性を変更した場合、**[追加設定 - オプション]** を展開し、新しい属性名を設定します。
デフォルトでは、OneLogin の **[表示名]** 属性が **[名前]** 属性に渡され、OneLogin の **[メール]** 属性が **[eメール]** 属性と**[ログイン]** 属性の両方に渡されます。
1. **[SAML 設定の保存]** を選択します。
# Ping Identity を使用するように Amazon Managed Grafana を設定する
次の手順で、Ping Identity を ID プロバイダーとして使用するように Amazon Managed Grafana を設定します。この手順は、Amazon Managed Grafana ワークスペースを既に作成していることを前提としています。ワークスペースの ID、URL、および Region の情報をお手元に用意してください。
## ステップ 1: Ping Identity での作業手順
Ping Identity で以下手順を実行します。
**Ping Identity を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. 管理者として Ping Identity コンソールにサインインします。
1. **[Applications]** (アプリケーション) を選択します。
1. **[アプリケーションの追加]**、**[アプリケーションカタログの検索]** の順に選択します。
1. **[Amazon Managed Grafana for SAML]** アプリケーションを検索して選択し、**[セットアップ]** を選択します。
1. Ping Identity アプリケーションで、**[次へ]** を選択して SAML 設定ページに移動します。続いて以下の SAML 設定を行います。
+ **アサーション カスタマー サービス** に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダーの返信 URL** を貼り付けます。
+ **Entity ID**に、Amazon Managed Grafana ワークスペースからの**サービスプロバイダー識別子**を貼り付けます。
+ **[Sign Assertion]** が選択され、**[Encrypt Assertion]** が選択されていないことを確認します。
1. **[Continue to Next Step]** (次のステップに進む) を選択します。
1. **[SSO 属性マッピング]**で、Amazon Managed Grafana 属性が **[アプリケーション属性]** に、Ping Identity 属性が **[Identity Bridge 属性]** に設定されていることを確認します。続いて以下の設定を行います。
+ **[mail]** は **[Email (Work)]** である必要があります。
+ **[displayName]** は **[表示名]** である必要があります。
+ **[SAML\$1SUBJECT]** は **[Email (Work)]** である必要があります。次に、この属性で、**[アドバンスト]** を選択し、**[SP に送信する名前 ID 形式]** を **urn:oasis:names:tc:SAML:2.0:nameid-format:transient** に設定し、**[保存]** を選択します。
+ 渡したい他の属性を追加します。
+ 渡したい他の属性を追加します。アサーションマッピングで Amazon Managed Grafana に渡すことができる属性の詳細については、「[アサーションマッピング](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)」を参照してください。
1. **[Continue to Next Step]** (次のステップに進む) を選択します。
1. **[グループアクセス]** で、このアプリケーションを割り当てるグループを選択します。
1. **[Continue to Next Step]** (次のステップに進む) を選択します。
1. `https://admin- api.pingone.com/latest/metadata/` で始まる **SAML メタデータ URL** をコピーします。これは、後の設定で使用します。
1. [**Finish**] を選択してください。
## ステップ 2: Amazon Managed Grafana での作業手順
Amazon Managed Grafana コンソールで以下手順を実行します。
**Ping Identity を Amazon Managed Grafana の ID プロバイダーとして設定する**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. ナビゲーションペインで、メニューアイコンを選択します。
1. **[すべての WorkSpaces]** を選択します。
1. ワークスペースの名前を選択します。
1. **[認証]**] タブで、**[SAML 設定のセットアップ]**] を選択します。
1. **[Import the metadata (メタデータのインポート)]** で **[Upload or copy/paste (アップロードまたはコピー/貼り付け)** を選択し、前の手順でコピーした Ping の URL を貼り付けます。
1. **[アサーションマッピング]** で、次を行います:
+ **I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** が選択されていないことを確認してください。
**注記**
**I want to opt-out of assigning admins to my workspace (ワークスペースへの管理者の割り当てをオプトアウトする)** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana ワークスペースコンソールを使用してワークスペースを管理することができなくなります。ワークスペースに対する管理変更は、Grafana API を使用してのみ実行できます。
+ **[アサーション属性ロール]** を選択した属性名に設定します。
+ **[管理者ロールの値]** を、管理者ユーザーのロールに対応する値に設定します。
+ (任意) Ping Identity アプリケーションでデフォルトの属性を変更した場合、**[追加設定 - オプション]** を展開し、新しい属性名を設定します。
デフォルトでは、Ping Identity の **[表示名]** 属性が **[名前]** 属性に渡され、Ping Identity の **[メール]** 属性が **[eメール]** 属性と**[ログイン]** 属性の両方に渡されます。
1. **[SAML 設定の保存]** を選択します。
# Amazon Managed Grafana ワークスペース AWS IAM アイデンティティセンター で を使用する
Amazon Managed Grafana は と統合 AWS IAM アイデンティティセンター して、ワークフォースに ID フェデレーションを提供します。Amazon Managed Grafana と IAM Identity Center を使用した場合、ユーザーはまず、自社のディレクトリにリダイレクトされ、既存の認証情報でサインインします。その後、Amazon Managed Grafana ワークスペースにシームレスにサインインされます。これにより、パスワードポリシーや 2 要素認証などのセキュリティ設定が適用されます。IAM Identity Center を使用した場合も、既存の IAM 設定には影響しません。
既存のユーザーディレクトリがない場合、またはフェデレーションを希望しない方のために、IAM Identity Center は Amazon Managed Grafana のユーザーとグループを作成するために使用できる統合ユーザーディレクトリを提供しています。Amazon Managed Grafana では、IAM ユーザーとロールを使用して Amazon Managed Grafana ワークスペース内のアクセス権限を割り当てることはできません。
IAM Identity Center の詳細については、[「 とは AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。IAM Identity Center を始めるための詳細については、「[開始方法](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)」を参照してください。
IAM Identity Center を使用するには、アカウントに対して も AWS Organizations アクティブ化されている必要があります。必要に応じて、Amazon Managed Grafana は、IAM Identity Center を使用するように設定された最初のワークスペースを作成するときに Organizations をアクティブ化することもできます。
## IAM Identity Center を使用するために必要なアクセス権限
このセクションでは、Amazon Managed Grafana で IAM Identity Center を使用するために必要なポリシーについて説明します。Amazon Managed Grafana を管理するために必要なポリシーは、 AWS アカウントが組織に参加しているかどうかによって異なります。
### AWS Organizations アカウントに Grafana 管理者を作成する
組織内の Amazon Managed Grafana ワークスペースを作成および管理するためのアクセス許可を付与し、 などの依存関係を許可するには AWS IAM アイデンティティセンター、次のポリシーをロールに割り当てます。
+ **AWSGrafanaAccountAdministrator** IAM ポリシー: Amazon Managed Grafana ワークスペースの管理を許可します。
+ **AWSSSODirectoryAdministrator**: Amazon Managed Grafana ワークスペースの設定時に IAM Identity Center の使用を許可します。
+ **AWSSSOMasterAccountAdministrator** IAM ポリシー: 組織全体の Amazon Managed Grafana ワークスペースの作成と管理を許可する場合、これを付与します。**AWSSSOMemberAccountAdministrator** IAM ポリシー: 組織の単一のメンバーアカウント内のワークスペースの作成と管理を許可する場合、これを付与します。
+ **AWSMarketplaceManageSubscriptions** IAM ポリシー (または同等のアクセス許可): Amazon Managed Grafana ワークスペースを Grafana エンタープライズにアップグレードすることを許可します (任意)。
Amazon Managed Grafana ワークスペースの作成時にサービス管理のアクセス許可を使用する場合、ワークスペースを作成するロールに `iam:CreateRole`、`iam:CreatePolicy`、および `iam:AttachRolePolicy` 権限も必要です。これらの権限は、 CloudFormation StackSets を使用して、組織のアカウント内のデータソースを読み取ることを許可するポリシーを展開するために必要です。
**重要**
ユーザーに、`iam:CreateRole`、`iam:CreatePolicy`、および `iam:AttachRolePolicy` アクセス許可を付与すると、そのユーザーには、 AWS アカウントへの完全な管理アクセス許可が与えられます。たとえば、これらのアクセス許可を持つユーザーは、すべてのリソースに対する完全なアクセス許可を持つポリシーを作成し、そのポリシーを任意のロールにアタッチできます。これらのアクセス許可を付与するユーザーには十分注意してください。
**AWSGrafanaAccountAdministrator** に付与された権限を確認するには、「[AWS マネージドポリシー: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)」を参照してください。
### Amazon Managed Grafana ワークスペースとユーザーを単一のスタンドアロンアカウントで作成および管理する
スタンドアロン AWS アカウントは、組織のメンバーではないアカウントです。詳細については AWS Organizations、[「 とは」を参照してください AWS Organizations。](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
スタンドアロンアカウントで Amazon Managed Grafana ワークスペースとユーザーを作成および管理するための権限を付与するには、次の IAM ポリシーをロールに割り当てます。
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrator**
**重要**
**AWSOrganizationsFullAccess** ポリシーをロールに付与すると、そのロールに AWS アカウントへの完全な管理アクセスが許可されます。これらのアクセス許可を付与するユーザーには十分注意してください。
**AWSGrafanaAccountAdministrator** に付与された権限を確認するには、「[AWS マネージドポリシー: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)」を参照してください。
# ワークスペースのバージョンを更新する
Amazon Managed Grafana コンソールで Amazon Managed Grafana ワークスペースを Grafana の新しいバージョンに更新する方法は 2 つあります。
**注記**
バージョンは Grafana の新しいバージョンにのみ更新が可能で、以前にリリースされたバージョンの Grafana にダウングレードすることはできません。
Grafana のバージョンを更新しても、ワークスペースにインストールされているプラグインは更新されません。新しいバージョンの Grafana と互換性のないプラグインは、個別に更新する必要がある場合があります。プラグインの表示と管理の詳細については、「[プラグインカタログによるプラグインの検索](grafana-plugins.md#plugin-catalog)」を参照してください。各バージョンの変更点の一覧については、「[Grafana のバージョン間の違い](version-differences.md)」を参照してください。
**オプション 1 - ワークスペースのリストからバージョンを更新する**
1. [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana) にアクセスして Amazon Managed Grafana コンソールを開きます。
1. 左側のナビゲーションペインで、メニューアイコンを選択します。
1. **[すべてのワークスペース]** を選択します。
1. 更新を希望するワークスペースの詳細を含む行で、[**バージョンの更新**] を選択します。更新可能なワークスペースにのみ、このオプションが表示されます。
**警告**
更新プロセスは元に戻すことができません。一時停止やキャンセルもできません。本番稼働用ワークスペースを更新する前に、本番稼働用以外の環境で新しいバージョンをテストすることをお勧めします。更新中はワークスペースに変更を加えることはできません。
1. **バージョンの更新**画面のドロップダウンからバージョン番号を選択し、[**更新**] をクリックして確認します。
1. [**ワークスペース**] タブで更新のステータスを定期的に確認します。この更新プロセスには最大 10 分かかることがあります。このプロセス中、ワークスペースは「読み取り専用」モードになります。ワークスペースの更新が成功したか失敗したかを示すバナーが表示されます。更新に失敗した場合は、バナーに表示される内容に従って、再度実行してください。
**オプション 2 - ワークスペースの概要ページからバージョンを更新する**
1. [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana) にアクセスして Amazon Managed Grafana コンソールを開きます。
1. 左側のナビゲーションペインで、メニューアイコンを選択します。
1. **[すべてのワークスペース]** を選択します。
1. 更新を希望する**ワークスペース名**のハイパーリンクを選択します。更新可能なワークスペースにのみ、このオプションが表示されます。
1. **概要**ブロックで**バージョンの更新**プロンプトを選択します。
**警告**
更新プロセスは元に戻すことができません。一時停止やキャンセルもできません。本番稼働用ワークスペースを更新する前に、本番稼働用以外の環境で新しいバージョンをテストすることをお勧めします。更新中はワークスペースに変更を加えることはできません。
1. **バージョンの更新**画面のドロップダウンからバージョン番号を選択し、[**更新**] をクリックして確認します。
1. [**ワークスペース**] タブで更新のステータスを定期的に確認します。この更新プロセスには最大 10 分かかることがあります。このプロセス中、ワークスペースは「読み取り専用」モードになります。ワークスペースの更新が成功したか失敗したかを示すバナーが表示されます。更新に失敗した場合は、バナーに表示される内容に従って、再度実行してください。
**注記**
バージョンの更新は、Amazon Managed Grafana API の [UpdateWorkspaceConfiguration](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspaceConfiguration.html) を使用して行うこともできます。
更新後のワークスペースで問題が発生した場合は、「[ワークスペースの更新後のトラブルシューティング](AMG-workspace-version-update-troubleshoot.md)」を参照してください。
# ワークスペースの更新後のトラブルシューティング
更新後も、ワークスペースは引き続き機能します。このセクションでは、更新後に発生する可能性のある問題を追跡するのに役立ちます。
+ **バージョンの違い。**
一部の機能はバージョンによって変更があります。
+ 機能に問題を与える可能性のある変更など、バージョン間の主要な変更のリストについては、「[Grafana のバージョン間の違い](version-differences.md)」を参照してください。
+ バージョン 9 に固有の機能に関するドキュメントについては、「[Grafana バージョン 9 での作業](using-grafana-v9.md)」を参照してください。バージョン 10 については、「[Grafana バージョン 10 での作業](using-grafana-v10.md)」を参照してください。
+ **[PostgreSQL TLS の問題]**
**[TLS/SSL モード]**がバージョン 8 で `require` に設定されていて、ルート証明書のみを使用していた場合、更新後に PostgreSQL データソースで TLS または証明書の問題が発生する可能性があります。その場合、PostgreSQL データソースの TLS 設定を変更します (Grafana ワークスペースサイドメニューで、**[設定]**アイコンを選択し、**[データソース]**を選択します)。
+ **TLS/SSL モード**を `verify-ca` に変更します。
+ **TLS/SSL メソッド**を `Certificate content` に設定します。
+ **[ルート証明書]**を PostgreSQL データベースサーバーのルート証明書に設定します。これは、証明書を入力する唯一のフィールドです。
# Enterprise プラグインへのアクセス許可の管理
Amazon Managed Grafana コンソールを使用してワークスペースを管理し、Enterprise プラグインにアクセスできます。アップグレードすると、以下のリストを含む、サードパーティーのさまざまな独立系ソフトウェアベンダー (ISV) からのデータソースをサポートするエンタープライズプラグインにアクセスできます。
エンタープライズライセンスを使用すると、[Grafana Labs](https://grafana.com) のコンサルティングおよびサポートサービスにもアクセスできます。
**Amazon Managed Grafana Enterprise プラグインで使用できる Enterprise データソースには、以下が含まれます。**
+ AppDynamics
+ Databricks
+ Datadog
+ Dynatrace
+ GitLab
+ Honeycomb
+ Jira
+ MongoDB
+ New Relic
+ Oracle Database
+ Salesforce
+ SAP/HANA
+ ServiceNow
+ Snowflake
+ Splunk
+ Splunk Infrastructure Monitoring (旧 SignalFx)
+ Wavefront
アップグレード時に利用可能な Enterprise データソースプラグインの詳細については、「[Enterprise データソースに接続する](AMG-data-sources-enterprise.md)」を参照してください。いつでも新しいプラグインを追加できます。完全かつ最新のリストについては、Amazon Managed Grafana ワークスペース内の[プラグインカタログ](grafana-plugins.md#manage-plugins)を使用できます。
ワークスペースを作成する場合は、デフォルトでは Enterprise プラグインにアクセスできませんが、いつでもアップグレードできます。Enterprise プラグインで複数の Amazon Managed Grafana ワークスペースを使用する場合は、それぞれをアップグレードする必要があります。
**[Amazon Managed Grafana Enterprise の管理]** ページから、アクセスの追加や削除など、Enterprise プラグインライセンスを管理できます。
Amazon Managed Grafana Enterprise プラグインへのアクセスを管理するプロセスは変更されました。以前に を使用したことがある場合は AWS Marketplace、 [AWS Marketplace エンタープライズユーザー向けのよくある質問](AMG-ws-mp-license-faq.md)トピックに関心があるかもしれません。
**Topics**
+ [Amazon Managed Grafana Enterprise プラグインに対するアクセス権管理](AMG-workspace-manage-enterprise.md)
+ [アカウントを Grafana Labs にリンクする](AMG-workspace-register-enterprise.md)
+ [AWS Marketplace エンタープライズユーザー向けのよくある質問](AMG-ws-mp-license-faq.md)
# Amazon Managed Grafana Enterprise プラグインに対するアクセス権管理
**エンタープライズプラグインに対するアクセス権を管理する方法**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)) を開きます。
1. 左側のナビゲーションペインで、メニューアイコンを選択します。
1. **[すべてのワークスペース]** を選択します。
ワークスペースのリストが表示されます。各ワークスペースの [**エンタープライズライセンス**] 列に、ワークスペースが持つライセンスの種類 (「ライセンスなし」または「**エンタープライズプラグイン**」ライセンスのいずれか) が表示されます。
1. ライセンスを管理するワークスペースの名前を選択します。選択すると、そのワークスペースの詳細ページが開きます。
1. サマリーの [**エンタープライズライセンス**] で、**管理**または **Amazon Managed Grafana Enterprise にアップグレード** を選択します (エンタープライズライセンスの現在の状況に応じて選択肢が 1 つのみ表示されます)。
選択すると、**Amazon Managed Grafana Enterprise の管理**ページが開きます。2 つのオプションから選択できます。現在有効になっているオプションは **(現在)** が表示されます。
+ **[なし]** – Amazon Managed Grafana Enterprise ライセンスを削除するか、持っていない場合に選択します。(現在エンタープライズライセンスを保有している場合) ワークスペースにこのオプションを選択すると、保存時にエンタープライズプラグインへのアクセスが直ちに削除されます。
+ **エンタープライズプラグイン** – これを選択した場合、任意のエンタープライズプラグインをワークスペースにインストールできるほか、[Grafana Labs](https://grafana.com) のコンサルティングおよびサポートサービスにアクセスできるようになります。ワークスペースにエンタープライズプラグインをインストールすると、追加の[データソース](AMG-data-sources-enterprise.md) にアクセスできます。
このオプションを初めて選択するときは、 AWS アカウント を Grafana Labs のトークンにリンクする必要があり、リンクするように求められます。詳細については、次のセクション「[アカウントを Grafana Labs にリンクする](AMG-workspace-register-enterprise.md)」を参照してください。
Amazon Managed Grafana Enterprise プラグインへのアクセスには、Amazon Managed Grafana の料金に加えて、ユーザー料金が含まれます。料金の詳細については、[「Amazon Managed Grafana の料金」ページ](https://aws.amazon.com/grafana/pricing/)を参照してください。
1. 選択後、**[保存]** を選択して続行します。
# アカウントを Grafana Labs にリンクする
Amazon Managed Grafana Enterprise プラグインにアップグレードされたワークスペースは、Grafana Labs のサポートとコンサルティングを利用することができます。この機能にアクセスするには、 を Grafana Labs アカウントトークンにリンク AWS アカウント する必要があります。エンタープライズライセンスにアップグレード AWS するときに、新規または既存の Grafana Labs アカウントを に登録します。 [Amazon Managed Grafana Enterprise プラグインに対するアクセス権管理](AMG-workspace-manage-enterprise.md)
**注記**
Grafana Labs アカウントトークンは、リージョンごとに 1 回に限り登録が求められます。アカウントが以前にリンクされている場合 (例えば、リージョン内の別のワークスペースをアップグレードしてエンタープライズプラグインにアクセスする場合)、再度リンクを求められることはありません。
リンクは、Amazon Managed Grafana で使用される Grafana Labs アカウントからトークンを取得してアカウントを登録することで構成されます。Grafana Labs に新しいアカウントを作成するか、既存のアカウントを使用することができます。
後で使用するために、Grafana Labs トークンをコピーして安全で便利な場所に保存することをお勧めします。
**Grafana Labs アカウントをリンクする方法**
1. 「[Amazon Managed Grafana Enterprise プラグインに対するアクセス権管理](AMG-workspace-manage-enterprise.md)」の手順に従って、エンタープライズプラグインにアクセスしてアカウントをアップグレードします。アップグレードの過程で、トークンを追加してアカウントをリンクするように求められます。
1. すでにトークンをお持ちの場合は、それを直接入力できます。トークンをお持ちでない場合は、**「トークンの取得**」を選択します。選択すると、新しいブラウザタブで [Grafana Labs のウェブサイト](https://grafana.com/partners/amg/support)が開きます。
Grafana Labs のウェブサイトから、Grafana Labs アカウントにサインイン (または新しいアカウントを作成) し、トークンを取得します。
1. トークンをコピーしたら、Amazon Managed Grafana ブラウザタブまたはウィンドウに戻り、**Grafana Labs トークン**セクションにトークンを入力します。
1. [**保存**] を選択してアップグレードを完了します。
**トークンを他のワークスペースで再利用する**
以前に Grafana Labs アカウントを登録していて、Grafana Labs トークンを求められた場合 (別のリージョンのワークスペースをアップグレードする場合など)、その都度同じトークンを使用して登録できるため、新しい Grafana Labs アカウントを作成する必要はありません。トークンを保存していない場合は、次のいずれかの方法でトークンを取得できます。
+ [https://grafana.com/partners/amg/support](https://grafana.com/partners/amg/support) にアクセスし、**My Account** を選択して、Grafana Labs アカウントでトークンを検索することでトークンを取得できます。
+ [DescribeWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DescribeWorkspace.html)を使用してトークンを取得することで、既既にリンクされている既存のワークスペースからトークンを取得できます。
+ いずれの方法でもトークンが取得できない場合、[Grafana Labs サポート までお問い合わせください](https://grafana.com/contact)。
# AWS Marketplace エンタープライズユーザー向けのよくある質問
以前は、 を通じて Grafana Enterprise のライセンスを購入していた可能性があります AWS Marketplace。を通じて新しいライセンスを購入することはできなくなり AWS Marketplace、以前に を通じて購入したライセンスを更新することもできなくなります AWS Marketplace。 AWS Marketplace ライセンスの状態によっては、次のよくある質問が役立つ場合があります。
## から 30 日間の無料トライアルにサブスクライブしましたが AWS Marketplace、ワークスペースに関連付けられていません。今から適用することはできますか?
いいえ。無料トライアルは Amazon Managed Grafana ではサポートされなくなりました。
## から 30 日間の無料トライアルを購入し AWS Marketplace、すでにワークスペースに関連付けています。トライアルはどうなりますか?
無料トライアルは、有効期限が切れるまで継続されます。エンタープライズプラグインを使用するためにアップグレードしたい場合、前のセクションで説明したように、Amazon Managed Grafana コンソールを使用してアップグレードできます。
## まだ有効期限が切れていない AWS Marketplace 有料ライセンスがありますが、Amazon Managed Grafana マネージドエンタープライズプラグインを使用します。どうすればよいですか?
現在の AWS Marketplace ライセンスがある限り、そのライセンスはワークスペースにのみ関連付けることができます。Amazon Managed Grafana コンソールでアップグレードできるのは、 AWS Marketplace ライセンスの有効期限が切れた後のみです (またはキャンセルします AWS Marketplace)。
詳細については、以下の質問と回答を参照してください。
## から完全な Grafana Enterprise ライセンスを購入 AWS Marketplace し、1 つ以上のワークスペースに関連付けました。これらはどうなりますか。
ライセンスの有効期限が切れると (自動更新が有効になっていない限り、30 日後)、ワークスペースで使用しているエンタープライズデータソースは機能しなくなります。Enterprise データソースを引き続き使用する場合、Amazon Managed Grafana コンソールから直接 [Enterprise プラグインを使用するようにアップグレード](AMG-workspace-manage-enterprise.md)することができます。
## ライセンスの有効期限が切れるとワークスペースがエンタープライズプラグインにアクセスできなくなり、ダウンタイムが発生する可能性があります。これを回避するにはどうすればよいですか?
ライセンスが期限切れになると、新しいエンタープライズプラグインライセンスに切り替える際に、いくつかのダウンタイムが発生します。ただし、これを最小限に抑えることができます。
**注記**
ダウンタイムを最小限に抑えるには、次の手順を正確に実行する必要があります。開始する前によくお読みになることをお勧めします。
新しい[料金](https://aws.amazon.com/grafana/pricing)を取得するには、 AWS Marketplace ライセンスを引き続き使用するのではなく、Amazon Managed Grafana Enterprise プラグインにアップグレードすることをお勧めします。
**ダウンタイムを最小限に抑えながら AWS Marketplace エンタープライズライセンスから Amazon Managed Grafana Enterprise プラグインに切り替えるには。**
1. 準備として、まず [Grafana Labs のウェブサイト](https://grafana.com/partners/amg/support)にアクセスし、アカウントにサインインします (または新しいアカウントを作成します)。Grafana Labs トークンを取得します (プロセスの後半で使用します)。
プロセスのこの部分の詳細については、「[アカウントを Grafana Labs にリンクする](AMG-workspace-register-enterprise.md)」を参照してください。
1. [AWS Marketplace コンソール](https://console.aws.amazon.com/marketplace/) にサインインし、左側のメニューから [**サブスクリプションの管理**] を選択します。
1. 切り替えるサブスクリプションを検索して [**管理**] を選択します。選択すると、サブスクリプションの詳細が表示されます。
**注記**
表示されたページには、サービス終了日が表示されます。現在のサブスクリプションを最大限に活用いただくため、ここですぐにキャンセルせずに、期限間近になってから進めていただいても構いません。
1. **[Actions]** (アクション)、**[Cancel subscription]** (サブスクリプションをキャンセル) の順に選択します。
AWS Marketplaceのサブスクリプションがキャンセルされます。ただし、ライセンスは Amazon Managed Grafana によってその日の日末 (ワークスペースの現地時間) に自動的に削除されるため、それまでの間はエンタープライズデータソースを引き続き使用できます。
でのサブスクリプションのキャンセルの詳細については AWS Marketplace、「 *AWS Marketplace 購入者ガイド*」の[「製品サブスクリプションのキャンセル](https://docs.aws.amazon.com/marketplace/latest/buyerguide/cancel-subscription.html)」を参照してください。
1. サブスクリプションがキャンセルされたら AWS Marketplace、Amazon Managed Grafana でキャンセルします。
1. [Amazon Managed Grafana コンソール](https://console.aws.amazon.com/grafana)にサインインします。
1. 左側のメニューから、[**すべてのワークスペース**] を選択します。
1. 切り替えるワークスペースの名前を選択します。
1. [**エンタープライズライセンス**] で、[**管理**] を選択します。
1. **[なし]** を選択し、 **[保存]** を選択します。これにより、Amazon Managed Grafana から AWS Marketplace ライセンスが削除されます。
エンタープライズライセンスの削除後は、ワークスペースのエンタープライズプラグインにアクセスできなくなります。
1. Amazon Managed Grafana コンソールでアップグレードできるようになりました。最初のステップで作成した Grafana Labs トークンを使用して、[Amazon Managed Grafana Enterprise プラグインに対するアクセス権管理](AMG-workspace-manage-enterprise.md) トピックの指示に従います。
**注記**
ライセンスを Amazon Managed Grafana でキャンセルした時点から、エンタープライズプラグインにアクセスできるようにアップグレードするまでの間、ワークスペースはエンタープライズデータソースにアクセスできなくなります。通常約 10~15 分で完了しますが、作業速度によっては時間がかかる場合があります。Grafana Labs トークンを準備しておくことで、この時間を最小限に抑えることができます。
## 自動更新の AWS Marketplace ライセンスがあります。これは継続されますか?
はい。 AWS Marketplace サブスクリプションは廃止され、手動で更新することはできませんが、自動更新を設定した場合は、無効にするまで継続されます。無効にした後は、これまでの回答の手順に従ってアップグレードできます。
新しい[料金](https://aws.amazon.com/grafana/pricing)を取得するには、 AWS Marketplace ライセンスを引き続き使用するのではなく、Amazon Managed Grafana Enterprise プラグインにアップグレードすることをお勧めします。
## ワークスペースにまだ関連付けていない AWS Marketplace ライセンスがありますが、使用できますか?
はい。その AWS Marketplace ライセンスを関連付けて、有効期限が切れるまで使用できます。有効期限は、自動更新を有効にしない限り、30 日以内に失効します。詳細については、これまでの質問と回答を参照してください。
# Amazon Managed Grafana ワークスペース間でコンテンツを移行する
コンテンツ (データソース、ダッシュボード、フォルダ、アラートルールを含む) をあるワークスペースから別のワークスペースに移行したいと考える場合があります。例えば、オンプレミスの Grafana インスタンスから Amazon Managed Grafana ワークスペースに移行する際、既存のコンテンツを新しいワークスペースに移行したいと考える場合があります。
Amazon Managed Grafana ではワークスペース間の直接的なコンテンツの移行をサポートしていませんが、 AWS はワークスペースまたは Grafana インスタンス内で、エクスポートおよびインポート機能を備えたこのシナリオを処理できるオープンソースの移行ユーティリティを提供しています。このユーティリティは、**Amazon Managed Grafana Migrator** と呼ばれます。
詳細については、GitHub の「[Amazon Managed Grafana Migrator](https://github.com/aws-observability/amazon-managed-grafana-migrator)」を参照してください。
# Amazon Managed Grafana ワークスペースに対するユーザーとグループのアクセス権を管理する
Amazon Managed Grafana ワークスペースには、ID プロバイダー (IdP) または AWS IAM アイデンティティセンターで設定されたユーザーを使用してアクセスします。これらのユーザー (またはユーザーが属するグループ) にワークスペースへのアクセス権限を付与する必要があります。付与する権限は、`User`、`Editor`、または `Admin` から選択します。
## ユーザーまたはグループにアクセス権限を付与する
**前提条件**
+ ユーザーまたはユーザーグループに Amazon Managed Grafana ワークスペースに対するアクセス権を付与するには、まずユーザーまたはグループが ID プロバイダー (IdP) または AWS IAM アイデンティティセンターに設定されている必要があります。詳細については、「[Amazon Managed Grafana ワークスペースでユーザーを認証する](authentication-in-AMG.md)」を参照してください。
+ ユーザーとグループのアクセスを管理するには、 AWS Identity and Access Management (IAM) ポリシー **AWSGrafanaWorkspacePermissionManagementV2**、または同等のアクセス許可を持つユーザーとしてサインインする必要があります。IAM Identity Center でユーザーを管理する場合、**AWSSSOMemberAccountAdministrator** および **AWSSSODirectoryReadOnly** の IAM ポリシー、または同等の権限も必要です。詳細については、「[Amazon Managed Grafana に対するアクセス許可のユーザーへの割り当ておよび割り当て解除](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users)」を参照してください。
**Amazon Managed Grafana コンソールを使用して Grafana ワークスペースに対するユーザーのアクセス権を管理する方法**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. 左側のナビゲーションペインで、メニューアイコンを選択します。
1. **[すべてのワークスペース]** を選択します。
1. 管理するワークスペースの名前を選択します。
1. **[認証]** タブを選択します。
1. このワークスペースで IAM Identity Center を使用している場合は、**[ユーザーとユーザーグループの設定]** を選択し、次のいずれか、または複数の操作を行います。
+ ユーザーに Amazon Managed Grafana ワークスペースへのアクセス権を付与するには、該当するユーザーのチェックボックスを選択し、**[ユーザーを割り当て]**] を選択します。
+ ユーザーをワークスペースの `Admin` にするには、**[管理者にする]** を選択します。
+ ユーザーのワークスペースに対するアクセス権を削除するには、**[ユーザーの割り当てを解除]**] を選択します。
+ ユーザーのグループ (LDAP グループなど) を追加するには、**[割り当てられたユーザーグループ]**] タブを選択します。次に、以下のいずれかを行います。
+ グループのメンバー全員に Amazon Managed Grafana ワークスペースに対するアクセス権を付与するには、グループの横にあるチェックボックスをオンにしてから、**[グループの割り当て]** を選択します。
+ グループのメンバー全員にワークスペース内の `Admin` ロールを付与するには、**[管理者にする]** を選択します。
+ グループのメンバー全員のワークスペースに対するアクセス権を削除するには、**[グループの割り当てを解除]** を選択します。
**注記**
IAM Identity Center を使用してユーザーを管理する場合、新しいユーザーやグループのプロビジョニングのみ IAM Identity Center コンソールで行います。Grafana ワークスペースに対するアクセス権の付与または削除は、Amazon Managed Grafana コンソールまたは API を使用して行います。
IAM Identity Center と Amazon Managed Grafana の間で同期が取れなくなった場合、**競合**を解決するためのオプションが表示されます。詳細については、以下の [ユーザーおよびグループの設定時の権限不一致エラー](#AMG-manage-users-and-groups-mismatch) を参照してください。
1. このワークスペースで SAML を使用している場合、**[SAML 設定]** を選択し、次のいずれかを実行します。
+ **[インポート方法]** に、以下のいずれかを選択します。
+ **[URL]** を選択して、IdP メタデータの URL を入力します。
+ **[アップロードまたはコピー/貼り付け]** を選択します。メタデータをアップロードする場合は、**[ファイルを選択]** を選択してメタデータファイルを選択します。または、コピーアンドペーストを使用する場合は、メタデータを **[メタデータをインポート]** にコピーします。
+ **[アサーション属性ロール]** に、ロール情報を抽出する SAML アサーション属性の名前を入力します。
+ **[管理者ロール値]** に、Amazon Managed Grafana ワークスペースの `Admin` ロールをすべて付与する必要がある IdP のユーザーロールを入力、または **[ワークスペースへの管理者の割り当てをオプトアウトする]** を選択します。
**注記**
**[ワークスペースへの管理者の割り当てをオプトアウトする]** を選択すると、データソース、ユーザー、ダッシュボードアクセス許可の管理などのタスクを含め、Amazon Managed Grafana コンソールを使用してワークスペースを管理することはできません。ワークスペースに対する管理変更は、Amazon Managed Grafana API を使用してのみ実行できます。
+ (任意) さらに SAML 設定を入力するには、[**追加設定**] を選択し、以下の 1 つ以上の操作を行い、[**SAML 設定の保存**]を選択します。このすべてのフィールドはオプションとなります。
+ **[アサーション属性名]** で、SAML ユーザーの完全な「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性ログイン]** で、SAML ユーザーのユーザーサインイン名に使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性電子メール]** で、SAML ユーザーの電子メール名として使用する SAML アサーション内の属性の名前を指定します。
+ **[ログイン有効期間 (分単位)]** で、それを過ぎると再度サインインする必要がある、SAML ユーザーのサインイン有効期間を指定しします。
+ **[アサーション属性組織]** で、ユーザー組織の「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[アサーション属性グループ]** で、ユーザーグループの「わかりやすい」名として使用する SAML アサーション内の属性の名前を指定します。
+ **[許可される組織]** では、IdP 内の特定の組織のメンバーであるユーザーのみにユーザーアクセスを制限できます。許可する 1 つ以上の組織を、カンマで区切って入力します。
+ **[エディタロールの値]** で、Amazon Managed Grafana ワークスペースで `Editor` ロールをすべて付与する必要がある IdP のユーザーロールを入力します。1 つ以上のロールを、カンマで区切って入力します。
1. または、ユーザーのグループ (LDAP グループなど) を追加するには、[**ユーザーグループ**] タブを選択します。次に、以下のいずれかを行います。
+ グループのメンバー全員に Amazon Managed Grafana ワークスペースに対するアクセス権を付与するには、グループの横にあるチェックボックスをオンにしてから、**[グループの割り当て]** を選択します。
+ グループのメンバー全員にワークスペース内の `Admin` ロールを付与するには、**[管理者にする]** を選択します。
+ グループのメンバー全員のワークスペースに対するアクセス権を削除するには、**[グループの割り当てを解除]** を選択します。
## ユーザーおよびグループの設定時の権限不一致エラー
Amazon Managed Grafana コンソールでユーザーやグループを設定する際に、権限不一致エラーが発生することがあります。これは、Amazon Managed Grafana と IAM Identity Center が同期していないことを示します。この場合、Amazon Managed Grafana から警告と不一致を**解決**するための選択肢が表示されます。**[解決]**] を選択すると、Amazon Managed Grafana から同期されていないアクセス権限を持つユーザーが記載されたダイアログが表示されます。
IAM Identity Center から削除されたユーザーは、ダイアログで `Unknown user` として表示され、数値 ID が表示されます。これらのユーザーに対する不一致の修正方法は、**[解決]**] を選択してアクセス権を削除する以外にありません。
IAM Identity Center にまだ存在するが、以前に持っていたアクセス権を持つグループに属していないユーザーは、**解決**リストにそのユーザー名が表示されます。この問題を解決する方法は 2 つあります。**[解決]**] ダイアログを使用してアクセス権を削除または制限するか、前のセクションの手順に従ってアクセス権を付与することです。
## アクセス許可の不一致に関するよくある質問
**Amazon Managed Grafana コンソールの「**ユーザーとグループの設定**」セクションで、アクセス許可の不一致を示すエラーが表示される理由は何ですか?**
このメッセージが表示される理由は、IAM Identity Center のユーザーとグループの関連付けと、ワークスペースの Amazon Managed Grafana のアクセス権限に不一致が見つかったためです。Grafana ワークスペースへのユーザーの追加または削除は、Amazon Managed Grafana コンソール ([**ユーザーとグループの設定**] タブ) または IAM Identity Center コンソール (**アプリケーションの割り当て**ページ) から行うことができます。ただし、Grafana ユーザーの権限設定は、(Amazon Managed Grafana コンソールまたは API を使用して) ユーザーまたはグループに **[閲覧者]**、**[編集者]**、または **[管理者]** 権限を割り当てることによって、Amazon Managed Grafana からのみ行うことができます。ユーザーは、異なる権限を持つ複数のグループに属することができます。この場合、ユーザーの権限は、そのユーザーが属するすべてのグループと権限の中で最も高いアクセスレベルが適用されます。
不一致の記録が発生する原因は以下が考えられます:
+ IAM Identity Center からユーザーまたはグループが削除されたが、Amazon Managed Grafana では削除されていない場合。この場合、Amazon Managed Grafana コンソールで **[不明なユーザー]** として表示されます。
+ IAM Identity Center ([**アプリケーションの割り当て**] の下) でユーザーまたはグループの Grafana との関連付けが削除されたが、Amazon Managed Grafana では削除されていない場合。
+ ユーザーの権限が以前、Grafana ワークスペースから直接更新された場合。Amazon Managed Grafana では Grafana ワークスペースからの更新はサポートされていません。
これらの不一致を回避するために、Amazon Managed Grafana コンソールまたは Amazon Managed Grafana API を使用して、ワークスペースのユーザーおよびグループの権限を管理することをお勧めします。
**以前、Grafana ワークスペースから一部のチームメンバーのアクセスレベルを更新しましたが、現在、アクセスレベルが古いアクセスレベルに戻ってしまいました。このような現象が発生する理由と解決方法は?**
これは、IAM Identity Center のユーザーとグループの関連付けと、ワークスペースの Amazon Managed Grafana の権限レコードの間で不一致が確認されたことが原因である可能性が高いと考えられます。チームメンバーに異なるアクセスレベルが割り当てられていて、お客様または Amazon Managed Grafana の管理者が Amazon Managed Grafana コンソールから不一致を解決するために不一致レコードを削除した可能性があります。Amazon Managed Grafana コンソールまたは API から必要なアクセスレベルを再度割り当てることで、必要な権限を復元することができます。
**注記**
Grafana ワークスペースからのユーザーアクセス管理はサポートされていません。ユーザーやグループの権限は、Amazon Managed Grafana コンソールまたは API を使用して割り当ててください。
**アクセスレベルが変更されることがありますがその理由は何ですか? 例えば、以前は管理者権限がありましたが、現在は編集者権限になっています。**
ワークスペースの管理者によって権限が変更された可能性があります。これは、IAM Identity Center のユーザーとグループの関連付けと、Amazon Managed Grafana の権限に不一致が生じた場合に起こることがあります。この場合、不一致を解消する過程で、より高い権限が削除された可能性があります。Amazon Managed Grafana コンソールから必要なアクセスレベルを再度割り当てるよう、管理者に依頼してください。
# データソースおよび通知チャネルのアクセス権管理
Amazon Managed Grafana ワークスペースには、アラートのメトリクスと通知チャネルの AWS データソースにアクセスするためのアクセス許可が必要です。Amazon Managed Grafana コンソールを使用して、Amazon Managed Grafana ワークスペースで使用する AWS データソースと通知チャネルの AWS Identity and Access Management (IAM) ポリシーとアクセス許可を自動的に作成できます。
**データソースおよび通知チャネルのアクセス権とポリシーの管理方法**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. 左側のナビゲーションペインで、メニューアイコンを選択します。
1. **[すべてのワークスペース]** を選択します。
1. 管理するワークスペースの名前を選択します。
1. アクセス権限の管理を**サービス管理**と**カスタマー管理**の間で切り替えるには、**IAM ロール**の編集アイコンを選択して選択します。詳細については、「[AWS データソースの Amazon Managed Grafana アクセス許可とポリシー](AMG-manage-permissions.md)」を参照してください。
アクセス権限の管理を**サービス管理**から**カスタマー管理**に変更しても、現在のアカウントで Amazon Managed Grafana が作成したロールとポリシーは削除されません。ただし、組織単位でアクセス権限の管理に**サービス管理**を使用していた場合、組織内の他のアカウントのロールとポリシーは削除されます。
1. **[データソース]** タブを選択します。
1. アクセス権限の管理に**サービス管理**を使用している場合、**IAM アクセス許可設定**の横にある [**編集**] を選択して、**サービス管理**のアクセス権限を現在のアカウントのみに適用するか、組織全体に適用するかを変更することができます。詳細については、「[AWS データソースの Amazon Managed Grafana アクセス許可とポリシー](AMG-manage-permissions.md)」を参照してください。
**データソース**で、このワークスペースでクエリを実行する AWS データソースを選択します。データソースを選択することで、Amazon Managed Grafana がこれらのソースからデータを読み取るのに必要な IAM ロールとアクセス許可を作成できるようになります。ただし、データソースは Grafana ワークスペースコンソールで追加する必要があります。
通知チャネルとして使用できる AWS サービスを管理するには、**通知チャネル**を選択します。
このワークスペースで使用する AWS 通知チャネルを選択します。通知チャネルを選択することで、Amazon Managed Grafana がこれらのサービスを利用するのに必要な IAM ロールとアクセス許可を作成できるようになります。ただし、通知チャネルは Grafana ワークスペースコンソールで追加する必要があります。
**注記**
通知の使用方法の詳細については、「[アラート通知の管理](v9-alerting-managenotifications.md)」を参照してください。
# を使用した Amazon Managed Grafana リソースの作成 AWS CloudFormation
Amazon Managed Grafana は と統合されています。これは AWS CloudFormation、 AWS リソースとインフラストラクチャの作成と管理に費やす時間を短縮できるように、リソースのモデル化とセットアップに役立つサービスです。必要なすべての AWS リソース (ワークスペースなど) を記述するテンプレートを作成し、それらのリソースを CloudFormation プロビジョニングして設定します。
を使用すると CloudFormation、テンプレートを再利用して Amazon Managed Grafana リソースを一貫して繰り返しセットアップできます。リソースを 1 回記述し、複数の AWS アカウント およびリージョンで同じリソースを何度もプロビジョニングします。
## Amazon Managed Grafana と CloudFormation テンプレート
Amazon Managed Grafana および関連サービスのリソースをプロビジョニングして設定するには、[CloudFormation テンプレート](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)を理解しておく必要があります。テンプレートは、JSON や YAML でフォーマットされたテキストファイルです。これらのテンプレートは、 CloudFormation スタックでプロビジョニングするリソースを記述します。JSON または YAML に慣れていない場合は、 CloudFormation デザイナー を使用して CloudFormation テンプレートの使用を開始できます。詳細については、 *AWS CloudFormation ユーザーガイド*の[CloudFormation 「デザイナーとは](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html)」を参照してください。
Amazon Managed Grafana は、 CloudFormationでのワークスペースの作成をサポートしています。ワークスペースの JSON テンプレートと YAML テンプレートの例を含む詳細情報については、「*AWS CloudFormation ユーザーガイド*」の「[Amazon Managed Grafana リソースタイプのリファレンス](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-grafana-workspace.html)」を参照してください。
## の詳細 CloudFormation
詳細については CloudFormation、次のリソースを参照してください。
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation ユーザーガイド](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API リファレンス](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation コマンドラインインターフェイスユーザーガイド](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)
# Amazon Managed Grafana ワークスペースに対するネットワークからのアクセス制御を設定する
ユーザーとホストに対して Grafana ワークスペースへのアクセス権を設定することができます。
Grafana では、すべてのユーザーが認証された上で権限を与えられている必要があります。ただし、デフォルトでは、Amazon Managed Grafana ワークスペースはすべてのネットワークトラフィックに対して解放された状態です。ワークスペースに対するネットワークアクセス制御を設定して、ワークスペースに到達できるネットワークトラフィックを制御することができます。
ワークスペースに対するトラフィックは、2 つの方法で制御できます。
+ **IP アドレス** (プレフィックスリスト) – ワークスペースへのアクセスを許可する IP 範囲を指定した[マネージドプレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html)を作成することができます。Amazon Managed Grafana では、ネットワークアクセス制御に使用できるのはパブリック IPv4 アドレスのみとなります。
+ **VPC エンドポイント** – 特定のワークスペースにアクセスできる VPC エンドポイントのリストを作成して、そのワークスペースへのアクセスを許可することができます。
ネットワークアクセスコントロールを設定する際は、少なくとも 1 つのプレフィックスリストまたは VPC エンドポイントを設定する必要があります。
Amazon Managed Grafana は、プレフィックスリストと VPC エンドポイントを使用して、どのリクエストが Grafana ワークスペースに対する接続を許可されるかを決定します。以下の図に、このフィルタリングの様子を示します。
![\[Amazon Managed Grafana に対するネットワークアクセスコントロールを示すイメージ。一部のリクエストは許可され、他のリクエストはブロックされます。\]](http://docs.aws.amazon.com/ja_jp/grafana/latest/userguide/images/grafana-nac.png)
Amazon Managed Grafana ワークスペースに対するネットワークアクセスコントロール (**1**) の設定で、どのリクエストのアクセスを許可するかを指定します。ネットワークアクセスコントロールでは、IPアドレス (**2**) または使用されているインターフェイスエンドポイント (**3**) によってトラフィックを許可またはブロックできます。
次のセクションでは、ネットワークアクセスコントロールを設定する方法について説明します。
## ネットワークアクセス制御の設定
既存のワークスペースにネットワークアクセスコントロールを追加するか、ワークスペースを最初に作成する際の作業の一環で設定します。
**前提条件**
ネットワークアクセスコントロールを設定するには、まずワークスペースのインターフェイス VPC エンドポイント、または許可する IP アドレスの IP プレフィックスリストを少なくとも 1 つ作成する必要があります。両方、または両方を複数作成することもできます。
+ **VPC エンドポイント** – すべてのワークスペースへのアクセスを許可するインターフェイス VPC エンドポイントを作成できます。エンドポイントを作成した後は、許可する各エンドポイントの VPC エンドポイント ID が必要になります。VPC エンドポイント ID の形式は `vpce-1a2b3c4d` です。
Grafana ワークスペースの VPC エンドポイントの作成については、「[インターフェイス VPC エンドポイント](VPC-endpoints.md)」を参照してください。ワークスペース専用の VPC エンドポイントを作成するには、`com.amazonaws.region.grafana-workspace` エンドポイント名を使用します。
ワークスペースへのアクセスを許可する VPC エンドポイントに対してエンドポイントのセキュリティグループを設定することで、より詳細なアクセス制限が可能になります。詳細については、「*Amazon VPC ドキュメント*」の「[セキュリティグループの関連付け](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups)」と「[セキュリティグループのルール](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)」を参照してください。
+ **マネージドプレフィックスリスト** (IP アドレス範囲の場合) – IP アドレスを許可するには、Amazon VPC で 1 つ以上のプレフィックスリストを作成し、許可する IP 範囲のリストを指定する必要があります。Amazon Managed Grafana で使用するプレフィックスリストにはいくつかの制限があります。
+ 各プレフィックスリストに含めることができる IP アドレス範囲の上限は最大 100 個までとなっています。
+ プライベート IP アドレス範囲 (例: `10.0.0.0/16`) は無視されます。プレフィックスリストにプライベート IP アドレス範囲を含めることはできますが、Amazon Managed Grafana はワークスペースへのトラフィックをフィルタリングするときにそれらを無視します。これらのホストがワークスペースにアクセスできるようにするには、ワークスペース用の VPC エンドポイントを作成してアクセスを許可する必要があります。
+ Amazon Managed Grafana は、プレフィックスリストで IPv4 アドレスのみをサポートします (IPv6 はサポート外)。IPv6 アドレスは無視されます。
マネージドプレフィックスリストは、[Amazon VPC コンソール](https://console.aws.amazon.com/vpc/home?#ManagedPrefixLists)を使用して作成します。プレフィックスリストを作成した後で、Amazon Managed Grafana で許可するリストごとにプレフィックスリスト ID が必要になります。プレフィックスリスト ID の形式は `pl-1a2b3c4d` です。
プレフィックスリストの作成に関する詳細については、「*Amazon 仮想プライベートクラウドユーザーガイド*」の「[マネージドプレフィックスリストを使用して CIDR ブロックをグループ化する](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)」を参照してください。
+ Amazon Managed Grafana ワークスペースを設定または作成するには、特定のアクセス許可が必要です。たとえば、 AWS 管理ポリシー を使用できます`AWSGrafanaAccountAdministrator`。
ワークスペースへのアクセスを許可するプレフィックスリストまたは VPC エンドポイントの ID のリストを取得したら、ネットワークアクセスコントロール設定の作成準備完了です。
**注記**
ネットワークアクセスコントロールを有効にしても、設定にプレフィックスリストを追加しない場合、許可された VPC エンドポイント経由を除き、ワークスペースへのアクセスは許可されません。
同様に、ネットワークアクセスコントロールを有効にし、設定に VPC エンドポイントを追加しない場合、許可された IP アドレス経由を除き、ワークスペースへのアクセスは許可されません。
ネットワークアクセスコントロール設定には、少なくとも 1 つのプレフィックスリストまたは VPC エンドポイントを登録する必要があり、どちらの登録もない場合、どこからもワークスペースへのアクセスはできなくなります。
**ワークスペースに対するネットワークアクセスコントロールの設定方法**
1. [Amazon Managed Grafana コンソール](https://console.aws.amazon.com/grafana/home/)を開きます。
1. 左のナビゲーションペインの **[すべてのワークスペース]** を選択します。
1. ネットワークアクセスコントロールを設定するワークスペースの名前を選択します。
1. [**ネットワークアクセスコントロール**] タブの [**ネットワークアクセスコントロール**]で、[**制限付きアクセス**] を選択してネットワークアクセスコントロールを設定します。
**注記**
この内容は、ワークスペースの作成時のオプションにも登場します。
1. ドロップダウンから、[**プレフィックスリスト**] または [**VPC エンドポイント**] から追加する方を選択します。
1. 追加する VPC エンドポイントまたはプレフィックスリスト ID を選択します (または、使用する ID を入力することもできます)。少なくとも 1 つを選択する必要があります。
1. エンドポイントまたはリストをさらに追加するには、追加するリソースごとに [**新しいリソースを追加**] を選択します。
**注記**
最大 5 つのプレフィックスリストと 5 つの VPC エンドポイントを追加できます。
1. 設定を完了するには、[**変更の保存**] を選択します。
**警告**
ワークスペースを使用する既存のユーザーがいる場合、そのユーザーの IP 範囲または VPC エンドポイントを設定に含めてください。含めない場合、そのユーザーは `403 Forbidden` エラーでアクセスできなくなります。ネットワークアクセスコントロールの設定または変更後に、既存のアクセスポイントをテストすることをお勧めします。
# 保管中の暗号化
デフォルトでは、Amazon Managed Grafana は保管時の暗号化を自動的に提供し、 AWS 所有の暗号化キーを使用してこれを行います。
+ **AWS 所有キー** – Amazon Managed Grafana は、これらのキーを使用してワークスペースのデータを自動的に暗号化します。 AWS 所有キーを表示、管理、使用したり、その使用を監査したりすることはできません。ただし、データを暗号化するキーを保護するためのアクションの実施やプログラムの変更を行う必要はありません。詳細については、「 *AWS KMS デベロッパーガイド*」の[AWS「 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
保管中のデータの暗号化は、個人を特定できる情報など、顧客の機密データを保護するにあたって伴う運用上のオーバーヘッドと複雑さを軽減するために役立ちます。これにより、厳格な暗号化のコンプライアンスと規制要件に対応する安全なアプリケーションを構築できます。
ワークスペースの作成時にカスタマーマネージドキーを使用することもできます。
+ **カスタマーマネージドキー** – Amazon Managed Grafana は、ワークスペース内のデータを暗号化するために作成、所有、管理する対称カスタマーマネージドキーの使用をサポートしています。この暗号化は完全に制御できるため、次のようなタスクを実行できます。
+ キーポリシーの策定と維持
+ IAM ポリシーとグラントの策定と維持
+ キーポリシーの有効化と無効化
+ キー暗号化マテリアルのローテーション
+ タグを追加する
+ キーエイリアスの作成
+ 削除のためのキースケジューリング
詳細については、「 *AWS KMS デベロッパーガイド*」の[「カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」および[「 とは」を参照してください AWS KMS。](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
カスタマーマネージドキーと AWS 所有キーのどちらを慎重に使用するかを選択します。カスタマーマネージドキーで作成されたワークスペースは、後で (またはその逆に) AWS 所有キーを使用するように変換することはできません。
**注記**
Amazon Managed Grafana は AWS 、所有キーを使用して保管時の暗号化を自動的に有効にし、データを無料で保護します。
ただし、カスタマーマネージドキーの使用には AWS KMS 料金が適用されます。料金の詳細については、「[AWS KMS の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
**重要**
カスタマーマネージドキーを無効にするか、キーポリシーで Amazon Managed Grafana アクセスを削除すると、ワークスペースにアクセスできなくなります。ワークスペースは `ACTIVE`状態のままですが、機能的には使用できなくなります。キーを再度有効にするか、キーポリシーを復元して、アクセスを復元するには 7 日間かかります。7 日後、ワークスペースは `FAILED`状態に移行し、削除できるのは のみです。
でキーの削除をスケジュールする最小待機期間は AWS KMS 、キーが削除されるまでの 7 日間です。キーを削除すると復元できず、そのキーで暗号化されたワークスペースはそのデータにアクセスできなくなります。
カスタマーマネージドキー暗号化は、新しいワークスペースを作成する場合にのみ使用できます。既存のワークスペースをカスタマーマネージドキーを使用するように変換することはできません。
作成後にワークスペースのカスタマーマネージドキーを変更することはできません。
## Amazon Managed Grafana が で許可を使用する方法 AWS KMS
Amazon Managed Grafana では、カスタマーマネージドキーを使用するための許可が必要です。
カスタマーマネージドキーで暗号化された Amazon Managed Grafana ワークスペースを作成すると、Amazon Managed Grafana は [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) リクエストを送信してユーザーに代わって許可を作成します AWS KMS。の権限 AWS KMS は、ユーザーに代わって直接呼び出されない場合でも (ダッシュボードデータやユーザー設定を保存する場合など)、Amazon Managed Grafana にアカウントの KMS キーへのアクセスを許可するために使用されます。
Amazon Managed Grafana では、カスタマーマネージドキーを次の内部オペレーションに使用する権限が必要です。
+ [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) リクエストを に送信 AWS KMS して、必要に応じて追加の許可を作成します。
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) リクエストを に送信 AWS KMS して、ワークスペースの作成時に指定された対称カスタマーマネージド KMS キーが有効であることを確認します。
+ [ReEncryptTo および ReEncryptFrom](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) リクエストを に送信 AWS KMS して、異なる暗号化コンテキスト間を移動するときにデータを再暗号化します。
+ [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) リクエストを に送信 AWS KMS して、カスタマーマネージドキーでデータを直接暗号化します。
+ に [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエストを送信 AWS KMS して、暗号化されたデータキーを復号し、データの暗号化に使用できるようにします。
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) リクエストを に送信 AWS KMS して、カスタマーマネージドキーによって暗号化されたデータキーを生成します。
+ [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) リクエストを に送信 AWS KMS して、プレーンテキストバージョンを返さずに暗号化されたデータキーを生成します。
+ [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) リクエストを に送信 AWS KMS して、不要になった許可を廃止します。
Amazon Managed Grafana は、Amazon Managed Grafana がユーザーに代わって AWS KMS キーを使用できるようにするキーへの許可を作成します。キーポリシーを変更するか、キーを無効にするか、または許可を取り消すことで、キーへのアクセスを削除できます。これらのアクションを実行する前に、その結果を理解しておく必要があります。これにより、ワークスペース内のデータが失われる可能性があります。
何らかの方法で許可へのアクセスを削除すると、Amazon Managed Grafana はカスタマーマネージドキーによって暗号化されたデータにアクセスしたり、ワークスペースに送信された新しいデータを保存したりできなくなります。これは、そのデータに依存するオペレーションに影響します。ワークスペースへの新しい更新はアクセスできず、完全に失われる可能性があります。
**警告**
キーを無効にするか、キーポリシーで Amazon Managed Grafana アクセスを削除すると、ワークスペースデータにアクセスできなくなります。ワークスペースは `ACTIVE`状態のままですが、機能的には使用できなくなります。ワークスペースに送信される新しい更新はアクセスできず、完全に失われる可能性があります。ワークスペースデータへのアクセスを復元し、7 日以内にキーを再度有効にするか、Amazon Managed Grafana アクセスをキーに復元することで、新しいデータの受信を再開できます。アクセスできない 7 日後、ワークスペースは `FAILED`状態に移行します。
でキーの削除をスケジュールすると AWS KMS、必須の 7 日間の待機期間後にキーが削除されます。削除すると、キーは復元できず、ワークスペースデータに永続的にアクセスできなくなります。
許可を取り消す**と、再作成することはできず、ワークスペース内のデータは永久に失われます。
Amazon Managed Grafana は、データストレージの RDS に依存するため、Amazon RDS を介して追加の子許可を作成します。これらの RDS 関連の許可を取り消すと、プライマリ Grafana 許可を取り消すのと同じ永続的なデータ損失効果があります。
## ステップ 1:カスタマーマネージドキーを作成する
対称カスタマーマネージドキーは、 AWS マネジメントコンソールまたは AWS KMS APIs を使用して作成できます。キーは Amazon Managed Grafana ワークスペースと同じリージョンにあり、`ENCRYPT_DECRYPT`キーを使用する対称キーである必要があります。
**対称カスタマーマネージドキーを作成するには**
+ AWS KMS デベロッパーガイド にある [対称カスタマーマネージドキーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) ステップに従います。
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、AWS KMS デベロッパーガイド の「[カスタマーマネージドキーへのアクセスの管理](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)」を参照してください。
Amazon Managed Grafana ワークスペースでカスタマーマネージドキーを使用するには、キーポリシーで次の API オペレーションを許可する必要があります。
+ [kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) – カスタマーマネージドキーに権限を追加します。指定された KMS キーへのアクセスを制御する権限を付与します。これにより、Amazon Managed Grafana が必要とする[権限付与オペレーション](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations)へのアクセスを許可します。詳細については、「AWS KMS デベロッパーガイド」の「[許可の使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。**これにより、Amazon Managed Grafana は以下を実行できます。
+ `GenerateDataKey` を呼び出して暗号化されたデータキーを生成し、保存します。
+ `Decrypt` を呼び出して、保存された暗号化データキーを使用して暗号化データにアクセスします。
+ [kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) – Amazon Managed Grafana がキーを検証できるように、カスタマーマネージドキーの詳細を提供します。
Amazon Managed Grafana に追加できるポリシーステートメントの例を次に示します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow IAM Users and Roles to validate KMS key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/root"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"grafana..amazonaws.com"
]
}
}
},
{
"Sid": "Allow IAM Users and Roles to create grant on KMS key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/root"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"grafana..amazonaws.com"
],
"kms:GrantConstraintType": "EncryptionContextSubset"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"CreateGrant",
"RetireGrant",
"Decrypt",
"Encrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
}
}
}
]
}
```
+ ポリシーでアクセス許可を指定する方法の詳細については、[AWS 「 Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
+ キーアクセスのトラブルシューティングの詳細については、[AWS 「 Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
## ステップ 2: Amazon Managed Grafana のカスタマーマネージドキーを指定する
ワークスペースを作成するときは、Amazon Managed Grafana がワークスペースに保存されているデータの暗号化に使用する KMS キー ARN を入力して、カスタマーマネージドキーを指定できます。
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)) を開きます。
1. **[ワークスペースを作成する]** を選択します。
1. **暗号化**セクションで、**カスタマーマネージドキー**を選択します。
1. **KMS キー ARN フィールドにカスタマーマネージドキーの ARN** を入力します。
1. 残りのワークスペース設定を完了し、**ワークスペースの作成**を選択します。
カスタマーマネージドキーは、 `--kms-key-id`パラメータを使用してワークスペースを作成するときに指定できます。
```
aws grafana create-workspace \
--workspace-name "my-encrypted-workspace" \
--workspace-description "Workspace with customer managed encryption" \
--account-access-type "CURRENT_ACCOUNT" \
--authentication-providers "AWS_SSO" \
--permission-type "SERVICE_MANAGED" \
--kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
```
## Amazon Managed Grafana の暗号化キーのモニタリング
Amazon Managed Grafana ワークスペースで AWS KMS カスタマーマネージドキーを使用する場合、 AWS CloudTrail または Amazon CloudWatch Logs を使用して、Amazon Managed Grafana が送信するリクエストを追跡できます AWS KMS。
次の例は`CreateGrant`、カスタマーマネージドキーによって暗号化されたデータにアクセス`Decrypt`するために Amazon Managed Grafana によって呼び出される KMS オペレーションをモニタリングするための `GenerateDataKey`、、、および `DescribeKey`の AWS CloudTrail イベントです。
AWS KMS カスタマーマネージドキーを使用してワークスペースを暗号化すると、Amazon Managed Grafana はユーザーに代わって、指定した KMS キーにアクセスするための`CreateGrant`リクエストを送信します。Amazon Managed Grafana が作成する許可は、 AWS KMS カスタマーマネージドキーに関連付けられたリソースに固有です。
以下のイベント例では `CreateGrant` オペレーションを記録しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
Amazon Managed Grafana は `DescribeKey`オペレーションを使用して、ワークスペースに関連付けられた AWS KMS カスタマーマネージドキーがアカウントとリージョンに存在するかどうかを確認します。
次に、`DescribeKey` オペレーションを記録するイベントの例を示します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
Amazon Managed Grafana は `GenerateDataKey`オペレーションを使用して、ワークスペースデータの暗号化に使用されるデータキーを生成します。
次に、`GenerateDataKey` オペレーションを記録するイベントの例を示します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
Amazon Managed Grafana は、 `Decrypt`オペレーションを使用して暗号化されたデータキーを復号し、ワークスペースデータの復号化に使用できます。
以下のイベント例では、`Decrypt` オペレーションを記録しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
## 詳細情報
次のリソースは、保管時のデータ暗号化についての詳細を説明しています。
+ AWS KMS 基本概念の詳細については、「 [AWS KMS デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
+ のセキュリティのベストプラクティスの詳細については AWS KMS、「 [AWS KMS デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
# Amazon Managed Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する
デフォルトでは、Amazon Managed Grafana ワークスペースからデータソースまたは通知チャネルへのトラフィックは、パブリックインターネット経由で流れます。このため、Amazon Managed Grafana ワークスペースがアクセスできるのは、パブリックにアクセス可能なサービスに限定されます。
**注記**
プライベート VPC を設定しておらず、Amazon Managed Grafana がパブリックにアクセス可能なデータソースに接続している場合、 を介して同じリージョンの一部 AWS のサービスに接続します AWS PrivateLink。CloudWatch 、Amazon Managed Service for Prometheus、 AWS X-Rayなどのサービスがこれに該当します。これらのサービスへのトラフィックは、パブリックインターネットに流れることはありません。
VPC内のプライベートなデータソースに接続する場合 (トラフィックを VPC にローカルに保持したい場合) は、Amazon Managed Grafana ワークスペースをこれらのデータソースが配置されている Amazon Virtual Private Cloud (Amazon VPC) に接続することができます。この VPC データソース接続を設定すると、すべてのトラフィックが VPC 経由で流れるようになります。
Virtual *Private Cloud* (VPC) は、 専用の仮想ネットワークです AWS アカウント。これは、他の仮想ネットワーク (他の VPC やパブリックインターネットを含む) から論理的に分離されます。Amazon VPC を使用して、 AWS クラウドで VPC を作成および管理します。Amazon VPC では、リソースの配置、接続、セキュリティなど、仮想ネットワーク環境を完全に制御できます。Amazon Managed Grafana データソースやその他のリソースを、VPC 内に作成できます。Amazon VPC の詳細については、「*Amazon 仮想プライベートクラウドユーザーガイド*」の「[Amazon VPC とは?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。
**注記**
Amazon Managed Grafana ワークスペースを VPC の外部、別のネットワーク、またはパブリックインターネットのデータに接続する場合は、他のネットワークへのルーティングを追加する必要があります。VPC を別のネットワークに接続する方法については、「*Amazon 仮想プライベートクラウドユーザーガイド*」の「[VPC を他のネットワークに接続する](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)」を参照してください。
## VPC 接続の仕組み
[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) では、環境を自由に管理でき、アプリケーションを接続するためのパブリックおよびプライベート*サブネット*の作成や、サービスやリソースへのアクセス権を管理するための*セキュリティグループ*を作成することができます。
VPC 内のリソースで Amazon Managed Grafana を使用するには、Amazon Managed Grafana ワークスペースのその VPC への接続を作成する必要があります。接続を設定すると、Amazon Managed Grafana はワークスペースをその VPC の各アベイラビリティーゾーン内の各提供されたサブネットに接続し、Amazon Managed Grafana ワークスペースとの間で送受信されるすべてのトラフィックは VPC を経由します。以下の図に、この接続の論理構成を視覚的に示します。
![\[Amazon Managed Grafana が複数のアベイラビリティゾーンにまたがるVPCに接続されているイメージ図。\]](http://docs.aws.amazon.com/ja_jp/grafana/latest/userguide/images/grafana-vpc-connection.png)
Amazon Managed Grafana は、VPC (**2**) に接続するための接続 (**1**) をサブネット ([Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)、ENI) を使用) ごとに作成します。Amazon Managed Grafana VPC 接続は、VPC と Amazon Managed Grafana ワークスペース間のトラフィックを制御する一連のセキュリティグループ (**3**) に関連付けられています。アラートの送信先やデータソースの接続など、すべてのトラフィックは設定された VPC 経由でルーティングされます。別の VPC やインターネットにあるデータソースやアラート先 (**4**) に接続するには、他のネットワークと VPC の間に[ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**) を作成します。
## VPC への接続を作成する
このセクションでは、既存の Amazon Managed Grafana ワークスペースから VPC に接続する手順について説明します。ワークスペースを作成する際にも、この手順と同じ内容を実行します。ワークスペース作成の詳細については、「[Amazon Managed Grafana ワークスペースを作成する](AMG-create-workspace.md)」を参照してください。
### 前提条件
以下は、既存の Amazon Managed Grafana ワークスペースから VPC への接続を確立するために必要な前提条件です。
+ Amazon Managed Grafana ワークスペースを設定または作成するには、特定のアクセス許可が必要です。たとえば、 AWS 管理ポリシー を使用できます`AWSGrafanaAccountAdministrator`。
+ アカウントには、それぞれに 1 つの*プライベートサブネット*が設定された少なくとも 2 つのアベイラビリティーゾーンを持つ VPC 設定が必要です。VPC のサブネットとセキュリティグループの情報を把握しておく必要があります。
**注記**
[Local Zones](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html) と [Wavelength Zones](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html) はサポートされていません。
`Tenancy` が `Dedicated` に[設定された VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) はサポートされません。
**重要**
Amazon Managed Grafana ワークスペースに接続されている各サブネットには、少なくとも 15 個の使用可能な IP アドレスが必要です。VPC サブネットの [IP 使用状況をモニタリング](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)するようにアラームを設定することを強くお勧めします。サブネットで使用可能な IP アドレスの数が 15 を下回ると、次の問題が発生する可能性があります。
追加の IP アドレスを解放するか、追加の IP アドレスを持つサブネットをアタッチするまで、ワークスペースの設定を変更できない
ワークスペースがセキュリティ更新プログラムやパッチを受信できない
まれに、ワークスペースが完全に使用できなくなることがあり、その結果、アラートが機能せず、ダッシュボードにアクセスできなくなる
+ データソースが設定されている既存の Amazon Managed Grafana ワークスペースを接続する場合は、Amazon Managed Grafana を VPC に接続する前に、それらのデータソースに接続ための VPC の設定を行っておくことをお勧めします。これには、 AWS PrivateLinkを介して接続される CloudWatch などのサービスも含まれます。これを行っていない場合、これらのデータソースへの接続が失われます。
+ VPC に他のネットワークへの複数のゲートウェイがすでにある場合は、複数のゲートウェイ間で DNS 解決を設定する必要があります。詳細については、「[ルート 53 リゾルバ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)」を参照してください。
### 既存の Amazon Managed Grafana ワークスペースから VPC に接続する
以下の手順では、既存の Amazon Managed Grafana ワークスペースに Amazon VPC データソース接続を追加する方法について説明します。
**注記**
Amazon VPC への接続を設定すると、IAM ロールが作成されます。Amazon Managed Grafana は VPC への接続を作成する際に、このロールを使用します。IAM ロールは、サービスリンクロールポリシー「`AmazonGrafanaServiceLinkedRolePolicy`」を使用します。サービスリンクロールの詳細については、「[Amazon Managed Grafana 向けのサービスリンクロールのアクセス許可](using-service-linked-roles.md#slr-permissions)」を参照してください。
**既存の Amazon Managed Grafana ワークスペースから VPC に接続する方法**
1. [Amazon Managed Grafana コンソール](https://console.aws.amazon.com/grafana/home/)を開きます。
1. 左のナビゲーションペインの **[すべてのワークスペース]** を選択します。
1. VPC データソース接続を追加するワークスペースの名前を選択します。
1. [**ネットワークアクセス設定**] タブで、**アウトバウンド VPC 接続**の横にある [**編集**] を選択して VPC 接続を作成します。
1. 接続する **VPC** を選択します。
1. **マッピング**で、使用するアベイラビリティーゾーンを選択します。少なくとも 2 つ選択する必要があります。
1. 各アベイラビリティーゾーンで少なくとも 1 つの*プライベートサブネット*を選択します。サブネットは IPv4 形式である必要があります。
1. VPC に少なくとも 1 つの**セキュリティグループ**を選択します。最大 5 つのセキュリティグループを指定できます。または、この接続に適用するセキュリティグループを作成することもできます。
1. 設定を完了するには、[**変更の保存**] を選択します。
VPC 接続の設定が完了したので、その VPC から Amazon Managed Grafana ワークスペースにアクセス可能な [データソースに接続する](AMG-data-sources.md) を追加できます。
**アウトバウンド VPC 設定内容の変更**
設定内容を変更するには、ワークスペース設定の **[ネットワークアクセス設定]** タブに戻るか、[UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html) API を使用します。
**重要**
VPC 設定の管理は、Amazon Managed Grafana が行います。これらの VPC 設定の編集は、Amazon EC2 コンソールまたは API からは行わないでください。設定が同期されなくなります。
# Amazon Managed Grafana での VPC の使用に関するトラブルシューティング
Amazon Managed Grafana での Amazon Virtual Private Cloud (Amazon VPC) の使用に関する一般的な質問への回答。
## Amazon Managed Grafana で VPC を設定する必要があるのはどのような場合ですか?
プライベート VPC でのみ使用可能な (インターネットからアクセスできない) データソースに接続しようとする場合は、Amazon Managed Grafana で VPC を設定する必要があります。
データソースがインターネットに公開されている場合や、公開されているエンドポイントを持つ場合は、VPCの設定は不要です。
Amazon CloudWatch、Amazon Managed Service for Prometheus、または に接続する場合は AWS X-Ray、VPC を設定する必要はありません。これらのデータソースは、デフォルトで AWS PrivateLink を介して Amazon Managed Grafana に接続されています。
## Amazon Managed Grafana ワークスペースで VPC を設定した後、既存のデータソースが接続できなくなったのはなぜですか?
既存のデータソースはおそらくインターネット経由でアクセス可能であり、Amazon VPC の設定ではパブリックネットワークへのアクセスが許可されていない可能性があります。Amazon Managed Grafana ワークスペースで VPC 接続を設定した後、すべてのトラフィックがその VPC を経由する必要があります。これには、その VPC 内でホストされるプライベートデータソース、別の VPC のデータソース、VPC で利用できない AWS 管理のサービス、インターネットに公開されているデータソースが含まれます。
この問題を解決するには、設定した VPC に他のデータソースを接続する必要があります。
+ インターネットに接続するデータソースの場合、その VPC をインターネットに接続します。たとえば、[NAT デバイスを使用してインターネットや他のネットワークに接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)することができます(詳細は「*Amazon 仮想プライベートクラウドユーザーガイド*」を参照してください)。
+ 他の VPC のデータソースの場合、2 つの VPC 間のピアリング接続を作成します。詳細については、「*Amazon 仮想プライベートクラウドユーザーガイド*」の「[VPC ピアリング接続を使用してVPCを接続する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)」を参照してください。
+ CloudWatch、X-Ray、Amazon AWS Managed Service for Prometheus など、VPC でアクセスできないマネージドサービスの場合は、VPC でそのサービスのインターフェイス VPC エンドポイントを作成する必要があります。詳細については、「 *AWS PrivateLink ガイド*[」の「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。
## 専有テナンシーで VPC を使用できますか?
いいえ、`Tenancy` が `Dedicated` に[設定された VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) はサポートされません。
## Managed AWS Services (Amazon Managed Service for Prometheus、CloudWatch、X-Ray など) とプライベートデータソース (Amazon Redshift を含む) の両方を同じ Amazon Managed Grafana ワークスペースに接続できますか?
はい。プライベートデータソースと同じ VPC 内の AWS マネージドサービスへの接続を設定し (インターフェイス [VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)や [NAT ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)などを使用)、Amazon Managed Grafana ワークスペースを同じ VPC に接続するように設定する必要があります。
## Amazon Managed Grafana ワークスペースで VPC を設定した後にデータソースに接続しようとすると、`502 Bad Gateway Error` を取得するのはなぜですか?
以下はデータソース接続で `502` エラーが返される主な 3 つの原因です。
+ **セキュリティグループエラー** — Amazon Managed Grafana で VPC を設定する際に選択したセキュリティグループには、データソースへの接続を許可するためのインバウンドおよびアウトバウンドのルールが適切に設定されている必要があります。
この問題を解決するには、データソースセキュリティグループと Amazon Managed Grafana セキュリティグループの両方のルールでこの接続が許可されていることを確認してください。
+ **ユーザーアクセス許可エラー** — 割り当てられたワークスペースユーザーにデータソースをクエリするための適切な権限がない可能性があります。
この問題を解決するには、ユーザーにワークスペースを編集するために必要な IAM アクセス許可があり、ホスティングサービスからデータにアクセスしてクエリを実行するための適切なデータソースポリシーが設定されていることを確認します。アクセス許可は、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) の AWS Identity and Access Management (IAM) コンソールで利用できます。
+ **提供された接続の詳細が正しくありません** — 提供された接続情報が間違っているため、Amazon Managed Grafana ワークスペースがデータソースに接続できません。
この問題を解決するには、データソースの接続情報 (データソース認証とエンドポイント URL など) を確認し、接続を再試行してください。
## 同じ Amazon Managed Grafana ワークスペースから複数の VPC に接続できますか?
Amazon Managed Grafana ワークスペースには 1 つの VPC のみを設定できます。異なる VPC またはリージョン間でデータソースにアクセスするには、次の質問を参照してください。
## 異なる VPC のデータソースに接続するにはどうすればよいですか? 別の AWS リージョン または にある VPC からデータソースに接続するにはどうすればよいですか AWS アカウント?
[VPC ピアリング](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)または を使用してクロスリージョンまたはクロスアカウント VPCs [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)を接続し、Amazon Managed Grafana ワークスペースと同じ AWS アカウント および リージョンにある VPC を接続します。Amazon Managed Grafana は、VPC 内の他の接続と同様に外部データソースに接続します。
**注記**
VPC ピアリングを選択できない場合、ユースケースをアカウントマネージャーと共有するか、[aws-grafana-feedback@amazon.com](mailto:aws-grafana-feedback@amazon.com) に E メールを送信してください。
## Amazon Managed Grafana ワークスペースが VPC に接続されている場合でも、他のパブリックデータソースに接続できますか?
あり。VPC とパブリックデータソースの両方のデータソースを同じ Amazon Managed Grafana ワークスペースに同時に接続することができます。パブリックデータソースには、[NAT ゲートウェイゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) または他の VPC 接続 を介して [VPC 接続](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)を設定する必要があります。パブリックデータソースへのリクエストは VPC を通過するため、これらのリクエストに対するより強力な可視化と制御を得ることができます。
## IP アドレスが不十分なために Amazon Managed Grafana ワークスペースを更新できない場合はどうすればよいですか?
Amazon Managed Grafana ワークスペース設定を変更するときに、次のエラーが発生することがあります。VPC 設定のすべてのサブネットには、少なくとも 15 個の使用可能な IP アドレスが必要です。
このエラーは、ワークスペースに接続されている 1 つまたは複数のサブネットが最小 IP 要件を満たしていない場合に表示されます。ワークスペースに接続されている各サブネットには、少なくとも 15 個の使用可能な IP アドレスが必要です。サブネットで使用可能な IP アドレスの数が 15 を下回ると、次の問題が発生する可能性があります。
+ 追加の IP アドレスを解放するか、追加の IP アドレスを持つサブネットをアタッチするまで、ワークスペースの設定を変更できない
+ ワークスペースがセキュリティ更新プログラムやパッチを受信できない
+ まれに、ワークスペースが完全に使用できなくなることがあり、その結果、アラートが機能せず、ダッシュボードにアクセスできなくなる
**IP の枯渇問題を軽減する**
1. サブネットの使用可能な IP アドレスが 15 未満の場合は、インスタンスに関連付けられた IP アドレスを解放するか、未使用のネットワークインターフェイスを削除して IP 容量を解放します。
1. 既存のサブネットで IP アドレスを解放できない場合は、少なくとも 15 個の使用可能な IP アドレスを持つサブネットに置き換える必要があります。Amazon Managed Grafana には専有サブネットを使用することをお勧めします。
**サブネットを置き換える**
1. [Amazon Managed Grafana コンソール](https://console.aws.amazon.com/grafana)を開きます。
1. 左側のナビゲーションペインで、**[すべてのワークスペース]** を選択し、ワークスペースの名前を選択します。
1. **[ネットワークアクセスコントロール]** タブで、**[アウトバウンド VPC 接続]** の横にある **[編集]** を選択します。
1. **[マッピング]** で、IP アドレスが不十分なサブネットを含むアベイラビリティーゾーンを選択します。
1. ドロップダウンで、IP アドレスが不十分なサブネットの選択を解除し、使用可能な IP アドレスが 15 個以上のサブネットを選択します。必要に応じて、VPC に新しいサブネットを作成します。詳細については、「*Amazon VPC ユーザーガイド*」の「[サブネットを作成する](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)」を参照してください。
1. 設定を完了するには、[**変更の保存**] を選択します。
## VPC 接続を設定する前は、Grafana アラートが PagerDuty や Slack などのダウンストリームサービスに正常に送信されていました。VPC を設定した後、Grafana アラートがこれらの通知先に配信されないのはなぜですか?
Amazon Managed Grafana ワークスペースの VPC 接続を設定すると、ワークスペース内のデータソースへのすべてのトラフィックは、設定された VPC を経由します。VPC に、これらのアラート通知サービスに到達するルートがあることを確認してください。例えば、サードパーティーがホストするアラートの通知先をインターネットに接続する必要がある場合があります。データソースと同様に、外部接続先へのインターネット接続、 AWS Transit Gateway接続、またはその他の VPC 接続を設定します。
## VPC は手動で編集できますか? セキュリティグループまたはサブネットを変更すると、Amazon Managed Grafana ワークスペースが使用できなくなるのはなぜですか?
Amazon Managed Grafana の VPC 接続は、VPC と Amazon Managed Grafana ワークスペースの間の通信の制御にセキュリティグループとサブネットを使用しています。セキュリティグループまたはサブネットが Amazon Managed Grafana コンソール以外 (VPC コンソールなど) から変更または削除されると、Amazon Managed Grafana ワークスペースの VPC 接続はワークスペースのセキュリティの保護を停止し、ワークスペースにアクセスできなくなります。この問題を修正するには、Amazon Managed Grafana コンソールで Amazon Managed Grafana ワークスペースに設定されているセキュリティグループを更新してください。ワークスペースを表示するときは、[**ネットワークアクセスコントロール**] タブで [**アウトバウンド VPC 接続**] を選択し、VPC 接続に関連付けられたサブネットまたはセキュリティグループを変更します。
# Amazon Managed Grafana ワークスペースを設定する
Amazon Managed Grafana の設定については、「Amazon Managed Grafana の認証とアクセス許可の設定」と、「Grafana ワークスペースの設定」に分けて説明することができます。このセクションでは、「Grafana ワークスペースの設定」について説明します。
「Amazon Managed Grafana の認証とアクセス許可の設定」の詳細については、以下のトピックを参照してください。
+ [Amazon Managed Grafana ワークスペースでユーザーを認証する](authentication-in-AMG.md)
+ [Amazon Managed Grafana ワークスペースに対するユーザーとグループのアクセス権を管理する](AMG-manage-users-and-groups-AMG.md)
+ [ユーザー、チーム、およびアクセス許可](Grafana-administration-authorization.md)
Grafana ワークスペースの設定内容の変更は、ワークスペースのプロパティを表示する際にある [**Workspace 設定オプション**] タブの Amazon Managed Grafana 内で行うことができます。
Grafana インスタンスの設定を変更すると、新しい設定を反映するためにインスタンスが再起動することがあります。ブラウザで Grafana ワークスペースを表示している場合、設定の変更後、ブラウザページを更新する必要がある場合があります。
**注記**
ワークスペースを初めて作成するときにも、同じオプションを使用できます。
**Amazon Managed Grafana コンソールを使用した Grafana ワークスペースの設定の変更方法**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. 左側のナビゲーションペインで、メニューアイコンを選択します。
1. **[すべてのワークスペース]** を選択します。
1. 設定するワークスペースの名前を選択します。これにより、そのワークスペースの詳細が開きます。
1. [**Workspace 設定オプション**] タブを選択して、インスタンスの「インスタンス設定オプション」を表示します。
1. **Grafana アラート**または**プラグイン管理**の横にある[**編集**] を選択します。
+ **Grafana アラート**
[Grafana アラート](v10-alerts.md)を有効にします。Grafana ワークスペースで Prometheus アラートを表示するには、チェックボックスをオンにして **Grafana アラートをオン**にします。バージョン 8 または 9 を実行しているワークスペースでは、Grafana アラートに対して複数の通知が送信されます。Grafana で定義されたアラートを使用する場合は、ワークスペースをバージョン 10.4 以降に更新することをお勧めします。
従来の Grafana アラートを使用する場合は、**Grafana アラートを有効にする**の横にあるチェックボックスを*オフ*にして、[従来のダッシュボードアラート](old-alerts-overview.md)を有効にします。Grafana アラートが有効でない場合も、既存の Grafana アラートは評価されます。
**注記**
従来のダッシュボードアラートは、バージョン 11 で削除される予定です。Grafana バージョン 10 ワークスペースでは、Grafana アラート機能を確認できます。詳細については、「[従来のダッシュボードアラートを Grafana アラートに移行する](v10-alerting-use-grafana-alerts.md)」を参照してください。
+ **プラグイン管理**
プラグイン管理を有効にするには、[**プラグイン管理を有効にする**] チェックボックスをオンにします。プラグイン管理を有効にすると、Amazon Managed Grafana ワークスペースの管理者は、Grafana プラグインカタログを使用して[プラグイン](grafana-plugins.md)をインストール、更新、または削除できまるようになります。このオプションは、Grafana バージョン 9 以降をサポートするワークスペースでのみ使用できます。
**注記**
Grafana アラートを*オフ*にすると、Grafana アラートがオンになっている間にアラート設定に加えられたすべての変更が失われます。作成した新しいアラートルールも削除されます。
Grafana アラートの使用方法と、アラートのオン/オフの効果の詳細については、「[Grafana バージョン 10 のアラート](v10-alerts.md)」を参照してください。
次のセクションでは、Amazon Managed Grafana API または AWS CLIを使用して Grafana インスタンス設定を変更する方法について紹介します。
## API または での設定 AWS CLI
Grafana ワークスペースの設定は、Amazon Managed Grafana API または AWS CLIを使用して行うことができます。
**注記**
`configuration` は、後で追加される将来の構成設定を可能にする JSON 文字列です。
------
#### [ AWS CLI ]
**を使用して Amazon Managed Grafana インスタンス設定を更新するには AWS CLI**
以下のコマンドを実行して、インスタンスの Grafana アラート機能とプラグイン管理機能を有効にします。** および ** 文字列をご自身のインスタンスに適した値に置き換えてください。
```
aws grafana update-workspace-configuration \
--region region \
--workspace-id \
--configuration '{"plugins": {"pluginAdminEnabled": true}, "unifiedAlerting": {"enabled": true}}'
```
現在、設定では以下のオプションがサポートされています。これを実行すると、Grafana アラートまたはプラグイン管理をオンまたはオフにすることができます。
+ Grafana アラートを有効にするには、以下の設定オプションを使用します。
```
--configuration '{"unifiedAlerting": { "enabled": true }}'
```
+ プラグイン管理を有効にするには、以下の設定オプションを使用します。
```
--configuration '{"plugins": {"pluginAdminEnabled": true }}'
```
このオプションは、Grafana バージョン 9 以降をサポートするワークスペースでのみ使用できます。
------
#### [ Amazon Managed Grafana API ]
**API を使用した Amazon Managed Grafana インスタンス設定の更新方法**
以下のアクションを使用して、インスタンスの Grafana アラート機能とプラグイン管理機能を有効にします。** 文字列をご自身のインスタンスに適した値に置き換えてください。
```
PUT /workspaces//configuration HTTP/1.1
Content-type: application/json
{
"configuration": "{ \"unifiedAlerting\": { \"enabled\": true }, \"plugins\": { \"pluginAdminEnabled\": true }}"
}
```
現在、設定では以下のオプションがサポートされています。これを実行すると、Grafana アラートまたはプラグイン管理をオンまたはオフにすることができます。
+ Grafana アラートを有効にするには、以下の設定オプションを使用します。
```
"configuration": "{\"unifiedAlerting\": { \"enabled\": true }}"
```
+ プラグイン管理を有効にするには、以下のオプションを使用します。
```
"plugins": "{\"pluginAdminEnabled\": true }"
```
このオプションは、Grafana バージョン 9 以降をサポートするワークスペースでのみ使用できます。
------
# Amazon Managed Grafana ワークスペースを削除する
Amazon Managed Grafana ワークスペースを削除すると、そのワークスペースに対して設定された情報。(ダッシュボード、データソース設定、アラート、スナップショットなど) も削除されます。
**Amazon Managed Grafana ワークスペースの削除方法**
1. Amazon Managed Grafana コンソール ([https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)) を開きます。
1. 左側のナビゲーションペインで、メニューアイコンを選択します。
1. **[すべてのワークスペース]** を選択します。
1. 削除するワークスペースの名前を選択します。
1. **[削除]** を選択します。
1. 削除を確認するには、ワークスペース名を入力して [**削除**] を選択します。
**注記**
この手順で削除されるのはワークスペースで、他のリソースは削除されません。例えば、ワークスペースで使用されていた IAM ロールは削除されません (使用されなくなった場合はロック解除される可能性があります)。