翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ユーザー、チーム、およびアクセス許可
<a name="Grafana-administration-authorization"></a>

Amazon Managed Grafana のアクセス許可は、Amazon Managed Grafana コンソールを使用して、ワークスペース内で直接管理されます。
+ **ユーザー** - ユーザーは、IAM Identity Center、または Amazon Managed Grafana コンソールの SAML を使用して設定した ID プロバイダーで[認証されます](authentication-in-AMG.md)。
+ **ロールアクセス** — Amazon Managed Grafana コンソールを使用して、`User`、`Editor`、または `Admin` のロールでユーザーまたはグループに[アクセス許可](AMG-manage-users-and-groups-AMG.md)を付与し、ワークスペースへのデフォルト権限を付与できます。
+ **グループ、またはチーム** - ユーザーのグループを作成して、2 つの方法でアクセス許可を付与できます。ID プロバイダー (または IAM Identity Center) でグループを作成できます。次に、Amazon Managed Grafana コンソールで、ユーザーと同様にこれらのグループにアクセス許可を付与できます。または、Grafana ワークスペースに[チーム](Grafana-teams.md)を作成して、必要なロールをチームに付与できます。
+ **特定のアクセス許可** – 特定のダッシュボード、フォルダ、またはデータソースのロールで付与された[アクセス許可を上書き](Grafana-permissions.md)する場合は、デフォルトのアクセス許可を削除して、特定のユーザーまたはチームにアクセス許可を割り当てることができます。これは Grafana ワークスペース内で実行します。

このセクションでは、Grafana ワークスペース内でアクセス許可の管理を実行する方法について説明します。

**Topics**
+ [[ユーザー]](Grafana-users.md)
+ [ユーザーロール](Grafana-user-roles.md)
+ [チームの管理](Grafana-teams.md)
+ [許可の使用](Grafana-permissions.md)

# [ユーザー]
<a name="Grafana-users"></a>

Amazon Managed Grafana では、Grafana ワークスペースでユーザーを追加しません。代わりに、IAM Identity Center または ID プロバイダーを使用してユーザーを認証し、Amazon Managed Grafana コンソール内から Amazon Managed Grafana ワークスペースへのアクセス許可をユーザーに付与します。詳細については、「[Amazon Managed Grafana ワークスペースに対するユーザーとグループのアクセス権を管理する](AMG-manage-users-and-groups-AMG.md)」を参照してください。

# ユーザーロール
<a name="Grafana-user-roles"></a>

Amazon Managed Grafana では、Amazon Managed Grafana ワークスペースの使用が有効な各ユーザーは、Amazon Managed Grafana コンソールの 3 つの[ロール](AMG-manage-users-and-groups-AMG.md)のいずれかに割り当てられます。
+ **管理者ロール** — 管理者ロールを持つユーザーは以下を実行できます。
  + データソースを追加、編集、削除できます。
  + ユーザーとチームを追加、編集できます。
  + ダッシュボードが含まれるフォルダを追加、編集、削除できます。
  + エディタロールで許可されるすべての操作を実行できます。
+ **エディタロール** — エディタロールを持つユーザーは以下を実行できます。
  + アクセス許可を持つダッシュボードで、ダッシュボード、パネル、アラートルールを表示、追加、編集できます。特定のフォルダとダッシュボードでこれを無効にできます。
  + プレイリストを作成、更新、または削除できます。
  + Explore にアクセスできます。
  + 通知チャネルを追加、編集、削除できます。
  + データソースは追加、編集、または削除できません。
  + ビューワーロールで許可される操作すべてを実行できます。
+ **ビューワーロール** — ビューワーロールを持つユーザーは以下を実行できます。
  + アクセス許可を持つダッシュボードを表示できます。特定のフォルダとダッシュボードでこれを無効にできます。
  + プレイリストは作成、更新、または削除できません。
  + Explore にはアクセスできません。
  + 通知チャネルは追加、編集、削除できません。
  + データソースは追加、編集、または削除できません。
  + ダッシュボードやパネルは追加、編集、または削除できません。
  + 他のユーザーやチームは管理できません。

Grafana ワークスペースからのユーザー割り当ておよびユーザーアクセス管理は、Amazon Managed Grafana でサポートされていません。ユーザーとグループのアクセス許可を管理する方法は、認証に IAM Identity Center と SAML のどちらを使用するかによって異なります。
+ ワークスペースが認証に IAM Identity Center を使用している場合は、Amazon Managed Grafana コンソールまたは API を使用してロールを割り当てることができます。詳細については、「[Amazon Managed Grafana ワークスペースに対するユーザーとグループのアクセス権を管理する](AMG-manage-users-and-groups-AMG.md)」を参照してください。
+ ワークスペースが認証に SAML を使用している場合、ユーザーロールはアサーション属性でのみ定義されます。詳細については、「[アサーションマッピング](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)」を参照してください。

# チームの管理
<a name="Grafana-teams"></a>

*チーム*を使用すると、ユーザーのグループに対し同時にアクセス許可を付与できます。チーム同期を設定して、Grafana ワークスペースと認証プロバイダー間のチームメンバーシップを自動的に同期することもできます。

## チームの作成または削除
<a name="create-remove-team"></a>

チームを作成してユーザーをグループで管理します。

**チームの作成方法**

1. サイドバーで、**[設定]** (歯車) アイコンを選択し、**[チーム]** を選択します。

1. **[新しいチーム]** を選択します。

1. **[名前]** に新しいチームの名前を入力し、**[作成]** を選択します。

**チームの削除**

1. サイドバーで、**[設定]** (歯車) アイコンを選択し、**[チーム]** を選択します。

1. チーム名の右側で、**[X]** を選択します。

1. 確定するため、**[削除]** を選択します。

## チームに対するユーザーの追加または削除
<a name="team-add-remove-user"></a>

以下の手順を使用して、チームにユーザーを追加、またはチームから削除します。

**チームにユーザーを追加する方法**

1. サイドバーで、**[設定]** (歯車) アイコンを選択し、**[チーム]** を選択します。

1. ユーザーを追加するチームを選択します。

1. **[メンバーの追加]** を選択します。

1. **[チームメンバーを追加する]** ボックスで、チームに追加するユーザーを選択してから、**[チームに追加]** を選択します。

**チームからユーザーを削除する方法**

1. サイドバーで、**[設定]** (歯車) アイコンを選択し、**[チーム]** を選択します。

1. ユーザーを削除するチームを選択します。

1. ユーザー名の右側で、**[X]** を選択します。

1. 確定するため、**[削除]** を選択します。

## チーム同期の使用
<a name="Grafana-team-sync"></a>

*チーム同期*を使用すると、Grafana で認証プロバイダーのグループとチーム間の同期を設定できます。現在サポートされている認証プロバイダーは、IAM Identity Center および SAML です。

**Grafana チームを外部グループと同期する方法は以下のとおりです。**

1. Grafana コンソールで、**[設定]**、**[チーム]** に移動します。

1. IAM Identity Center のグループと同期するには、IAM Identity Center のグループ ID を入力します。SAML ベースの ID プロバイダーのグループと同期するには、Amazon Managed Grafana ワークスペース設定ページの SAML 設定セクションの **[アサーション属性グループ]** フィールドに入力された属性名の値を入力します。

1. **[グループの追加]** を選択します。

# 許可の使用
<a name="Grafana-permissions"></a>

Amazon Managed Grafana の Grafana ワークスペースでできることは、ユーザーに関連付けられた*アクセス許可*で定義されます。

Amazon Managed Grafana は次の 3 種類のアクセス許可を使用します。
+ Grafana 管理者として付与されるアクセス許可
+ チームのメンバーシップと関連付けられたアクセス許可
+ 特定のフォルダまたはダッシュボードに付与されたアクセス許可

管理者ステータス、ユーザーに割り当てられたダッシュボードまたはフォルダのアクセス許可、データソースのアクセス許可に基づき、アクセス許可を付与できます。

## ダッシュボードおよびフォルダのアクセス許可の概要
<a name="dashboard-and-folder-permissions-overview"></a>

 ダッシュボードおよびフォルダのアクセス許可を使用すると、エディタとビューワーのデフォルトロールベースのアクセス許可を削除できます。次に、特定のユーザーとチームにアクセス許可を割り当てられます。詳細については、「[ダッシュボードおよびフォルダのアクセス権限](dashboard-and-folder-permissions.md)」を参照してください。

## データソースアクセス許可の概要
<a name="data-source-permissions-overview"></a>

デフォルトでは、データソースは任意のユーザーがクエリできます。例えば、 `Viewer`ロールを持つユーザーは、アクセス許可を持つダッシュボードにあるクエリだけでなく、データソースにクエリを発行できます。

データソースのアクセス許可を使用すると、データソースのデフォルトのアクセス許可を変更して、クエリのアクセス許可を特定の **[ユーザー]** と **[チーム]** に限定できます。詳細については、「[データソースの権限機能](data-source-permissions.md)」を参照してください。

# ダッシュボードおよびフォルダのアクセス権限
<a name="dashboard-and-folder-permissions"></a>

ダッシュボードおよびフォルダに付与された**編集者**と**閲覧者**のデフォルトロールベースのアクセス権限は、[**権限**] ページから削除することができます。このページを使用して、特定の**ユーザー**と**チーム**にアクセス権限を追加および割り当てることができます。

Amazon Managed Grafana には、次の権限レベルが用意されています。アクセス権限は、ワークスペースがサポートする Grafana のバージョンによって異なります。

**バージョン 8 をサポートするワークスペースの場合:**
+ `Admin`: ダッシュボードの編集と作成、およびアクセス権限の編集が可能。フォルダの追加、編集、削除も可能です。
+ `Edit`: ダッシュボードの編集および作成が可能。フォルダやダッシュボードのアクセス権限の編集、フォルダの追加、編集、削除は**できません**。
+ `View`: 既存のダッシュボードおよびフォルダの表示のみが可能。

**バージョン 9 以降をサポートするワークスペースの場合:**
+ `Admin`: ダッシュボードの作成、編集、削除が可能。フォルダの追加、編集、削除、フォルダへのダッシュボードとサブフォルダの作成が可能。管理者は、ダッシュボードおよびフォルダのアクセス権限の変更も可能です。
+ `Edit`: ダッシュボードの作成、編集、削除が可能。フォルダの編集、削除、フォルダへのダッシュボードとサブフォルダの作成が可能。編集者はフォルダまたはダッシュボードのアクセス権限の変更は**できません**。
+ `View`: 既存のダッシュボードおよびフォルダの表示のみが可能。

## フォルダのアクセス権限の付与
<a name="grant-folder-permissions"></a>

**フォルダのアクセス権限を付与する方法**

1. サイドバーで、**ダッシュボード** (正方形) アイコンにカーソルを合わせて [**管理**] を選択します。

1. フォルダにカーソルを合わせ、[**フォルダに移動**] を選択します。

1. [**権限**] タブで、[**権限を追加する**] を選択します。

1. **[権限追加対象]** ダイアログボックスで、**[ユーザ]ー**、**[チーム]**、または「ロールオプション」のいずれかを選択します。ワークスペースで Grafana バージョン 10 以降を使用している場合は、**ユーザー、チーム、サービスアカウント、またはロール**を選択します。

1. 2 番目のボックスで、権限を追加するユーザー、チーム、サービスアカウント、またはロールを選択します。ワークスペースが Grafana バージョン 9 以前を使用していて、前のステップで「ロール」を選択した場合は、このステップをスキップしてください。

1. 3 番目のボックスで、追加する権限を選択します。

1. **[保存]** を選択します。

## ダッシュボードのアクセス権限の付与
<a name="grant-dashboard-permissions"></a>

**ダッシュボードのアクセス許可を付与する方法**

1. ダッシュボードの右上隅にある歯車アイコンを選択して、**[ダッシュボード設定]** に移動します。

1. [**権限**] タブで、[**権限を追加する**] を選択します。

1. **[権限追加対象]** ダイアログボックスで、**[ユーザ]ー**、**[チーム]**、または「ロールオプション」のいずれかを選択します。ワークスペースで Grafana バージョン 10 以降を使用している場合は、**ユーザー、チーム、サービスアカウント、またはロール**を選択します。

1. 2 番目のボックスで、権限を追加するユーザー、チーム、サービスアカウント、またはロールを選択します。ワークスペースが Grafana バージョン 9 以前を使用していて、前のステップで「ロール」を選択した場合は、このステップをスキップしてください。

1. 3 番目のボックスで、追加する権限を選択します。

1. **[保存]** を選択します。

## アクセスの制限
<a name="restricting-access"></a>

 最も高い権限が常に優先されます。
+  `Admin` ロールを持つユーザーの権限を上書きすることはできません。管理者は常にすべてにアクセスできます。
+  より高い権限レベルを持つ一般的なルールが存在する場合、より低い権限レベルの具体的な権限は効果を持ちません。一般的なルールの権限レベルを削除するか、下げる必要があります。

## Amazon Managed Grafana が複数の権限を解決する方法 – 例
<a name="how-grafana-resolves-multiple-permissions---examples"></a>

次の例に、複数の権限がどのように解決されるかを紹介します。

### 例 1: `user1` に `Editor` ロールがある
<a name="example-1-user1-has-the-editor-role"></a>

 ダッシュボードのアクセス権限: 
+  `Editor` ロールを持つすべてのユーザーが編集可能。
+  `user1` に表示権限がある。

 結果: 最も高い権限が常に優先されるため、`user1` には編集権限があります。

### 例 2: `user1` に閲覧者ロールが付与されており、`team1` のメンバーである
<a name="example-2-user1-has-the-viewer-role-and-is-a-member-of-team1"></a>

 ダッシュボードのアクセス権限: 
+  `Viewer` ロールを持つすべてのユーザーが閲覧可能。
+  `user1` に `Editor` ロールが付与されており、編集が可能。
+  `team1` に `Admin` ロールが付与されている。

 結果: 最も高い権限が常に優先されるため、`user1` には管理者権限があります。

### 例 3: `user1` に異なるレベルで複数の権限が付与されている
<a name="example-3"></a>

 ダッシュボードのアクセス権限: 
+  `user1` に `Admin` ロール (親フォルダから継承) が付与されている。
+  `user1` に `Editor` ロールが付与されており、編集が可能。

 結果: より低い権限を優先させることはできません。最も高い権限が常に優先されるため、`user1` には管理者権限があります。

## 概要
<a name="summary"></a>
+  **表示**: 既存のダッシュボードまたはフォルダのみを表示できます。
+  より高い権限レベルを持つ一般的なルールが存在する場合、より低い権限レベルの具体的な権限は効果を持ちません。

# データソースの権限機能
<a name="data-source-permissions"></a>

デフォルトでは、データソースは任意のユーザーがクエリできます。例えば、`Viewer` ロールを持つユーザーは、アクセス権を持つダッシュボードにあるクエリだけでなく、データソースにもクエリを発行できます。

データソースの権限機能を使用することで、ユーザーがデータソースをクエリするためのアクセス権限を制限できます。各データソースに権限ページがあり、特定の**ユーザー**と**チーム**に対してクエリ権限を付与または制限することができます。

## データソースの権限機能の有効化
<a name="enable-data-source-permissions"></a>

データソースの権限機能が有効になっている場合、そのデータソースへの管理者アクセス権限およびクエリアクセス権限は、デフォルトで管理者ユーザーに制限されます。特定のユーザーやチームに対して、選択的にアクセス権を付与することができます。

**データソースの権限機能を有効にする方法**

1. [**設定**]、[**データソース**] の順に移動します。Grafana バージョン 10 をサポートするワークスペースの場合は、[**接続**]、[**データソース**] の順に移動します。

1. 権限機能を有効にするデータソースを選択します。

1. **[権限]** タブで、**[有効]** を選択します。

**警告**  
デフォルトのデータソースの権限機能を有効にすると、権限リストにないユーザーはクエリを呼び出すことができません。デフォルトのデータソースを使用するパネルは、それらのユーザーに対して `Access denied to data source` エラーを返します。

## ユーザーとチームにデータソースのクエリを許可する
<a name="allow-users-and-teams-to-query-a-data-source"></a>

データソースの権限機能を有効にした後は、デフォルトでは管理者のみがそのデータソースにアクセスできます。ユーザーまたはチームにクエリ権限を割り当てることができます。クエリ権限を付与することで、データソースをクエリするためのアクセス権が付与されます。

**ユーザーとチームにクエリ権限を割り当てる方法**

1. [**設定**]、[**データソース**] の順に移動します。Grafana バージョン 10 をサポートするワークスペースの場合は、[**接続**]、[**データソース**] の順に移動します。

1. クエリ権限を付与するデータソースを選択します。

1. [**権限**] タブで、[**権限を追加する**] を選択します。

1. [**チーム**] または [**ユーザー**] を選択します。Grafana バージョン 10 以降をサポートするワークスペースでは、[**サービスアカウント**] または [**ロール**] を選択することもできます。

1. クエリ権限を付与するチーム、ユーザー、サービスアカウント、またはロールを選択し、[**保存**] を選択します。

## データソースの権限機能の無効化
<a name="disable-data-source-permissions"></a>

データソースの権限機能を有効にしていて、データソースの権限機能をデフォルトに戻す場合は、次の手順に従います。

**注記**  
データソース用に作成された既存の権限は*すべて*削除されます。

**データソースに対する権限の編集方法**

1. [**設定**]、[**データソース**] の順に移動します。Grafana バージョン 10 をサポートするワークスペースの場合は、[**接続**]、[**データソース**] の順に移動します。

1. 権限機能を無効にするデータソースを選択します。

1. **[権限]** タブで、**[権限機能の無効化]** を選択します。