翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Managed Grafana ワークスペース AWS IAM アイデンティティセンター で を使用する
<a name="authentication-in-AMG-SSO"></a>

Amazon Managed Grafana は と統合 AWS IAM アイデンティティセンター して、ワークフォースに ID フェデレーションを提供します。Amazon Managed Grafana と IAM Identity Center を使用した場合、ユーザーはまず、自社のディレクトリにリダイレクトされ、既存の認証情報でサインインします。その後、Amazon Managed Grafana ワークスペースにシームレスにサインインされます。これにより、パスワードポリシーや 2 要素認証などのセキュリティ設定が適用されます。IAM Identity Center を使用した場合も、既存の IAM 設定には影響しません。

既存のユーザーディレクトリがない場合、またはフェデレーションを希望しない方のために、IAM Identity Center は Amazon Managed Grafana のユーザーとグループを作成するために使用できる統合ユーザーディレクトリを提供しています。Amazon Managed Grafana では、IAM ユーザーとロールを使用して Amazon Managed Grafana ワークスペース内のアクセス権限を割り当てることはできません。

IAM Identity Center の詳細については、[「 とは AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。IAM Identity Center を始めるための詳細については、「[開始方法](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)」を参照してください。

IAM Identity Center を使用するには、アカウントに対して も AWS Organizations アクティブ化されている必要があります。必要に応じて、Amazon Managed Grafana は、IAM Identity Center を使用するように設定された最初のワークスペースを作成するときに Organizations をアクティブ化することもできます。

## IAM Identity Center を使用するために必要なアクセス権限
<a name="SSO-permission-scenarios"></a>

このセクションでは、Amazon Managed Grafana で IAM Identity Center を使用するために必要なポリシーについて説明します。Amazon Managed Grafana を管理するために必要なポリシーは、 AWS アカウントが組織に参加しているかどうかによって異なります。

### AWS Organizations アカウントに Grafana 管理者を作成する
<a name="SSO-policy-org"></a>

組織内の Amazon Managed Grafana ワークスペースを作成および管理するためのアクセス許可を付与し、 などの依存関係を許可するには AWS IAM アイデンティティセンター、次のポリシーをロールに割り当てます。
+ **AWSGrafanaAccountAdministrator** IAM ポリシー: Amazon Managed Grafana ワークスペースの管理を許可します。
+ **AWSSSODirectoryAdministrator**: Amazon Managed Grafana ワークスペースの設定時に IAM Identity Center の使用を許可します。
+ **AWSSSOMasterAccountAdministrator** IAM ポリシー: 組織全体の Amazon Managed Grafana ワークスペースの作成と管理を許可する場合、これを付与します。**AWSSSOMemberAccountAdministrator** IAM ポリシー: 組織の単一のメンバーアカウント内のワークスペースの作成と管理を許可する場合、これを付与します。
+ **AWSMarketplaceManageSubscriptions** IAM ポリシー (または同等のアクセス許可): Amazon Managed Grafana ワークスペースを Grafana エンタープライズにアップグレードすることを許可します (任意)。

Amazon Managed Grafana ワークスペースの作成時にサービス管理のアクセス許可を使用する場合、ワークスペースを作成するロールに `iam:CreateRole`、`iam:CreatePolicy`、および `iam:AttachRolePolicy` 権限も必要です。これらの権限は、 CloudFormation StackSets を使用して、組織のアカウント内のデータソースを読み取ることを許可するポリシーを展開するために必要です。

**重要**  
ユーザーに、`iam:CreateRole`、`iam:CreatePolicy`、および `iam:AttachRolePolicy` アクセス許可を付与すると、そのユーザーには、 AWS アカウントへの完全な管理アクセス許可が与えられます。たとえば、これらのアクセス許可を持つユーザーは、すべてのリソースに対する完全なアクセス許可を持つポリシーを作成し、そのポリシーを任意のロールにアタッチできます。これらのアクセス許可を付与するユーザーには十分注意してください。

**AWSGrafanaAccountAdministrator** に付与された権限を確認するには、「[AWS マネージドポリシー: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)」を参照してください。

### Amazon Managed Grafana ワークスペースとユーザーを単一のスタンドアロンアカウントで作成および管理する
<a name="SSO-examples-standalone"></a>

スタンドアロン AWS アカウントは、組織のメンバーではないアカウントです。詳細については AWS Organizations、[「 とは」を参照してください AWS Organizations。](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)

スタンドアロンアカウントで Amazon Managed Grafana ワークスペースとユーザーを作成および管理するための権限を付与するには、次の IAM ポリシーをロールに割り当てます。
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrator**

**重要**  
**AWSOrganizationsFullAccess** ポリシーをロールに付与すると、そのロールに AWS アカウントへの完全な管理アクセスが許可されます。これらのアクセス許可を付与するユーザーには十分注意してください。

**AWSGrafanaAccountAdministrator** に付与された権限を確認するには、「[AWS マネージドポリシー: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)」を参照してください。