기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon Managed Grafana에서 워크스페이스, 사용자 및 정책 관리
Amazon Managed Grafana를 사용하려면 Grafana 워크스페이스를 생성합니다. Grafana 워크스페이스는 Grafana 대시보드 및 시각화를 생성하여 지표, 로그 및 추적을 분석할 수 있는 논리적 Grafana 서버입니다. 사용자를 추가하고 워크스페이스를 관리 또는 편집하거나 볼 수 있는 권한을 관리합니다.
워크스페이스를 최신 버전의 Grafana로 업그레이드하거나 업데이트하여 Enterprise 플러그인에 대한 지원을 추가하면 워크스페이스에서 더 많은 유형의 데이터 소스에 액세스할 수 있습니다. 또한 워크스페이스에 대한 네트워크 액세스를 관리할 수도 있습니다. 를 사용하여 Amazon Managed Grafana 워크스페이스를 생성하고 관리할 수 있습니다 CloudFormation.
이 섹션의 주제에서는 Amazon Managed Grafana에서 워크스페이스, 사용자 및 정책을 관리하는 방법을 설명합니다.
**Topics**
+ [Grafana 버전 간 차이](version-differences.md)
+ [Amazon Managed Grafana 워크스페이스 생성](AMG-create-workspace.md)
+ [Amazon Managed Grafana 워크스페이스에서 사용자 인증](authentication-in-AMG.md)
+ [워크스페이스 버전 업데이트](AMG-workspace-version-update.md)
+ [Enterprise 플러그인에 대한 액세스 관리](upgrade-to-enterprise-plugins.md)
+ [Amazon Managed Grafana 워크스페이스 간 콘텐츠 마이그레이션](AMG-workspace-content-migration.md)
+ [Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 액세스 관리](AMG-manage-users-and-groups-AMG.md)
+ [데이터 소스 및 알림 채널에 대한 권한 관리](AMG-datasource-and-notification.md)
+ [를 사용하여 Amazon Managed Grafana 리소스 생성 AWS CloudFormation](creating-resources-with-cloudformation.md)
+ [Amazon Managed Grafana 워크스페이스에 대한 네트워크 액세스 구성](AMG-configure-nac.md)
+ [저장 시 암호화](AMG-encryption-at-rest.md)
+ [Amazon Managed Grafana에서 Amazon VPC의 데이터 소스 또는 알림 채널에 연결](AMG-configure-vpc.md)
+ [Amazon Managed Grafana 워크스페이스 구성](AMG-configure-workspace.md)
+ [Amazon Managed Grafana 워크스페이스 삭제](AMG-edit-delete-workspace.md)
# Grafana 버전 간 차이
[Grafana 워크스페이스를 생성](AMG-create-workspace.md)하는 경우 생성할 Grafana 버전을 선택해야 합니다. Grafana 버전 8, 9 및 10과 호환되는 버전 중에서 선택할 수 있습니다. 이들 각각은 이전 버전의 기능을 추가했습니다. 다음 주제에서는 버전 9에서 사용하는 기능이 중단될 수 있는 버전 10의 변경 사항을 포함하여 버전 9 및 10의 변경 사항을 설명합니다.
**참고**
[Grafana 버전 8에서 작업](using-grafana-v8.md), [Grafana 버전 9에서 작업](using-grafana-v9.md) 및 [Grafana 버전 10에서 작업](using-grafana-v10.md) 주제에서 Grafana 워크스페이스 사용에 대한 버전별 설명서를 읽을 수 있습니다.
버전별 자세한 참고 사항과 Grafana Labs에 대한 자세한 내용은 *Grafana Labs 설명서*의 [What's new in Grafana](https://grafana.com/docs/grafana/latest/whatsnew/)를 참조하세요.
## Grafana 버전 10
다음 기능은 Grafana 버전 10에서 추가되었습니다.
+ **상관관계** - 상관관계는 한 데이터 소스의 데이터를 사용하여 다른 데이터 소스의 데이터를 쿼리하는 방법을 정의하고, 이를 통해 탐색 시각화에서 표시된 데이터와 관련된 쿼리를 쉽게 실행할 수 있습니다. 자세한 내용은 [Grafana 버전 10에서의 상관관계](v10-correlations.md) 섹션을 참조하세요.
+ **하위 폴더** - 대시보드를 구성할 때 하위 폴더를 사용하여 중첩 계층을 생성할 수 있습니다. 자세한 내용은 [대시보드 폴더 생성](v10-dash-managing-dashboards.md#v10-dash-create-dashboard-folder) 섹션을 참조하세요.
+ **알림** - Grafana 알림은 이제 알림 무음 기능을 지원합니다. 또한 Grafana 알림은 더 이상 알림을 3번 전송하지 않습니다.
+ **업그레이드 미리 보기 알림** - 클래식 대시보드 알림에서 Grafana 알림으로 업그레이드하기 전에 알림의 모양을 보고 마이그레이션 시 적용되는 변경 사항도 확인할 수 있습니다. 자세한 내용은 [Grafana 알림으로 클래식 대시보드 알림 마이그레이션](v10-alerting-use-grafana-alerts.md) 섹션을 참조하세요. Grafana Labs는 Grafana 버전 11 이상이 더 이상 클래식 대시보드 알림을 지원하지 않을 것이라고 발표했습니다.
+ **지원 번들** - 지원 번들을 통해 Grafana 워크스페이스에 대한 정보를 수집하여 제품 지원과 간단하게 공유할 수 있습니다. 마이그레이션, 플러그인, 설정 등에 대한 데이터가 포함된 지원 번들을 빠르게 생성할 수 있습니다. 자세한 내용은 [지원을 위한 정보 수집](support-bundles.md) 섹션을 참조하세요.
+ **새 시각화** - 세 가지 새로운 시각화를 사용할 수 있습니다. [XY 차트](v10-panels-xychart.md), [데이터 그리드](v10-panels-datagrid.md), [추세 패널](v10-panels-trend.md)은 모두 버전 10과 호환되는 워크스페이스에 대해 사용할 수 있습니다. 버전 9 워크스페이스에서는 XY 차트도 사용할 수 있습니다.
+ **PagerDuty** – 이제 Enterprise 플러그인에 PagerDuty용 플러그인이 포함됩니다.
+ **변환 재설계** - 변환 탭에서 사용자 경험과 시각적 설계를 개선했습니다. 변환은 분류되며 각 변환 유형에는 올바른 변환을 선택하는 데 도움이 되는 그림이 있습니다.
+ **Prometheus 지표 백과사전** - Prometheus 쿼리 빌더의 Prometheus 지표에 대한 지표 드롭다운에서 페이지 매김 기능이 적용되고 검색 가능한 지표 *백과사전*으로 대체되었습니다.
+ **API 키 UI 중단** - Grafana HTTP API에 대한 직접 호출을 인증하는 방법으로 [서비스 계정](service-accounts.md)을 사용할 것을 권장합니다. Grafana Labs가 API 키 중단 작업을 진행함에 따라 더는 워크스페이스 사용자 인터페이스를 통해 API 키를 생성할 수 없습니다. API를 통해서만 API 키를 생성할 수 AWS APIs.
Grafana Labs의 API 키 중단에 대한 자세한 내용은 Grafana GitHub 문제 목록에서 [APIKeys: Sunsetting of API keys](https://github.com/grafana/grafana/issues/53567)를 참조하세요.
**호환성에 영향을 미치는 변경 사항**
Grafana 버전 10.4 릴리스에는 Grafana 버전 9.5\$110.4의 변경 사항이 포함되어 있습니다. Grafana 버전 10.0 및 10.3에는 경우에 따라 기능이 중단될 수 있는 몇 가지 변경 사항이 있었습니다. 새 버전으로 업데이트하는 경우 프로덕션 워크스페이스를 업데이트하기 전에 비프로덕션 환경에서 테스트하는 것이 좋습니다.
다음 변경 사항은 Grafana 버전 10으로 업데이트하는 일부 사용자에게 영향을 미칠 수 있습니다.
+ **Angular 중단** - 향후 Grafana 릴리스에서는 Angular를 사용하는 플러그인을 더는 지원하지 않습니다. 버전 10에서는 Angular를 사용하는 패널에 더는 지원하지 않는 기능을 사용하고 있다는 배너를 표시하여 향후 버전에서는 해당 기능이 작동하지 않을 것임을 알립니다.
+ **CloudWatch의 별칭이 제거됨** - CloudWatch 쿼리 편집기의 별칭 패턴이 레이블(동적 레이블)로 대체되었습니다.
별칭 필드를 사용하는 대시보드를 열고 저장합니다. 별칭은 레이블로 자동으로 마이그레이션됩니다.
+ **이전 플러그인 업그레이드 필요** - Athena 및 Amazon Redshift 데이터 소스에 대한 플러그인은 Grafana v10 워크스페이스에서 업데이트해야 합니다. Athena 데이터 소스 플러그인은 버전 2.9.3 이상이어야 하며 Amazon Redshift 데이터 소스 플러그인은 버전 1.8.3 이상이어야 합니다.
플러그인 설치 또는 업그레이드에 대한 자세한 내용은 [플러그인 카탈로그를 사용하여 플러그인 찾기](grafana-plugins.md#plugin-catalog) 섹션을 참조하세요.
+ **DoiT BigQuery 플러그인은 더 이상 지원되지 않음** - DoiT BigQuery 데이터 소스 플러그인은 더 이상 지원되지 않습니다. 대신 공식 Grafana Labs BigQuery 데이터 소스 플러그인을 사용합니다.
+ **변환 변경** - Grafana 버전 10에는 필드 이름 및 키에 대한 몇 가지 버그 수정 사항이 있습니다. 자세한 내용은 Grafana Labs 설명서의 [Transformation breaking changes](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#transformations)를 참조하세요.
+ **데이터 소스 권한 API** - 데이터 소스 권한에 액세스하기 위한 엔드포인트가 변경되었습니다. 자세한 내용은 Grafana Labs 설명서의 [Data source permissions changes](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#data-source-permissions)를 참조하세요.
호환성에 영향을 미치는 변경 사항 및 플러그인 개발자에게 영향을 미치는 변경 사항에 대한 자세한 내용은 *Grafana Labs 설명서*의 다음 주제를 참조하세요.
+ [Grafana v10.0에서 호환성에 영향을 미치는 변경 사항](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-0/)
+ [Grafana v10.3에서 호환성에 영향을 미치는 변경 사항](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/)
## Grafana 버전 9
다음 기능은 Grafana v9에서 추가되었습니다.
+ **알림**: 이제 Grafana 관리형 알림 규칙에서 그룹 이름을 지원합니다.
+ **탐색**: 탐색 보기에서 대시보드를 생성합니다.
+ **Prometheus 쿼리**: Prometheus 쿼리에 대한 새 쿼리 빌더(PromQL 사용)를 사용하면 쿼리를 더 쉽게 작성할 수 있습니다.
+ **Loki 쿼리**: Loki 쿼리에 대한 새 쿼리 빌더(LogQL 사용)를 사용하면 쿼리를 더 쉽게 작성할 수 있습니다.
+ **API 토큰/서비스 계정**: 서비스 계정은 Grafana에서 시스템 액세스를 단순화하여 API 토큰을 관리하는 데 도움이 됩니다.
+ **플러그인 관리**: 플러그인 관리를 활성화하여 워크스페이스에서 커뮤니티 플러그인을 설치, 제거 또는 업데이트할 수 있습니다. 이를 통해 더 많은 데이터 소스와 시각화에 액세스할 수 있으며 사용하는 각 플러그인의 버전을 제어할 수 있습니다.
+ **지표 추적**: 쿼리 및 태그가 있는 지표에 대한 링크를 추가하도록 추적 데이터 소스를 구성합니다.
+ **캔버스 패널**: 정적 및 동적 요소가 포함된 새로운 패널 시각화로, 이미지와 오버레이 텍스트가 포함된 데이터 기반 사용자 지정 패널을 생성합니다.
+ **재구성된 인터페이스**: Grafana 콘솔에서 더 쉽게 탐색할 수 있도록 UI를 업데이트했습니다.
+ **CloudWatch**: Amazon CloudWatch 데이터 소스는 이제 여러 지표 AWS 계정 를 모니터링할 수 있습니다 AWS 리전.
+ **로그**: 로그 세부 정보에 대한 인터페이스가 개선되었습니다.
+ **일반**: 전반적인 버그 수정 및 사소한 개선 사항.
**호환성에 영향을 미치는 변경 사항**
Grafana 버전 9.4 릴리스는 이전 버전을 기반으로 한 다양한 새로운 기능과 개선 사항을 포함합니다. 해당 버전의 변경 사항에 따라 일부 상황에 기능이 정상 작동하지 않을 수 있습니다. 새 버전으로 업데이트할 경우, 프로덕션 워크스페이스를 업데이트하기 전에 비프로덕션 환경에서 테스트할 것을 권장합니다.
다음 변경 사항은 Grafana 버전 9.4로 업데이트하는 일부 사용자에게 영향을 미칠 수 있습니다. 이러한 변경 사항에 대한 자세한 목록은 *GitHub*의 [Grafana 9.4 변경 로그](https://github.com/grafana/grafana/blob/release-9.4.17/CHANGELOG.md)를 참조하세요.
+ **API 중단** - `/api/tsdb/query` API가 제거되었습니다.
**필요한 작업:**`/api/ds/query`를 사용합니다. *Grafana 공개 설명서*의 [데이터 소스 쿼리](https://grafana.com/docs/grafana/latest/http_api/data_source/#query-a-data-source) 및 *GitHub*의 문제 [\$149916](https://github.com/grafana/grafana/issues/49916)을 참조하세요.
+ **API 엔드포인트 변경** - 이제 여러 알림 API 엔드포인트에 숫자 ID 대신 데이터 소스 UID가 필요합니다.
**영향을 받는 엔드포인트:** `api/v1/rule/test`, `api/prometheus/`, `api/ruler/`, `api/alertmanager/`
**필요한 작업:** API 호출을 업데이트하여 데이터 소스 UID를 경로 파라미터로 사용합니다. *GitHub*의 문제 [\$148070](https://github.com/grafana/grafana/issues/48070), [\$148052](https://github.com/grafana/grafana/issues/48052), [\$148046](https://github.com/grafana/grafana/issues/48046) 및 [\$147978](https://github.com/grafana/grafana/issues/47978)을 참조하세요.
+ **Azure Monitor 쿼리 제거** - Application Insights 및 Insight Analytics 쿼리는 더는 지원하지 않습니다.
Grafana 8.0에서는 사용되지 않으며 9.0에서는 제거되었습니다. 사용되지 않는 쿼리는 실행되지 않습니다.
**필요한 작업:** 마이그레이션 지침은 *Grafana 공개 설명서*의 [Azure Monitor 데이터 소스를](https://grafana.com/docs/grafana/latest/datasources/azuremonitor/deprecated-application-insights/) 참조하세요.
+ **브라우저 액세스 모드 제거** - InfluxDB 및 Prometheus 데이터 소스에는 브라우저 액세스 모드를 더는 사용할 수 없습니다.
**필요한 작업:** 데이터 소스 구성에서 서버 액세스 모드로 전환합니다. InfluxDB: 8.0.0에서는 사용되지 않으며 9.2.0에서는 제거되었습니다. *GitHub*의 문제 [\$153529](https://github.com/grafana/grafana/issues/53529)를 참조하세요. Prometheus: 7.4.0에서는 사용되지 않으며 9.2.0에서는 제거되었습니다. *GitHub*의 문제 [\$150162](https://github.com/grafana/grafana/issues/50162)를 참조하세요.
+ **대시보드 설정 액세스 제한** - 이제 패널을 편집하는 동안 대시보드 설정을 열 수 없습니다.
패널 편집 모드가 활성화되면 대시보드 설정이 잠깁니다. 대시보드 설정에 액세스하기 전에 패널 편집 모드를 닫으세요. *GitHub*의 문제 [\$154746](https://github.com/grafana/grafana/issues/54746)을 참조하세요.
+ **데이터 소스 암호 암호화** - 암호화되지 않은 암호는 더는 지원하지 않습니다.
**필요한 작업:**`secureJsonData.password` 및 `secureJsonData.basicAuthPassword`를 사용합니다. 이전에는 v8.1.0에서 중단되었습니다. *GitHub*의 문제 [\$149987](https://github.com/grafana/grafana/issues/49987)을 참조하세요.
+ **기본 데이터 소스 동작** - 기본 데이터 소스 선택은 더는 기존 패널에 영향을 주지 않습니다.
기본 데이터 소스는 새 패널에만 적용됩니다. 기본값을 변경해도 기존 대시보드는 업데이트되지 않습니다. 이전에 저장된 패널은 데이터 소스 구성을 유지합니다. *GitHub*의 문제 [\$145132](https://github.com/grafana/grafana/issues/45132)를 참조하세요.
+ **Elasticsearch 간격 속성 변경** - Elasticsearch 7.x에 대한 쿼리 간격 사양이 업데이트되었습니다.
`interval`에서 `fixed_interval` 속성으로 변경되었습니다. Elasticsearch 8.x와 일관성을 제공합니다. 대부분의 쿼리에는 변경 사항이 가시적으로 표시되지 않습니다. *GitHub*의 문제 [\$150297](https://github.com/grafana/grafana/issues/50297)을 참조하세요.
+ **Elasticsearch 원시 문서 모드 중단** - Elasticsearch 데이터 소스에 모드 변경 사항을 표시합니다.
**필요한 작업:** **원시 데이터** 모드를 사용합니다. *GitHub*의 문제 [\$162236](https://github.com/grafana/grafana/issues/62236)을 참조하세요.
+ **Elasticsearch 버전 지원** - 이전 Elasticsearch 버전은 더는 지원하지 않습니다.
**필요한 작업:** Elasticsearch를 버전 7.10.0 이상으로 업그레이드합니다. 7.10.0 미만의 버전은 중단된 버전입니다. *GitHub*의 문제 [\$148715](https://github.com/grafana/grafana/issues/48715)를 참조하세요.
+ **Explore URL 형식 중단** - 단축 Explore URL이 향후 릴리스에서 제거될 예정입니다.
**필요한 작업:** 표준 URL 형식을 사용하도록 하드 코딩된 링크를 업데이트합니다. 단축 URLs: `&left=["now-1h","now"...]`. 표준 URLs: `&left={"datasource":"test"...}`. *GitHub*의 문제 [\$150873](https://github.com/grafana/grafana/issues/50873)을 참조하세요.
+ **GitHub OAuth 디스플레이 변경** - GitHub 이름 및 로그인 디스플레이가 업데이트되었습니다.
GitHub 이름이 Grafana 이름으로 표시됩니다. GitHub 로그인이 Grafana 로그인으로 표시됩니다. 사용자를 더욱 명확하게 식별하도록 개선합니다. *GitHub*의 문제 [\$145438](https://github.com/grafana/grafana/issues/45438)을 참조하세요.
+ **히트맵 패널 구현 업데이트** - 히트맵 패널은 9.1.0부터 새로운 구현을 사용합니다.
렌더링 성능이 크게 향상되었습니다. 버킷은 적절한 경계(1분, 5분, 30초)에 배치됩니다. 라운드 셀은 더는 지원하지 않습니다.
**필요한 작업:** 업그레이드 후 히트맵 패널을 테스트합니다. 필요한 경우 `useLegacyHeatmapPanel` 기능 플래그를 true로 설정하여 새로운 구현을 비활성화합니다. 테스트를 위해 대시보드 URLs에 `?__feature.useLegacyHeatmapPanel=true`를 추가합니다. *GitHub*의 문제 [\$150229](https://github.com/grafana/grafana/issues/50229)를 참조하세요.
+ **InfluxDB 백엔드 마이그레이션** - InfluxDB 데이터 구문 분석 동작이 변경되었습니다.
백엔드 처리 문제로 인해 InfluxDB 백엔드 마이그레이션 기능 토글(`influxdbBackendMigration`)을 다시 도입합니다. 기본적으로 InfluxDB 데이터의 구문 분석은 프론트엔드에서 수행합니다. 9.4.4로 업그레이드하고 InfluxDB 데이터에 변환을 추가하면 해당 패널이 렌더링되지 않습니다.
**필요한 작업:** 영향을 받는 패널을 제거하고 다시 생성하거나 `panel.json` 또는 `dashboard.json`에서 `time` 필드를 `Time`으로 편집합니다. *GitHub*의 문제 [\$164842](https://github.com/grafana/grafana/issues/64842)를 참조하세요.
+ **로그 메시지 형식 업데이트** - 로그 메시지 구조가 변경되었습니다.
`lvl`은 이제 `level`입니다. `eror` 및 `dbug`는 이제 `error` 및 `debug`입니다. 타임스탬프 정밀도가 향상되었습니다. `oldlog` 기능 토글을 통해 옵트아웃할 수 있습니다(임시). *GitHub*의 문제 [\$147584](https://github.com/grafana/grafana/issues/47584)를 참조하세요.
+ **Loki 데이터 형식 최적화** - Loki 로그 데이터는 더욱 효율적인 데이터프레임 형식을 사용합니다.
별도의 여러 데이터 프레임 대신 **레이블** 열이 있는 단일 데이터 프레임을 사용합니다. 탐색 및 로그 패널은 변경 없이 작동합니다. 다른 패널 또는 변환을 조정해야 할 수 있습니다.
**필요한 작업:** **레이블에서 필드** 변환을 **필드 추출** 변환으로 교체합니다. *GitHub*의 문제 [\$147153](https://github.com/grafana/grafana/issues/47153)을 참조하세요.
+ **NaN 값 처리** - Prometheus 및 Loki 데이터 소스 전반에서 일관된 `NaN` 표현을 제공합니다.
`NaN` 값은 `null`로 변환되는 대신 `NaN`으로 유지됩니다. 대부분 변경 사항은 사용자에게 보이지 않습니다. 대시보드 경로와 알림 경로 모두에 영향을 줍니다. *GitHub*의 문제 [\$149475](https://github.com/grafana/grafana/issues/49475) 및 [\$145389](https://github.com/grafana/grafana/issues/45389)를 참조하세요.
+ **암호 재설정 링크 무효화** - 업그레이드 후에는 기존 암호 재설정 링크가 작동하지 않습니다.
업그레이드 전에 전송된 암호 재설정 링크가 잘못되었습니다. 사용자는 새 암호 재설정 링크를 요청해야 합니다. 링크는 2시간 후에 만료됩니다. *GitHub*의 문제 [\$142334](https://github.com/grafana/grafana/issues/42334)를 참조하세요.
+ **예약 레이블 접두사** - `grafana_`로 시작하는 레이블은 예약되어 있습니다.
`grafana_`로 시작하는 수동 구성 레이블을 덮어쓸 수 있습니다. 현재 예약된 레이블: `grafana_folder`(알림이 포함된 폴더의 제목). *GitHub*의 문제 [\$150262](https://github.com/grafana/grafana/issues/50262)를 참조하세요.
+ **변환 개선** - **정규식 변환을 통한 이름 바꾸기는** 이제 글로벌 패턴을 지원합니다.
글로벌 패턴은 `//g` 형식을 사용합니다. 일부 변환은 다르게 동작할 수 있습니다. 이전 방식으로 동작하려면 일치 문자열 앞뒤로 슬래시(/)를 사용합니다. 즉, `(.*)`를 `/(.*)/`로 만듭니다. *GitHub*의 문제 [\$148179](https://github.com/grafana/grafana/issues/48179)를 참조하세요.
# Amazon Managed Grafana 워크스페이스 생성
*워크스페이스*는 논리적 Grafana 서버입니다. 계정의 각 리전에 최대 5개의 워크스페이스를 보유할 수 있습니다.
**필요한 권한**
워크스페이스를 생성하려면 **AWSGrafanaAccountAdministrator** 정책이 연결된 AWS Identity and Access Management (IAM) 보안 주체에 로그인해야 합니다.
권한 부여를 위해 IAM Identity Center를 사용하는 첫 번째 워크스페이스를 생성하려면 IAM 위탁자에 다음과 같은 추가 정책(또는 이와 동등한 권한)도 연결되어 있어야 합니다.
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectoryAdministrator**
자세한 내용은 [IAM Identity Center를 사용하여 단일 독립 실행형 계정에서 Amazon Managed Grafana 워크스페이스와 사용자 생성 및 관리](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone) 단원을 참조하십시오.
## 워크스페이스 생성
다음 단계에서는 새 Amazon Managed Grafana 워크스페이스를 생성하는 프로세스를 안내합니다.
**Amazon Managed Grafana에서 워크스페이스를 생성하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. **워크스페이스 생성**을 선택합니다.
1. **워크스페이스 세부 정보** 창의 **워크스페이스 이름**에 워크스페이스 이름을 입력하세요.
선택적으로 워크스페이스에 대한 설명을 입력합니다.
선택적으로 이 워크스페이스와 연결할 태그를 추가합니다. 태그는 워크스페이스를 식별하고 구성하는 데 도움이 되며 AWS 리소스에 대한 액세스를 제어하는 데에도 사용할 수 있습니다. 예를 들어 워크스페이스에 태그를 할당할 수 있으며 제한된 그룹 또는 역할만 태그를 사용하여 워크스페이스에 액세스할 수 있는 권한을 가질 수 있습니다. 태그 기반 액세스 제어에 대한 자세한 내용은 IAM 사용 설명서의 [태그를 사용하여 AWS 리소스에 대한 액세스 제어를](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) 참조하세요.
![\[Workspace details form with name field and optional tags section highlighted.\]](http://docs.aws.amazon.com/ko_kr/grafana/latest/userguide/images/tagworkspace.png)
1. 워크스페이스에 대한 **Grafana 버전**을 선택하세요. 버전 8, 9 또는 10을 선택할 수 있습니다. 버전 간 차이를 이해하려면 [Grafana 버전 간 차이](version-differences.md) 섹션을 참조하세요.
1. **다음**을 선택합니다.
1. **인증 액세스**에서 **AWS IAM Identity Center **, **Security Assertion Markup Language(SAML)** 또는 둘 다 선택하세요. 자세한 내용은 [Amazon Managed Grafana 워크스페이스에서 사용자 인증](authentication-in-AMG.md) 단원을 참조하십시오.
+ **IAM Identity Center** - IAM Identity Center를 선택하고 계정 AWS IAM Identity Center 에서를 아직 활성화하지 않은 경우 첫 번째 IAM Identity Center 사용자를 생성하여 활성화하라는 메시지가 표시됩니다. IAM Identity Center에서는 Amazon Managed Grafana 워크스페이스에 액세스하도록 사용자 관리를 처리합니다.
IAM Identity Center를 활성화하려면 다음 단계를 수행하세요.
1. **사용자 생성**을 선택합니다.
1. 사용자의 이메일 주소, 이름, 성을 입력하고 **사용자 생성**을 선택하세요. 이 자습서에서는 Amazon Managed Grafana 평가판 사용 시 사용할 계정의 이름과 이메일 주소를 사용합니다. IAM Identity Center의 이 계정에 대한 암호를 생성하라는 이메일 메시지가 수신됩니다.
**중요**
사용자가 생성한 사용자는 Amazon Managed Grafana 워크스페이스에 자동으로 액세스할 수 없습니다. 나중 단계에서 워크스페이스 세부 정보 페이지를 통해 사용자에게 워크스페이스에 대한 액세스 권한을 제공합니다.
+ **SAML** - **SAML**을 선택하면 워크스페이스가 생성된 후 SAML 설정을 완료합니다.
1. **서비스 관리형** 또는 **고객 관리형**을 선택하세요.
**서비스 관리를** 선택하면 Amazon Managed Grafana는 IAM 역할을 자동으로 생성하고이 워크스페이스에 사용하도록 선택한이 계정의 AWS 데이터 소스에 필요한 권한을 프로비저닝합니다.
이러한 역할 및 권한을 직접 관리하려면 **고객 관리형**을 선택하세요.
조직의 멤버 계정에서 워크스페이스를 생성하는 경우 **서비스 관리형**을 선택하려면 멤버 계정이 조직의 위임된 관리자 계정이어야 합니다. 위임된 관리자 계정에 대한 자세한 내용은 [위임된 관리자 등록](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)을 참조하세요.
1. (선택 사항) 이 페이지에서 Amazon Virtual Private Cloud(VPC)에 연결하도록 선택하거나 나중에 VPC에 연결할 수 있습니다. 자세한 내용은 [Amazon Managed Grafana에서 Amazon VPC의 데이터 소스 또는 알림 채널에 연결](AMG-configure-vpc.md)를 참조하세요.
1. (선택 사항) 이 페이지에서 다음을 포함한 다른 워크스페이스 구성 옵션을 선택할 수 있습니다.
+ [Grafana 알림](alerts-overview.md)을 활성화하세요. Grafana 알림 기능을 사용하면 Grafana 알림 및 Grafana 워크스페이스 내 단일 알림 인터페이스 내에서 Prometheus에 정의된 알림을 볼 수 있습니다.
버전 8 또는 9를 실행하는 워크스페이스에서 Grafana 알림에 대한 여러 알림을 전송합니다. Grafana에 정의된 알림을 사용하는 경우 워크스페이스를 버전 10.4 이상으로 생성하는 것이 좋습니다.
+ Grafana 관리자가 이 워크스페이스에 대한 [플러그인을 관리](grafana-plugins.md)할 수 있도록 허용합니다. 플러그인 관리를 활성화하지 않으면 관리자는 워크스페이스에 플러그인을 설치, 제거 또는 제거할 수 없습니다. Amazon Managed Grafana에서 함께 사용할 수 있는 데이터 소스 및 시각화 패널 유형으로 제한될 수 있습니다.
워크스페이스를 생성한 후 이러한 구성을 변경할 수도 있습니다. 워크스페이스 구성에 대해 자세히 알아보려면 [Amazon Managed Grafana 워크스페이스 구성](AMG-configure-workspace.md) 섹션을 참조하세요.
1. (선택 사항) 워크스페이스에 대한 **네트워크 액세스 제어**를 추가하도록 선택할 수 있습니다. 네트워크 액세스 제어를 추가하려면 **제한된 액세스**를 선택하세요. 워크스페이스를 생성한 후에도 네트워크 액세스 제어를 활성화할 수 있습니다.
네트워크 액세스 제어에 대한 자세한 내용은 [Amazon Managed Grafana 워크스페이스에 대한 네트워크 액세스 구성](AMG-configure-nac.md) 섹션을 참조하세요.
1. (선택 사항) 기본적으로 Amazon Managed Grafana는 저장 시 암호화를 자동으로 제공하고 AWS소유 암호화 키를 사용하여이 작업을 수행합니다. 하지만 대신 생성, 소유 및 관리하는 고객 관리형 키를 사용할 수 있습니다. 자세한 내용은 [저장 시 암호화](AMG-encryption-at-rest.md) 단원을 참조하십시오.
1. **다음**을 선택합니다.
1. **서비스 관리를** 선택한 경우 **현재 계정을** 선택하여 Amazon Managed Grafana가 현재 계정의 AWS 데이터만 읽을 수 있도록 허용하는 정책 및 권한을 자동으로 생성하도록 합니다.
관리 계정 또는 조직의 위임된 관리자 계정에서 워크스페이스를 생성하는 경우 **조직을** 선택하여 Amazon Managed Grafana가 지정한 조직 단위의 다른 계정에서 AWS 데이터를 읽을 수 있도록 허용하는 정책 및 권한을 자동으로 생성하도록 할 수 있습니다. 위임된 관리자 계정에 대한 자세한 내용은 [위임된 관리자 등록](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)을 참조하세요.
**참고**
조직의 관리 계정에서 Amazon Managed Grafana 워크스페이스와 같은 리소스를 생성하는 것은 AWS 보안 모범 사례에 위배됩니다.
1. **조직을** 선택하고 AWS CloudFormation StackSets를 활성화하라는 메시지가 표시되면 **신뢰할 수 있는 액세스 활성화**를 선택합니다. 그런 다음 Amazon Managed Grafana에서 데이터를 읽을 AWS Organizations 조직 단위(OUs)를 추가합니다. 그런 다음 Amazon Managed Grafana는 선택한 각 OU의 모든 계정에서 데이터를 읽을 수 있습니다.
1. **조직**을 선택한 경우 **데이터 소스 및 알림 채널 - 선택 사항**을 선택하세요.
1. 이 워크스페이스에서 쿼리할 AWS 데이터 소스를 선택합니다. 데이터 소스를 선택하면 Amazon Managed Grafana에서 이러한 소스의 데이터를 읽을 수 있는 IAM 역할 및 권한을 생성할 수 있습니다. 여전히 Grafana 워크스페이스 콘솔에서 데이터 소스를 추가해야 합니다.
1. (선택 사항) 이 워크스페이스의 Grafana 알림을 Amazon Simple Notification Service(Amazon SNS) 알림 채널로 전송하려면 **Amazon SNS** 선택하세요. 그러면 Amazon Managed Grafana에서 IAM 정책을 생성하여 `grafana`로 시작하는 `TopicName` 값을 사용하는 계정의 Amazon SNS 주제에 게시할 수 있습니다. 아직 워크스페이스의 알림 채널로 Amazon SNS를 완전히 설정한 것은 아닙니다. 워크스페이스의 Grafana 콘솔에서 이 작업을 수행할 수 있습니다.
1. **다음**을 선택합니다.
1. 워크스페이스 세부 정보를 확인하고 **워크스페이스 생성**을 선택하세요.
워크스페이스 세부 정보 페이지가 나타납니다.
처음에 **상태**는 **생성 중**입니다.
**중요**
**활성** 상태가 될 때까지 기다린 후 다음 중 하나를 수행합니다.
SAML을 사용하는 경우 SAML 설정을 완료합니다.
IAM Identity Center를 사용하는 경우 IAM Identity Center 사용자에게 워크스페이스에 대한 액세스 권한을 할당합니다.
현재 상태를 보려면 브라우저를 새로 고쳐야 할 수도 있습니다.
1. IAM Identity Center를 사용하는 경우 다음을 수행하세요.
1. **인증** 탭에서 **새 사용자 또는 그룹 할당**을 선택하세요.
1. 워크스페이스 액세스 권한을 부여하려는 사용자 옆의 확인란을 선택하고 **사용자 할당**을 선택하세요.
1. 사용자 옆의 확인란을 선택하고 **관리자로 설정**을 선택하세요.
**중요**
Grafana 워크스페이스 콘솔에 로그인하여 워크스페이스를 관리하려면 각 워크스페이스에 대해 `Admin`으로 최소 한 명의 사용자를 할당합니다.
1. SAML을 사용하는 경우 다음을 수행합니다.
1. **인증** 탭의 **Security Assertion Markup Language(SAML)**에서 **설정 완료**를 선택하세요.
1. **가져오기 메서드**에서 다음 중 하나를 수행합니다.
+ **URL**을 선택하고 IdP 메타데이터의 URL을 입력하세요.
+ **업로드 또는 복사/붙여넣기**를 선택하세요. 메타데이터를 업로드하는 경우 **파일 선택**을 선택하고 메타데이터 파일을 선택하세요. 또는 복사 및 붙여넣기를 사용하는 경우 메타데이터를 **메타데이터 가져오기**에 복사하세요.
1. **어설션 속성 역할**에 역할 정보를 추출할 SAML 어설션 속성의 이름을 입력하세요.
1. **관리자 역할 값**에 Amazon Managed Grafana 워크스페이스에서 `Admin` 역할에 부여해야 하는 IdP의 사용자 역할을 입력하거나 **내 워크스페이스에 관리자 할당 옵트아웃**을 선택하세요.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Amazon Managed Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
1. (선택 사항) 추가 SAML 설정을 입력하려면 **추가 설정**을 선택하고 다음 중 하나 이상을 수행하세요. 이 모든 필드는 선택 사항입니다.
+ **어설션 속성 이름**에서 SAML 사용자에 대해 사용자의 '친숙'한 전체 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 로그인**에서 SAML 사용자에 대해 사용자의 로그인 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 이메일**에서 SAML 사용자에 대해 사용자의 이메일 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **로그인 유효 기간(분)**에서 사용자가 다시 로그인하기 전에 SAML 사용자의 로그인이 유효한 기간을 지정합니다. 기본값은 1일이고 최댓값은 30일입니다.
+ **어설션 속성 조직**에서 사용자 조직에 대해 사용자의 '친숙'한 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 그룹**에서 사용자 그룹에 대해 '친숙'한 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **허용된 조직**의 경우 IdP에서 특정 조직의 멤버인 사용자로만 사용자 액세스를 제한할 수 있습니다. 하나 이상의 허용할 조직을 쉼표로 구분하여 입력하세요.
+ **편집자 역할 값**에 Amazon Managed Grafana 워크스페이스에서 `Editor` 역할을 부여받아야 하는 IdP의 사용자 역할을 입력하세요. 하나 이상의 역할을 쉼표로 구분하여 입력하세요.
1. **SAML 구성 저장**을 선택하세요.
1. 워크스페이스 세부 정보 페이지의 **Grafana 워크스페이스 URL**에 표시된 URL을 선택하세요.
1. 워크스페이스 URL을 선택하면 Grafana 워크스페이스 콘솔의 랜딩 페이지로 이동합니다. 다음 중 하나를 수행하세요.
+ **SAML로 로그인**을 선택하고 이름과 암호를 입력하세요.
+ **로그인을 AWS IAM Identity Center** 선택하고이 절차의 앞부분에서 생성한 사용자의 이메일 주소와 암호를 입력합니다. 이러한 자격 증명은 Amazon Managed Grafana의 이메일에 응답한 경우에만(이때 IAM Identity Center의 암호를 생성하라는 프롬프트를 표시함) 작동합니다.
이제 Grafana 워크스페이스 또는 논리적 Grafana 서버에 있습니다. 데이터 쿼리, 시각화 및 분석을 위해 데이터 소스 추가를 시작할 수 있습니다. 자세한 내용은 [Grafana 워크스페이스 사용](AMG-working-with-Grafana-workspace.md) 단원을 참조하십시오.
관련된 자세한 내용은 다음을 참조하세요.
**작은 정보**
를 사용하여 Amazon Managed Grafana 워크스페이스 생성을 자동화할 수 있습니다 CloudFormation. 자세한 내용은 [를 사용하여 Amazon Managed Grafana 리소스 생성 AWS CloudFormation](creating-resources-with-cloudformation.md) 섹션을 참조하세요.
# Amazon Managed Grafana 워크스페이스에서 사용자 인증
개별 사용자는 워크스페이스에 로그인하여 대시보드를 편집하고 봅니다. 사용자를 워크스페이스에 할당하고 [사용자, 편집자 또는 관리자 권한을 부여](AMG-manage-users-and-groups-AMG.md)할 수 있습니다. 시작하려면 ID 제공업체를 생성하거나 기존 ID 제공업체를 사용하여 사용자를 인증합니다.
사용자는 IAM을 사용하는 대신 조직의 ID 제공업체를 사용하여 Single Sign-On을 통해 Amazon Managed Grafana 워크스페이스에서 Grafana 콘솔을 사용하도록 인증됩니다. 각 워크스페이스에서는 다음 인증 방법 중 하나 또는 둘 다를 사용할 수 있습니다.
+ Security Assertion Markup Language 2.0(SAML 2.0)을 지원하는 ID 제공업체(idP)에 저장된 사용자 자격 증명
+ AWS IAM Identity Center. AWS Single-sign-on(**AWS SSO**)이 **IAM Identity Center**로 브랜드가 변경되었습니다.
각 워크스페이스에 대해 SAML, IAM Identity Center 또는 둘 다를 사용할 수 있습니다. 하나의 방법을 사용하여 시작하는 경우 다른 방법을 사용하도록 전환할 수 있습니다.
사용자 또는 사용자가 속한 그룹에 워크스페이스에 대한 권한을 부여해야 워크스페이스 내 기능에 액세스할 수 있습니다. 사용자에게 권한 설정에 대한 자세한 내용은 [Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 액세스 관리](AMG-manage-users-and-groups-AMG.md) 섹션을 참조하세요.
**Topics**
+ [Amazon Managed Grafana 워크스페이스에서 SAML 사용](authentication-in-AMG-SAML.md)
+ [Amazon Managed Grafana 워크스페이스와 AWS IAM Identity Center 함께 사용](authentication-in-AMG-SSO.md)
# Amazon Managed Grafana 워크스페이스에서 SAML 사용
**참고**
Amazon Managed Grafana는 현재 워크스페이스에 대한 IdP 시작 로그인을 지원하지 않습니다. 빈 릴레이 상태로 SAML 애플리케이션을 설정해야 합니다.
SAML 인증을 사용하여 기존 ID 제공업체를 사용하고 Amazon Managed Grafana 워크스페이스의 Grafana 콘솔에 로그인하기 위한 Single Sign-On을 제공할 수 있습니다. IAM을 통해 인증하는 대신 Amazon Managed Grafana에 대한 SAML 인증을 사용하면 서드파티 ID 제공업체를 사용하여 대시보드에 로그인하고 세분화된 액세스 제어를 관리하며 데이터를 검색하고 시각화를 구축할 수 있습니다. Amazon Managed Grafana는 SAML 2.0 표준을 사용하고 Azure AD, CyberArk , Okta, OneLogin 및 Ping Identity와 통합 애플리케이션을 구축하고 테스트한 ID 제공업체를 지원합니다.
워크스페이스 생성 중에 SAML 인증을 설정하는 방법에 대한 자세한 내용은 [워크스페이스 생성](AMG-create-workspace.md#creating-workspace) 섹션을 참조하세요.
SAML 인증 흐름에서 Amazon Managed Grafana 워크스페이스는 서비스 제공업체(SP) 역할을 하며 IdP와 상호 작용하여 사용자 정보를 가져옵니다. SAML에 대한 자세한 내용은 [Security Assertion Markup Language](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)를 참조하세요.
IdP의 그룹을 Amazon Managed Grafana 워크스페이스의 팀에 매핑하고 해당 팀에 대해 세분화된 액세스 권한을 설정할 수 있습니다. IdP에 정의된 조직 역할을 Amazon Managed Grafana 워크스페이스의 역할에 매핑할 수도 있습니다. 예를 들어 IdP에 정의된 **개발자** 역할이 있는 경우 Amazon Managed Grafana 워크스페이스의 **Grafana 관리자** 역할에 해당 역할을 매핑할 수 있습니다.
**참고**
권한 부여를 위해 IdP 및 SAML을 사용하는 Amazon Managed Grafana 워크스페이스를 생성하는 경우 **AWSGrafanaAccountAdministrator** 정책이 연결된 IAM 위탁자로 로그인해야 합니다.
Amazon Managed Grafana 워크스페이스에 로그인하려면 사용자가 워크스페이스의 Grafana 콘솔 홈 페이지를 방문하고 **SAML을 사용하여 로그인**을 선택합니다. 워크스페이스는 SAML 구성을 읽고 인증을 위해 사용자를 IdP로 리디렉션합니다. 사용자는 IdP 포털에 로그인 자격 증명을 입력합니다. 유효한 사용자인 경우 IdP는 SAML 어설션을 발급하고 사용자를 Amazon Managed Grafana 워크스페이스로 다시 리디렉션합니다. Amazon Managed Grafana는 SAML 어설션이 유효한지, 사용자가 로그인되어 있고 워크스페이스를 사용할 수 있는지 확인합니다.
Amazon Managed Grafana는 다음과 같은 SAML 2.0 바인딩을 지원합니다.
+ 서비스 제공업체(SP)에서 ID 제공업체(IdP)로:
+ HTTP-POST 바인딩
+ HTTP-Redirect 바인딩
+ ID 제공업체(IdP)에서 서비스 제공업체(SP)로:
+ HTTP-POST 바인딩
Amazon Managed Grafana는 서명 및 암호화된 어설션을 지원하지만 서명 또는 암호화된 요청은 지원하지 않습니다.
Amazon Managed Grafana는 SP 시작 요청을 지원하지만 IdP 시작 요청을 지원하지 않습니다.
## 어설션 매핑
SAML 인증 흐름 중에 Amazon Managed Grafana는 어설션 소비자 서비스(ACS) 콜백을 수신합니다. 콜백에는 인증되어 SAML 응답에 포함된 사용자에 대한 모든 관련 정보가 포함됩니다. Amazon Managed Grafana는 응답을 구문 분석하여 내부 데이터베이스 내에서 사용자를 생성(또는 업데이트)합니다.
Amazon Managed Grafana에서 사용자 정보를 매핑하는 경우 어설션 내의 개별 속성을 살펴봅니다. 이러한 속성은 키-값 페어로 생각할 수 있지만 그보다 많은 정보가 포함되어 있습니다.
Amazon Managed Grafana에서는 이러한 값을 확인할 키를 수정할 수 있도록 구성 옵션을 제공합니다.
Amazon Managed Grafana 콘솔을 사용하여 다음 SAML 어설션 속성을 Amazon Managed Grafana의 값에 매핑할 수 있습니다.
+ **어설션 속성 역할**에서 사용자 역할로 사용할 SAML 어설션 내 속성 이름을 지정합니다.
+ **어설션 속성 이름**에서 SAML 사용자에 대해 사용자의 '친숙'한 전체 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 로그인**에서 SAML 사용자에 대해 사용자의 로그인 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 이메일**에서 SAML 사용자에 대해 사용자의 이메일 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 조직**에서 사용자 조직에 대해 사용자의 '친숙'한 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 그룹**에서 사용자 그룹에 대해 '친숙'한 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **허용된 조직**의 경우 IdP에서 특정 조직의 멤버인 사용자로만 사용자 액세스를 제한할 수 있습니다.
+ **편집자 역할 값**에 Amazon Managed Grafana 워크스페이스에서 `Editor` 역할을 부여받아야 하는 IdP의 사용자 역할을 지정합니다.
## ID 제공업체에 연결
다음 외부 ID 제공업체는 Amazon Managed Grafana를 사용하여 테스트를 거쳤으며 SAML을 사용하여 Amazon Managed Grafana를 구성하는 데 도움이 되도록 앱 디렉터리 또는 갤러리에서 직접 애플리케이션을 제공합니다.
**Topics**
+ [어설션 매핑](#AMG-SAML-Assertion-Mapping)
+ [ID 제공업체에 연결](#authentication-in-AMG-SAML-providers)
+ [Azure AD를 사용하도록 Amazon Managed Grafana 구성](AMG-SAML-providers-Azure.md)
+ [CyberArk를 사용하도록 Amazon Managed Grafana 구성](AMG-SAML-providers-CyberArk.md)
+ [Okta를 사용하도록 Amazon Managed Grafana 구성](AMG-SAML-providers-okta.md)
+ [OneLogin을 사용하도록 Amazon Managed Grafana 구성](AMG-SAML-providers-onelogin.md)
+ [Ping Identity를 사용하도록 Amazon Managed Grafana 구성](AMG-SAML-providers-pingone.md)
# Azure AD를 사용하도록 Amazon Managed Grafana 구성
다음 단계를 사용하여 Azure Active Directory를 ID 제공업체로 사용하도록 Amazon Managed Grafana를 구성합니다. 이 단계에서는 Amazon Managed Grafana 워크스페이스를 이미 생성했고 워크스페이스 *ID*, *URL* 및 *AWS 리전*을 기록했다고 가정합니다.
## 1단계: Azure Active Directory에서 완료하는 단계
Azure Active Directory에서 다음 단계를 완료하세요.
**Azure Active Directory를 Amazon Managed Grafana의 ID 제공업체로 설정하는 방법**
1. Azure 콘솔에 관리자로 로그인하세요.
1. **Azure Active Directory**를 선택합니다.
1. **Enterprise 애플리케이션**을 선택하세요.
1. **Amazon Managed Grafana SAML 2.0**을 검색하고 선택하세요.
1. 애플리케이션을 선택하고 **설정**을 선택하세요.
1. Azure Active Directory 애플리케이션 구성에서 **사용자 및 그룹**을 선택하세요.
1. 원하는 사용자 및 그룹에 애플리케이션을 할당하세요.
1. **Single Sign-On**을 선택합니다.
1. **다음**을 선택하여 SAML 구성 페이지로 이동하세요.
1. SAML 설정을 지정하세요.
+ **식별자(엔터티 ID)**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 식별자** URL을 붙여넣으세요.
+ **회신 URL(어설션 소비자 서비스 URL)**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 회신**을 붙여넣으세요.
+ **어설션 서명**이 선택되어 있고 **어설션 암호화**가 선택되어 있지 않은지 확인하세요.
1. **사용자 속성 및 클레임** 섹션에서 이러한 속성이 매핑되었는지 확인하세요. 대소문자를 구분합니다.
+ **mail**은 **user.userprincipalname**으로 설정됩니다.
+ **displayName**은 **user.displayname**으로 설정됩니다.
+ **고유 사용자 식별자**는 **user.userprincipalname**으로 설정됩니다.
+ 전달하려는 다른 속성을 추가하세요. 어설션 매핑에서 Amazon Managed Grafana로 전달할 수 있는 속성에 대한 자세한 내용은 [어설션 매핑](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping) 섹션을 참조하세요.
1. Amazon Managed Grafana 워크스페이스 구성에 사용할 **SAML 메타데이터 URL**을 복사하세요.
## 2단계: Amazon Managed Grafana에서 완료하는 단계
Amazon Managed Grafana 콘솔에서 다음 단계를 완료합니다.
**Amazon Managed Grafana의 ID 제공업체로 Azure Active Directory 설정을 완료하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택합니다.
1. **모든 워크스페이스**를 선택합니다.
1. 워크스페이스 이름을 선택하세요.
1. **인증** 탭에서 **SAML 구성 설정**을 선택하세요.
1. **메타데이터 가져오기**에서 **업로드 또는 복사/붙여넣기**를 선택하고 이전 섹션의 **SAML 메타데이터 URL**에서 복사한 Azure Active Directory URL을 붙여넣으세요.
1. **어설션 매핑**에서 다음을 수행합니다.
+ **내 워크스페이스에 대한 관리자 할당 옵트 아웃**이 선택되지 않았는지 확인합니다.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 워크스페이스 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ **어설션 속성 역할**을 선택한 속성 이름으로 설정하세요.
+ **관리자 역할 값**을 관리자인 사용자의 역할에 해당하는 값으로 설정하세요.
+ (선택 사항) Azure Active Directory 애플리케이션에서 기본 속성을 변경한 경우 **추가 설정 - 선택 사항**을 확장하고 새 속성 이름을 설정하세요.
기본적으로 Azure **displayName** 속성은 **이름** 속성으로 전달되고 Azure **mail** 속성은 **이메일** 속성 및 **로그인** 속성으로 모두 전달됩니다.
1. **SAML 구성 저장**을 선택하세요.
# CyberArk를 사용하도록 Amazon Managed Grafana 구성
다음 단계를 사용하여 CyberArk를 ID 제공업체로 사용하도록 Amazon Managed Grafana를 구성합니다. 이 단계에서는 Amazon Managed Grafana 워크스페이스를 이미 생성했고 워크스페이스의 ID, URL 및 리전을 기록했다고 가정합니다.
## 1단계: CyberArk에서 완료하는 단계
CyberArk에서 다음 단계를 완료하세요.
**CyberArk를 Amazon Managed Grafana의 ID 제공업체로 설정하는 방법**
1. CyberArk Identity Admin Portal에 로그인하세요.
1. **앱**, **웹 앱**을 선택하세요.
1. **웹 앱 추가**를 선택하세요.
1. **SAML 2.0에 대한 Amazon Managed Grafana**를 검색하고 **추가**를 선택하세요.
1. CyberArk 애플리케이션 구성에서 **신뢰** 섹션으로 이동하세요.
1. **ID 제공업체 구성**에서 **메타데이터**를 선택하세요.
1. **URL 복사**를 선택하고 이 단계의 후반에서 사용할 URL을 저장하세요.
1. **서비스 제공업체 구성**에서 **수동 구성**을 선택하세요.
1. SAML 설정을 지정하세요.
+ **SP 엔터티 ID**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 식별자** URL을 붙여넣으세요.
+ **어설션 소비자 서비스(ACS) URL**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 회신**을 붙여넣으세요.
+ **서명 응답 어설션**을 **어설션**으로 설정하세요.
+ **NameID 형식**이 **emailAddress**인지 확인하세요.
1. **저장**을 선택합니다.
1. **SAML 응답** 섹션에서 Amazon Managed Grafana 속성이 **애플리케이션 이름**에 있고 CyberArk 속성이 **속성 값**에 있는지 확인하세요. 그리고 다음 속성이 매핑되었는지 확인하세요. 대소문자를 구분합니다.
+ **displayName**은 **LoginUser.DisplayName**으로 설정됩니다.
+ **mail**은 **LoginUser.Email**로 설정됩니다.
+ 전달하려는 다른 속성을 추가하세요. 어설션 매핑에서 Amazon Managed Grafana로 전달할 수 있는 속성에 대한 자세한 내용은 [어설션 매핑](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping) 섹션을 참조하세요.
1. **저장**을 선택합니다.
1. **권한** 섹션에서 이 애플리케이션을 할당할 사용자 및 그룹을 선택한 다음, **저장**을 선택하세요.
## 2단계: Amazon Managed Grafana에서 완료하는 단계
Amazon Managed Grafana 콘솔에서 다음 단계를 완료합니다.
**Amazon Managed Grafana의 ID 제공업체로 CyberArk 설정을 완료하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택합니다.
1. **모든 워크스페이스**를 선택합니다.
1. 워크스페이스 이름을 선택하세요.
1. **인증** 탭에서 **SAML 구성 설정**을 선택하세요.
1. **메타데이터 가져오기**에서 **업로드 또는 복사/붙여넣기**를 선택하고 이전 절차에서 복사한 CyberArk URL을 붙여넣으세요.
1. **어설션 매핑**에서 다음을 수행합니다.
+ **내 워크스페이스에 대한 관리자 할당 옵트 아웃**이 선택되지 않았는지 확인합니다.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 워크스페이스 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ **어설션 속성 역할**을 선택한 속성 이름으로 설정하세요.
+ **관리자 역할 값**을 관리자인 사용자의 역할에 해당하는 값으로 설정하세요.
+ (선택 사항) CyberArk 애플리케이션에서 기본 속성을 변경한 경우 **추가 설정 - 선택 사항**을 확장하고 새 속성 이름을 설정하세요.
기본적으로 CyberArk **displayName** 속성은 **이름** 속성으로 전달되고 CyberArk **mail** 속성은 **이메일** 속성 및 **로그인** 속성으로 모두 전달됩니다.
1. **SAML 구성 저장**을 선택하세요.
# Okta를 사용하도록 Amazon Managed Grafana 구성
다음 단계를 사용하여 Okta를 ID 제공업체로 사용하도록 Amazon Managed Grafana를 구성합니다. 이 단계에서는 Amazon Managed Grafana 워크스페이스를 이미 생성했고 워크스페이스의 ID, URL 및 리전을 기록했다고 가정합니다.
## 1단계: Okta에서 완료하는 단계
Okta에서 다음 단계를 완료하세요.
**Okta를 Amazon Managed Grafana의 ID 제공업체로 설정하는 방법**
1. Okta 콘솔에 관리자로 로그인하세요.
1. 탐색 창에서 **애플리케이션**, **애플리케이션**을 선택하세요.
1. **앱 카탈로그 찾아보기**를 선택하고 **Amazon Managed Grafana**를 검색하세요.
1. **Amazon Managed Grafana**를 선택하고 **추가**, **완료**를 선택하세요.
1. 애플리케이션을 선택하여 설정을 시작하세요.
1. **로그인** 탭에서 **편집**을 선택하세요.
1. **고급 로그인 설정**에서 Amazon Managed Grafana 워크스페이스 ID와 리전을 각각 **이름 공간** 및 **리전** 필드에 입력합니다. Amazon Managed Grafana 워크스페이스 ID 및 리전은 ***workspace-id*.grafana-workspace.*Region*.amazonaws.com** 형식의 Amazon Managed Grafana 워크스페이스 URL에서 찾을 수 있습니다.
1. **저장**을 선택합니다.
1. **SAML 2.0**에서 **ID 제공업체 메타데이터**의 URL을 복사하세요. 이 절차의 뒷부분에서 Amazon Managed Grafana 콘솔을 통해 사용합니다.
1. **할당** 탭에서 Amazon Managed Grafana를 사용할 수 있는 **사용자** 및 **그룹**을 선택하세요.
## 2단계: Amazon Managed Grafana에서 완료하는 단계
Amazon Managed Grafana 콘솔에서 다음 단계를 완료합니다.
**Amazon Managed Grafana의 ID 제공업체로 Okta 설정을 완료하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택합니다.
1. **모든 워크스페이스**를 선택합니다.
1. 워크스페이스 이름을 선택하세요.
1. **인증** 탭에서 **설정 완료**를 선택하세요.
1. **메타데이터 가져오기**에서 **업로드 또는 복사/붙여넣기**를 선택하고 이전 절차에서 복사한 Okta URL을 붙여넣으세요.
1. **어설션 매핑**에서 다음을 수행합니다.
+ **내 워크스페이스에 대한 관리자 할당 옵트 아웃**이 선택되지 않았는지 확인합니다.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 워크스페이스 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ **어설션 속성 역할**을 선택한 속성 이름으로 설정하세요.
+ **관리자 역할 값**을 관리자인 사용자의 역할에 해당하는 값으로 설정하세요.
+ (선택 사항) Okta 애플리케이션에서 기본 속성을 변경한 경우 **추가 설정 - 선택 사항**을 확장하고 새 속성 이름을 설정하세요.
기본적으로 Okta **displayName** 속성은 **이름** 속성으로 전달되고 Okta **mail** 속성은 **이메일** 속성 및 **로그인** 속성으로 모두 전달됩니다.
1. **SAML 구성 저장**을 선택하세요.
# OneLogin을 사용하도록 Amazon Managed Grafana 구성
다음 단계를 사용하여 OneLogin을 ID 제공업체로 사용하도록 Amazon Managed Grafana를 구성합니다. 이 단계에서는 Amazon Managed Grafana 워크스페이스를 이미 생성했고 워크스페이스의 ID, URL 및 리전을 기록했다고 가정합니다.
## 1단계: OneLogin에서 완료하는 단계
OneLogin에서 다음 단계를 완료하세요.
**OneLogin을 Amazon Managed Grafana의 ID 제공업체로 설정하는 방법**
1. 관리자로 OneLogin 포털에 로그인합니다.
1. **애플리케이션**, **애플리케이션**, **앱 추가** 선택하세요.
1. **Amazon Managed Service for Grafana**를 검색하세요.
1. 원하는 **표시 이름**을 할당하고 **저장**을 선택하세요.
1. **구성**으로 이동하여 **네임스페이스**에 Amazon Managed Grafana 워크스페이스 ID를 입력하고 Amazon Managed Grafana 워크스페이스의 리전을 입력하세요.
1. **구성** 탭에서 Amazon Managed Grafana 워크스페이스 URL을 입력하세요.
1. 관리자에게 Amazon Managed Grafana에서 해당 값이 필요한 경우 **adminRole** 파라미터를 **기본값 없음**으로 두고 **규칙** 탭을 사용하여 채울 수 있습니다. 이 예제에서는 Amazon Managed Grafana에서 **어설션 속성 역할**이 **adminRole**(값은 true임)로 설정됩니다. 이 값으로 테넌트의 모든 속성을 가리킬 수 있습니다. **\$1**를 클릭하여 조직의 요구 사항에 맞게 파라미터를 추가하고 구성하세요.
1. **규칙** 탭을 선택하고 **규칙 추가** 선택한 다음, 규칙에 이름을 지정하세요. **조건** 필드(if 문)에 **이메일에 [email address] 포함**을 추가합니다. **작업** 필드(다음 명령문)에서 **Amazon Managed Service에서 AdminRole 설정**을 선택하고 **adminRole 설정**(값은 **true**임) 드롭다운에서 **매크로**를 선택하세요. 조직은 다양한 규칙을 선택하여 다양한 사용 사례를 확인할 수 있습니다.
1. **저장**을 선택합니다. **추가 작업**을 다시 클릭한 다음, **권한 매핑 재적용**을 선택하세요. 규칙을 생성하거나 업데이트할 때마다 매핑을 다시 적용해야 합니다.
1. **발급자 URL**을 기록하세요. Amazon Managed Grafana 콘솔의 구성에서 나중에 사용합니다. 그런 다음 **저장**을 선택합니다.
1. **액세스** 탭을 선택하여 Amazon Managed Grafana에 액세스할 OneLogin 역할을 할당하고 앱 보안 정책을 선택하세요.
## 2단계: Amazon Managed Grafana에서 완료하는 단계
Amazon Managed Grafana 콘솔에서 다음 단계를 완료합니다.
**Amazon Managed Grafana의 ID 제공업체로 OneLogin 설정을 완료하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택합니다.
1. **모든 워크스페이스**를 선택합니다.
1. 워크스페이스 이름을 선택하세요.
1. **인증** 탭에서 **SAML 구성 설정**을 선택하세요.
1. **메타데이터 가져오기**에서 **업로드 또는 복사/붙여넣기**를 선택하고 이전 절차의 OneLogin 콘솔에서 복사한 OneLogin 발급자 URL을 붙여넣으세요.
1. **어설션 매핑**에서 다음을 수행합니다.
+ **내 워크스페이스에 대한 관리자 할당 옵트 아웃**이 선택되지 않았는지 확인합니다.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 워크스페이스 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ **어설션 속성 역할**을 선택한 속성 이름으로 설정하세요. OneLogin의 기본값은 **adminRole**입니다.
+ **관리자 역할 값**을 관리자인 사용자의 역할에 해당하는 값으로 설정하세요.
+ (선택 사항) OneLogin 애플리케이션에서 기본 속성을 변경한 경우 **추가 설정 - 선택 사항**을 확장하고 새 속성 이름을 설정하세요.
기본적으로 OneLogin **displayName** 속성은 **이름** 속성으로 전달되고 OneLogin **mail** 속성은 **이메일** 속성 및 **로그인** 속성으로 모두 전달됩니다.
1. **SAML 구성 저장**을 선택하세요.
# Ping Identity를 사용하도록 Amazon Managed Grafana 구성
다음 단계를 사용하여 Ping Identity를 ID 제공업체로 사용하도록 Amazon Managed Grafana를 구성합니다. 이 단계에서는 Amazon Managed Grafana 워크스페이스를 이미 생성했고 워크스페이스의 ID, URL 및 리전을 기록했다고 가정합니다.
## 1단계: Ping Identity에서 완료하는 단계
Ping Identity에서 다음 단계를 완료하세요.
**Ping Identity를 Amazon Managed Grafana의 ID 제공업체로 설정하는 방법**
1. 관리자로 Ping Identity 콘솔에 로그인하세요.
1. [**Applications**]를 선택합니다.
1. **애플리케이션 추가**, **애플리케이션 카탈로그 검색**을 선택하세요.
1. **Amazon Managed Grafana for SAML** 애플리케이션을 검색하고 선택한 다음, **설정**을 선택하세요.
1. Ping Identity 애플리케이션에서 **다음**을 선택하여 SAML 구성 페이지로 이동하세요. 그리고 다음 SAML 설정을 수행하세요.
+ **어설션 소비자 서비스**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 회신 URL**을 붙여넣으세요.
+ **엔터티 ID**의 경우 Amazon Managed Grafana 워크스페이스의 **서비스 제공업체 식별자**를 붙여넣으세요.
+ **어설션 서명**이 선택되어 있고 **어설션 암호화**가 선택되어 있지 않은지 확인하세요.
1. **다음 단계로 계속**을 선택합니다.
1. **SSO 속성 매핑**에서 Amazon Managed Grafana 속성이 **애플리케이션 속성**에 있고 Ping Identity 속성이 **Identity Bridge 속성**에 있는지 확인하세요. 그리고 다음 설정을 수행하세요.
+ **mail**은 **이메일(작업)**이어야 합니다.
+ **displayName**은 **표시 이름**이어야 합니다.
+ **SAML\$1SUBJECT**는 **이메일(작업)**이어야 합니다. 그런 다음, 이 속성에 대해 **고급**을 선택하고, **SP에 전송할 이름 ID 형식**을 **urn:oasis:names:tc:SAML:2.0:nameid-format:transient**로 설정한 후, **저장**을 선택하세요.
+ 전달하려는 다른 속성을 추가하세요.
+ 전달하려는 다른 속성을 추가하세요. 어설션 매핑에서 Amazon Managed Grafana로 전달할 수 있는 속성에 대한 자세한 내용은 [어설션 매핑](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping) 섹션을 참조하세요.
1. **다음 단계로 계속**을 선택합니다.
1. **그룹 액세스**에서 이 애플리케이션을 할당할 그룹을 선택하세요.
1. **다음 단계로 계속**을 선택합니다.
1. `https://admin- api.pingone.com/latest/metadata/`로 시작하는 **SAML 메타데이터 URL**을 복사하세요. 구성 후반부에서 이를 사용합니다.
1. **마침**을 클릭합니다.
## 2단계: Amazon Managed Grafana에서 완료하는 단계
Amazon Managed Grafana 콘솔에서 다음 단계를 완료합니다.
**Amazon Managed Grafana의 ID 제공업체로 Ping Identity 설정을 완료하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택합니다.
1. **모든 워크스페이스**를 선택합니다.
1. 워크스페이스 이름을 선택하세요.
1. **인증** 탭에서 **SAML 구성 설정**을 선택하세요.
1. **메타데이터 가져오기**에서 **업로드 또는 복사/붙여넣기**를 선택하고 이전 절차에서 복사한 Ping URL을 붙여넣으세요.
1. **어설션 매핑**에서 다음을 수행합니다.
+ **내 워크스페이스에 대한 관리자 할당 옵트 아웃**이 선택되지 않았는지 확인합니다.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 워크스페이스 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ **어설션 속성 역할**을 선택한 속성 이름으로 설정하세요.
+ **관리자 역할 값**을 관리자인 사용자의 역할에 해당하는 값으로 설정하세요.
+ (선택 사항) Ping Identity 애플리케이션에서 기본 속성을 변경한 경우 **추가 설정 - 선택 사항**을 확장하고 새 속성 이름을 설정하세요.
기본적으로 Ping Identity **displayName** 속성은 **이름** 속성으로 전달되고 Ping Identity **mail** 속성은 **이메일** 속성 및 **로그인** 속성으로 모두 전달됩니다.
1. **SAML 구성 저장**을 선택하세요.
# Amazon Managed Grafana 워크스페이스와 AWS IAM Identity Center 함께 사용
Amazon Managed Grafana는와 통합되어 작업 인력 AWS IAM Identity Center 에 ID 페더레이션을 제공합니다. Amazon Managed Grafana 및 IAM Identity Center를 사용하면 사용자가 기존 회사 디렉터리로 리디렉션되어 기존 자격 증명을 사용해 로그인합니다. 그러면 Amazon Managed Grafana 워크스페이스에 원활하게 로그인됩니다. 이 방식에서는 암호 정책 및 2단계 인증과 같은 보안 설정이 적용됩니다. IAM Identity Center를 사용하더라도 기존 IAM 구성에는 영향을 주지 않습니다.
기존 사용자 디렉터리가 없거나 페더레이션을 원하지 않는 경우 IAM Identity Center는 Amazon Managed Grafana의 사용자 및 그룹을 생성하는 데 사용할 수 있는 통합 사용자 디렉터리를 제공합니다. Amazon Managed Grafana는 Amazon Managed Grafana 워크스페이스 내에서 권한을 할당하기 위한 IAM 사용자 및 역할 사용을 지원하지 않습니다.
IAM Identity Center에 대한 자세한 내용은 [란 무엇입니까 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)?를 참조하십시오. IAM Identity Center에 대한 자세한 내용은 [시작하기](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)를 참조하세요.
IAM Identity Center를 사용하려면 계정에 대해서도를 AWS Organizations 활성화해야 합니다. 필요한 경우 Amazon Managed Grafana는 IAM Identity Center를 사용하도록 구성된 첫 번째 워크스페이스를 생성할 때 Organizations를 활성화할 수 있습니다.
## IAM Identity Center를 사용하는 시나리오에 필요한 권한
이 섹션에서는 Amazon Managed Grafana를 IAM Identity Center와 함께 사용하는 데 필요한 정책을 설명합니다. Amazon Managed Grafana를 관리하는 데 필요한 정책은 AWS 계정이 조직의 일부인지 여부에 따라 달라집니다.
### AWS Organizations 계정에서 Grafana 관리자 생성
조직에서 Amazon Managed Grafana 워크스페이스를 생성 및 관리할 수 있는 권한을 부여하고와 같은 종속성을 허용하려면 역할에 다음 정책을 AWS IAM Identity Center할당합니다.
+ Amazon Managed Grafana 워크스페이스 관리를 허용하도록 **AWSGrafanaAccountAdministrator** IAM 정책을 할당합니다.
+ **AWSSSODirectoryAdministrator**를 사용하면 Amazon Managed Grafana 워크스페이스를 설정할 때 해당 역할에서 IAM Identity Center를 사용할 수 있습니다.
+ 전체 조직에서 Amazon Managed Grafana 워크스페이스를 생성하고 관리할 수 있도록 하려면 역할에 **AWSSSOMasterAccountAdministrator** IAM 정책을 제공합니다. 또는 **AWSSSOMemberAccountAdministrator** IAM 정책을 역할에 제공하여 조직의 단일 멤버 계정 내에서 워크스페이스를 생성하고 관리할 수 있도록 합니다.
+ 해당 역할에서 Amazon Managed Grafana 워크스페이스를 Grafana Enterprise로 업그레이드하도록 허용하려는 경우 선택적으로 **AWSMarketplaceManageSubscriptions** IAM 정책(또는 이와 동등한 권한)을 역할에 제공할 수도 있습니다.
Amazon Managed Grafana 워크스페이스를 생성할 때 서비스 관리형 권한을 사용하려면 워크스페이스를 생성하는 역할에 `iam:CreateRole`, `iam:CreatePolicy` 및 `iam:AttachRolePolicy` 권한도 있어야 합니다. 이는 CloudFormation StackSets를 사용하여 조직 계정의 데이터 소스를 읽을 수 있도록 하는 정책을 배포하는 데 필요합니다.
**중요**
사용자에게 `iam:CreateRole`, `iam:CreatePolicy` 및 `iam:AttachRolePolicy` 권한을 부여하면 해당 사용자에게 AWS 계정에 대한 전체 관리 액세스 권한이 부여됩니다. 예를 들어 이러한 권한을 가진 사용자는 모든 리소스에 대한 전체 권한을 가진 정책을 생성하고 해당 정책을 모든 역할에 연결할 수 있습니다. 이러한 권한을 부여한 사람에게 매우 주의해야 합니다.
**AWSGrafanaAccountAdministrator**에 부여된 권한을 보려면 [AWS 관리형 정책: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) 섹션을 참조하세요.
### 단일 독립 실행형 계정에서 Amazon Managed Grafana 워크스페이스와 사용자 생성 및 관리
독립 실행형 AWS 계정은 조직의 멤버가 아닌 계정입니다. 에 대한 자세한 내용은 란 무엇입니까?를 AWS Organizations참조하십시오. [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
독립 실행형 계정에서 Amazon Managed Grafana 워크스페이스 및 사용자를 생성하고 관리할 수 있는 권한을 부여하려면 역할에 다음 IAM 정책을 할당합니다.
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectoryAdministrator**
**중요**
역할에 **AWSOrganizationsFullAccess** 정책을 부여하면 해당 역할에 AWS 계정에 대한 모든 관리 액세스 권한이 부여됩니다. 이러한 권한을 부여한 사람에게 매우 주의해야 합니다.
**AWSGrafanaAccountAdministrator**에 부여된 권한을 보려면 [AWS 관리형 정책: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) 섹션을 참조하세요.
# 워크스페이스 버전 업데이트
Amazon Managed Grafana 콘솔에서 두 가지 방법으로 Amazon Managed Grafana 워크스페이스를 최신 버전의 Grafana로 업데이트할 수 있습니다.
**참고**
버전을 최신 버전의 Grafana로만 업데이트할 수 있습니다. 이전에 릴리스된 Grafana 버전으로 다운그레이드할 수 없습니다.
Grafana 버전을 업데이트해도 워크스페이스에 설치된 플러그인은 업데이트되지 않습니다. 새 버전의 Grafana와 호환되지 않는 플러그인은 개별적으로 업데이트해야 할 수 있습니다. 플러그인 보기 및 관리에 대한 자세한 내용은 [플러그인 카탈로그를 사용하여 플러그인 찾기](grafana-plugins.md#plugin-catalog) 섹션을 참조하세요. 각 버전에서 주요 변경 사항 목록은 [Grafana 버전 간 차이](version-differences.md) 섹션을 참조하세요.
**옵션 1 - 워크스페이스 목록에서 버전 업데이트**
1. [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택하세요.
1. **모든 워크스페이스**를 선택하세요.
1. 업데이트하려는 워크스페이스의 세부 정보가 포함된 행에서 **버전 업데이트**를 선택하세요. 업데이트할 수 있는 워크스페이스만 이 옵션을 포함합니다.
**주의**
업그레이드 프로세스는 되돌릴 수 없으며 일시 중지하거나 취소할 수 없습니다. 프로덕션 워크스페이스를 업데이트하기 전에 비프로덕션 환경에서 최신 버전을 테스트하는 것이 좋습니다. 업데이트 중에 워크스페이스를 변경할 수 없습니다.
1. **버전 업데이트** 화면의 드롭다운에서 버전 번호를 선택하고 **업데이트**를 클릭하여 확인하세요.
1. **워크스페이스** 탭에서 업데이트 상태를 정기적으로 확인하세요. 업데이트 프로세스는 최대 10분이 걸릴 수 있습니다. 이 프로세스 중에 워크스페이스는 '읽기 전용' 모드가 됩니다. 워크스페이스 업데이트가 성공 또는 실패했는지 여부를 나타내는 배너 업데이트가 표시됩니다. 업데이트에 실패한 경우 배너에서 간략히 설명된 작업 항목을 따르고 다시 시도하세요.
**옵션 2 - 워크스페이스 요약 페이지에서 버전 업데이트**
1. [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택하세요.
1. **모든 워크스페이스**를 선택하세요.
1. 업데이트하려는 워크스페이스의 하이퍼링크된 **워크스페이스 이름**을 선택하세요. 업데이트할 수 있는 워크스페이스만 이 옵션을 포함합니다.
1. **요약** 블록에서 **버전 업데이트** 프롬프트를 선택하세요.
**주의**
업그레이드 프로세스는 되돌릴 수 없으며 일시 중지하거나 취소할 수 없습니다. 프로덕션 워크스페이스를 업데이트하기 전에 비프로덕션 환경에서 최신 버전을 테스트하는 것이 좋습니다. 업데이트 중에 워크스페이스를 변경할 수 없습니다.
1. **버전 업데이트** 화면의 드롭다운에서 버전 번호를 선택하고 **업데이트**를 클릭하여 확인하세요.
1. **워크스페이스** 탭에서 업데이트 상태를 정기적으로 확인하세요. 업데이트 프로세스는 최대 10분이 걸릴 수 있습니다. 이 프로세스 중에 워크스페이스는 '읽기 전용' 모드가 됩니다. 워크스페이스 업데이트가 성공 또는 실패했는지 여부를 나타내는 배너 업데이트가 표시됩니다. 업데이트에 실패한 경우 배너에서 간략히 설명된 작업 항목을 따르고 다시 시도하세요.
**참고**
Amazon Managed Grafana API에서 [UpdateWorkspaceConfiguration](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspaceConfiguration.html) 작업을 사용하여 버전을 업데이트할 수도 있습니다.
업데이트된 워크스페이스에 문제가 발생하면 [업데이트된 워크스페이스 관련 문제 해결](AMG-workspace-version-update-troubleshoot.md) 섹션을 참조하세요.
# 업데이트된 워크스페이스 관련 문제 해결
업데이트된 워크스페이스는 업데이트 후에도 계속 작동해야 합니다. 이 섹션에서는 업데이트 후 발생할 수 있는 문제를 추적하는 데 도움이 될 수 있습니다.
+ **버전 간 차이.**
일부 기능이 버전 사이에서 변경되었습니다.
+ 기능 관련 문제의 원인이 될 수 있는 변경 사항을 포함하여 버전 간 주요 변경 사항 목록은 [Grafana 버전 간 차이](version-differences.md) 섹션을 참조하세요.
+ 버전 9 특정 기능에 대한 설명서는 [Grafana 버전 9에서 작업](using-grafana-v9.md) 섹션을 참조하세요. 버전 10의 경우 [Grafana 버전 10에서 작업](using-grafana-v10.md) 섹션을 참조하세요.
+ **PostgreSQL TLS 문제**
**TLS/SSL 모드**가 버전 8에서 `require`로 설정되어 있고 루트 인증서만 사용 중인 경우 업데이트 후 PostgreSQL 데이터 소스에서 TLS 또는 인증서 문제가 발생할 수 있습니다. PostgreSQL 데이터 소스에 대한 TLS 설정을 수정합니다(**구성** 아이콘을 선택한 다음, **데이터 소스**를 선택하여 Grafana 워크스페이스 사이드 메뉴에서 사용 가능).
+ **TLS/SSL 모드**를 `verify-ca`로 변경합니다.
+ **TLS/SSL 메서드**를 `Certificate content`로 설정합니다.
+ **루트 인증서**를 PostgreSQL 데이터베이스 서버의 루트 인증서로 설정합니다. 인증서를 입력해야 하는 유일한 필드입니다.
# Enterprise 플러그인에 대한 액세스 관리
Amazon Managed Grafana 콘솔을 사용하여 워크스페이스를 관리하고 Enterprise 플러그인에 액세스할 수 있습니다. 업그레이드하면 아래 목록을 포함하여 다양한 서드파티 독립 소프트웨어 개발 판매 회사(ISV)의 데이터 소스에 대한 지원을 포함하여 Enterprise 플러그인에 액세스할 수 있습니다.
Enterprise 라이선스를 통해 [Grafana Labs](https://grafana.com) 컨설팅 및 지원 서비스에 액세스할 수도 있습니다.
**Amazon Managed Grafana Enterprise 플러그인에서 사용할 수 있는 엔터프라이즈 데이터 소스는 다음과 같습니다.**
+ AppDynamics
+ Databricks
+ Datadog
+ Dynatrace
+ GitLab
+ Honeycomb
+ Jira
+ MongoDB
+ New Relic
+ Oracle Database
+ Salesforce
+ SAP/HANA
+ ServiceNow
+ Snowflake
+ Splunk
+ Splunk Infrastructure Monitoring(이전의 SignalFx)
+ Wavefront
업그레이드할 때 사용할 수 있는 Enterprise 데이터 소스 플러그인에 대한 자세한 내용은 [Enterprise 데이터 소스에 연결](AMG-data-sources-enterprise.md) 섹션을 참조하세요. 언제든지 새 플러그인을 추가할 수 있습니다. 전체 및 현재 목록을 보려면 Amazon Managed Grafana 워크스페이스 내에서 [플러그인 카탈로그](grafana-plugins.md#manage-plugins)를 사용할 수 있습니다.
워크스페이스를 생성할 때 기본적으로 Enterprise 플러그인에 액세스할 수는 없지만 언제든지 업그레이드할 수 있습니다. 여러 Amazon Managed Grafana 워크스페이스에서 Enterprise 플러그인을 사용하려면 각 워크스페이스를 업그레이드해야 합니다.
**Amazon Managed Grafana Enterprise 관리** 페이지를 통해 액세스 추가 또는 제거를 포함하여 Enterprise 플러그인 라이선스를 관리할 수 있습니다.
Amazon Managed Grafana Enterprise 플러그인에 대한 액세스를 관리하는 프로세스가 변경되었습니다. 이전에를 사용한 경우 [AWS Marketplace 엔터프라이즈 사용자를 위한 FAQ](AMG-ws-mp-license-faq.md) 주제에 관심이 AWS Marketplace있을 수 있습니다.
**Topics**
+ [Amazon Managed Grafana Enterprise 플러그인에 대한 액세스 관리](AMG-workspace-manage-enterprise.md)
+ [계정을 Grafana Labs에 연결](AMG-workspace-register-enterprise.md)
+ [AWS Marketplace 엔터프라이즈 사용자를 위한 FAQ](AMG-ws-mp-license-faq.md)
# Amazon Managed Grafana Enterprise 플러그인에 대한 액세스 관리
**Enterprise 플러그인에 대한 액세스를 관리하는 방법**
1. [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택하세요.
1. **모든 워크스페이스**를 선택하세요.
워크스페이스 목록을 볼 수 있습니다. 각 워크스페이스에 대해 **Enterprise 라이선스** 열에는 워크스페이스에서 보유한 라이선스 유형(라이선스 없음 또는 **Enterprise 플러그인** 라이선스 중 하나)이 표시됩니다.
1. 라이선스를 관리할 워크스페이스 이름을 선택하세요. 그러면 해당 워크스페이스에 대한 워크스페이스 세부 정보 페이지가 열립니다.
1. 요약의 **Enterprise 라이선스**에서 **관리** 또는 **Amazon Managed Grafana Enterprise로 업그레이드**를 선택하세요(Enterprise 라이선스의 현재 상태에 따라 하나의 옵션만 사용 가능).
그러면 **Amazon Managed Grafana Enterprise 관리** 페이지가 열립니다. 다음 두 가지 옵션 중에서 선택할 수 있습니다. 활성 옵션은 **(현재)**로 표시됩니다.
+ **없음** - Amazon Managed Grafana Enterprise 라이선스를 제거하거나 해당 라이선스를 보유하지 않는 옵션입니다. 현재 Enterprise 라이선스가 있는 경우 워크스페이스에 대해 이 옵션을 선택하면 저장 시 Enterprise 플러그인에 대한 액세스 권한이 즉시 제거됩니다.
+ **Enterprise 플러그인** - 이를 통해 모든 Enterprise 플러그인을 워크스페이스에 설치하고 [Grafana Labs](https://grafana.com) 컨설팅 및 지원 서비스에 액세스할 수 있습니다. 워크스페이스에 Enterprise 플러그인을 설치하면 추가 [데이터 소스](AMG-data-sources-enterprise.md)에 액세스할 수 있습니다.
이 옵션을 처음 선택하면를 Grafana Labs의 토큰 AWS 계정 과 연결해야 하며 그렇게 하라는 메시지가 표시됩니다. 자세한 정보는 다음 섹션([계정을 Grafana Labs에 연결](AMG-workspace-register-enterprise.md))을 참조하세요.
Amazon Managed Grafana Enterprise 플러그인 액세스에는 Amazon Managed Grafana 요금 외 사용자 요금이 포함됩니다. 자세한 요금 정보는 [Amazon Managed Grafana 요금 페이지](https://aws.amazon.com/grafana/pricing/)를 참조하세요.
1. 선택을 완료한 후 **저장**을 선택하고 계속하세요.
# 계정을 Grafana Labs에 연결
Amazon Managed Grafana Enterprise 플러그인으로 업그레이드된 워크스페이스는 Grafana Labs의 지원 및 컨설팅에 액세스할 수 있습니다. 이 기능에 액세스하려면를 Grafana Labs 계정 토큰과 연결해야 AWS 계정 합니다. 엔터프라이즈 라이선스로 업그레이드할 AWS 때 신규 또는 기존 Grafana Labs 계정을에 등록합니다. [Amazon Managed Grafana Enterprise 플러그인에 대한 액세스 관리](AMG-workspace-manage-enterprise.md)
**참고**
Grafana Labs 계정 토큰은 리전당 한 번만 등록하면 됩니다. 계정이 이전에 연결된 경우(예: Enterprise 플러그인에 액세스하기 위해 리전의 다른 워크스페이스를 업그레이드할 때) 다시 연결하라는 프롬프트는 표시되지 않습니다.
연결 작업은 Amazon Managed Grafana에서 계정을 등록하는 데 사용되는 Grafana Labs 계정에서 토큰을 가져오는 작업으로 구성됩니다. 기존 계정을 사용하거나 Grafana Labs에서 새 계정을 생성할 수 있습니다.
Grafana Labs 토큰을 복사하여 나중에 사용할 수 있도록 안전하고 편리한 위치에 저장하는 것이 좋습니다.
**Grafana Labs 계정을 연결하는 방법**
1. [Amazon Managed Grafana Enterprise 플러그인에 대한 액세스 관리](AMG-workspace-manage-enterprise.md)의 지침에 따라 Enterprise 플러그인에 액세스하여 계정을 업그레이드합니다. 업그레이드 프로세스 중에 토큰을 추가하여 계정을 연결하라는 프롬프트가 표시됩니다.
1. 이미 토큰이 있는 경우 직접 입력할 수 있습니다. 토큰이 없는 경우 **토큰 가져오기**를 선택하세요. 그러면 [Grafana Labs 웹 사이트](https://grafana.com/partners/amg/support)가 새 브라우저 탭에서 열립니다.
Grafana Labs 웹 사이트에서 Grafana Labs 계정에 로그인하거나 새 계정 생성한 다음, 토큰을 가져올 수 있습니다.
1. 토큰을 복사한 후 Amazon Managed Grafana 브라우저 탭 또는 창으로 돌아갑니다. **Grafana Labs 토큰** 섹션에 토큰을 입력하세요.
1. 이제 **저장**을 선택하여 업그레이드를 완료할 수 있습니다.
**다른 워크스페이스에서 토큰 재사용**
이전에 Grafana Labs 계정을 등록했고 Grafana Labs 토큰에 대한 프롬프트가 표시되는 경우(예: 다른 리전의 워크스페이스를 업그레이드할 때), 새 Grafana Labs 계정을 생성할 필요가 없도록 매번 동일한 토큰을 사용하여 등록할 수 있습니다. 토큰을 저장하지 않은 경우 다음 방법 중 하나로 토큰을 검색할 수 있습니다.
+ [https://grafana.com/partners/amg/support](https://grafana.com/partners/amg/support)로 이동하여 **내 계정**을 선택해 Grafana Labs 계정에서 조회하여 토큰을 가져올 수 있습니다.
+ [DescribeWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DescribeWorkspace.html) API를 사용하여 토큰을 검색함으로써 이미 연결된 기존 워크스페이스에서 토큰을 가져올 수 있습니다.
+ 이러한 방법 중 하나에서 토큰을 더 이상 사용할 수 없는 경우 [Grafana Labs 지원 팀에 문의](https://grafana.com/contact)해야 합니다.
# AWS Marketplace 엔터프라이즈 사용자를 위한 FAQ
이전에는를 통해 Grafana Enterprise에 대한 라이선스를 구매했을 수 있습니다 AWS Marketplace. 더 이상를 통해 새 라이선스를 구매할 수 AWS Marketplace없으며 이전에를 통해 구매한 라이선스를 갱신할 수 없습니다 AWS Marketplace. 다음 FAQ는 AWS Marketplace 라이선스 상태에 따라 도움이 될 수 있습니다.
## 에서 30일 무료 평가판을 구독 AWS Marketplace했지만 워크스페이스와 연결하지 않았습니다. 지금 적용할 수 있나요?
아니요. 무료 평가판은 Amazon Managed Grafana에서 더 이상 지원되지 않습니다.
## 에서 30일 무료 평가판을 구매 AWS Marketplace했고 이미 워크스페이스와 연결했습니다. 평가판은 어떻게 되나요?
무료 평가판은 만료될 때까지 계속 작동합니다. Enterprise 플러그인을 업그레이드하고 사용하려면 이전 섹션에 설명된 대로 Amazon Managed Grafana 콘솔을 통해 업그레이드할 수 있습니다.
## 아직 만료되지 않은 AWS Marketplace 유료 라이선스가 있지만 Amazon Managed Grafana 관리형 엔터프라이즈 플러그인을 사용하고 싶습니다. 어떻게 해야 하나요?
현재 AWS Marketplace 라이선스가 있는 한 해당 라이선스를 워크스페이스에만 연결할 수 있습니다. AWS Marketplace 라이선스가 만료된(또는 취소한) 후에만 Amazon Managed Grafana 콘솔에서 업그레이드할 수 있습니다 AWS Marketplace.
다음 질문과 답변에서 자세한 내용을 제공합니다.
## 에서 전체 Grafana Enterprise 라이선스를 구매 AWS Marketplace 하여 하나 이상의 워크스페이스와 연결했습니다. 이것은 어떻게 되나요?
라이선스가 만료되면(30일 후, 자동 갱신을 켜지 않은 경우) 워크스페이스에서 사용 중인 모든 Enterprise 데이터 소스가 작동하지 않습니다. Enterprise 데이터 소스를 계속 사용하려면 Amazon Managed Grafana 콘솔에서 직접 [Enterprise 플러그인을 사용하도록 업그레이드](AMG-workspace-manage-enterprise.md)할 수 있습니다.
## 워크스페이스가 Enterprise 플러그인에 액세스할 수 없는 라이선스 만료와 관련된 가동 중지 시간이 있는 것 같습니다. 이를 방지하려면 어떻게 해야 하나요?
새 Enterprise 플러그인 라이선스로 전환하면 라이선스 만료와 관련된 일부 가동 중지 시간이 발생합니다. 그러나 이를 최소화할 수 있습니다.
**참고**
가동 중지 시간을 최소화하려면 다음 단계를 정확하게 수행해야 합니다. 시작하기 전에 주의 깊게 읽어보는 것이 좋습니다.
새 [요금을](https://aws.amazon.com/grafana/pricing) 받으려면 AWS Marketplace 라이선스를 계속 사용하는 대신 Amazon Managed Grafana Enterprise 플러그인으로 업그레이드하는 것이 좋습니다.
**가동 중지 시간을 최소화하면서 AWS Marketplace Enterprise 라이선스에서 Amazon Managed Grafana Enterprise 플러그인으로 전환합니다.**
1. 준비하려면 먼저 [Grafana Labs 웹 사이트](https://grafana.com/partners/amg/support)로 이동하여 계정에 로그인하거나 새 계정을 생성하세요. 프로세스 후반부에서 사용할 Grafana Labs 토큰을 가져오세요.
프로세스의 이 부분에 대한 자세한 내용은 [계정을 Grafana Labs에 연결](AMG-workspace-register-enterprise.md) 섹션을 참조하세요.
1. [AWS Marketplace 콘솔 ](https://console.aws.amazon.com/marketplace/)에 로그인하고 왼쪽 메뉴에서 **구독 관리**를 선택하세요.
1. 전환하려는 구독을 찾아 **관리**를 선택하세요. 그러면 구독에 대한 세부 정보가 표시됩니다.
**참고**
이 페이지에는 서비스 종료 날짜가 표시됩니다. 해당 날짜가 가까워질 때까지 기다렸다가 이 단계를 계속하고 현재 구독을 최대한 활용한 후 취소할 수 있습니다.
1. 그런 다음 **작업**을 선택하고 **구독 취소**를 선택하세요.
이렇게 하면 AWS Marketplace에서 구독이 취소됩니다. 하지만 Amazon Managed Grafana에서 일과 종료 시(워크스페이스의 현지 시간) 라이선스를 자동으로 제거할 때까지 Enterprise 데이터 소스를 계속 사용할 수 있습니다.
에서 구독을 취소하는 방법에 대한 자세한 내용은 *AWS Marketplace 구매자 안내서*의 제품 구독 취소를 AWS Marketplace참조하세요. [https://docs.aws.amazon.com/marketplace/latest/buyerguide/cancel-subscription.html](https://docs.aws.amazon.com/marketplace/latest/buyerguide/cancel-subscription.html)
1. 구독이 취소된 후 Amazon Managed Grafana에서 구독을 AWS Marketplace취소합니다.
1. [Amazon Managed Grafana 콘솔](https://console.aws.amazon.com/grafana)에 로그인하세요.
1. 왼쪽 메뉴에서 **모든 워크스페이스**를 선택하세요.
1. 전환하려는 워크스페이스 이름을 선택하세요.
1. **Enterprise 라이선스**에서 **관리**를 선택하세요.
1. **없음**을 선택한 다음, **저장**을 선택하세요. 그러면 Amazon Managed Grafana에서 AWS Marketplace 라이선스가 제거됩니다.
Enterprise 라이선스가 제거되면 더 이상 워크스페이스의 Enterprise 플러그인에 액세스할 수 없습니다.
1. 이제 Amazon Managed Grafana 콘솔에서 업그레이드할 수 있습니다. 첫 번째 단계에서 생성한 Grafana Labs 토큰을 사용하여 [Amazon Managed Grafana Enterprise 플러그인에 대한 액세스 관리](AMG-workspace-manage-enterprise.md) 주제의 지침을 따르세요.
**참고**
Amazon Managed Grafana에서 라이선스를 취소한 시점부터 Enterprise 플러그인에 액세스하도록 업그레이드할 때까지 워크스페이스에서 Enterprise 데이터 소스에 액세스할 수 없습니다. 일반적으로 10\$115분 정도 걸리지만, 이러한 단계를 얼마나 빨리 수행할 수 있는지에 따라 더 오래 걸릴 수 있습니다. Grafana Labs 토큰을 준비하면 이 시간이 최소화됩니다.
## 자동 갱신 기능이 있는 AWS Marketplace 라이선스가 있습니다. 계속되나요?
예. AWS Marketplace 구독은 사용 중지되며 수동으로 갱신할 수 없지만 자동 갱신을 설정한 경우 끌 때까지 계속됩니다. 이렇게 하면 이전 답변의 지침에 따라 업그레이드할 수 있습니다.
새 [요금을](https://aws.amazon.com/grafana/pricing) 받으려면 AWS Marketplace 라이선스를 계속 사용하는 대신 Amazon Managed Grafana Enterprise 플러그인으로 업그레이드하는 것이 좋습니다.
## 워크스페이스에 아직 연결하지 않은 AWS Marketplace 라이선스가 있는데 사용할 수 있나요?
예, 해당 AWS Marketplace 라이선스를 연결하고 만료될 때까지 사용할 수 있습니다. 자동 갱신을 켜지 않는 한 30일 이내에 연결 가능합니다. 자세한 내용은 이전 질문 및 답변을 참조하세요.
# Amazon Managed Grafana 워크스페이스 간 콘텐츠 마이그레이션
콘텐츠(데이터 소스, 대시보드, 폴더 및 알림 규칙 포함)를 한 워크스페이스에서 다른 워크스페이스로 마이그레이션하려는 경우가 있습니다. 예를 들어 온프레미스 Grafana 인스턴스에서 Amazon Managed Grafana 워크스페이스로 마이그레이션하고 기존 콘텐츠를 새 워크스페이스로 마이그레이션하려고 합니다.
Amazon Managed Grafana는 워크스페이스 간 콘텐츠 마이그레이션을 직접 지원하지 않지만 AWS 에서는 워크스페이스 또는 Grafana 인스턴스 내에서 내보내기 및 가져오기 기능을 제공하여 이 시나리오를 처리할 수 있는 오픈 소스 마이그레이션 유틸리티를 제공합니다. 이 유틸리티를 **Amazon Managed Grafana Migrator**라고 합니다.
자세한 내용은 GitHub의 [Amazon Managed Grafana Migrator](https://github.com/aws-observability/amazon-managed-grafana-migrator)를 참조하세요.
# Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 액세스 관리
ID 제공업체(IdP) 또는 AWS IAM Identity Center에 설정된 사용자를 사용하여 Amazon Managed Grafana 워크스페이스에 액세스합니다. 워크스페이스에 대한 권한을 해당 사용자 또는 사용자가 속한 그룹에 부여해야 합니다. `User`, `Editor` 또는 `Admin` 권한을 부여할 수 있습니다.
## 사용자 또는 그룹에 권한 부여
**사전 조건**
+ Amazon Managed Grafana 워크스페이스에 대한 액세스 권한을 사용자 또는 사용자 그룹에 부여하려면 먼저 ID 제공업체(IdP) 또는 AWS IAM Identity Center에서 사용자 또는 그룹을 프로비저닝해야 합니다. 자세한 내용은 [Amazon Managed Grafana 워크스페이스에서 사용자 인증](authentication-in-AMG.md) 단원을 참조하십시오.
+ 사용자 및 그룹 액세스를 관리하려면 AWS Identity and Access Management (IAM) 정책 **AWSGrafanaWorkspacePermissionManagementV2** 또는 이에 상응하는 권한이 있는 사용자로 로그인해야 합니다. IAM Identity Center를 사용하여 사용자를 관리하는 경우 **AWSSSOMemberAccountAdministrator** 및 **AWSSSODirectoryReadOnly** IAM 정책 또는 이와 동등한 권한도 있어야 합니다. 자세한 내용은 [Amazon Managed Grafana에 대한 사용자 액세스 권한 할당 및 할당 취소](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users) 단원을 참조하십시오.
**Amazon Managed Grafana 콘솔을 사용하여 Grafana 워크스페이스에 대한 사용자 액세스를 관리하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택하세요.
1. **모든 워크스페이스**를 선택하세요.
1. 관리할 워크스페이스 이름을 선택하세요.
1. **인증** 탭을 선택하세요.
1. 이 워크스페이스에서 IAM Identity Center를 사용하는 경우 **사용자 및 사용자 그룹 구성**을 선택하고 다음 중 하나 이상을 수행하세요.
+ 사용자에게 Amazon Managed Grafana 워크스페이스에 대한 액세스 권한을 부여하려면 사용자 옆의 확인란을 선택하고 **사용자 할당**을 선택하세요.
+ 사용자를 워크스페이스의 `Admin`으로 만들려면 **관리자 설정**을 선택하세요.
+ 사용자에 대한 워크스페이스 액세스를 제거하려면 **사용자 할당 취소**를 선택하세요.
+ LDAP 그룹과 같은 사용자 그룹을 추가하려면 **할당된 사용자 그룹** 탭을 선택하세요. 그런 다음, 다음 중 하나를 수행합니다.
+ 그룹의 모든 멤버에게 Amazon Managed Grafana 워크스페이스에 대한 액세스 권한을 부여하려면 그룹 옆의 확인란을 선택하고 **그룹 할당**을 선택하세요.
+ 워크스페이스에서 그룹의 모든 구성원에게 `Admin` 역할을 부여하려면 **관리자 생성**을 선택하세요.
+ 그룹의 모든 멤버에 대한 워크스페이스 액세스를 제거하려면 **그룹 할당 취소**를 선택하세요.
**참고**
IAM Identity Center를 사용하여 사용자를 관리하는 경우 IAM Identity Center 콘솔만 사용하여 새 사용자 및 그룹을 프로비저닝합니다. Amazon Managed Grafana 콘솔 또는 API를 사용하여 Grafana 워크스페이스에 대한 액세스 권한을 부여하거나 제거합니다.
IAM Identity Center와 Amazon Managed Grafana가 동기화되지 않은 경우 충돌을 **해결**하는 옵션이 표시됩니다. 자세한 내용은 아래 [사용자 및 그룹 구성 시 권한 불일치 오류](#AMG-manage-users-and-groups-mismatch) 섹션을 참조하세요.
1. 이 워크스페이스에서 SAML을 사용하는 경우 **SAML 구성**을 선택하고 다음 중 하나 이상을 수행합니다.
+ **가져오기 메서드**에서 다음 중 하나를 수행합니다.
+ **URL**을 선택하고 IdP 메타데이터의 URL을 입력하세요.
+ **업로드 또는 복사/붙여넣기**를 선택하세요. 메타데이터를 업로드하는 경우 **파일 선택**을 선택하고 메타데이터 파일을 선택하세요. 또는 복사 및 붙여넣기를 사용하는 경우 메타데이터를 **메타데이터 가져오기**에 복사하세요.
+ **어설션 속성 역할**에 역할 정보를 추출할 SAML 어설션 속성의 이름을 입력하세요.
+ **관리자 역할 값**에 Amazon Managed Grafana 워크스페이스에서 `Admin` 역할에 부여해야 하는 IdP의 사용자 역할을 입력하거나 **내 워크스페이스에 관리자 할당 옵트아웃**을 선택하세요.
**참고**
**내 워크스페이스에 관리자 할당 옵트아웃**을 선택하는 경우 Amazon Managed Grafana 콘솔을 사용하여 데이터 소스, 사용자 및 대시보드 권한 관리와 같은 태스크를 포함하여 워크스페이스를 관리할 수 없습니다. Amazon Managed Grafana API만 사용하여 워크스페이스에 대한 관리 변경을 수행할 수 있습니다.
+ (선택 사항) 추가 SAML 설정을 입력하려면 **추가 설정**을 선택하고 다음 중 하나 이상을 수행한 다음, **SAML 구성 저장**을 선택하세요. 이 모든 필드는 선택 사항입니다.
+ **어설션 속성 이름**에서 SAML 사용자에 대해 사용자의 '친숙'한 전체 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 로그인**에서 SAML 사용자에 대해 사용자의 로그인 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 이메일**에서 SAML 사용자에 대해 사용자의 이메일 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **로그인 유효 기간(분)**에서 사용자가 다시 로그인하기 전에 SAML 사용자의 로그인이 유효한 기간을 지정합니다.
+ **어설션 속성 조직**에서 사용자 조직에 대해 사용자의 '친숙'한 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **어설션 속성 그룹**에서 사용자 그룹에 대해 '친숙'한 이름으로 사용할 SAML 어설션 내 속성 이름을 지정하세요.
+ **허용된 조직**의 경우 IdP에서 특정 조직의 멤버인 사용자로만 사용자 액세스를 제한할 수 있습니다. 하나 이상의 허용할 조직을 쉼표로 구분하여 입력하세요.
+ **편집자 역할 값**에 Amazon Managed Grafana 워크스페이스에서 `Editor` 역할을 부여받아야 하는 IdP의 사용자 역할을 입력하세요. 하나 이상의 역할을 쉼표로 구분하여 입력하세요.
1. 또는 LDAP 그룹과 같은 사용자 그룹을 추가하려면 **사용자 그룹** 탭을 선택하세요. 그런 다음, 다음 중 하나를 수행합니다.
+ 그룹의 모든 멤버에게 Amazon Managed Grafana 워크스페이스에 대한 액세스 권한을 부여하려면 그룹 옆의 확인란을 선택하고 **그룹 할당**을 선택하세요.
+ 워크스페이스에서 그룹의 모든 구성원에게 `Admin` 역할을 부여하려면 **관리자 생성**을 선택하세요.
+ 그룹의 모든 멤버에 대한 워크스페이스 액세스를 제거하려면 **그룹 할당 취소**를 선택하세요.
## 사용자 및 그룹 구성 시 권한 불일치 오류
Amazon Managed Grafana 콘솔에서 사용자 및 그룹을 구성할 때 불일치 오류가 발생할 수 있습니다. 이는 Amazon Managed Grafana와 IAM Identity Center가 동기화되지 않았음을 나타냅니다. 이 경우 Amazon Managed Grafana는 불일치를 **해결**하기 위한 경고와 선택 사항을 표시합니다. **해결**을 선택하면 Amazon Managed Grafana에 동기화되지 않은 권한이 있는 사용자 목록이 포함된 대화 상자가 표시됩니다.
IAM Identity Center에서 제거된 사용자는 대화 상자에 숫자 ID와 함께 `Unknown user`로 표시됩니다. 이러한 사용자의 경우 불일치를 수정하는 유일한 방법은 **해결**을 선택하고 권한을 제거하는 것입니다.
IAM Identity Center에 아직 있지만 이전에 보유했던 액세스 권한이 있는 그룹에 더 이상 속하지 않는 사용자는 **해결** 목록에 사용자 이름과 함께 표시됩니다. 이 문제는 두 가지 방법으로 해결할 수 있습니다. **해결** 대화 상자를 사용하여 액세스를 제거하거나 줄일 수 있습니다. 또는 이전 섹션의 지침에 따라 액세스를 부여할 수도 있습니다.
## 권한 불일치에 대해 자주 묻는 질문
**Amazon Managed Grafana 콘솔의 **사용자 및 그룹 구성** 섹션에서 권한이 불일치한다는 오류가 표시되는 이유는 무엇인가요?**
워크스페이스에 대한 Amazon Managed Grafana의 권한 및 IAM Identity Center의 사용자 및 그룹 연결에서 불일치가 식별되었기 때문에 이 메시지가 표시됩니다. Amazon Managed Grafana 콘솔(**사용자 및 그룹 구성** 탭) 또는 IAM Identity Center 콘솔(**애플리케이션 할당** 페이지)에서 Grafana 워크스페이스에 사용자를 추가하거나 제거할 수 있습니다. 그러나 Grafana 사용자 권한은 사용자 또는 그룹에 **최종 사용자**, **편집자** 또는 **관리자** 권한을 할당하여 Amazon Managed Grafana(Amazon Managed Grafana 콘솔 또는 API 사용)에서만 정의할 수 있습니다. 사용자는 다양한 권한을 가진 여러 그룹에 속할 수 있습니다. 이 경우 사용자의 권한은 사용자가 속한 모든 그룹 및 권한에서 가장 높은 액세스 수준을 기반으로 합니다.
불일치하는 레코드는 다음과 같은 이유로 발생할 수 있습니다.
+ 사용자 또는 그룹은 IAM Identity Center에서 삭제되지만 Amazon Managed Grafana에서는 삭제되지 않습니다. 이러한 레코드는 Amazon Managed Grafana 콘솔에 **알 수 없는 사용자**로 표시됩니다.
+ 사용자 또는 그룹과 Grafana의 연결은 IAM Identity Center(**애플리케이션 할당** 아래)에서 삭제되지만 Amazon Managed Grafana에서는 삭제되지 않습니다.
+ 사용자 권한은 이전에 Grafana 워크스페이스에서 직접 업데이트되었습니다. Grafana 워크스페이스의 업데이트는 Amazon Managed Grafana에서 지원되지 않습니다.
이러한 불일치를 방지하려면 Amazon Managed Grafana 콘솔 또는 Amazon Managed Grafana API를 사용하여 워크스페이스에 대한 사용자 및 그룹 권한을 관리합니다.
**이전에 Grafana 워크스페이스에서 일부 팀원의 액세스 수준을 업데이트했습니다. 지금 액세스 수준이 이전 액세스 수준으로 되돌려진 것을 확인했습니다. 이 문제가 표시되는 이유는 무엇이며 이 문제를 해결하려면 어떻게 해야 하나요?**
이는 워크스페이스에 대한 Amazon Managed Grafana의 권한 레코드와 IAM Identity Center의 사용자 및 그룹 연결 사이에서 식별된 불일치로 인해 발생했을 가능성이 큽니다. 팀원의 액세스 수준이 다른 경우 사용자 또는 Amazon Managed Grafana 관리자가 Amazon Managed Grafana 콘솔에서 불일치를 해결하여 불일치 레코드를 제거했을 수 있습니다. Amazon Managed Grafana 콘솔 또는 API에서 필요한 액세스 수준을 재할당하여 원하는 권한을 복원할 수 있습니다.
**참고**
Grafana 워크스페이스에서는 사용자 액세스 관리가 지원되지 않습니다. Amazon Managed Grafana 콘솔 또는 API를 사용하여 사용자 또는 그룹 권한을 할당합니다.
**액세스 수준의 변경을 확인하게 된 이유는 무엇인가요? 예를 들어 이전에는 관리자 액세스 권한이 있었지만 이제는 편집자 권한만 있습니다.**
워크스페이스 관리자가 권한을 변경했을 수 있습니다. IAM Identity Center의 사용자 및 그룹 연결과 Amazon Managed Grafana의 권한이 불일치하는 경우 우연치 않게 발생할 수 있습니다. 이 경우 불일치를 해결하면 더 높은 액세스 권한이 제거되었을 수 있습니다. Amazon Managed Grafana 콘솔에서 관리자에게 필요한 액세스 수준을 재할당하도록 요청할 수 있습니다.
# 데이터 소스 및 알림 채널에 대한 권한 관리
Amazon Managed Grafana 워크스페이스에는 지표의 AWS 데이터 소스와 알림의 알림 채널에 액세스할 수 있는 권한이 있어야 합니다. Amazon Managed Grafana 콘솔을 사용하여 Amazon Managed Grafana 워크스페이스에서 사용하려는 AWS 데이터 소스 및 알림 채널에 대한 정책 및 권한을 Amazon Managed Grafana에서 자동으로 생성 AWS Identity and Access Management (IAM)하도록 할 수 있습니다.
**데이터 소스 및 알림 채널에 대한 권한 및 정책을 관리하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택하세요.
1. **모든 워크스페이스**를 선택하세요.
1. 관리할 워크스페이스 이름을 선택하세요.
1. **서비스 관리형** 및 **고객 관리형** 권한 사용 사이를 전환하려면 **IAM 역할**의 편집 아이콘을 선택하고 원하는 항목을 선택하세요. 자세한 내용은 [AWS 데이터 소스에 대한 Amazon Managed Grafana 권한 및 정책](AMG-manage-permissions.md) 단원을 참조하십시오.
**서비스 관리형** 권한에서 **고객 관리형** 권한으로 변경하는 경우 Amazon Managed Grafana가 사용자를 위해 생성한 역할 및 정책은 현재 계정에서 삭제되지 않습니다. 조직에 **서비스 관리형** 권한을 사용하는 경우 조직의 다른 계정에 있는 역할 및 정책이 삭제됩니다.
1. **데이터 소스** 탭을 선택하세요.
1. **서비스 관리형** 권한을 사용하는 경우 **IAM 권한 액세스 설정** 옆의 **편집**을 선택하여 **서비스 관리형** 권한이 현재 계정에만 적용되는지 아니면 전체 조직에 적용되는지를 변경할 수 있습니다. 자세한 내용은 [AWS 데이터 소스에 대한 Amazon Managed Grafana 권한 및 정책](AMG-manage-permissions.md) 단원을 참조하십시오.
**데이터 소스**에서이 워크스페이스에서 쿼리할 AWS 데이터 소스를 선택합니다. 데이터 소스를 선택하면 Amazon Managed Grafana에서 이러한 소스의 데이터를 읽을 수 있는 IAM 역할 및 권한을 생성할 수 있습니다. 여전히 Grafana 워크스페이스 콘솔에서 데이터 소스를 추가해야 합니다.
알림 채널로 사용할 수 있는 AWS 서비스를 관리하려면 **알림 채널을** 선택합니다.
이 워크스페이스에서 사용할 AWS 알림 채널을 선택합니다. 알림 채널을 선택하면 Amazon Managed Grafana에서 이러한 서비스를 사용하도록 IAM 역할 및 권한을 생성할 수 있습니다. 여전히 Grafana 워크스페이스 콘솔에서 알림 채널을 추가해야 합니다.
**참고**
알림 사용에 대한 자세한 내용은 [알림 전달 관리](v9-alerting-managenotifications.md) 섹션을 참조하세요.
# 를 사용하여 Amazon Managed Grafana 리소스 생성 AWS CloudFormation
Amazon Managed Grafana는 AWS 리소스 및 인프라를 생성하고 관리하는 데 소요되는 시간을 줄일 수 있도록 리소스를 모델링하고 설정하는 데 도움이 되는 AWS CloudFormation서비스와 통합됩니다. 원하는 모든 AWS 리소스(예: 워크스페이스)를 설명하는 템플릿을 생성하고 해당 리소스를 CloudFormation 프로비저닝하고 구성합니다.
를 사용하면 템플릿을 재사용하여 Amazon Managed Grafana 리소스를 일관되고 반복적으로 설정할 CloudFormation수 있습니다. 리소스를 한 번 설명한 다음 여러 AWS 계정 및 리전에서 동일한 리소스를 반복적으로 프로비저닝합니다.
## Amazon Managed Grafana 및 CloudFormation 템플릿
Amazon Managed Grafana 및 관련 서비스에 대한 리소스를 프로비저닝하고 구성하려면 [CloudFormation 템플릿](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)을 이해해야 합니다. 템플릿은 JSON 또는 YAML로 서식 지정된 텍스트 파일입니다. 이러한 템플릿은 CloudFormation 스택에서 프로비저닝하려는 리소스를 설명합니다. JSON 또는 YAML에 익숙하지 않은 경우 CloudFormation Designer를 사용하여 CloudFormation 템플릿을 시작할 수 있습니다. 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [CloudFormation Designer란 무엇입니까?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html)를 참조하세요.
Amazon Managed Grafana에서는 CloudFormation에서 워크스페이스 생성을 지원합니다. 워크스페이스에 대한 JSON 및 YAML 템플릿의 예제를 비롯한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [Amazon Managed Grafana resource type reference](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-grafana-workspace.html)를 참조하세요.
## 에 대해 자세히 알아보기 CloudFormation
에 대해 자세히 알아보려면 다음 리소스를 CloudFormation참조하세요.
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation 사용 설명서](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API Reference](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation 명령줄 인터페이스 사용 설명서](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)
# Amazon Managed Grafana 워크스페이스에 대한 네트워크 액세스 구성
사용자와 호스트가 Grafana 워크스페이스에 액세스하는 방법을 제어할 수 있습니다.
Grafana에서 모든 사용자를 인증하고 권한을 부여해야 합니다. 하지만 기본적으로 Amazon Managed Grafana 워크스페이스는 모든 네트워크 트래픽에 열려 있습니다. 도달을 허용할 네트워크 트래픽을 제어하도록 워크스페이스에 대한 네트워크 액세스 제어를 구성할 수 있습니다.
두 가지 방법으로 워크스페이스에 대한 트래픽을 제어할 수 있습니다.
+ **IP 주소**(접두사 목록) - 워크스페이스에 액세스할 수 있는 IP 범위를 사용하여 [관리형 접두사 목록](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html)을 생성할 수 있습니다. Amazon Managed Grafana는 네트워크 액세스 제어를 위해 퍼블릭 IPv4 주소만 지원합니다.
+ **VPC 엔드포인트** - 특정 워크스페이스에 액세스할 수 있는 워크스페이스에 대한 VPC 엔드포인트 목록을 생성할 수 있습니다.
네트워크 액세스 제어를 구성하는 경우 하나 이상의 접두사 목록 또는 VPC 엔드포인트를 포함해야 합니다.
Amazon Managed Grafana는 접두사 목록 및 VPC 엔드포인트를 사용하여 Grafana 워크스페이스에 연결할 수 있는 요청을 결정합니다. 다음 다이어그램에서는 이 필터링을 보여줍니다.
![\[Amazon Managed Grafana 네트워크 액세스 제어를 통해 Amazon Managed Grafana 워크스페이스에 액세스하려는 일부 요청을 허용하고 다른 요청을 차단하는 이미지.\]](http://docs.aws.amazon.com/ko_kr/grafana/latest/userguide/images/grafana-nac.png)
Amazon Managed Grafana 워크스페이스에 대한 네트워크 액세스 제어(**1**)를 구성하면 워크스페이스에 액세스할 수 있는 요청을 지정합니다. 네트워크 액세스 제어는 IP 주소(**2**) 또는 사용하는 인터페이스 엔드포인트(**3**)를 통해 트래픽을 허용하거나 차단할 수 있습니다.
다음 섹션에서는 네트워크 액세스 제어를 설정하는 방법을 설명합니다.
## 네트워크 액세스 제어 구성
기존 워크스페이스에 대한 네트워크 액세스 제어를 추가하거나 워크스페이스의 초기 생성의 일부로 구성할 수 있습니다.
**사전 조건**
네트워크 액세스 제어를 설정하려면 먼저 워크스페이스에 대한 인터페이스 VPC 엔드포인트 또는 허용하려는 IP 주소에 대한 하나 이상의 IP 접두사 목록을 생성해야 합니다. 둘 다 또는 둘 중 하나 이상을 생성할 수도 있습니다.
+ **VPC 엔드포인트** - 모든 워크스페이스에 대한 액세스를 제공하는 인터페이스 VPC 엔드포인트를 생성할 수 있습니다. 엔드포인트를 생성한 후에는 허용하려는 각 엔드포인트에 대한 VPC 엔드포인트 ID가 필요합니다. VPC 엔드포인트 ID 형식은 `vpce-1a2b3c4d`입니다.
Grafana 워크스페이스에 대한 VPC 엔드포인트 생성에 대한 자세한 내용은 [인터페이스 VPC 엔드포인트](VPC-endpoints.md) 섹션을 참조하세요. 워크스페이스 전용 VPC 엔드포인트를 생성하려면 `com.amazonaws.region.grafana-workspace` 엔드포인트 이름을 사용합니다.
워크스페이스에 대한 액세스 권한을 부여하는 VPC 엔드포인트의 경우 엔드포인트에 대한 보안 그룹을 구성하여 액세스를 추가로 제한할 수 있습니다. 자세한 내용은 *Amazon VPC 설명서*의 [보안 그룹 연결](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups) 및 [보안 그룹 규칙 연결](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)을 참조하세요.
+ **관리형 접두사 목록**(IP 주소 범위용) - IP 주소를 허용하려면 허용할 IP 범위 목록과 함께 Amazon VPC에서 하나 이상의 접두사 목록을 생성해야 합니다. Amazon Managed Grafana에 대해 사용할 때 접두사 목록에는 몇 가지 제한 사항이 있습니다.
+ 각 접두사 목록에는 최대 100개의 IP 주소 범위가 포함될 수 있습니다.
+ 프라이빗 IP 주소 범위(예: `10.0.0.0/16`)는 무시됩니다. 접두사 목록에 프라이빗 IP 주소 범위를 포함할 수 있지만 Amazon Managed Grafana는 워크스페이스로 트래픽을 필터링할 때 해당 범위를 무시합니다. 이러한 호스트를 워크스페이스에 연결할 수 있으려면 워크스페이스에 대한 VPC 엔드포인트를 생성하고 액세스 권한을 부여합니다.
+ Amazon Managed Grafana는 접두사 목록에서 IPv6이 아닌 IPv4 주소만 지원합니다 IPv6 주소는 무시됩니다.
[Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/home?#ManagedPrefixLists)을 통해 관리형 접두사 목록을 생성합니다. 접두사 목록을 생성한 후에는 Amazon Managed Grafana에서 허용하려는 각 목록에 대한 접두사 목록 ID가 필요합니다. 접두사 목록 ID 형식은 `pl-1a2b3c4d`입니다.
접두사 목록 생성에 대한 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [관리형 접두사 목록을 사용하여 CIDR 블록 그룹화](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)를 참조하세요.
+ Amazon Managed Grafana 워크스페이스를 구성하거나 생성하는 데 필요한 권한이 있어야 합니다. 예를 들어 AWS 관리형 정책인를 사용할 수 있습니다`AWSGrafanaAccountAdministrator`.
워크스페이스에 액세스 권한을 부여하려는 접두사 목록 또는 VPC 엔드포인트의 ID 목록을 보유한 후에는 네트워크 액세스 제어 구성을 생성할 준비가 된 것입니다.
**참고**
네트워크 액세스 제어를 활성화하지만 구성에 접두사 목록을 추가하지 않는 경우 허용된 VPC 엔드포인트를 통하지 않는 한 워크스페이스에 대한 액세스는 허용되지 않습니다.
마찬가지로 네트워크 액세스 제어를 활성화하지만 VPC 엔드포인트를 구성에 추가하지 않는 경우 허용된 IP 주소를 통하지 않는 한 워크스페이스에 대한 액세스는 허용되지 않습니다.
네트워크 액세스 제어 구성에 접두사 목록 또는 VPC 엔드포인트를 하나 이상 포함해야 합니다. 그렇지 않으면 어디에서도 워크스페이스에 액세스할 수 없습니다.
**워크스페이스에 대한 네트워크 액세스 제어를 구성하는 방법**
1. [Amazon Managed Grafana 콘솔](https://console.aws.amazon.com/grafana/home/)을 여세요.
1. 왼쪽 탐색 창에서 **모든 워크스페이스**를 선택하세요.
1. 네트워크 액세스 제어를 구성하려는 워크스페이스의 이름을 선택하세요.
1. **네트워크 액세스 제어** 탭의 **네트워크 액세스 제어**에서 **제한된 액세스**를 선택하여 네트워크 액세스 제어를 구성하세요.
**참고**
워크스페이스를 생성하는 동안 이러한 동일한 옵션에 액세스할 수 있습니다.
1. 드롭다운에서 **접두사 목록**을 추가할지 아니면 **VPC 엔드포인트**를 추가할지 선택하세요.
1. 추가할 VPC 엔드포인트 또는 접두사 목록 ID를 선택하세요. 또는 사용할 ID를 입력할 수 있습니다. 하나 이상을 선택해야 합니다.
1. 엔드포인트 또는 목록을 더 추가하려면 추가하려는 각 엔드포인트에 대해 **새 리소스 추가**를 선택하세요.
**참고**
최대 5개의 접두사 목록과 5개의 VPC 엔드포인트를 추가할 수 있습니다.
1. **변경 사항 저장**을 선택하여 설정을 완료합니다.
**주의**
워크스페이스의 기존 사용자가 있는 경우 구성에 해당 IP 범위 또는 VPC 엔드포인트를 포함하세요. 그렇지 않으면 `403 Forbidden` 오류로 인해 액세스 권한이 손실됩니다. 네트워크 액세스 제어 구성을 설정하거나 수정한 후 기존 액세스 포인트를 테스트하는 것이 좋습니다.
# 저장 시 암호화
기본적으로 Amazon Managed Grafana는 유휴 시 암호화를 자동으로 제공하며 AWS 소유 암호화 키를 사용하여 이를 수행합니다.
+ **AWS 소유 키** - Amazon Managed Grafana는 이러한 키를 사용하여 워크스페이스의 데이터를 자동으로 암호화합니다. AWS 소유 키를 보거나 관리하거나 사용하거나 사용을 감사할 수 없습니다. 하지만 데이터를 암호화하는 키를 보호하기 위해 어떤 작업을 수행하거나 어떤 프로그램을 변경할 필요가 없습니다. 자세한 내용은 *AWS KMS 개발자 안내서*의 [AWS소유 키를](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) 참조하세요.
저장 데이터 암호화는 개인 식별 정보와 같은 민감한 고객 데이터를 보호하는 데 필요한 운영 오버헤드와 복잡성을 줄이는 데 도움이 됩니다. 또한 이 기능을 통해 엄격한 암호화 규정 준수 및 규제 요구 사항을 충족하는 안전한 애플리케이션을 구축할 수 있습니다.
또는 WorkSpace를 생성할 때 고객 관리형 키를 사용하도록 선택할 수도 있습니다.
+ **고객 관리형 키** - Amazon Managed Grafana는 사용자가 생성, 소유 및 관리하는 대칭 고객 관리형 키를 사용하여 워크스페이스의 데이터를 암호화할 수 있도록 지원합니다. 이 암호화를 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
+ 키 정책 수립 및 유지
+ IAM 정책 및 권한 부여 수립 및 유지
+ 키 정책 활성화 및 비활성화
+ 키 암호화 자료 교체
+ 태그 추가
+ 키 별칭 만들기
+ 삭제를 위한 스케줄 키
자세한 내용은 *AWS KMS 개발자 안내서*의 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) 및 [정의 섹션을 참조 AWS KMS하세요.](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
고객 관리형 키 또는 AWS 소유 키를 신중하게 사용할지 여부를 선택합니다. 고객 관리형 키로 생성된 Workspace는 나중에 AWS 소유 키를 사용하도록 변환할 수 없습니다(반대의 경우도 마찬가지).
**참고**
Amazon Managed Grafana는 AWS 소유 키를 사용하여 저장 데이터 암호화를 자동으로 활성화하여 데이터를 무료로 보호합니다.
그러나 고객 관리형 키 사용에는 AWS KMS 요금이 적용됩니다. 요금에 대한 자세한 내용은 [AWS KMS 요금](https://aws.amazon.com/kms/pricing/)을 참조하세요.
**중요**
키 정책에서 고객 관리형 키를 비활성화하거나 Amazon Managed Grafana 액세스를 제거하면 워크스페이스에 액세스할 수 없게 됩니다. 워크스페이스는 `ACTIVE` 상태로 유지되지만 기능적으로 사용할 수 없습니다. 키를 다시 활성화하거나 키 정책을 복원하여 액세스를 복원할 수 있는 기간은 7일입니다. 7일 후에 워크스페이스는 `FAILED` 상태로 전환되며 삭제할 수만 있습니다.
에서 삭제를 위해 키를 예약하는 AWS KMS 최소 대기 기간은 키가 삭제되기 전 7일입니다. 키가 삭제되면 복원할 수 없으며 해당 키로 암호화된 워크스페이스는 데이터에 대한 액세스 권한을 영구적으로 잃게 됩니다.
고객 관리형 키 암호화는 새 워크스페이스를 생성할 때만 사용할 수 있습니다. 기존 워크스페이스는 고객 관리형 키를 사용하도록 변환할 수 없습니다.
생성 후에는 워크스페이스의 고객 관리형 키를 수정할 수 없습니다.
## Amazon Managed Grafana가에서 권한 부여를 사용하는 방법 AWS KMS
Amazon Managed Grafana에서 고객 관리형 키를 사용하려면 권한 부여가 필요합니다.
고객 관리형 키로 암호화된 Amazon Managed Grafana 워크스페이스를 생성하면 Amazon Managed Grafana는 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 요청을에 전송하여 사용자를 대신하여 권한 부여를 생성합니다 AWS KMS. 의 권한 부여 AWS KMS 는 사용자를 대신하여 직접 호출되지 않은 경우에도(예: 대시보드 데이터 또는 사용자 구성을 저장할 때) Amazon Managed Grafana에 계정의 KMS 키에 대한 액세스 권한을 부여하는 데 사용됩니다.
Amazon Managed Grafana는 다음과 같은 내부 작업에 고객 관리형 키를 사용하려면 권한 부여가 필요합니다.
+ [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 요청을 AWS KMS 에 보내 필요에 따라 추가 권한 부여를 생성합니다.
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 요청을에 전송 AWS KMS 하여 워크스페이스를 생성할 때 제공된 대칭 고객 관리형 KMS 키가 유효한지 확인합니다.
+ [ReEncryptTo 및 ReEncryptFrom](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 요청을에 전송 AWS KMS 하여 서로 다른 암호화 컨텍스트 간에 이동할 때 데이터를 다시 암호화합니다.
+ AWS KMS 에 [암호화](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) 요청을 보내 고객 관리형 키로 데이터를 직접 암호화합니다.
+ 데이터 암호화 AWS KMS 에 사용할 수 있도록에 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 요청을 전송하여 암호화된 데이터 키를 복호화합니다.
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 요청을에 전송 AWS KMS 하여 고객 관리형 키로 암호화된 데이터 키를 생성합니다.
+ [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) 요청을 AWS KMS 에 보내 일반 텍스트 버전을 반환하지 않고 암호화된 데이터 키를 생성합니다.
+ 더 이상 필요하지 않은 권한 부여를 사용 중지 AWS KMS 하려면 [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) 요청을에 보냅니다.
Amazon Managed Grafana는 Amazon Managed Grafana가 사용자를 대신하여 AWS KMS 키를 사용할 수 있도록 키에 대한 권한 부여를 생성합니다. 키 정책을 변경하거나, 키를 비활성화하거나, 권한 부여를 취소하여 키에 대한 액세스 권한을 제거할 수 있습니다. 이러한 작업을 수행하기 전에 이러한 작업의 결과를 이해해야 합니다. 이로 인해 WorkSpace의 데이터가 손실될 수 있습니다.
어떤 식으로든 권한 부여에 대한 액세스를 제거하면 Amazon Managed Grafana는 고객 관리형 키로 암호화된 데이터에 액세스하거나 워크스페이스로 전송된 새 데이터를 저장할 수 없으며, 이는 해당 데이터에 의존하는 작업에 영향을 미칩니다. 워크스페이스에 대한 새 업데이트는 액세스할 수 없으며 영구적으로 손실될 수 있습니다.
**주의**
키를 비활성화하거나 키 정책에서 Amazon Managed Grafana 액세스를 제거하면 워크스페이스 데이터에 더 이상 액세스할 수 없습니다. 워크스페이스는 `ACTIVE` 상태로 유지되지만 기능적으로 사용할 수 없습니다. 워크스페이스로 전송되는 새 업데이트는 액세스할 수 없으며 영구적으로 손실될 수 있습니다. 키를 다시 활성화하거나 7일 이내에 키에 대한 Amazon Managed Grafana 액세스를 복원하여 워크스페이스 데이터에 대한 액세스를 복원하고 새 데이터 수신을 재개할 수 있습니다. 액세스 권한이 없는 7일이 지나면 워크스페이스가 `FAILED` 상태로 전환됩니다.
에서 삭제하도록 키를 예약하면 필수 7일 대기 기간이 지나면 AWS KMS키가 삭제됩니다. 삭제한 후에는 키를 복원할 수 없으며 워크스페이스 데이터에 영구적으로 액세스할 수 없습니다.
권한을 취소하면 다시 생성할 수 없으며 WorkSpace의 데이터가 영구적으로 손실됩니다.**
Amazon Managed Grafana는 데이터 스토리지용 RDS에 대한 종속성으로 인해 Amazon RDS를 통해 추가 하위 권한 부여를 생성합니다. 이러한 RDS 관련 권한 부여를 취소하면 기본 Grafana 권한 부여를 취소하는 것과 동일한 영구 데이터 손실 효과가 있습니다.
## 1단계: 고객 관리형 키 만들기
AWS 관리 콘솔 또는 AWS KMS APIs. 키는 Amazon Managed Grafana 워크스페이스와 동일한 리전에 있어야 하며 키 사용이 포함된 대칭 `ENCRYPT_DECRYPT` 키여야 합니다.
**대칭형 고객 관리형 키를 생성하려면**
+ *AWS KMS 개발자 안내서*의 [대칭형 고객 관리형 키 생성](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) 단계를 따르세요.
키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 *AWS KMS 개발자 안내서*의 [고객 관리형 키에 대한 액세스 관리](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)를 참조하세요.
Amazon Managed Grafana 워크스페이스에서 고객 관리형 키를 사용하려면 키 정책에서 다음 API 작업을 허용해야 합니다.
+ [kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) – 고객 관리형 키에 권한 부여를 추가합니다. Amazon Managed Grafana에 필요한 권한 [부여 작업에](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) 대한 액세스를 허용하는 지정된 KMS 키에 대한 제어 액세스 권한을 부여합니다. 자세한 내용은 *AWS KMS 개발자 안내서*에서 [권한 부여 사용](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)을 참조하세요. 이렇게 하면 Amazon Managed Grafana에서 다음을 수행할 수 있습니다.
+ 를 호출`GenerateDataKey`하여 암호화된 데이터 키를 생성하고 저장합니다.
+ 저장된 암호화된 데이터 키를 사용하여 암호화된 데이터에 액세스하려면 `Decrypt`를 호출합니다.
+ [kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) – Amazon Managed Grafana가 키를 검증할 수 있도록 고객 관리형 키 세부 정보를 제공합니다.
다음은 Amazon Managed Grafana에 추가할 수 있는 정책 설명 예제입니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow IAM Users and Roles to validate KMS key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/root"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"grafana..amazonaws.com"
]
}
}
},
{
"Sid": "Allow IAM Users and Roles to create grant on KMS key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/root"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"grafana..amazonaws.com"
],
"kms:GrantConstraintType": "EncryptionContextSubset"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"CreateGrant",
"RetireGrant",
"Decrypt",
"Encrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
}
}
}
]
}
```
+ 정책에서 권한을 지정하는 방법에 대한 자세한 내용은 [AWS Key Management Service 개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/)를 참조하세요.
+ 키 액세스 문제 해결에 대한 자세한 내용은 [AWS Key Management Service 개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/)를 참조하세요.
## 2단계: Amazon Managed Grafana에 대한 고객 관리형 키 지정
워크스페이스를 생성할 때 Amazon Managed Grafana가 워크스페이스에 저장된 데이터를 암호화하는 데 사용하는 KMS 키 ARN을 입력하여 고객 관리형 키를 지정할 수 있습니다.
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. **워크스페이스 생성**을 선택합니다.
1. **암호화** 섹션에서 **고객 관리형 키를** 선택합니다.
1. **KMS 키 ARN 필드에 고객 관리형 키의 ARN**을 입력합니다.
1. 나머지 워크스페이스 구성을 완료하고 **워크스페이스 생성을** 선택합니다.
`--kms-key-id` 파라미터를 사용하여 워크스페이스를 생성할 때 고객 관리형 키를 지정할 수 있습니다.
```
aws grafana create-workspace \
--workspace-name "my-encrypted-workspace" \
--workspace-description "Workspace with customer managed encryption" \
--account-access-type "CURRENT_ACCOUNT" \
--authentication-providers "AWS_SSO" \
--permission-type "SERVICE_MANAGED" \
--kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
```
## Amazon Managed Grafana의 암호화 키 모니터링
Amazon Managed Grafana 워크스페이스에서 AWS KMS 고객 관리형 키를 사용하는 경우 AWS CloudTrail 또는 Amazon CloudWatch Logs를 사용하여 Amazon Managed Grafana가 보내는 요청을 추적할 수 있습니다 AWS KMS.
다음 예제는 Amazon Managed Grafana에서 고객 관리형 키로 암호화된 데이터에 액세스`Decrypt`하기 위해 호출한 KMS 작업을 모니터링하기 위한 `CreateGrant``DescribeKey`, `GenerateDataKey`, 및 AWS CloudTrail 이벤트입니다.
AWS KMS 고객 관리형 키를 사용하여 워크스페이스를 암호화하면 Amazon Managed Grafana는 사용자를 대신하여 사용자가 지정한 KMS 키에 액세스하도록 `CreateGrant` 요청을 보냅니다. Amazon Managed Grafana가 생성하는 권한 부여는 AWS KMS 고객 관리형 키와 연결된 리소스에만 적용됩니다.
다음 예제 이벤트는 `CreateGrant` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
Amazon Managed Grafana는 `DescribeKey` 작업을 사용하여 워크스페이스와 연결된 AWS KMS 고객 관리형 키가 계정 및 리전에 존재하는지 확인합니다.
다음 예제 이벤트는 `DescribeKey` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
Amazon Managed Grafana는 `GenerateDataKey` 작업을 사용하여 워크스페이스 데이터를 암호화하는 데 사용되는 데이터 키를 생성합니다.
다음 예제 이벤트는 `GenerateDataKey` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
Amazon Managed Grafana는 `Decrypt` 작업을 사용하여 암호화된 데이터 키를 해독하므로 워크스페이스 데이터를 해독하는 데 사용할 수 있습니다.
다음 예제 이벤트는 `Decrypt` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
## 자세히 알아보기
다음 리소스에서 키에 대한 추가 정보를 확인할 수 있습니다.
+ AWS KMS 기본 개념에 대한 자세한 내용은 [AWS KMS 개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/)를 참조하세요.
+ 의 보안 모범 사례에 대한 자세한 내용은 [AWS KMS 개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/)를 AWS KMS참조하세요.
# Amazon Managed Grafana에서 Amazon VPC의 데이터 소스 또는 알림 채널에 연결
기본적으로 Amazon Managed Grafana 워크스페이스에서 데이터 소스 또는 알림 채널로의 트래픽은 퍼블릭 인터넷을 통해 전달됩니다. 이 방식에서는 Amazon Managed Grafana 워크스페이스의 연결이 퍼블릭 액세스가 가능한 서비스로 제한됩니다.
**참고**
프라이빗 VPC를 구성하지 않았고 Amazon Managed Grafana가 공개적으로 액세스할 수 있는 데이터 소스에 연결 중인 경우를 통해 동일한 리전의 일부 AWS 서비스에 연결됩니다 AWS PrivateLink. 여기에는 CloudWatch, Amazon Managed Service for Prometheus, AWS X-Ray와 같은 서비스가 포함됩니다. 이러한 서비스에 대한 트래픽은 퍼블릭 인터넷을 통해 전달되지 않습니다.
VPC 내 프라이빗 연결 데이터 소스에 연결하거나 트래픽을 VPC에 대해 로컬로 유지하려는 경우 이러한 데이터 소스를 호스팅하는 Amazon Virtual Private Cloud(Amazon VPC)에 Amazon Managed Grafana 워크스페이스를 연결할 수 있습니다. VPC 데이터 소스 연결을 구성하면 모든 트래픽이 VPC를 통해 전달됩니다.
*Virtual Private Cloud*(VPC)는 전용 가상 네트워크입니다 AWS 계정. 다른 VPC 및 퍼블릭 인터넷을 비롯한 다른 가상 네트워크와 논리적으로 격리됩니다. Amazon VPC를 사용하여 AWS 클라우드에서 VPC를 생성하고 관리합니다. Amazon VPC를 사용하면 리소스 배치, 연결 및 보안을 포함하여 가상 네트워킹 환경을 완전히 제어할 수 있습니다. Amazon Managed Grafana 데이터 소스 및 기타 리소스를 VPC에서 생성할 수 있습니다. Amazon VPC에 대한 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [Amazon VPC란 무엇인가?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)를 참조하세요.
**참고**
Amazon Managed Grafana 워크스페이스를 VPC 외부, 다른 네트워크 또는 퍼블릭 인터넷의 데이터에 연결하려면 다른 네트워크에 라우팅을 추가해야 합니다. VPC를 다른 네트워크에 연결하는 방법에 대한 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [다른 네트워크에 VPC 연결](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)을 참조하세요.
## VPC 연결 작동 방식
[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)는 애플리케이션에서 연결할 퍼블릭 연결 및 프라이빗 연결 *서브넷* 생성, 서브넷에 액세스할 수 있는 서비스 또는 리소스 관리를 위한 *보안 그룹*을 포함하여 가상 네트워킹 환경에 대한 완전한 제어를 제공합니다.
VPC의 리소스와 함께 Amazon Managed Grafana를 사용하려면 Amazon Managed Grafana 워크스페이스에 대해 해당 VPC에 대한 연결을 생성해야 합니다. 연결을 설정한 후 Amazon Managed Grafana는 해당 VPC의 각 가용 영역에 있는 제공된 각 서브넷에 워크스페이스를 연결하고, Amazon Managed Grafana 워크스페이스로 송수신되는 모든 트래픽은 VPC를 통해 전달됩니다. 다음 다이어그램은 이 연결의 논리적 구성을 보여줍니다.
![\[여러 가용 영역에서 VPC에 연결하는 Amazon Managed Grafana를 보여주는 이미지.\]](http://docs.aws.amazon.com/ko_kr/grafana/latest/userguide/images/grafana-vpc-connection.png)
Amazon Managed Grafana는 서브넷당 연결(**1**)을 생성하여([탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) 또는 ENI 사용) VPC(**2**)에 연결합니다. Amazon Managed Grafana VPC 연결은 VPC와 Amazon Managed Grafana 워크스페이스 사이에서 트래픽을 제어하는 보안 그룹(**3**) 세트와 연결됩니다. 모든 트래픽은 알림 대상 및 데이터 소스 연결을 포함하여 구성된 VPC를 통해 라우팅됩니다. 다른 VPC 또는 퍼블릭 인터넷(**4**)의 데이터 소스 및 알림 대상에 연결하려면 다른 네트워크와 VPC 사이에서 [게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)(**5**)를 생성합니다.
## VPC에 대한 연결 생성
이 섹션에서는 기존 Amazon Managed Grafana 워크스페이스에서 VPC에 연결하는 단계를 설명합니다. 워크스페이스를 생성할 때 다음과 같은 동일한 지침을 따를 수 있습니다. 워크스페이스 생성에 대한 자세한 내용은 [Amazon Managed Grafana 워크스페이스 생성](AMG-create-workspace.md) 섹션을 참조하세요.
### 사전 조건
다음은 기존 Amazon Managed Grafana 워크스페이스에서 VPC에 연결하기 위한 사전 조건입니다.
+ Amazon Managed Grafana 워크스페이스를 구성하거나 생성하는 데 필요한 권한이 있어야 합니다. 예를 들어 AWS 관리형 정책인를 사용할 수 있습니다`AWSGrafanaAccountAdministrator`.
+ 최소 두 개의 가용 영역이 구성되어 있고 각각에 하나의 *프라이빗 서브넷*이 구성된 VPC 설정이 계정에 있어야 합니다. VPC의 서브넷 및 보안 그룹 정보를 알아야 합니다.
**참고**
[로컬 영역](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html) 및 [Wavelength 영역](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)은 지원되지 않습니다.
`Tenancy`가 `Dedicated`로 설정되어 [구성된 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)는 지원되지 않습니다.
**중요**
Amazon Managed Grafana 워크스페이스에 연결된 각 서브넷에는 최소 15개의 사용 가능한 IP 주소가 있어야 합니다. VPC 서브넷의 [IP 사용량을 모니터링](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)하도록 경보를 구성할 것을 강력히 권장합니다. 서브넷에 사용 가능한 IP 주소 수가 15개 미만으로 감소하면 다음과 같은 문제가 발생할 수 있습니다.
추가 IP 주소를 확보하거나 추가 IP 주소가 있는 서브넷을 연결하기 전까지 워크스페이스에 대한 구성을 변경할 수 없습니다.
워크스페이스가 보안 업데이트 또는 패치를 수신할 수 없습니다.
드문 경우지만 워크스페이스의 가용성이 완전히 손상되어 알림이 작동하지 않거나 대시보드에 액세스할 수 없는 상황이 발생할 수 있습니다.
+ 데이터 소스가 구성된 기존 Amazon Managed Grafana 워크스페이스를 연결하는 경우 Amazon Managed Grafana를 VPC에 연결하기 전에 해당 데이터 소스에 연결하도록 VPC를 구성하는 것이 좋습니다. 여기에는 AWS PrivateLink를 통해 연결된 CloudWatch와 같은 서비스가 포함됩니다. 그렇지 않으면 해당 데이터 소스에 대한 연결이 끊어집니다.
+ VPC에 이미 다른 네트워크에 대한 게이트웨이가 여러 개 있는 경우 여러 게이트웨이에서 DNS 확인을 설정해야 할 수도 있습니다. 자세한 내용은 [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)를 참조하세요.
### 기존 Amazon Managed Grafana 워크스페이스에서 VPC에 연결
다음 절차에서는 기존 Amazon Managed Grafana 워크스페이스에 Amazon VPC 데이터 소스 연결을 추가하는 방법을 설명합니다.
**참고**
Amazon VPC에 대한 연결을 구성하면 IAM 역할이 생성됩니다. 이 역할을 사용하여 Amazon Managed Grafana에서 VPC에 대한 연결을 생성할 수 있습니다. IAM 역할은 서비스 연결 역할 정책(`AmazonGrafanaServiceLinkedRolePolicy`)을 사용합니다. 서비스 연결 역할에 대해 자세히 알아보려면 [Amazon Managed Grafana에 대한 서비스 연결 역할 권한](using-service-linked-roles.md#slr-permissions) 섹션을 참조하세요.
**기존 Amazon Managed Grafana 워크스페이스에서 VPC에 연결하는 방법**
1. [Amazon Managed Grafana 콘솔](https://console.aws.amazon.com/grafana/home/)을 여세요.
1. 왼쪽 탐색 창에서 **모든 워크스페이스**를 선택하세요.
1. VPC 데이터 소스 연결을 추가하려는 워크스페이스 이름을 선택하세요.
1. **네트워크 액세스 설정** 탭의 **아웃바운드 VPC 연결** 옆에 있는 **편집**을 선택하여 VPC 연결을 생성하세요.
1. 연결할 **VPC**를 선택하세요.
1. **매핑**에서 사용하려는 가용 영역을 선택하세요. 둘 이상을 선택해야 합니다.
1. 각 가용 영역에서 하나 이상의 *프라이빗 서브넷*을 선택하세요. 서브넷에서 IPv4를 지원해야 합니다.
1. VPC에 대해 하나 이상의 **보안 그룹**을 선택하세요. 최대 5개의 보안 그룹을 지정할 수 있습니다. 또는 이 연결에 적용할 보안 그룹을 생성할 수 있습니다.
1. **변경 사항 저장**을 선택하여 설정을 완료합니다.
VPC 연결을 설정했으므로 해당 VPC에서 Amazon Managed Grafana 워크스페이스로 액세스할 수 있는 [데이터 원본에 연결](AMG-data-sources.md)을 추가할 수 있습니다.
**아웃바운드 VPC 설정 변경**
설정을 변경하려면 워크스페이스 구성의 **네트워크 액세스 설정** 탭으로 돌아가거나 [UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html) API를 사용할 수 있습니다.
**중요**
Amazon Managed Grafana에서는 VPC 구성을 관리합니다. Amazon EC2 콘솔 또는 API를 사용하여 이러한 VPC 설정을 편집하지 마세요. 그렇지 않으면 설정이 동기화되지 않습니다.
# Amazon Managed Grafana에서 VPC를 사용하여 문제 해결
Amazon Managed Grafana에서 Amazon Virtual Private Cloud(Amazon VPC)를 사용하는 것과 관련된 일반적인 질문에 대한 답변입니다.
## Amazon Managed Grafana에서 VPC를 언제 구성해야 하나요?
프라이빗 VPC에서만 사용할 수 있는 데이터 소스(퍼블릭 액세스 불가)에 연결하려는 경우 Amazon Managed Grafana에서 VPC를 구성해야 합니다.
퍼블릭 액세스가 가능하거나 퍼블릭 연결 엔드포인트가 있는 데이터 소스의 경우 VPC를 구성하지 않아도 됩니다.
Amazon CloudWatch, Amazon Managed Service for Prometheus 또는에 연결하는 경우 VPC를 구성할 필요가 AWS X-Ray없습니다. 이러한 데이터 소스는 기본적으로 AWS PrivateLink 를 통해 Amazon Managed Grafana에 연결됩니다.
## Amazon Managed Grafana 워크스페이스에서 VPC를 구성한 후 기존 데이터 소스가 연결되지 않는 이유는 무엇인가요?
기존 데이터 소스는 퍼블릭 네트워크를 통해 액세스할 수 있으며 Amazon VPC 구성은 퍼블릭 네트워크에 대한 액세스를 허용하지 않습니다. Amazon Managed Grafana 워크스페이스에서 VPC 연결을 구성한 후에는 모든 트래픽이 해당 VPC를 통과해야 합니다. 여기에는 해당 VPC 내 호스팅되는 프라이빗 데이터 소스, 다른 VPC의 데이터 소스, VPC에서 사용할 수 없는 AWS 관리형 서비스 및 인터넷 연결 데이터 소스가 포함됩니다.
이 문제를 해결하려면 사용자가 구성한 VPC에 다른 데이터 소스를 연결해야 합니다.
+ 인터넷 연결 데이터 소스의 경우 VPC를 인터넷에 연결합니다. 예를 들어 [NAT 디바이스를 사용하여 인터넷 또는 기타 네트워크에 연결](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)할 수 있습니다(**Amazon Virtual Private Cloud 사용 설명서 참조).
+ 다른 VPC의 데이터 소스에서 두 VPC 간에 피어링을 생성하세요. 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [VPC 피어링을 사용하여 VPC 연결](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)을 참조하세요.
+ CloudWatch, X-Ray 또는 Amazon AWS Managed Service for Prometheus와 같이 VPC에서 액세스할 수 없는 관리형 서비스의 경우 VPC에서 해당 서비스에 대한 인터페이스 VPC 엔드포인트를 생성해야 할 수 있습니다. 자세한 내용은 *AWS PrivateLink 가이드*의 [인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스를](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) 참조하세요.
## 전용 테넌시가 있는 VPC를 사용할 수 있습니까?
아니요, `Tenancy`가 `Dedicated`으로 [설정된 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)는 지원되지 않습니다.
## AWS 관리형 서비스(예: Amazon Managed Service for Prometheus, CloudWatch 또는 X-Ray)와 프라이빗 데이터 소스(Amazon Redshift 포함)를 모두 동일한 Amazon Managed Grafana 워크스페이스에 연결할 수 있나요?
예. 프라이빗 데이터 소스와 동일한 VPC의 AWS 관리형 서비스에 대한 연결(예: [인터페이스 VPC 엔드포인트](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) 또는 [NAT 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) 사용)을 구성하고 동일한 VPC에 연결하도록 Amazon Managed Grafana 워크스페이스를 구성해야 합니다.
## Amazon Managed Grafana 워크스페이스에서 VPC를 구성한 후 데이터 소스에 연결하려고 할 때 `502 Bad Gateway Error`가 발생하는 이유는 무엇인가요?
다음은 데이터 소스 연결에서 `502` 오류를 반환하는 가장 일반적인 세 가지 이유입니다.
+ **보안 그룹 오류** - Amazon Managed Grafana의 VPC 구성 중에 선택한 보안 그룹은 인바운드 및 아웃바운드 규칙을 통해 데이터 소스에 대한 연결을 허용해야 합니다.
이 문제를 해결하려면 데이터 소스 보안 그룹 및 Amazon Managed Grafana 보안 그룹의 규칙이 모두 이 연결을 허용하는지 확인하세요.
+ **사용자 권한 오류** - 할당된 워크스페이스 사용자에게 데이터 소스를 쿼리할 수 있는 적절한 권한이 없습니다.
이 문제를 해결하려면 사용자에게 워크스페이스를 편집하는 데 필요한 IAM 권한 및 호스팅 서비스에서 데이터에 액세스하고 쿼리하는 데 필요한 올바른 데이터 소스 정책이 있는지 확인합니다. 권한은 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) AWS Identity and Access Management (IAM) 콘솔에서 사용할 수 있습니다.
+ **잘못된 연결 세부 정보가 제공됨** - 잘못된 연결 세부 정보가 제공되어 Amazon Managed Grafana 워크스페이스에서 데이터 소스에 연결할 수 없습니다.
이 문제를 해결하려면 데이터 소스 인증 및 엔드포인트 URL을 포함하여 데이터 소스 연결의 정보를 확인하고 연결을 다시 시도하세요.
## 동일한 Amazon Managed Grafana 워크스페이스에서 여러 VPC에 연결할 수 있나요?
Amazon Managed Grafana 워크스페이스에 대해 단일 VPC만 구성할 수 있습니다. 다른 VPC 또는 여러 리전의 데이터 소스에 액세스하려면 다음 질문을 참조하세요.
## 다른 VPC의 데이터 소스에 연결하려면 어떻게 해야 하나요? 다른 AWS 리전 또는에 있는 VPC의 데이터 소스에 연결하려면 어떻게 해야 합니까 AWS 계정?
[VPC 피어링](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 또는 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)를 사용하여 교차 리전 또는 교차 계정 VPCs를 연결한 다음 Amazon Managed Grafana 워크스페이스와 동일한 AWS 계정 및 리전에 있는 VPC를 연결할 수 있습니다. Amazon Managed Grafana는 외부 데이터 소스에 VPC 내 다른 연결로 연결됩니다.
**참고**
VPC 피어링을 사용할 수 없는 경우 해당 사용 사례를 계정 관리자와 공유하거나 이메일([aws-grafana-feedback@amazon.com](mailto:aws-grafana-feedback@amazon.com))을 보내세요.
## Amazon Managed Grafana 워크스페이스가 VPC에 연결된 경우에도 다른 퍼블릭 데이터 소스에 연결할 수 있나요?
예. VPC 및 퍼블릭 데이터 소스의 데이터 소스를 단일 Amazon Managed Grafana 워크스페이스에 동시에 연결할 수 있습니다. 퍼블릭 데이터 소스의 경우 [NAT 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) 또는 [기타 VPC 연결](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)을 통해 VPC 연결을 구성해야 합니다. 퍼블릭 데이터 소스에 대한 요청은 VPC를 통과하면서 이러한 요청에 대한 추가 가시성과 제어 기능을 제공합니다.
## IP 주소가 부족하여 Amazon Managed Grafana 워크스페이스를 업데이트할 수 없는 경우 어떻게 해야 하나요?
Amazon Managed Grafana 워크스페이스 구성을 수정할 경우 다음 오류가 발생할 수 있습니다. VPC 구성의 모든 서브넷에는 사용 가능한 IP 주소가 최소 15개 이상 있어야 합니다.
워크스페이스에 연결된 하나 이상의 서브넷이 최소 IP 요구 사항을 충족하지 않는 경우 이 오류가 발생합니다. 워크스페이스에 연결된 각 서브넷에는 최소 15개의 사용 가능한 IP 주소가 있어야 합니다. 서브넷에 사용 가능한 IP 주소 수가 15개 미만으로 감소하면 다음과 같은 문제가 발생할 수 있습니다.
+ 추가 IP 주소를 확보하거나 추가 IP 주소가 있는 서브넷을 연결하기 전까지 워크스페이스에 대한 구성을 변경할 수 없습니다.
+ 워크스페이스가 보안 업데이트 또는 패치를 수신할 수 없습니다.
+ 드문 경우지만 워크스페이스의 가용성이 완전히 손상되어 알림이 작동하지 않거나 대시보드에 액세스할 수 없는 상황이 발생할 수 있습니다.
**IP 소모 완화**
1. 서브넷에 사용 가능한 IP 주소가 15개 미만인 경우 인스턴스와 연결된 IP 주소를 해제하거나 사용하지 않는 네트워크 인터페이스를 삭제하여 IP 용량을 확보합니다.
1. 기존 서브넷에서 IP 주소를 확보할 수 없는 경우 서브넷을 사용 가능한 IP 주소가 최소 15개 이상인 서브넷으로 교체해야 합니다. Amazon Managed Grafana 전용 서브넷을 사용하는 것이 좋습니다.
**서브넷 교체**
1. [Amazon Managed Grafana 콘솔](https://console.aws.amazon.com/grafana)을 여세요.
1. 왼쪽 탐색 창에서 **모든 워크스페이스**를 선택한 다음 워크스페이스의 이름을 선택합니다.
1. **아웃바운드 VPC 연결** 옆의 **네트워크 액세스 제어** 탭에서 **편집**을 선택합니다.
1. **매핑**에서 IP 주소가 부족한 서브넷이 포함된 가용 영역을 선택합니다.
1. 드롭다운 메뉴에서 IP 주소가 부족한 서브넷의 선택을 해제하고 사용 가능한 IP 주소가 최소 15개 이상인 서브넷을 선택합니다. 필요한 경우 VPC에서 새 서브넷을 생성합니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [서브넷 생성](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)을 참조하세요.
1. **변경 사항 저장**을 선택하여 설정을 완료합니다.
## VPC 연결을 구성하기 전에 Grafana 알림이 PagerDuty 및 Slack과 같은 다운스트림 서비스로 성공적으로 전송되었습니다. VPC를 구성한 후에는 Grafana 알림이 이러한 알림 대상으로 전달되지 않는 이유는 무엇인가요?
Amazon Managed Grafana 워크스페이스에 대한 VPC 연결을 구성한 후 워크스페이스의 데이터 소스에 대한 모든 트래픽은 구성된 VPC를 통해 흐릅니다. VPC에 이러한 알림 서비스에 연결할 수 있는 경로가 있는지 확인하세요. 예를 들어 서드파티에서 호스팅하는 알림 전달 대상에 인터넷에 대한 연결이 필요할 수 있습니다. 데이터 소스와 마찬가지로 인터넷이나 AWS Transit Gateway또는 외부 대상에 대한 기타 VPC 연결을 구성하세요.
## VPC를 수동으로 편집할 수 있나요? 보안 그룹 또는 서브넷을 수정하면 Amazon Managed Grafana 워크스페이스를 사용할 수 없게 되는 이유는 무엇인가요?
Amazon Managed Grafana VPC 연결은 보안 그룹과 서브넷을 사용하여 VPC와 Amazon Managed Grafana 워크스페이스 간에 허용되는 트래픽을 제어합니다. Amazon Managed Grafana 콘솔 외부(예: VPC 콘솔)에서 보안 그룹 또는 서브넷을 수정하거나 삭제하면 Amazon Managed Grafana 워크스페이스의 VPC 연결이 워크스페이스 보안 보호를 중지하고 워크스페이스에는 연결할 수 없습니다. 이 문제를 해결하려면 Amazon Managed Grafana 콘솔에서 Amazon Managed Grafana 워크스페이스에 대해 구성된 보안 그룹을 업데이트하세요. 워크스페이스를 볼 때 **네트워크 액세스 제어** 탭에서 **아웃바운드 VPC 연결**을 선택하여 VPC 연결과 연결된 서브넷 또는 보안 그룹을 수정합니다.
# Amazon Managed Grafana 워크스페이스 구성
Amazon Managed Grafana 구성은 Amazon Managed Grafana 인증 및 권한의 구성과 Grafana 워크스페이스의 구성으로 분리할 수 있습니다. 이 섹션에는 Grafana 워크스페이스 구성에 대한 정보가 포함되어 있습니다.
Amazon Managed Grafana 인증 및 권한 구성에 대한 자세한 내용은 다음 주제를 참조하세요.
+ [Amazon Managed Grafana 워크스페이스에서 사용자 인증](authentication-in-AMG.md)
+ [Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 액세스 관리](AMG-manage-users-and-groups-AMG.md)
+ [사용자, 팀 및 권한](Grafana-administration-authorization.md)
워크스페이스의 속성을 볼 때 **워크스페이스 구성 옵션** 탭에서 Amazon Managed Grafana 내 Grafana 워크스페이스의 구성을 수정할 수 있습니다.
Grafana 인스턴스에서 구성을 변경하면 인스턴스가 다시 시작되어 새 설정을 다시 로드할 수 있습니다. 구성을 변경한 후 사용자는 Grafana 워크스페이스를 표시하는 브라우저 페이지를 새로 고쳐야 할 수도 있습니다.
**참고**
워크스페이스를 처음 생성할 때 동일한 옵션을 사용할 수 있습니다.
**Amazon Managed Grafana 콘솔을 사용하여 Grafana 워크스페이스의 구성을 변경하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택하세요.
1. **모든 워크스페이스**를 선택하세요.
1. 구성할 워크스페이스 이름을 선택하세요. 그러면 해당 워크스페이스에 대한 세부 정보가 열립니다.
1. **워크스페이스 구성 옵션** 탭을 선택하여 인스턴스의 인스턴스 구성 옵션을 확인하세요.
1. **Grafana 알림** 또는 **플러그인 관리** 옆의 **편집**을 선택하세요.
+ **Grafana 알림**
[Grafana 알림](v10-alerts.md)을 활성화할 수 있습니다. Grafana 워크스페이스에서 Prometheus 알림을 보려면 **Grafana 알림 켜기**에 대한 확인란을 선택하세요. 버전 8 또는 9를 실행하는 워크스페이스에서 Grafana 알림에 대한 여러 알림을 전송합니다. Grafana에 정의된 알림을 사용하는 경우 워크스페이스를 버전 10.4 이상으로 업데이트하는 것이 좋습니다.
대신 클래식 Grafana 알림을 사용하려면 **Grafana 알림 켜기** 옆의 확인란을 *선택 취소*합니다. 이렇게 하면 [클래식 대시보드 알림](old-alerts-overview.md)이 켜집니다. Grafana 알림을 켜지 않아도 기존 Grafana 알림이 평가됩니다.
**참고**
버전 11에서는 클래식 대시보드 알림이 제거됩니다. Grafana 버전 10 워크스페이스에서는 Grafana 알림 기능을 미리 볼 수 있습니다. 자세한 내용은 [Grafana 알림으로 클래식 대시보드 알림 마이그레이션](v10-alerting-use-grafana-alerts.md) 단원을 참조하십시오.
+ **플러그인 관리**
플러그인 관리를 켜려면 **플러그인 관리 켜기** 옆의 확인란을 선택하세요. 플러그인 관리를 켜면 Amazon Managed Grafana 워크스페이스의 관리자가 Grafana 플러그인 카탈로그를 사용하여 [플러그인](grafana-plugins.md)을 설치, 업데이트 또는 제거할 수 있습니다. 이 옵션은 Grafana 버전 9 이상을 지원하는 워크스페이스에서만 사용할 수 있습니다.
**참고**
Grafana 알림을 *끄면* Grafana 알림이 켜져 있는 동안 알림 구성에서 변경된 모든 사항이 사라집니다. 여기에는 사용자가 생성한 새 알림 규칙이 포함됩니다.
Grafana 알림 사용에 대한 자세한 내용과 이 기능을 켜거나 끄는 데 따른 효과는 [Grafana 버전 10에서의 알림](v10-alerts.md) 섹션을 참조하세요.
다음 섹션에서는 Amazon Managed Grafana API 또는 AWS CLI를 사용하여 Grafana 인스턴스 구성을 변경하는 방법을 보여줍니다.
## API 또는를 사용하여 구성 설정 AWS CLI
Amazon Managed Grafana API 또는 AWS CLI를 사용하여 Grafana 워크스페이스 구성을 설정할 수 있습니다.
**참고**
`configuration`은 나중에 추가되는 향후 구성 설정을 허용하는 JSON 문자열입니다.
------
#### [ AWS CLI ]
**를 사용하여 Amazon Managed Grafana 인스턴스 구성을 업데이트하려면 AWS CLI**
다음 명령을 실행하여 인스턴스에 대한 Grafana 알림 및 플러그인 관리 기능을 켜세요. ** 및 ** 문자열을 인스턴스에 적절한 값으로 바꿉니다.
```
aws grafana update-workspace-configuration \
--region region \
--workspace-id \
--configuration '{"plugins": {"pluginAdminEnabled": true}, "unifiedAlerting": {"enabled": true}}'
```
현재 구성은 다음 옵션을 지원합니다. 그러면 Grafana 알림 또는 플러그인 관리가 켜지거나 꺼집니다.
+ Grafana 알림을 활성화하려면 다음 구성 옵션을 사용하세요.
```
--configuration '{"unifiedAlerting": { "enabled": true }}'
```
+ 플러그인 관리를 활성화하려면 다음 구성 옵션을 사용하세요.
```
--configuration '{"plugins": {"pluginAdminEnabled": true }}'
```
이 옵션은 Grafana 버전 9 이상을 지원하는 워크스페이스에서만 사용할 수 있습니다.
------
#### [ Amazon Managed Grafana API ]
**API를 사용하여 Amazon Managed Grafana 인스턴스 구성을 업데이트하는 방법**
다음 작업을 사용하여 인스턴스에 대한 Grafana 알림 및 플러그인 관리 기능을 켜세요. ** 문자열을 인스턴스에 적절한 값으로 바꿉니다.
```
PUT /workspaces//configuration HTTP/1.1
Content-type: application/json
{
"configuration": "{ \"unifiedAlerting\": { \"enabled\": true }, \"plugins\": { \"pluginAdminEnabled\": true }}"
}
```
현재 구성은 다음 옵션을 지원합니다. 그러면 Grafana 알림 또는 플러그인 관리가 켜지거나 꺼집니다.
+ Grafana 알림을 활성화하려면 다음 구성 옵션을 사용하세요.
```
"configuration": "{\"unifiedAlerting\": { \"enabled\": true }}"
```
+ 플러그인 관리를 활성화하려면 다음 옵션을 사용하세요.
```
"plugins": "{\"pluginAdminEnabled\": true }"
```
이 옵션은 Grafana 버전 9 이상을 지원하는 워크스페이스에서만 사용할 수 있습니다.
------
# Amazon Managed Grafana 워크스페이스 삭제
Amazon Managed Grafana 워크스페이스를 삭제하면 해당 워크스페이스에 대한 모든 구성 데이터도 삭제됩니다. 여기에는 대시보드, 데이터 소스 구성, 알림 및 스냅샷이 포함됩니다.
**Amazon Managed Grafana 워크스페이스를 삭제하는 방법**
1. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)에서 Amazon Managed Grafana 콘솔을 엽니다.
1. 탐색 창에서 메뉴 아이콘을 선택하세요.
1. **모든 워크스페이스**를 선택하세요.
1. 삭제할 워크스페이스의 이름을 선택하세요.
1. **삭제**를 선택합니다.
1. 삭제를 확인하려면 워크스페이스 이름을 입력하고 **삭제**를 선택하세요.
**참고**
이 절차에서는 워크스페이스를 삭제합니다. 다른 리소스는 삭제하지 못할 수 있습니다. 예를 들어 워크스페이스에서 사용 중인 IAM 역할은 삭제되지 않습니다(단, 사용 중이 아닌 경우 잠금 해제될 수 있음).