本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 如何使用亚马逊托管 Grafana AWS Organizations 进行数据源访问 AWS
<a name="AMG-and-Organizations"></a>

使用 AWS Organizations，您可以集中管理多个 AWS 账户的数据源配置和权限设置。在 AWS 账户 使用 Amazon Managed Grafana 的工作空间中，您可以指定其他组织单位， AWS 使其数据源可在主账户中查看。

例如，您可以将组织中的一个账户用作 Amazon Managed Grafana *管理账户*，并赋予该账户访问组织中其他账户数据来源的权限。在管理账户中，列出拥有您要使用管理账户访问 AWS 的数据源的所有组织单位。这将自动创建设置这些数据来源所需的角色和权限策略，您可以在 Amazon Managed Grafana 工作区的 Grafana 控制台中看到这些策略。

有关 Organizations 的详细信息，请参阅[什么是 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。

Amazon Managed Grafana CloudFormation StackSets 使用自动创建亚马逊托管 Grafana 连接到组织 AWS Identity and Access Management 中的数据源所必需的 (IAM) 角色。 AWS 在 Amazon Managed Grafana 管理您的 IAM 策略以访问组织中的数据源之前，您必须在组织的管理账户中 AWS CloudFormation StackSets 启用。Amazon Managed Grafana 会在第一次需要时自动启用此功能。

## 与 AWS IAM Identity Center 和 Organizations 集成的部署方案
<a name="AMG-and-SSO-and-Organizations-scenarios"></a>

如果您同时使用亚马逊托管 Grafana AWS IAM Identity Center 和 Organizations，我们建议您使用以下三种情况之一在您的组织中创建亚马逊托管 Grafana 工作空间。对于每种场景，您都需要登录到具有足够权限的账户。有关更多信息，请参阅 [Amazon Managed Grafana 的示例策略](security_iam_id-based-policy-examples.md#security_iam_AMG-id-based-policy-examples)。

**独立账户**

独立账户是指不是 Organizations 中组织成员的 AWS 账户。如果您是第一次尝试 AWS ，则可能出现这种情况。

在这种情况下，当您登录具**AWSGrafanaAccountAdministrator**有、 AWS IAM Identity Center 和策略的账户时，Amazon Managed Grafana 会自动启用和组织。**AWSSSOMemberAccountAdministrator**AWSSSODirectoryAdministrator****有关更多信息，请参阅 [使用 IAM Identity Center 在单个独立账户中创建和管理 Amazon Managed Grafana 工作区和用户](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone)。

**已在其中配置 IAM Identity Center 的现有组织成员账户**

要在成员账户中创建工作空间，您必须登录到具有**AWSGrafanaAccountAdministrator**AWSSSOMemberAccountAdministrator****、和**AWSSSODirectoryAdministrator**政策的账户。有关更多信息，请参阅 [使用 IAM Identity Center 的成员账户中的 Grafana 管理员](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-admin-member)。

如果您在成员账户中创建工作空间，并且希望该工作空间能够访问组织中其他 AWS 账户的资源，则必须在工作空间中使用客户管理的权限。有关更多信息，请参阅 [Customer-managed 权限](AMG-manage-permissions.md#AMG-customer-managed)。

要使用服务管理权限允许工作空间访问组织中其他 AWS 账户的资源，您必须在组织的管理账户中创建工作空间。但是，在组织的管理账户中创建 Amazon Managed Grafana 工作区或其他资源并非最佳实践。有关 Organizations 最佳实践的更多信息，请参阅[管理账户的最佳实践](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)。

**注意**  
如果您在 2019 年 11 月 25 日之前在管理账户 AWS IAM Identity Center 中启用，则还必须在管理账户中启用 IAM 身份 Center-integrated 应用程序。或者，您也可以在管理账户中启用 IAM 身份 Center-integrated 应用程序，然后在成员账户中启用 IAM 身份应用程序。要启用这些应用程序，请在 IAM 身份 Center-integrated 应用程序部分的 IAM 身份中心**设置**页面中选择**启用访问权限**。有关更多信息，请参阅 [IAM 身份 Center-integrated应用程序启用。](https://docs.aws.amazon.com/singlesignon/latest/userguide/app-enablement.html)

**尚未在其中部署 IAM Identity Center 的现有组织成员账户**

在此场景中，请先以组织管理员身份登录，并在组织中启用 IAM Identity Center。然后，在组织的成员账户中创建 Amazon Managed Grafana 工作区。

如果您不是组织管理员，则必须联系 Organizations 管理员，要求其启用 IAM Identity Center。启用 IAM Identity Center 后，您就可以在成员账户中创建工作区。

如果您在成员账户中创建工作空间，并且希望该工作空间能够访问组织中其他 AWS 账户的资源，则必须在工作空间中使用客户管理的权限。有关更多信息，请参阅 [Customer-managed 权限](AMG-manage-permissions.md#AMG-customer-managed)。

要在成员账户中创建工作空间，您必须登录到具有**AWSGrafanaAccountAdministrator**AWSSSOMemberAccountAdministrator****、和**AWSSSODirectoryAdministrator**政策的账户。有关更多信息，请参阅 [使用 IAM Identity Center 的成员账户中的 Grafana 管理员](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-admin-member)。