本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理用户和组对 Amazon Managed Grafana 工作区的访问权限
<a name="AMG-manage-users-and-groups-AMG"></a>

您可以使用在身份提供者（IdP）或 AWS IAM Identity Center中设置的用户访问 Amazon Managed Grafana 工作区。您必须授予这些用户（或其所属的组）对工作区的权限。您可以授予其 `User`、`Editor` 或 `Admin` 权限。

## 向用户组授予权限
<a name="AMG-manage-users-and-groups-proc"></a>

**先决条件**
+ 要授予用户或用户组访问 Amazon Managed Grafana 工作区的权限，必须先在身份提供者（IdP）或 AWS IAM Identity Center中预置该用户或组。有关更多信息，请参阅 [在 Amazon Managed Grafana 工作区中对用户进行身份验证](authentication-in-AMG.md)。
+ 要管理用户和群组访问权限，您必须以拥有 AWS Identity and Access Management (IAM) 策略**AWSGrafanaWorkspacePermissionManagementV2**或同等权限的用户身份登录。如果您使用 IAM Identity Center 管理用户，则还必须拥有**AWSSSOMemberAccountAdministrator**和 **AWSSSODirectoryReadOnly**IAM 策略或同等权限。有关更多信息，请参阅 [为用户分配和取消分配对 Amazon Managed Grafana 的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users)。

**要使用 Amazon Managed Grafana 控制台管理用户对 Grafana 工作区的访问权限**

1. 打开 Amazon Managed Grafana 控制台，其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。

1. 在左侧导航窗格中，选择菜单图标。

1. 选择**所有工作区**。

1. 选择要管理的工作区的名称。

1. 选择**身份验证**选项卡。

1. 如果您在此工作区中使用 IAM Identity Center，请选择**配置用户和用户组**，然后执行以下一项或多项操作：
   + 要授予用户访问 Amazon Managed Grafana 工作区的权限，请选择用户旁边的复选框，然后选择**分配用户**。
   + 要使用户成为工作区的 `Admin`，请选择**设为管理员**。
   + 要移除用户的工作区访问权限，请选择**取消分配用户**。
   + 要添加用户组（如 LDAP 组），请选择**分配用户组**选项卡。然后，执行以下操作之一：
     + 要授予组中所有成员对 Amazon Managed Grafana 工作区的访问权限，请选择组旁边的复选框，然后选择**分配组**。
     + 要向组中所有成员授予工作区的 `Admin` 角色，请选择**设为管理员**。
     + 要移除组中所有成员的工作区访问权限，请选择**取消分配组**。
**注意**  
如果您使用 IAM Identity Center 管理用户，请仅使用 IAM Identity Center 控制台预置新用户和组。使用 Amazon Managed Grafana 控制台或 API 授予或移除对 Grafana 工作区的访问权限。  
如果 IAM Identity Center 和 Amazon Managed Grafana 不同步，您将看到一个选项，用于**解决**任何冲突。有关更多信息，请参阅下面的 [配置用户和组时出现权限不匹配错误](#AMG-manage-users-and-groups-mismatch)。

1. 如果您在此工作区中使用 SAML，请选择 **SAML 配置**，并执行以下一项或多项操作：
   + 对于**导入方法**，执行以下操作之一：
     + 选择 **URL** 并输入 IdP 元数据的 URL。
     + 选择 “**上传” 或 copy/paste**。如果您要上传元数据，请选择**选择文件**，然后选择元数据文件。或者，如果您使用复制和粘贴，请将元数据复制到**导入元数据**。
   + 对于**断言属性角色**，输入要从中提取角色信息的 SAML 断言属性名称。
   + 对于**管理员角色值**，输入 IdP 中的用户角色，这些角色都应被授予 Amazon Managed Grafana 工作区中的 `Admin` 角色，或者，选择**我希望选择不为工作区分配管理员**。
**注意**  
如果您选择**我希望选择不为工作区分配管理员**，您将无法使用 Amazon Managed Grafana 控制台管理工作区（包括无法管理数据来源、用户和控制面板权限等任务）。您只能使用 Amazon Managed Grafana API 对工作区进行管理更改。
   + （可选）要输入其他 SAML 设置，请选择**其他设置**，并执行以下一项或多项操作，然后选择**保存 SAML 配置**。所有这些字段均为可选字段。
     + 对于**断言属性名称**，指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。
     + 对于**断言属性登录**，指定 SAML 断言中用作 SAML 用户登录名称的属性名称。
     + 对于**断言属性电子邮件**，指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。
     + 对于**登录有效期（分钟）**，指定 SAML 用户的登录有效期，在此时间之后，用户必须重新登录。
     + 对于**断言属性组织**，指定 SAML 断言中用作用户组织“友好”名称的属性名称。
     + 对于**断言属性组**，指定 SAML 断言中用作用户组“友好”名称的属性名称。
     + 对于**允许的组织**，您可以限制用户的访问权限，仅允许那些属于 IdP 中特定组织的成员访问。输入一个或多个要允许的组织，用逗号分隔。
     + 对于**编辑者角色值**，输入 IdP 中的用户角色，这些用户角色都将被授予 Amazon Managed Grafana 工作区的 `Editor` 角色。输入一个或多个角色，用逗号分隔。

1. 或者，要添加用户组（如 LDAP 组），请选择**用户组**选项卡。然后，执行以下操作之一：
   + 要授予组中所有成员对 Amazon Managed Grafana 工作区的访问权限，请选择组旁边的复选框，然后选择**分配组**。
   + 要向组中所有成员授予工作区的 `Admin` 角色，请选择**设为管理员**。
   + 要移除组中所有成员的工作区访问权限，请选择**取消分配组**。

## 配置用户和组时出现权限不匹配错误
<a name="AMG-manage-users-and-groups-mismatch"></a>

在 Amazon Managed Grafana 控制台中配置用户和组时，您可能会遇到权限不匹配错误。这表明 Amazon Managed Grafana 和 IAM Identity Center 不同步。在这种情况下，Amazon Managed Grafana 会显示警告并提供**解决**不匹配的选项。如果选择**解决**，Amazon Managed Grafana 会显示一个对话框，其中包含权限不同步的用户列表。

已从 IAM Identity Center 中移除的用户在对话框中将显示为 `Unknown user`，并带有数字 ID。对于这些用户，修复不匹配的唯一方法是选择**解决**，并移除其权限。

对于仍在 IAM Identity Center 中的用户，如果不再属于之前拥有访问权限的组，会在**解决**列表中显示其用户名。可通过两种方式解决此问题。您可以使用**解决**对话框，移除或减少其访问权限，也可以按照上一节中的说明，向其授予访问权限。

## 有关权限不匹配的常见问题
<a name="AMG-manage-users-and-groups-mismatch-faq"></a>

**为什么我在 Amazon Managed Grafana 控制台的**配置用户和组**部分看到“权限不匹配”的错误信息？**  
您看到此消息是因为在 IAM Identity Center 中的用户和组关联与 Amazon Managed Grafana 中的工作区权限之间发现了不匹配。您可以从 Amazon Managed Grafana 控制台（在**配置用户和组**选项卡中）或 IAM Identity Center 控制台（**应用程序分配**页面）为 Grafana 工作区添加或移除用户。但是，Grafana 用户权限只能从 Amazon Managed Grafana（使用 Amazon Managed Grafana 控制台或 API），通过为用户或组分配**查看者**、**编辑者**或**管理员**权限来定义。用户可以属于具有不同权限的多个组，在这种情况下，将基于用户所属的所有组和权限中的最高访问权限级别，确定用户的权限。

以下情况可能导致记录不匹配：
+ 用户或组从 IAM Identity Center 中删除，但未在 Amazon Managed Grafana 中删除。这些记录在 Amazon Managed Grafana 控制台中显示为**未知用户**。
+ 用户或组与 Grafana 的关联在 IAM Identity Center（**应用程序分配**下）中删除，但未在 Amazon Managed Grafana 中删除。
+ 用户权限先前直接从 Grafana 工作区更新。Amazon Managed Grafana 中不支持从 Grafana 工作区更新。

要避免这些不匹配，请使用 Amazon Managed Grafana 控制台或 Amazon Managed Grafana API 来管理工作区的用户和组权限。

**我之前从 Grafana 工作区更新了一些团队成员的访问权限级别。现在，我看到其访问权限级别恢复到了旧的状态。为什么会出现这种情况，如何解决？**  
造成这种情况的原因很可能是因为 IAM Identity Center 中的用户和组关联与您工作区的 Amazon Managed Grafana 权限记录不匹配。如果您的团队成员遇到访问权限级别不一致的情况，您或 Amazon Managed Grafana 管理员可能已经从 Amazon Managed Grafana 控制台解决了不匹配问题，并移除了不匹配的记录。您可以通过 Amazon Managed Grafana 控制台或 API 重新分配所需的访问权限级别，以恢复所需的权限。

**注意**  
Grafana 工作区不支持用户访问权限管理。请使用 Amazon Managed Grafana 控制台或 API 来分配用户或组权限。

**为什么我发现我的访问权限级别发生了变化？ 例如，我以前有管理员权限，但现在只有编辑者权限。**  
您工作区的管理员可能更改了您的权限。如果 IAM Identity Center 中的用户和组关联与 Amazon Managed Grafana 中的权限不匹配，就可能发生这种不经意的操作。在这种情况下，解决不匹配问题可能会移除您较高的访问权限。您可以请求管理员从 Amazon Managed Grafana 控制台重新分配所需的访问权限级别。