本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 Amazon Managed Grafana 中管理工作区、用户和策略
要使用 Amazon Managed Grafana,您需要创建 Grafana 工作区。Grafana 工作区是一个逻辑 Grafana 服务器,您可以在其中创建 Grafana 控制面板和可视化,以分析您的指标、日志和跟踪。您可以添加用户并管理其用于管理、编辑或查看工作区的权限。
您可以将工作区升级到 Grafana 的较新版本,或进行更新,以添加对企业插件的支持,使您的工作区可以访问更多类型的数据来源。您还可以管理对工作区的网络访问权限。您可以使用创建和管理您的亚马逊托管 Grafana 工作空间。 CloudFormation
本节中的主题将介绍如何在 Amazon Managed Grafana 中管理您的工作区、用户和策略。
**Topics**
+ [Grafana 版本之间的差异](version-differences.md)
+ [创建 Amazon Managed Grafana 工作区](AMG-create-workspace.md)
+ [在 Amazon Managed Grafana 工作区中对用户进行身份验证](authentication-in-AMG.md)
+ [更新工作区版本](AMG-workspace-version-update.md)
+ [管理对 Enterprise 插件的访问](upgrade-to-enterprise-plugins.md)
+ [在 Amazon Managed Grafana 工作区之间迁移内容](AMG-workspace-content-migration.md)
+ [管理用户和组对 Amazon Managed Grafana 工作区的访问权限](AMG-manage-users-and-groups-AMG.md)
+ [管理数据来源和通知渠道的权限](AMG-datasource-and-notification.md)
+ [使用创建亚马逊托管 Grafana 资源 AWS CloudFormation](creating-resources-with-cloudformation.md)
+ [配置对 Amazon Managed Grafana 工作区的网络访问权限](AMG-configure-nac.md)
+ [静态加密](AMG-encryption-at-rest.md)
+ [从 Amazon Managed Grafana 连接到 Amazon VPC 中的数据来源或通知渠道](AMG-configure-vpc.md)
+ [配置 Amazon Managed Grafana 工作区](AMG-configure-workspace.md)
+ [删除 Amazon Managed Grafana 工作区](AMG-edit-delete-workspace.md)
# Grafana 版本之间的差异
[创建 Grafana 工作区](AMG-create-workspace.md)时,必须选择要创建的 Grafana 版本。您可以选择与 Grafana 8、9 和 10 兼容的版本。每个版本都增加了以前版本的功能。以下主题介绍版本 9 和 10 中的更改,包括版本 10 中的更改,这些更改可能会破坏您在版本 9 中使用的功能。
**注意**
您可以在 [使用 Grafana 版本 8](using-grafana-v8.md)、[使用 Grafana 版本 9](using-grafana-v9.md) 和 [使用 Grafana 版本 10](using-grafana-v10.md) 主题中阅读有关使用 Grafana 工作区的版本特定文档。
有关各版本的详细说明以及 Grafana Labs 的更多信息,请参阅 *Grafana Labs 文档*中的 [Grafana 新增功能](https://grafana.com/docs/grafana/latest/whatsnew/)。
## Grafana 10
Grafana 10 中增加了以下功能。
+ **关联**:关联定义了如何使用一个数据来源中的数据来查询另一个数据来源中的数据,并允许 Explore 可视化轻松运行与所示数据相关的查询。有关更多详细信息,请参阅[Grafana 10 版本中的关联](v10-correlations.md)。
+ **子文件夹**:在整理控制面板时,您现在可以使用子文件夹创建嵌套层次结构。有关更多详细信息,请参阅[创建控制面板文件夹](v10-dash-managing-dashboards.md#v10-dash-create-dashboard-folder)。
+ **警报**:Grafana Alerting 现在支持警报静默。此外,Grafana Alerting 不再发送 3 次通知。
+ **警报升级预览**:在从经典控制面板警报升级到 Grafana 警报之前,您可以查看警报的外观,甚至进行迁移时应用的更改。有关更多详细信息,请参阅[将经典控制面板警报迁移到 Grafana Alerting](v10-alerting-use-grafana-alerts.md)。Grafana Labs 宣布 Grafana 11 及更高版本将不再支持经典控制面板警报。
+ **支持捆绑包**:支持捆绑包提供了一种简单的方法,来收集有关 Grafana 工作区的信息,以便与产品支持人员共享。您可以快速创建一个支持捆绑包,其中包含有关迁移、插件、设置等方面的数据。有关更多详细信息,请参阅[收集信息以获得支持](support-bundles.md)。
+ **新增可视化**:提供了三种新的可视化效果。[XY 图表](v10-panels-xychart.md)、[数据网格](v10-panels-datagrid.md)和[趋势面板](v10-panels-trend.md)都适用于与版本 10 兼容的工作区。版本 9 工作区也可以使用 XY 图表。
+ **PagerDuty**— 企业插件现在包括一个用于的插件 PagerDuty。
+ **转换重新设计**:“转换”选项卡改善了用户体验和视觉设计。转换已分类,每种转换类型都有一个插图,来帮助您选择正确的转换。
+ **Prometheus 指标百科全书**:Prometheus 查询生成器中 Prometheus 指标的指标下拉列表已替换为分页且可搜索的指标*百科全书*。
+ **API 密钥用户界面已停用** — 建议使用[服务帐号](service-accounts.md)来验证对 Grafana HTTP 的调用。 APIs作为 Grafana Labs 停用 API 密钥的一部分,您无法再通过工作区用户界面创建 API 密钥。您只能通过创建 API 密钥 AWS APIs。
有关 Grafana Labs 停用 API 密钥的更多信息,[APIKeys请参阅 Grafana 问题列表中的 API 密钥注销](https://github.com/grafana/grafana/issues/53567)。 GitHub
**重大更改**
Grafana 10.4 发行版包含从 Grafana 版本 9.5 到 10.4 的更改。Grafana 10.0 和 10.3 进行了一些更改,在某些情况下可能会破坏功能。更新到新版本时,建议先在非生产环境中进行测试,然后再更新生产工作区。
以下更改可能会影响某些更新到 Grafana 10 的用户。
+ **Angular 已停用**:Grafana 的未来版本将不再支持使用 Angular 的插件。在版本 10 中,使用 angular 的面板将显示一条横幅,说明他们使用的是已停用的功能,以此告知在未来的版本中将无法使用。
+ ** CloudWatch 已移除**别名- CloudWatch 查询编辑器中的别名模式被标签(动态标签)所取代。
打开任何使用“别名”字段的控制面板,然后将其保存。别名会自动迁移到“标签”。
+ **旧插件需要升级**:Athena 和 Amazon Redshift 数据来源的插件必须在 Grafana v10 工作区中更新。Athena 数据来源插件必须是 2.9.3 或更高版本;Amazon Redshift 数据来源插件必须是 1.8.3 或更高版本。
有关安装或升级插件的更多信息,请参阅 [使用插件目录查找插件](grafana-plugins.md#plugin-catalog)。
+ **不再支持 DoIt BigQuery 插件 — 不再支持** DoIt BigQuery 数据源插件。改用官方的 Grafana BigQuery Labs 数据源插件。
+ **转换更改**:Grafana 10 对字段名称和键进行了一些错误修复更改。有关完整详细信息,请参阅 Grafana Labs 文档中的[重大转换更改](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#transformations)。
+ **数据源权限 APIs**-访问数据源权限的端点已更改。有关完整详细信息,请参阅 Grafana Labs 文档中的[数据来源权限更改](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/#data-source-permissions)。
有关重大更改以及影响插件开发人员的更改的详细信息,请参阅 *Grafana Labs 文档*中的以下主题:
+ [Grafana v10.0 中的重大更改](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-0/)
+ [Grafana v10.3 中的重大更改](https://grafana.com/docs/grafana/latest/breaking-changes/breaking-changes-v10-3/)
## Grafana 9
Grafana 9 中增加了以下功能。
+ **Alerting**:Grafana 管理的警报规则现在支持组名称。
+ **Explore**:从 Explore 视图中创建控制面板。
+ **Prometheus 查询**:Prometheus 查询的新查询生成器(使用 PromQL)使编写查询变得更加容易。
+ **Loki 查询**:Loki 查询的新查询生成器(使用 LogQL)使编写查询变得更加容易。
+ **API 令牌/服务账户**:服务账户简化了 Grafana 中的机器访问,以帮助您管理 API 令牌。
+ **插件管理**:您可以启用插件管理,以便在工作区中安装、删除或更新社区插件。这使您可以访问更多的数据来源和可视化,并控制您使用的每个插件的版本。
+ **指标跟踪**:配置跟踪数据来源,以添加指向带有查询和标签的指标链接。
+ **画布面板**:一种新的面板可视化效果,包含静态和动态元素,用于创建包含图像和叠加文本的数据驱动型自定义面板。
+ **重新整理界面**:更新了 UI,在 Grafana 控制台中导航更加方便。
+ **CloudWatch**:Amazon CloudWatch 数据源现在可以跨界 AWS 账户 监控指标 AWS 区域。
+ **日志**:改进了日志详细信息的界面。
+ **常规**:整个过程中,修复了错误并进行了细微改进。
**重大更改**
Grafana 版本 9.4 在先前版本的基础上包含一系列新功能和改进。此版本进行了一些更改,在某些情况下可能会破坏功能。更新到新版本时,建议先在非生产环境中进行测试,然后再更新生产工作区。
以下更改可能会影响某些更新到 Grafana 9.4 版本的用户。有关这些变更的详细列表,请参阅上的 [Grafana 9.4 更新](https://github.com/grafana/grafana/blob/release-9.4.17/CHANGELOG.md)日志。*GitHub*
+ **API 已停用**:`/api/tsdb/query` API 已被移除。
**所需操作:**改用 `/api/ds/query`。[请参阅 *Grafana 公共*文档中的[查询数据源](https://grafana.com/docs/grafana/latest/http_api/data_source/#query-a-data-source)和问题 \$149916 *GitHub*](https://github.com/grafana/grafana/issues/49916)
+ **API 端点更改**:多个警报 API 端点现在需要数据来源 UID 而不是数字 ID。
**受影响的端点:**`api/v1/rule/test`、`api/prometheus/`、`api/ruler/`、`api/alertmanager/`
**所需操作:**更新 API 调用进而使用数据来源 UID 作为路径参数。参见问题 [\$148070](https://github.com/grafana/grafana/issues/48070)、[\$148052](https://github.com/grafana/grafana/issues/48052)、[\$148046](https://github.com/grafana/grafana/issues/48046) 和 [*GitHub*\$147978](https://github.com/grafana/grafana/issues/47978)
+ **Azure Monitor 查询已移除**:不再支持 Application Insights 和 Insight Analytics 查询。
在 Grafana 8.0 中已弃用,在 9.0 中已移除。已弃用的查询将无法执行。
**所需操作:**有关迁移指南,请参阅《Grafana 公共文档》**中的 [Azure Monitor 数据来源](https://grafana.com/docs/grafana/latest/datasources/azuremonitor/deprecated-application-insights/)。
+ **浏览器访问模式已移除**:浏览器访问模式不再适用于 InfluxDB 和 Prometheus 数据来源。
**所需操作:**在数据来源配置中切换到服务器访问模式。InfluxDB:在 8.0.0 中已弃用,在 9.2.0 中已移除。参见[第 \$153529](https://github.com/grafana/grafana/issues/53529) 期*GitHub*。Prometheus:在 7.4.0 中已弃用,在 9.2.0 中已移除。参见[第 \$150162](https://github.com/grafana/grafana/issues/50162) 期*GitHub*。
+ **控制面板设置访问受限**:编辑面板时您无法再打开控制面板设置。
面板编辑模式处于活动状态时,控制面板设置将被锁定。在访问控制面板设置之前,请关闭面板编辑模式。参见[第 \$154746](https://github.com/grafana/grafana/issues/54746) 期*GitHub*。
+ **数据来源密码加密**:不再支持未加密的密码。
**所需操作:**使用 `secureJsonData.password` 和 `secureJsonData.basicAuthPassword`。之前在 v8.1.0 中已停用。参见[第 \$149987](https://github.com/grafana/grafana/issues/49987) 期*GitHub*。
+ **默认数据来源行为**:默认数据来源选择不再影响现有面板。
默认数据来源仅适用于新面板。更改默认值不会更新现有控制面板。先前保存的面板会保留其数据来源配置。参见[第 \$145132](https://github.com/grafana/grafana/issues/45132) 期*GitHub*。
+ **Elasticsearch 间隔属性已更改**:已更新 Elasticsearch 7.x 的查询间隔规范。
从 `interval` 更改为 `fixed_interval` 属性。与 Elasticsearch 8.x 保持一致。大多数查询不会显示可见的更改。参见[第 \$150297](https://github.com/grafana/grafana/issues/50297) 期*GitHub*。
+ **Elasticsearch 原始文档模式已停用**:Elasticsearch 数据来源的显示模式发生了变化。
**所需操作:**改用**原始数据**模式。参见[第 \$162236](https://github.com/grafana/grafana/issues/62236) 期*GitHub*。
+ **Elasticsearch 版本支持**:不再支持较早的 Elasticsearch 版本。
**所需操作:**将 Elasticsearch 升级到 7.10.0 或更高版本。7.10.0 以下的版本已过去。 end-of-life参见[第 \$148715](https://github.com/grafana/grafana/issues/48715) 期*GitHub*。
+ E@@ **xplore URL 格式已停用** — Compact Explore URLs 将在未来的版本中移除。
**所需操作:**更新硬编码链接以使用标准 URL 格式。紧凑 URLs:`&left=["now-1h","now"...]`。标准 URLs:`&left={"datasource":"test"...}`。参见[第 \$150873](https://github.com/grafana/grafana/issues/50873) 期*GitHub*。
+ **GitHub OAuth 显示更改**- GitHub 名称和登录显示已更新。
GitHub 名字显示为 Grafana 的名字。 GitHub 登录名显示为 Grafana 登录名。提高了用户标识的清晰度。参见[第 \$145438](https://github.com/grafana/grafana/issues/45438) 期*GitHub*。
+ **热图面板实现已更新**:热图面板使用从 9.1.0 开始的新实现。
显著提高了渲染性能。存储桶放置在合理的边界(1m、5m、30s)。不再支持圆形单元格。
**所需操作:**升级后测试您的热图面板。如果需要,可通过将 `useLegacyHeatmapPanel` 功能标志设置为 true 来禁用新的实现。`?__feature.useLegacyHeatmapPanel=true`添加到仪表板 URLs 进行测试。参见[第 \$150229](https://github.com/grafana/grafana/issues/50229) 期*GitHub*。
+ **InfluxDB 后端迁移**:InfluxDB 数据解析行为已更改。
由于后端处理问题,重新引入了 InfluxDB 后端迁移功能切换(`influxdbBackendMigration`)。默认情况下,InfluxDB 数据是在前端解析的。如果您升级到 9.4.4 并对 InfluxDB 数据添加了转换,则这些面板将无法渲染。
**所需操作:**移除受影响的面板并重新创建,或者按照 `panel.json` 或 `dashboard.json` 中的 `Time` 编辑 `time` 字段。参见[第 \$164842](https://github.com/grafana/grafana/issues/64842) 期*GitHub*。
+ **日志消息格式已更新**:日志消息结构已更改。
`lvl` 现在为 `level`。`eror` 和 `dbug` 现在为 `error` 和 `debug`。提高时间戳的精度。可通过 `oldlog` 功能切换(临时)选择退出。参见[第 \$147584](https://github.com/grafana/grafana/issues/47584) 期*GitHub*。
+ **Loki 数据格式优化**:Loki 日志数据使用更高效的数据帧格式。
带有**标签**列的单个数据帧,而不是单独的数据帧。浏览和日志面板无需更改即可运行。其他面板或转换可能需要调整。
**所需操作:**使用**提取字段**转换替换**标签到字段**转换。参见[第 \$147153](https://github.com/grafana/grafana/issues/47153) 期*GitHub*。
+ **NaN 值处理**:Prometheus 和 Loki 数据来源之间一致的 `NaN` 表示。
`NaN` 值仍然为 `NaN`,而不是转换为 `null`。大多数情况下,更改应该对用户不可见。同时影响控制面板和警报路径。请参阅有关的问题 [\$149475](https://github.com/grafana/grafana/issues/49475) 和 [\$145389 *GitHub*](https://github.com/grafana/grafana/issues/45389)。
+ **密码重置链接失效**:升级后,现有的密码重置链接将无法使用。
升级前发送的密码重置链接无效。用户必须请求新的密码重置链接。链接将在 2 小时后过期。参见[第 \$142334](https://github.com/grafana/grafana/issues/42334) 期*GitHub*。
+ **预留的标签前缀**:以 `grafana_` 开头的标签被预留。
手动配置的以 `grafana_` 开头的标签可能会被覆盖。当前预留标签:`grafana_folder`(包含警报的文件夹标题)。参见[第 \$150262](https://github.com/grafana/grafana/issues/50262) 期*GitHub*。
+ **转换改进**:**通过正则表达式重命名**转换现在支持全局模式。
全局模式使用格式 `//g`。有些转换的行为可能有所不同。用正斜杠将匹配字符串换成先前的行为:`(.*)` 变成 `/(.*)/`。参见[第 \$148179](https://github.com/grafana/grafana/issues/48179) 期*GitHub*。
# 创建 Amazon Managed Grafana 工作区
*工作区*是一个逻辑 Grafana 服务器。您在账户的每个区域中最多能有五个工作区。
**必要的权限**
要创建工作空间,您必须登录已附加**AWSGrafanaAccountAdministrator**策略的 AWS Identity and Access Management (IAM) 委托人。
要创建第一个使用 IAM Identity Center 进行授权的工作区,您的 IAM 主体还必须额外附加这些策略(或具有同等权限):
+ **AWSSSOMemberAccountAdministrator**
+ **AWSSSODirectory管理员**
有关更多信息,请参阅 [使用 IAM Identity Center 在单个独立账户中创建和管理 Amazon Managed Grafana 工作区和用户](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-workspace-standalone)。
## 创建工作区
以下步骤将引导您完成创建新 Amazon Managed Grafana 工作区的过程。
**要在 Amazon Managed Grafana 中创建工作区**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)。
1. 选择**创建工作区**。
1. 在**工作区详细信息**窗口的**工作区名称**中,输入工作区的名称。
(可选)输入工作区的描述。
(可选)添加要与此工作区关联的标签。标签有助于识别和组织工作空间,也可用于控制对 AWS 资源的访问权限。例如,您可以为工作区指定标签,只让有限的组或角色有权限使用该标签访问工作区。有关基于标签的访问控制的更多信息,请参阅 IAM 用户指南中的[使用标签控制 AWS 资源访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
![\[Workspace details form with name field and optional tags section highlighted.\]](http://docs.aws.amazon.com/zh_cn/grafana/latest/userguide/images/tagworkspace.png)
1. 为工作区选择 **Grafana 版本**。您可以选择版本 8、9 或 10。要了解版本之间的差异,请参阅 [Grafana 版本之间的差异](version-differences.md)。
1. 选择**下一步**。
1. 对于**身份验证访问权限**,请选择 **AWS IAM Identity Center ** 和/或**安全断言标记语言(SAML)**。有关更多信息,请参阅 [在 Amazon Managed Grafana 工作区中对用户进行身份验证](authentication-in-AMG.md)。
+ **IAM Identit** y Center — 如果您选择 IAM 身份中心但尚未在账户 AWS IAM Identity Center 中启用,则系统会提示您通过创建您的第一个 IAM Identity Center 用户来启用该中心。IAM Identity Center 处理与 Amazon Managed Grafana 工作区访问权限相关的用户管理操作。
要启用 IAM Identity Center,请执行以下步骤:
1. 选择**创建用户**。
1. 输入用户的电子邮件地址、名字和姓氏,并选择**创建用户**。在本教程中,请使用您想要试用 Amazon Managed Grafana 的账户的名称和电子邮件地址。您将收到一封电子邮件,提示您为该账户创建 IAM Identity Center 密码。
**重要**
您创建的用户不会自动拥有您的 Amazon Managed Grafana 工作区访问权限。在稍后的步骤中,您将在工作区详细信息页面中为用户提供工作区的访问权限。
+ **SAML**:如果选择 **SAML**,则在创建工作区后完成 SAML 设置。
1. 选择**服务托管**或**客户管理**。
如果您选择**服务托管**,Amazon Managed Grafana 会自动创建 IAM 角色并为您选择用于 AWS 此工作空间的该账户中的数据源配置所需的权限。
如果您想自己管理这些角色和权限,请选择**客户管理**。
如果您要在组织的成员账户中创建工作区,该成员账户必须是组织中的委托管理员账户,才能够选择**服务托管**。有关委托管理员账户的更多信息,请参阅[注册委托管理员](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。
1. (可选)您可以选择在此页面上连接到 Amazon Virtual Private Cloud(VPC),也可以稍后连接到 VPC。要了解更多信息,请参阅[从 Amazon Managed Grafana 连接到 Amazon VPC 中的数据来源或通知渠道](AMG-configure-vpc.md)。
1. (可选)您可以在此页面上选择其他工作区配置选项,包括以下选项:
+ 启用 [Grafana Alerting](alerts-overview.md)。通过 Grafana Alerting,您可以在 Grafana 工作区的单一警报界面中查看 Grafana 警报和在 Prometheus 中定义的警报。
在运行版本 8 或 9 的工作区中,这将为 Grafana 警报发送多个通知。如果使用在 Grafana 中定义的警报,我们建议将工作区创建为 10.4 或更高版本。
+ 允许 Grafana 管理员为此工作区[管理插件](grafana-plugins.md)。如果未启用插件管理,管理员将无法为工作区安装、卸载或移除插件。您可以用于 Amazon Managed Grafana 的数据来源和可视化面板类型可能会受到限制。
您也可以在创建工作区后做出这些配置更改。要了解有关配置工作区的更多信息,请参阅 [配置 Amazon Managed Grafana 工作区](AMG-configure-workspace.md)。
1. (可选)您可以选择为工作区添加**网络访问控制**。要添加网络访问控制,请选择**受限访问**。您也可以在创建工作区后启用网络访问控制。
有关网络访问控制的更多信息,请参阅 [配置对 Amazon Managed Grafana 工作区的网络访问权限](AMG-configure-nac.md)。
1. (可选)默认情况下,Amazon Managed Grafana 会自动为您提供静态加密,并 AWS使用自有的加密密钥执行此操作。但是,您可以选择使用自己创建、拥有和管理的客户托管密钥作为替代方案。有关更多信息,请参阅 [静态加密](AMG-encryption-at-rest.md)。
1. 选择**下一步**。
1. 如果您选择**服务托管**,请选择 “**当前账户**”,让 Amazon Managed Grafana 自动创建策略和权限,使其只能 AWS 读取当前账户中的数据。
如果您要在管理账户中创建工作空间或在组织中创建委托管理员账户,则可以选择 “**组织**”,让 Amazon Managed Grafana 自动创建策略和权限,允许其 AWS 读取您指定的组织单位中其他账户中的数据。有关委托管理员账户的更多信息,请参阅[注册委托管理员](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。
**注意**
在组织的管理账户中创建诸如 Amazon Managed Grafana 工作空间之类的资源违反了安全最佳实践。 AWS
1. 如果您选择 “**组织**”,并且系统提示您启用 AWS CloudFormation StackSets,请选择 “**启用可信访问**”。然后,添加你想让 Amazon Managed Grafana 从中读取数据的 AWS Organizations 组织单位 (OUs)。然后,Amazon Managed Grafana 就可以从您选择的每个 OU 中的所有账户读取数据。
1. 如果您选择了**组织**,请选择**数据来源和通知渠道 - 可选**。
1. 选择要在此工作空间中查询 AWS 的数据源。选择数据来源可使 Amazon Managed Grafana 创建允许 Amazon Managed Grafana 从这些来源读取数据的 IAM 角色和权限。您仍必须在 Grafana 工作区控制台中添加数据来源。
1. (可选)如果您希望将来自此工作区的 Grafana 警报发送到 Amazon Simple Notification Service(Amazon SNS)通知渠道,请选择 **Amazon SNS**。这样,Amazon Managed Grafana 就会创建一个 IAM 策略,向您账户中的 Amazon SNS 主题发布以 `grafana` 开头的 `TopicName` 值。这并不能完全将 Amazon SNS 设置为工作区的通知渠道。您可以在工作区的 Grafana 控制台中执行此操作。
1. 选择**下一步**。
1. 确认工作区的详细信息,然后选择**创建工作区**。
此时将会显示工作区详细信息页面。
最初,**状态**为**正在创建**。
**重要**
等到状态变为**活动**后再执行以下任一操作:
如果您使用的是 SAML,请完成 SAML 设置。
如果您使用的是 IAM Identity Center,请向工作区分配您的 IAM Identity Center 用户访问权限。
您可能需要刷新浏览器来查看当前状态。
1. 如果您使用的是 IAM Identity Center,请执行以下操作:
1. 在**身份验证**选项卡中,选择**分配新用户或组**。
1. 在要向其授予工作区访问权限的用户旁边,选择其复选框,然后选择**分配用户**。
1. 选择该用户旁边的复选框,然后选择**使其成为管理员**。
**重要**
为每个工作区分配至少一个用户(例如 `Admin`),以便登录 Grafana 工作区控制台来管理工作区。
1. 如果您使用的是 SAML,请执行以下操作:
1. 在**身份验证**选项卡的**安全断言标记语言(SAML)**下,选择**完成设置**。
1. 对于**导入方法**,执行以下操作之一:
+ 选择 **URL** 并输入 IdP 元数据的 URL。
+ 选择**上传或复制/粘贴**。如果您要上传元数据,请选择**选择文件**,然后选择元数据文件。或者,如果您使用复制和粘贴,请将元数据复制到**导入元数据**。
1. 对于**断言属性角色**,输入要从中提取角色信息的 SAML 断言属性名称。
1. 对于**管理员角色值**,输入 IdP 中的用户角色,这些角色都应被授予 Amazon Managed Grafana 工作区中的 `Admin` 角色,或者,选择**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。您只能使用亚马逊托管 Grafana APIs 对工作空间进行管理更改。
1. (可选)要输入其他 SAML 设置,请选择**其他设置**,并执行以下一项或多项操作。所有这些字段均为可选字段。
+ 对于**断言属性名称**,指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。
+ 对于**断言属性登录**,指定 SAML 断言中用作 SAML 用户登录名称的属性名称。
+ 对于**断言属性电子邮件**,指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。
+ 对于**登录有效期(分钟)**,指定 SAML 用户的登录有效期,在此时间之后,用户必须重新登录。默认值为 1 天,最大值为 30 天。
+ 对于**断言属性组织**,指定 SAML 断言中用作用户组织“友好”名称的属性名称。
+ 对于**断言属性组**,指定 SAML 断言中用作用户组“友好”名称的属性名称。
+ 对于**允许的组织**,您可以限制用户的访问权限,仅允许那些属于 IdP 中特定组织的成员访问。输入一个或多个要允许的组织,用逗号分隔。
+ 对于**编辑者角色值**,输入 IdP 中的用户角色,这些用户角色都将被授予 Amazon Managed Grafana 工作区的 `Editor` 角色。输入一个或多个角色,用逗号分隔。
1. 选择**保存 SAML 配置**。
1. 在工作区详细信息页面中,选择 **Grafana 工作区 URL** 下显示的 URL。
1. 选择工作区 URL 会将您带到 Grafana 工作区控制台的登录页面。请执行以下操作之一:
+ 选择**使用 SAML 登录**,然后输入名称和密码。
+ 选择 “**登录**方式” AWS IAM Identity Center,然后输入您之前在此过程中创建的用户的电子邮件地址和密码。在您响应了 Amazon Managed Grafana 提示您为 IAM Identity Center 创建密码的电子邮件后,这些凭证才有效。
现在,您已进入 Grafana 工作区,或者说逻辑 Grafana 服务器。您可以开始添加数据来源,以查询、可视化和分析数据。有关更多信息,请参阅 [使用您的 Grafana 工作区](AMG-working-with-Grafana-workspace.md)。
有关
**提示**
您可以使用自动创建亚马逊托管 Grafana 工作空间。 CloudFormation有关更多详细信息,请参阅 [使用创建亚马逊托管 Grafana 资源 AWS CloudFormation](creating-resources-with-cloudformation.md)。
# 在 Amazon Managed Grafana 工作区中对用户进行身份验证
单个用户可登录工作区,编辑和查看控制面板。您可以为工作区分配用户,并[向其赋予用户、编辑者或管理员权限](AMG-manage-users-and-groups-AMG.md)。要开始使用,您需要创建(或使用现有的)身份提供者,对用户进行身份验证。
用户使用组织的身份提供者通过单点登录(SSO)进行身份验证(而不是通过使用 IAM 进行身份验证),以使用 Amazon Managed Grafana 工作区中的 Grafana 控制台。每个工作区都可以使用以下一种或两种身份验证方法:
+ 存储在支持安全断言标记语言 2.0 (SAML 2.0IdPs) 的身份提供商 () 中的用户凭证
+ AWS IAM Identity Center。 AWS Single-sign-on (**AWS SSO**) 已更名为 I **AM 身份中心**。
对于每个工作区,您可以使用 SAML 和/或 IAM Identity Center。如果您一开始使用了一种方法,也可以切换到另一种方法。
在用户访问工作区内的功能之前,必须向用户(或用户所属的组)授予工作区权限。有关向用户授予权限的更多信息,请参阅 [管理用户和组对 Amazon Managed Grafana 工作区的访问权限](AMG-manage-users-and-groups-AMG.md)。
**Topics**
+ [在 Amazon Managed Grafana 工作区中使用 SAML](authentication-in-AMG-SAML.md)
+ [AWS IAM Identity Center 与您的亚马逊托管 Grafana 工作区配合使用](authentication-in-AMG-SSO.md)
# 在 Amazon Managed Grafana 工作区中使用 SAML
**注意**
Amazon Managed Grafana 目前不支持由 IdP 发起的工作区登录。您应将 SAML 应用程序设置为使用空白中继状态。
您可以使用 SAML 身份验证来使用现有的身份提供者,并提供单点登录,以登录 Amazon Managed Grafana 工作区的 Grafana 控制台。Amazon Managed Grafana 的 SAML 身份验证不是通过 IAM 进行身份验证,而是让您使用第三方身份提供者进行登录、管理访问控制、搜索数据和构建可视化。Amazon Managed Grafana 支持使用 SAML 2.0 标准并已与 Azure AD CyberArk、Okta 和 Ping Ident OneLogin ity 构建和测试集成应用程序的身份提供商。
有关如何在创建工作区期间设置 SAML 身份验证的详细信息,请参阅 [创建工作区](AMG-create-workspace.md#creating-workspace)。
在 SAML 身份验证流程中,Amazon Managed Grafana 工作区充当服务提供商(SP),并与 IdP 交互,以获取用户信息。有关 SAML 的更多信息,请参阅[安全断言标记语言](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)。
您可以将 IdP 中的组映射到 Amazon Managed Grafana 工作区中的团队,并对这些团队设置细粒度的访问权限。您还可以将 IdP 中定义的组织角色映射为 Amazon Managed Grafana 工作区中的角色。例如,如果您在 IdP 中定义了**开发人员**角色,您可以将该角色映射为 Amazon Managed Grafana 工作区中的 **Grafana 管理员**角色。
**注意**
当您创建使用 IdP 和 SAML 进行授权的 Amazon Managed Grafana 工作空间时,您必须登录已附加策略的 IAM 委托人。**AWSGrafanaAccountAdministrator**
要登录到 Amazon Managed Grafana 工作区,用户需要访问工作区的 Grafana 控制台主页,并选择**使用 SAML 登录**。工作区会读取 SAML 配置,并将用户重定向到 IdP 进行身份验证。用户在 IdP 门户中输入登录凭证,如果是有效用户,IdP 将发出 SAML 断言,并将用户重定向回 Amazon Managed Grafana 工作区。Amazon Managed Grafana 会验证 SAML 断言是否有效,然后用户即可登录并使用工作区。
Amazon Managed Grafana 支持以下 SAML 2.0 绑定:
+ 从服务提供商(SP)到身份提供者(IdP):
+ HTTP-POST 绑定
+ HTTP 重定向绑定
+ 从身份提供者(IdP)到服务提供商(SP):
+ HTTP-POST 绑定
Amazon Managed Grafana 支持已签名和加密的断言,但不支持已签名或加密的请求。
Amazon Managed Grafana 支持由 SP 发起的请求,但不支持由 IdP 发起的请求。
## 断言映射
在 SAML 身份验证流程中,Amazon Managed Grafana 会接收断言使用者服务(ACS)回调。回调包含正在进行身份验证的用户的所有相关信息,这些信息嵌入在 SAML 响应中。Amazon Managed Grafana 会解析该响应,以便在其内部数据库中创建(或更新)用户。
当 Amazon Managed Grafana 映射用户信息时,它会查看断言中的各个属性。您可以将这些属性视为键值对,但它们包含的信息比键值对多。
Amazon Managed Grafana 提供了配置选项,您可以修改查看这些值所依据的键。
您可以使用 Amazon Managed Grafana 控制台将以下 SAML 断言属性映射到 Amazon Managed Grafana 中的值:
+ 对于**断言属性角色**,指定 SAML 断言中用作用户角色的属性名称。
+ 对于**断言属性名称**,指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。
+ 对于**断言属性登录**,指定 SAML 断言中用作 SAML 用户登录名称的属性名称。
+ 对于**断言属性电子邮件**,指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。
+ 对于**断言属性组织**,指定 SAML 断言中用作用户组织“友好”名称的属性名称。
+ 对于**断言属性组**,指定 SAML 断言中用作用户组“友好”名称的属性名称。
+ 对于**允许的组织**,您可以限制用户的访问权限,仅允许那些属于 IdP 中特定组织的成员访问。
+ 对于**编辑者角色值**,指定 IdP 中的用户角色,这些用户角色都将被授予 Amazon Managed Grafana 工作区的 `Editor` 角色。
## 连接到身份提供者
以下外部身份提供者已通过 Amazon Managed Grafana 进行测试,并直接在其应用程序目录或库中提供应用程序,以帮助您使用 SAML 配置 Amazon Managed Grafana。
**Topics**
+ [断言映射](#AMG-SAML-Assertion-Mapping)
+ [连接到身份提供者](#authentication-in-AMG-SAML-providers)
+ [配置 Amazon Managed Grafana 以使用 Azure AD](AMG-SAML-providers-Azure.md)
+ [配置要使用的亚马逊托管 Grafana CyberArk](AMG-SAML-providers-CyberArk.md)
+ [配置 Amazon Managed Grafana 以使用 Okta](AMG-SAML-providers-okta.md)
+ [配置要使用的亚马逊托管 Grafana OneLogin](AMG-SAML-providers-onelogin.md)
+ [配置 Amazon Managed Grafana 以使用 Ping Identity](AMG-SAML-providers-pingone.md)
# 配置 Amazon Managed Grafana 以使用 Azure AD
使用以下步骤配置 Amazon Managed Grafana,以将 Azure Active Directory 用作身份提供者。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且记下了*工作空间* ID *URLs*、和。*AWS 区域*
## 步骤 1:在 Azure Active Directory 中完成的步骤
在 Azure Active Directory 中完成以下步骤。
**将 Azure Active Directory 设置为 Amazon Managed Grafana 的身份提供者**
1. 以管理员身份登录 Azure 控制台。
1. 选择 **Azure Active Directory**。
1. 选择**企业应用程序**。
1. 搜索 **Amazon Managed G SAML2 rafana** .0,然后将其选中。
1. 选择应用程序,然后选择**设置**。
1. 在 Azure Active Directory 应用程序配置中,选择**用户和组**。
1. 将应用程序分配给所需的用户和组。
1. 选择 **Single sign-on**(单点登录)。
1. 选择**下一步**,进入 SAML 配置页面。
1. 指定 SAML 设置:
+ 对于**标识符(实体 ID)**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商标识符** URL。
+ 对于**回复 URL(断言使用者服务 URL)**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商回复**。
+ 确保已选择**签署断言**,且未选择**加密断言**。
1. 在**用户属性和声明**部分,确保这些属性已映射。它们区分大小写。
+ **mail** 设置为 **user.userprincipalname**。
+ **displayName** 设置为 **user.displayname**。
+ **Unique User Identifier** 设置为 **user.userprincipalname**。
+ 添加任何其他需要传递的属性。如需详细了解断言映射中可传递给 Amazon Managed Grafana 的属性,请参阅 [断言映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。
1. 复制 **SAML 元数据 URL**,以在 Amazon Managed Grafana 工作区配置中使用。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**要完成将 Azure Active Directory 设置为 Amazon Managed Grafana 的身份提供者**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**设置 SAML 配置**。
1. 在**导入元数据**下,选择**上传或复制/粘贴**,然后粘贴您在上一节中从 **SAML 元数据 URL** 中复制的 Azure Active Directory URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。只有使用 Grafana APIs 才能对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 Azure Active Directory 应用程序中的默认属性,请展开**附加设置 - 可选**,然后设置新的属性名称。
默认情况下,Azure 的 **displayName** 属性作为 **Name** 属性传递,Ping Identity 的 **mail** 属性同时传递给 **email** 和 **login** 属性。
1. 选择**保存 SAML 配置**。
# 配置要使用的亚马逊托管 Grafana CyberArk
使用以下步骤将 Amazon Managed Grafana 配置为身份提供 CyberArk 商。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且已经记下了工作空间的 ID URLs 和区域。
## 第 1 步:完成的步骤 CyberArk
在中完成以下步骤 CyberArk。
**设置 CyberArk 为亚马逊托管 Grafana 的身份提供商**
1. 登录到 CyberArk 身份管理门户。
1. 选择**应用程序**,然后选择 **Web 应用程序**。
1. 选择**添加 Web 应用程序**。
1. **在 **Amazon Managed Grafana 中搜索 .0 SAML2,**然后选择 “添加”。**
1. 在 CyberArk 应用程序配置中,转到 “**信任**” 部分。
1. 在**身份提供者配置**下,选择**元数据**。
1. 选择**复制 URL**并保存 URL,以便稍后在这些步骤中使用。
1. 在**服务提供商配置**下,选择**手动配置**。
1. 指定 SAML 设置:
+ 对于 **SP 实体 ID**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商标识符** URL。
+ 对于**断言使用者服务(ACS)URL**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商回复**。
+ 将**签署响应断言**设置为**断言**。
+ 确保 **NameID 格式**为 **emailAddress**。
1. 选择**保存**。
1. **在 **SAML 响应**部分,确保 Amazon Managed Grafana 属性位于**应用程序名称中**,并且 CyberArk 该属性位于属性值中。**然后确保映射了以下属性。它们区分大小写。
+ **显示名称****设置为。LoginUser DisplayName**。
+ **邮件**设置为 **LoginUser.Email。**
+ 添加任何其他需要传递的属性。如需详细了解断言映射中可传递给 Amazon Managed Grafana 的属性,请参阅 [断言映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。
1. 选择**保存**。
1. 在**权限**部分,选择要将此应用程序分配给哪些用户和组,然后选择**保存**。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**完成设置为亚马逊 Managed Grafana 的 CyberArk 身份提供商**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**设置 SAML 配置**。
1. 在 “**导入元数据**” 下,选择 “**上传” 或 “复制/粘**贴”,然后粘贴您在上一个过程中复制的 CyberArk URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。只有使用 Grafana APIs 才能对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 CyberArk 应用程序中的默认属性,请展开**其他设置-可选**,然后设置新的属性名称。
******默认情况下,CyberA displayName 属性传递给名称属性,邮件属性同时传递给电子邮件**和****登录**属性。 CyberArk ******
1. 选择**保存 SAML 配置**。
# 配置 Amazon Managed Grafana 以使用 Okta
使用以下步骤配置 Amazon Managed Grafana,以将 Okta 用作身份提供者。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且已经记下了工作空间的 ID URLs 和区域。
## 步骤 1:在 Okta 中完成的步骤
在 Okta 中完成以下步骤。
**将 Okta 设置为 Amazon Managed Grafana 的身份提供者**
1. 以管理员身份登录 Okta 控制台。
1. 在左侧面板中选择**应用程序**、**应用程序**。
1. 选择**浏览应用程序目录**,然后搜索 **Amazon Managed Grafana**。
1. 选择 **Amazon Managed Grafana**,然后选择**添加**、**完成**。
1. 选择该应用程序,以开始设置。
1. 在**登录**选项卡中,选择**编辑**。
1. 在**高级登录设置**下,分别在**名称空间**和**区域**字段中输入您的 Amazon Managed Grafana 工作区 ID 和地区。**你的亚马逊托管 Grafana 工作空间 ID 和区域可以在你的亚马逊托管 Grafana 工作空间网址中找到,格式为.grafana-workspace。*workspace-id* *Region*.amazonaws.com。**
1. 选择**保存**。
1. 在 **SAML 2.0** 下,复制**身份提供者元数据**的 URL。您稍后将在 Amazon Managed Grafana 控制台中使用它。
1. 在**分配**选项卡中,选择您希望能够使用 Amazon Managed Grafana 的**人员**和**组**。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**完成将 Okta 设置为 Amazon Managed Grafana 的身份提供者**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**完成设置**。
1. 在**导入元数据**下,选择**上传或复制/粘贴**,并粘贴在之前过程中复制的 Okta URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。只有使用 Grafana APIs 才能对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 Okta 应用程序中的默认属性,请展开**附加设置 - 可选**,然后设置新的属性名称。
默认情况下,Okta 的 **displayName** 属性会传递给 **name** 属性,Okta 的 **mail** 属性会传递给 **email** 和 **login** 属性。
1. 选择**保存 SAML 配置**。
# 配置要使用的亚马逊托管 Grafana OneLogin
使用以下步骤将亚马逊托管 Grafana 配置为身份提供 OneLogin 商。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且已经记下了工作空间的 ID URLs 和区域。
## 第 1 步:完成的步骤 OneLogin
在中完成以下步骤 OneLogin。
**设置 OneLogin 为亚马逊托管 Grafana 的身份提供商**
1. 以管理员身份登录 OneLogin 门户。
1. 依次选择**应用程序**、**应用程序**、**添加应用程序**。
1. 搜索 **Amazon Managed Service for Grafana**。
1. 指定您选择的**显示名称**,然后选择**保存**。
1. 导航至**配置**,在**名称空间**中输入 Amazon Managed Grafana 工作区 ID,并输入 Amazon Managed Grafana 工作区的区域。
1. 在**配置**选项卡中,输入 Amazon Managed Grafana 工作区 URL。
1. 如果管理员需要 Amazon Managed Grafana 中的相应值,可以将 **adminRole** 参数保留为默认的**无默认值**,然后使用**规则**选项卡填充其值。在此示例中,**断言属性角色**将设置为 Amazon Managed Grafana 中的 **adminRole**,值为 true。您可以将此值指向租户中的任何属性。单击 **\$1** 可添加和配置参数,以满足您组织的要求。
1. 选择**规则**选项卡,选择**添加规则**,然后为您的规则命名。在**条件**字段(if 语句)中,添加**电子邮件包含 [电子邮件地址]**。在 “**操作**” 字段(当时的语句)中,我们选择 “** AdminRole 在亚马逊托管服务中设置**”,然后在 “**将 adminRole 设置为**” 下拉列表中选择 “**宏**”,值为 **true**。您的组织可以选择不同的规则来应对不同的应用场景。
1. 选择**保存**。转到**更多操作**,选择**重新应用权限映射**。每当创建或更新规则时,都必须重新应用映射。
1. 记下**发布者 URL**,以便稍后在 Amazon Managed Grafana 控制台的配置中使用。然后选择**保存**。
1. 选择 “**访问权限**” 选项卡以分配访问亚马逊托管 Grafana 的 OneLogin角色,然后选择应用程序安全策略。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**完成设置 OneLogin 为亚马逊托管 Grafana 的身份提供商**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**设置 SAML 配置**。
1. 在 “**导入元数据**” 下,选择**上传或复制/粘**贴并粘贴您在上一个过程中从 OneLogin 控制台复制的 OneLogin发行者 URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。只有使用 Grafana APIs 才能对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。的默认值 OneLogin 为 **adminRole。**
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 OneLogin 应用程序中的默认属性,请展开**其他设置-可选**,然后设置新的属性名称。
默认情况下, OneLogin **displayNam** e 属性传递给**名称**属性, OneLogin **邮件**属性同时传递给**电子邮件**和**登录**属性。
1. 选择**保存 SAML 配置**。
# 配置 Amazon Managed Grafana 以使用 Ping Identity
使用以下步骤配置 Amazon Managed Grafana,以将 Ping Identity 用作身份提供者。这些步骤假设您已经创建了 Amazon Managed Grafana 工作空间,并且已经记下了工作空间的 ID URLs 和区域。
## 步骤 1:在 Ping Identity 中完成的步骤
在 Ping Identy 中,完成以下步骤。
**将 Ping Identity 设置为 Amazon Managed Grafana 的身份提供者**
1. 以管理员身份登录 Ping Identity 控制台。
1. 选择**应用程序**。
1. 依次选择**添加应用程序**、**搜索应用程序目录**。
1. 搜索 **Amazon Managed Grafana for SAML** 应用程序,然后选择它,并选择**设置**。
1. 在 Ping Identity 应用程序中,选择**下一步**进入 SAML 配置页面。然后进行以下 SAML 设置:
+ 对于**断言使用者服务**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商回复 URL**。
+ 对于**实体 ID**,粘贴来自 Amazon Managed Grafana 工作区的**服务提供商标识符**。
+ 确保已选择**签署断言**,且未选择**加密断言**。
1. 选择**继续下一步**。
1. 在 **SSO 属性映射**中,确保 Amazon Managed Grafana 属性在**应用程序属性**中,而 Ping Identity 属性在**身份桥接属性**中。然后进行以下设置:
+ **mail** 必须是**电子邮件(工作)**。
+ **displayName** 必须是**显示名称**。
+ **SAML\$1SUBJECT** 必须是**电子邮件(工作)**。然后为此属性选择**高级**,将**发送给 SP 的名称 ID 格式**设置为 **urn:oasis:names:tc:SAML:2.0:nameid-format:transient**,然后选择**保存**。
+ 添加要传递的任何其他属性。
+ 添加要传递的任何其他属性。如需详细了解断言映射中可传递给 Amazon Managed Grafana 的属性,请参阅 [断言映射](authentication-in-AMG-SAML.md#AMG-SAML-Assertion-Mapping)。
1. 选择**继续下一步**。
1. 在**组访问**中,选择要将此应用程序分配给哪些组。
1. 选择**继续下一步**。
1. 复制以 `https://admin- api.pingone.com/latest/metadata/` 开头的 **SAML 元数据 URL**。您稍后将在配置中使用它。
1. 选择**结束**。
## 步骤 2:在 Amazon Managed Grafana 中完成的步骤
在 Amazon Managed Grafana 控制台中,完成以下步骤。
**完成将 Ping Identity 设置为 Amazon Managed Grafana 的身份提供者**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择工作区的名称。
1. 在**身份验证**选项卡中,选择**设置 SAML 配置**。
1. 在**导入元数据**下,选择**上传或复制/粘贴**,并粘贴在之前过程中复制的 Ping Identity URL。
1. 在**断言映射**下,请执行以下操作:
+ 确保未选中**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 工作区控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。只有使用 Grafana APIs 才能对工作区进行管理更改。
+ 将**断言属性角色**设置为您选择的属性名称。
+ 将**管理员角色值**设置为与管理员用户角色相对应的值。
+ (可选)如果您更改了 Ping Identity 应用程序中的默认属性,请展开**附加设置 - 可选**,然后设置新的属性名称。
默认情况下,Ping Identity 的 **displayName** 属性会传递给 **name** 属性,Ping Identity 的 **mail** 属性会传递给 **email** 和 **login** 属性。
1. 选择**保存 SAML 配置**。
# AWS IAM Identity Center 与您的亚马逊托管 Grafana 工作区配合使用
Amazon Managed Grafana AWS IAM Identity Center 与之集成,为您的员工提供身份联合。使用 Amazon Managed Grafana 和 IAM Identity Center,用户将被重定向到其现有的公司目录,以使用现有凭证登录。然后,他们会无缝登录到其 Amazon Managed Grafana 工作区。这可确保密码策略和双因素身份验证等安全设置得到强制实施。使用 IAM Identity Center 不会影响现有的 IAM 配置。
如果您没有现有的用户目录,或不想使用联合身份验证,IAM Identity Center 会提供一个集成的用户目录,您可以用它为 Amazon Managed Grafana 创建用户和组。Amazon Managed Grafana 不支持使用 IAM 用户和角色在 Amazon Managed Grafana 工作区内分配权限。
有关 IAM 身份中心的更多信息,请参阅[什么是 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。有关开始使用 IAM Identity Center 的更多信息,请参阅[入门](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。
要使用 IAM 身份中心,您还必须为该账户 AWS Organizations 激活。如果需要,Amazon Managed Grafana 可以在您创建第一个配置为使用 IAM Identity Center 的工作区时,为您激活 Organizations。
## 使用 IAM Identity Center 的场景所需的权限
本节介绍将 Amazon Managed Grafana 和 IAM Identity Center 一起使用时,所需的策略。管理 Amazon Managed Grafana 所需的策略根据您的 AWS 账户是否属于某个组织而有所不同。
### 在账号中创建 Grafana 管理员 AWS Organizations
要授予在组织中创建和管理 Amazon Managed Grafana 工作空间以及允许依赖关系(例如 AWS IAM Identity Center)的权限,请将以下策略分配给角色。
+ 分配 **AWSGrafanaAccountAdministrator**IAM 策略以允许管理亚马逊托管 Grafana 工作空间。
+ **AWSSSODirectory管理员**允许该角色在设置 Amazon Managed Grafana 工作空间时使用 IAM 身份中心。
+ 要允许在整个组织中创建和管理 Amazon Managed Grafana 工作空间,请为该角色提供 IAM 策略。**AWSSSOMasterAccountAdministrator**或者,为该角色提供 **AWSSSOMemberAccountAdministrator**IAM 策略,允许在组织的单个成员账户中创建和管理工作空间。
+ 如果您想允许该角色将亚马逊托管 Grafana 工作空间升级到 Grafana 企业,也可以选择向该角色授予 IA **AWSMarketplaceManageSubscriptions**M 策略(或同等权限)。
如果要在创建 Amazon Managed Grafana 工作区时使用服务托管权限,则创建工作区的角色还必须拥有 `iam:CreateRole`、`iam:CreatePolicy` 和 `iam:AttachRolePolicy` 权限。这些是部署 CloudFormation StackSets 允许您读取组织账户中数据源的策略所必需的。
**重要**
通过向用户授予 `iam:CreateRole`、`iam:CreatePolicy` 和 `iam:AttachRolePolicy` 权限,用户将获得对 AWS 账户的完全管理访问权限。例如,具有这些权限的用户可以创建一个对所有资源具有完全权限的策略,并将该策略附加到任何角色。请谨慎地为相关人员授予这些权限。
要查看授予的权限 **AWSGrafanaAccountAdministrator**,请参阅 [AWS 托管策略: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
### 在单个独立账户中创建和管理 Amazon Managed Grafana 工作区和用户
独立 AWS 账户是指不是组织成员的账户。有关的更多信息 AWS Organizations,请参阅[什么是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
要授予在独立账户中创建和管理 Amazon Managed Grafana 工作区和用户的权限,请将以下 IAM 策略分配给角色:
+ **AWSGrafanaAccountAdministrator**
+ **AWSSSOMasterAccountAdministrator**
+ **AWSOrganizationsFullAccess**
+ **AWSSSODirectory管理员**
**重要**
该**AWSOrganizationsFullAccess**策略向角色授予该角色对您的 AWS 账户的完全管理权限。请谨慎地为相关人员授予这些权限。
要查看授予的权限 **AWSGrafanaAccountAdministrator**,请参阅 [AWS 托管策略: AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
# 更新工作区版本
您可以通过两种方式在 Amazon Managed Grafana 控制台中将 Amazon Managed Grafana 工作区更新为较新版本的 Grafana。
**注意**
您只能将版本更新到较新版本的 Grafana。不能降级到以前发布的 Grafana 版本。
更新 Grafana 版本不会更新工作区中安装的插件。您可能需要单独更新任何与新版本 Grafana 不兼容的插件。有关查看和管理插件的详细信息,请参阅 [使用插件目录查找插件](grafana-plugins.md#plugin-catalog)。有关每个版本的变更列表,请参阅 [Grafana 版本之间的差异](version-differences.md)。
**选项 1:从工作区列表更新版本**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)。
1. 在左侧导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 在包含要更新的工作区详细信息的行中,选择**更新版本**。只有符合更新条件的工作区才会包含此选项。
**警告**
更新过程不可逆,无法暂停或取消。建议在更新生产工作区之前,先在非生产环境中测试较新的版本。在更新过程中,您无法更改工作区。
1. 从**更新版本**屏幕的下拉列表中选择一个版本号,然后点击**更新**以确认。
1. 定期检查**工作区**选项卡上的更新状态。更新过程可能需要长达 10 分钟。在此过程中,工作区将处于“只读”模式。工作区更新成功或失败都会显示横幅更新。如果更新失败,请按照横幅中列出的操作项进行操作,然后重试。
**选项 2:从工作区摘要页面更新版本**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana](https://console.aws.amazon.com/grafana)。
1. 在左侧导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 对于要更新的工作区,选择带有超链接的**工作区名称**。只有符合更新条件的工作区才会包含此选项。
1. 在**摘要**块中,选择**更新版本**提示。
**警告**
更新过程不可逆,无法暂停或取消。建议在更新生产工作区之前,先在非生产环境中测试较新的版本。在更新过程中,您无法更改工作区。
1. 从**更新版本**屏幕的下拉列表中选择一个版本号,然后点击**更新**以确认。
1. 定期检查**工作区**选项卡上的更新状态。更新过程可能需要长达 10 分钟。在此过程中,工作区将处于“只读”模式。工作区更新成功或失败都会显示横幅更新。如果更新失败,请按照横幅中列出的操作项进行操作,然后重试。
**注意**
您也可以使用亚马逊托管 Grafana API 中的[UpdateWorkspaceConfiguration](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspaceConfiguration.html)操作更新版本。
如果您在更新的工作区中遇到问题,请参阅 [排查与更新后的工作区相关的问题](AMG-workspace-version-update-troubleshoot.md)。
# 排查与更新后的工作区相关的问题
更新后,经过更新的工作区应该能够继续工作。这部分可以帮助您跟踪更新后可能出现的问题。
+ **版本之间的差异。**
某些功能在不同版本之间会有所变化。
+ 有关各版本之间主要更改的列表,包括可能导致功能问题的更改,请参阅 [Grafana 版本之间的差异](version-differences.md)。
+ 有关版本 9 特定功能的文档,请参阅 [使用 Grafana 版本 9](using-grafana-v9.md)。有关版本 10,请参阅 [使用 Grafana 版本 10](using-grafana-v10.md)。
+ **PostgreSQL TLS 问题**
如果在版本 8 中将 **TLS/SSL 模式**设置为 `require`,并且只使用根证书,那么在更新后,PostgreSQL 数据来源可能会出现 TLS 或证书问题。修改 PostgreSQL 数据来源的 TLS 设置(在 Grafana 工作区侧菜单中选择**配置**图标,然后选择**数据来源**)。
+ 将 **TLS/SSL 模式**更改为 `verify-ca`。
+ 将 **TLS/SSL 方法**设置为 `Certificate content`。
+ 将**根证书**设置为 PostgreSQL 数据库服务器的根证书。这是唯一需要输入证书的字段。
# 管理对 Enterprise 插件的访问
您可以使用 Amazon Managed Grafana 控制台来管理您的工作区并访问 Enterprise 插件。升级后,您可以访问支持各种第三方独立软件供应商(ISVs)的数据源的企业插件,包括以下列表。
您可以使用 Enterprise 许可证访问 [Grafana Labs](https://grafana.com) 的咨询和支持服务。
**Amazon Managed Grafana Enterprise 插件提供的企业数据来源包括:**
+ AppDynamics
+ Databricks
+ Datadog
+ Dynatrace
+ GitLab
+ Honeycomb
+ Jira
+ MongoDB
+ New Relic
+ Oracle Database
+ Salesforce
+ SAP/HANA
+ ServiceNow
+ Snowflake
+ Splunk
+ Splunk 基础设施监控(以前 SignalFx)
+ Wavefront
有关升级时可用的 Enterprise 数据来源插件的详细信息,请参阅 [连接到企业数据来源](AMG-data-sources-enterprise.md)。可随时添加新插件。如需完整的最新列表,可使用 Amazon Managed Grafana 工作区中的[插件目录](grafana-plugins.md#manage-plugins)。
创建工作区时,默认情况下工作区无法访问 Enterprise 插件,但可以随时升级。如果想拥有多个带有 Enterprise 插件的 Amazon Managed Grafana 工作区,则必须升级每个工作区。
您可以通过**管理 Amazon Managed Grafana Enterprise** 页面管理 Enterprise 插件许可证,包括添加或删除访问权限。
管理 Amazon Managed Grafana Enterprise 插件访问权限的流程已更改。如果您以前使用过 AWS Marketplace,则可能对该[AWS Marketplace 企业用户常见问题解答](AMG-ws-mp-license-faq.md)主题感兴趣。
**Topics**
+ [管理对 Amazon Managed Grafana 企业插件的访问权限](AMG-workspace-manage-enterprise.md)
+ [将您的账户与 Grafana Labs 关联起来](AMG-workspace-register-enterprise.md)
+ [AWS Marketplace 企业用户常见问题解答](AMG-ws-mp-license-faq.md)
# 管理对 Amazon Managed Grafana 企业插件的访问权限
**要管理对企业插件的访问权限**
1. [在 /grafana 上打开亚马逊托管 Grafana 控制台。https://console.aws.amazon.com](https://console.aws.amazon.com/grafana)
1. 在左侧导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
您可以看到工作区列表。对于每个工作区,**企业许可证**列会显示工作区的许可证类型(无许可证,或**企业插件**许可证)。
1. 选择要管理其许可证的工作区名称。这将打开该工作区的工作区详细信息页面。
1. 在摘要中的**企业许可证**下,选择**管理**或**升级到 Amazon Managed Grafana Enterprise**(根据企业许可证的当前状态,只提供其中一个选项)。
这将打开**管理 Amazon Managed Grafana Enterprise**页面。您可以在两个选项中进行选择。激活的选项标有**(当前)**。
+ **无**:选择此选项可移除或不启用 Amazon Managed Grafana Enterprise 许可证。如果当前具有 Enterprise 许可证,在保存时如果为工作区选择此选项,将立即移除对企业插件的访问权限。
+ **企业插件**:此选项允许您在工作区中安装任何企业插件,并向您提供访问 [Grafana Labs](https://grafana.com) 咨询和支持服务的权限。在工作区中安装企业插件后,您可以访问更多[数据来源](AMG-data-sources-enterprise.md)。
首次选择此选项时,必须将您的代币 AWS 账户 与 Grafana Labs 中的代币相关联,并会提示您这样做。有关更多信息,请参阅下一节:[将您的账户与 Grafana Labs 关联起来](AMG-workspace-register-enterprise.md)。
Amazon Managed Grafana 企业插件的访问会产生额外用户费用,不包含在 Amazon Managed Grafana 定价之中。如需了解详细的费用信息,请参阅 [Amazon Managed Grafana 定价页面](https://aws.amazon.com/grafana/pricing/)。
1. 做出选择后,选择**保存**以继续。
# 将您的账户与 Grafana Labs 关联起来
升级到 Amazon Managed Grafana 企业插件的工作区有权访问 Grafana Labs 的支持和咨询服务。要使用此功能, AWS 账户 必须与 Grafana Labs 账户令牌关联。[升级到企业版许可证时,您可以注册新的或现有的 Grafana Labs 账户 AWS 。](AMG-workspace-manage-enterprise.md)
**注意**
在每个区域,您只需要注册一次 Grafana Labs 账户令牌。如果您的账户之前已关联(例如,在该区域升级不同的工作区,以访问企业插件时),系统不会提示您再次关联。
关联过程包括从 Grafana Labs 获取令牌,用于在 Amazon Managed Grafana 中注册账户。您可以在 Grafana Labs 创建新账户,也可以使用现有账户。
我们建议您复制 Grafana Labs 令牌,并将其保存在安全、方便的位置,以便将来使用。
**要关联 Grafana Labs 账户**
1. 按照 [管理对 Amazon Managed Grafana 企业插件的访问权限](AMG-workspace-manage-enterprise.md) 中的说明,升级您的账户,使其可以访问企业插件。在升级过程中,系统会提示您通过添加令牌来关联账户。
1. 如果您已经有令牌,可以直接输入。如果没有令牌,请选择**获取令牌**。这会在新的浏览器选项卡中打开 [Grafana Labs 网站](https://grafana.com/partners/amg/support)。
在 Grafana Labs 网站上,您可以登录 Grafana Labs 账户(或创建新账户),然后获取令牌。
1. 复制令牌后,返回 Amazon Managed Grafana 浏览器选项卡或窗口。在 **Grafana Labs 令牌**部分输入令牌。
1. 现在,您可以选择**保存**来完成升级。
**在其他工作区重复使用令牌**
如果您以前注册过 Grafana Labs 账户,而系统提示您提供 Grafana Labs 令牌(例如,在其他区域升级工作区时),您可以每次使用相同的令牌注册,这样就无需创建新的 Grafana Labs 账户。如果您没有保存令牌,可以通过以下方式之一检索令牌:
+ **你可以在你的 Grafana Labs 账户中查找代币,方法是前往 amg/support [https://grafana.com/partners/,](https://grafana.com/partners/amg/support)然后选择 “我的账户”。**
+ 您可以使用 [DescribeWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DescribeWorkspace.html)API 检索令牌,从现有的、已关联的工作空间获取令牌。
+ 如果上述方法都无法获得令牌,则必须[联系 Grafana Labs 支持人员](https://grafana.com/contact)。
# AWS Marketplace 企业用户常见问题解答
以前,您可能已经通过购买了 Grafana Enterprise 的许可证。 AWS Marketplace您不能再通过购买新许可证 AWS Marketplace,也无法续订之前通过购买的任何许可证 AWS Marketplace。根据您的 AWS Marketplace 许可证状态,以下常见问题解答可能会对您有所帮助。
## 我订阅了 30 天免费试用 AWS Marketplace,但我还没有将其与我的工作区相关联。我现在是否可以申请?
否。Amazon Managed Grafana 不再支持免费试用。
## 我从购买了 30 天免费试用版 AWS Marketplace,而且我已经将其与我的工作区相关联。我的试用会发生什么情况?
您的免费试用将持续到过期为止。如果您想升级并使用企业插件,如上一节所述,可以通过 Amazon Managed Grafana 控制台进行升级。
## 我的 AWS Marketplace 付费许可证尚未过期,但我想使用亚马逊托管 Grafana 托管企业插件。我该如何操作?
只要您拥有最新的 AWS Marketplace 许可证,就只能将该许可证与您的工作空间相关联。只有在许可证到期(或者您取消许可)后, AWS Marketplace 您才能在 Amazon Managed Grafana 控制台中进行升级。 AWS Marketplace
以下问题和答案提供了更多详细信息。
## 我 AWS Marketplace 从那里购买了完整的 Grafana Enterprise 许可证,并将其与一个或多个工作空间相关联。这些工作区会发生什么情况?
许可证过期后(除非开启自动续订,否则将在 30 天后过期),您在工作区中使用的任何企业数据来源都将停止工作。如果您希望继续使用企业数据来源,可以直接从 Amazon Managed Grafana 控制台[升级到使用企业插件](AMG-workspace-manage-enterprise.md)。
## 听起来许可证过期会导致停机时间,届时我的工作区将无法访问任何企业插件。如何避免这种情况?
当您切换到新的企业插件许可证后,许可证过期会导致出现停机时间。不过,您可以尽可能减少这种情况。
**注意**
要尽量减少停机时间,需要准确执行以下步骤。建议您在开始之前仔细阅读。
要获得新的[定价](https://aws.amazon.com/grafana/pricing),我们建议您升级到 Amazon Managed Grafana Enterprise 插件,而不是继续使用许可证。 AWS Marketplace
**从 AWS Marketplace 企业版许可证切换到亚马逊托管 Grafana Enterprise 插件,同时最大限度地减少停机时间。**
1. 要做好准备,首先访问 [Grafana Labs 网站](https://grafana.com/partners/amg/support),登录您的账户(或创建新账户)。获取将稍后使用的 Grafana Labs 令牌。
有关这部分过程的详细信息,请参阅 [将您的账户与 Grafana Labs 关联起来](AMG-workspace-register-enterprise.md)。
1. 登录 [AWS Marketplace 控制台](https://console.aws.amazon.com/marketplace/),然后从左侧菜单中选择**管理订阅**。
1. 找到要切换的订阅,然后选择**管理**。这将显示订阅的详细信息。
**注意**
此页面会显示服务的结束日期。您可以等到临近该日期时再继续这些步骤,以便在取消之前充分利用当前订阅。
1. 选择 “**操作**”,然后选择 “**取消订阅**”。
这将取消您在 AWS Marketplace中的订阅。但是,您可以继续使用企业数据来源,直到 Amazon Managed Grafana 在当天结束时(以工作区的当地时间为准)自动移除您的许可证。
有关取消订阅的更多信息 AWS Marketplace,请参阅《*AWS Marketplace 买家指南》*中的 “[取消产品订阅](https://docs.aws.amazon.com/marketplace/latest/buyerguide/cancel-subscription.html)”。
1. 取消订阅后 AWS Marketplace,请在 Amazon Managed Grafana 中取消订阅:
1. 登录 [Amazon Managed Grafana 控制台](https://console.aws.amazon.com/grafana)。
1. 从左侧菜单中,选择**所有工作区**。
1. 选择要切换的工作区名称。
1. 在**企业许可证**下,选择**管理**。
1. 选择**无**,然后选择**保存**。这将从亚马逊托管 Grafana 中移除 AWS Marketplace 许可
移除企业许可证后,您将无法再访问工作区中的企业插件。
1. 现在,您可以在 Amazon Managed Grafana 控制台中升级。按照 [管理对 Amazon Managed Grafana 企业插件的访问权限](AMG-workspace-manage-enterprise.md) 主题中的说明,使用在第一步中创建的 Grafana Labs 令牌。
**注意**
从您在 Amazon Managed Grafana 中取消许可证起,到升级以访问企业插件为止,您的工作区将无法访问企业数据来源。这通常需要大约 10-15 分钟,但也可能需要更长时间,取决于您执行这些步骤的速度。确保您已准备好 Grafana Labs 令牌,这将最大限度地缩短时间。
## 我有可以自动续订的 AWS Marketplace 许可证。它是否会继续续订?
可以。 AWS Marketplace 订阅已停用,您无法手动续订,但是如果您设置了自动续订,它将一直持续到您将其关闭。关闭之后,您可以按照前面回答中的说明,进行升级。
要获得新的[定价](https://aws.amazon.com/grafana/pricing),我们建议您升级到 Amazon Managed Grafana Enterprise 插件,而不是继续使用许可证。 AWS Marketplace
## 我有一个尚未与工作区关联的 AWS Marketplace 许可证,我可以使用吗?
是的,您可以关联该 AWS Marketplace 许可证并在其到期之前使用它。除非您开启了自动续订,否则将在 30 天后过期。有关详细信息,请参阅前面的问答。
# 在 Amazon Managed Grafana 工作区之间迁移内容
有时,您希望将内容(包括数据来源、控制面板、文件夹和警报规则)从一个工作区迁移到另一个工作区。例如,您要从本地 Grafana 实例迁移到 Amazon Managed Grafana 工作区,并且要将现有内容迁移到新的工作区。
Amazon Managed Grafana 不直接支持在工作区之间迁移内容,但是 AWS 提供了开源迁移实用程序,可以通过在工作区或 Grafana 实例中提供导出和导入功能,来处理这种情况。该实用程序名为 **Amazon Managed Grafana Migrator**。
有关更多信息,请参阅上的 [Amazon Managed Grafana](https://github.com/aws-observability/amazon-managed-grafana-migrator) Migrator。 GitHub
# 管理用户和组对 Amazon Managed Grafana 工作区的访问权限
您可以使用在身份提供者(IdP)或 AWS IAM Identity Center中设置的用户访问 Amazon Managed Grafana 工作区。您必须授予这些用户(或其所属的组)对工作区的权限。您可以授予其 `User`、`Editor` 或 `Admin` 权限。
## 向用户组授予权限
**先决条件**
+ 要授予用户或用户组访问 Amazon Managed Grafana 工作区的权限,必须先在身份提供者(IdP)或 AWS IAM Identity Center中预置该用户或组。有关更多信息,请参阅 [在 Amazon Managed Grafana 工作区中对用户进行身份验证](authentication-in-AMG.md)。
+ 要管理用户和群组访问权限,您必须以拥有 AWS Identity and Access Management (IAM) 策略 **AWSGrafanaWorkspacePermissionManagementV2** 或同等权限的用户身份登录。如果您使用 IAM Identity Center 管理用户,则还必须拥有**AWSSSOMemberAccountAdministrator**和 **AWSSSODirectoryReadOnly**IAM 策略或同等权限。有关更多信息,请参阅 [为用户分配和取消分配对 Amazon Managed Grafana 的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users)。
**要使用 Amazon Managed Grafana 控制台管理用户对 Grafana 工作区的访问权限**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在左侧导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择要管理的工作区的名称。
1. 选择**身份验证**选项卡。
1. 如果您在此工作区中使用 IAM Identity Center,请选择**配置用户和用户组**,然后执行以下一项或多项操作:
+ 要授予用户访问 Amazon Managed Grafana 工作区的权限,请选择用户旁边的复选框,然后选择**分配用户**。
+ 要使用户成为工作区的 `Admin`,请选择**设为管理员**。
+ 要移除用户的工作区访问权限,请选择**取消分配用户**。
+ 要添加用户组(如 LDAP 组),请选择**分配用户组**选项卡。然后,执行以下操作之一:
+ 要授予组中所有成员对 Amazon Managed Grafana 工作区的访问权限,请选择组旁边的复选框,然后选择**分配组**。
+ 要向组中所有成员授予工作区的 `Admin` 角色,请选择**设为管理员**。
+ 要移除组中所有成员的工作区访问权限,请选择**取消分配组**。
**注意**
如果您使用 IAM Identity Center 管理用户,请仅使用 IAM Identity Center 控制台预置新用户和组。使用亚马逊托管 Grafana 控制台,或者授予 APIs 或移除对您的 Grafana 工作空间的访问权限。
如果 IAM Identity Center 和 Amazon Managed Grafana 不同步,您将看到一个选项,用于**解决**任何冲突。有关更多信息,请参阅下面的 [配置用户和组时出现权限不匹配错误](#AMG-manage-users-and-groups-mismatch)。
1. 如果您在此工作区中使用 SAML,请选择 **SAML 配置**,并执行以下一项或多项操作:
+ 对于**导入方法**,执行以下操作之一:
+ 选择 **URL** 并输入 IdP 元数据的 URL。
+ 选择**上传或复制/粘贴**。如果您要上传元数据,请选择**选择文件**,然后选择元数据文件。或者,如果您使用复制和粘贴,请将元数据复制到**导入元数据**。
+ 对于**断言属性角色**,输入要从中提取角色信息的 SAML 断言属性名称。
+ 对于**管理员角色值**,输入 IdP 中的用户角色,这些角色都应被授予 Amazon Managed Grafana 工作区中的 `Admin` 角色,或者,选择**我希望选择不为工作区分配管理员**。
**注意**
如果您选择**我希望选择不为工作区分配管理员**,您将无法使用 Amazon Managed Grafana 控制台管理工作区(包括无法管理数据来源、用户和控制面板权限等任务)。您只能使用亚马逊托管 Grafana APIs 对工作空间进行管理更改。
+ (可选)要输入其他 SAML 设置,请选择**其他设置**,并执行以下一项或多项操作,然后选择**保存 SAML 配置**。所有这些字段均为可选字段。
+ 对于**断言属性名称**,指定 SAML 断言中用作 SAML 用户完整“友好”名称的属性名称。
+ 对于**断言属性登录**,指定 SAML 断言中用作 SAML 用户登录名称的属性名称。
+ 对于**断言属性电子邮件**,指定 SAML 断言中用作 SAML 用户电子邮件名称的属性名称。
+ 对于**登录有效期(分钟)**,指定 SAML 用户的登录有效期,在此时间之后,用户必须重新登录。
+ 对于**断言属性组织**,指定 SAML 断言中用作用户组织“友好”名称的属性名称。
+ 对于**断言属性组**,指定 SAML 断言中用作用户组“友好”名称的属性名称。
+ 对于**允许的组织**,您可以限制用户的访问权限,仅允许那些属于 IdP 中特定组织的成员访问。输入一个或多个要允许的组织,用逗号分隔。
+ 对于**编辑者角色值**,输入 IdP 中的用户角色,这些用户角色都将被授予 Amazon Managed Grafana 工作区的 `Editor` 角色。输入一个或多个角色,用逗号分隔。
1. 或者,要添加用户组(如 LDAP 组),请选择**用户组**选项卡。然后,执行以下操作之一:
+ 要授予组中所有成员对 Amazon Managed Grafana 工作区的访问权限,请选择组旁边的复选框,然后选择**分配组**。
+ 要向组中所有成员授予工作区的 `Admin` 角色,请选择**设为管理员**。
+ 要移除组中所有成员的工作区访问权限,请选择**取消分配组**。
## 配置用户和组时出现权限不匹配错误
在 Amazon Managed Grafana 控制台中配置用户和组时,您可能会遇到权限不匹配错误。这表明 Amazon Managed Grafana 和 IAM Identity Center 不同步。在这种情况下,Amazon Managed Grafana 会显示警告并提供**解决**不匹配的选项。如果选择**解决**,Amazon Managed Grafana 会显示一个对话框,其中包含权限不同步的用户列表。
已从 IAM Identity Center 中移除的用户在对话框中将显示为 `Unknown user`,并带有数字 ID。对于这些用户,修复不匹配的唯一方法是选择**解决**,并移除其权限。
对于仍在 IAM Identity Center 中的用户,如果不再属于之前拥有访问权限的组,会在**解决**列表中显示其用户名。可通过两种方式解决此问题。您可以使用**解决**对话框,移除或减少其访问权限,也可以按照上一节中的说明,向其授予访问权限。
## 有关权限不匹配的常见问题
**为什么我在 Amazon Managed Grafana 控制台的**配置用户和组**部分看到“权限不匹配”的错误信息?**
您看到此消息是因为在 IAM Identity Center 中的用户和组关联与 Amazon Managed Grafana 中的工作区权限之间发现了不匹配。您可以从 Amazon Managed Grafana 控制台(在**配置用户和组**选项卡中)或 IAM Identity Center 控制台(**应用程序分配**页面)为 Grafana 工作区添加或移除用户。****但是,Grafana 用户权限只能通过向用户或群组**分配**查看者、编辑或管理员权限从亚马逊托管 Grafana(使用亚马逊托管 Grafana 控制台 APIs或)进行定义。****用户可以属于具有不同权限的多个组,在这种情况下,将基于用户所属的所有组和权限中的最高访问权限级别,确定用户的权限。
以下情况可能导致记录不匹配:
+ 用户或组从 IAM Identity Center 中删除,但未在 Amazon Managed Grafana 中删除。这些记录在 Amazon Managed Grafana 控制台中显示为**未知用户**。
+ 用户或组与 Grafana 的关联在 IAM Identity Center(**应用程序分配**下)中删除,但未在 Amazon Managed Grafana 中删除。
+ 用户权限先前直接从 Grafana 工作区更新。Amazon Managed Grafana 中不支持从 Grafana 工作区更新。
为避免这些不匹配,请使用亚马逊托管 Grafana 控制台或亚马逊托管 G APIs rafana 来管理工作空间的用户和群组权限。
**我之前从 Grafana 工作区更新了一些团队成员的访问权限级别。现在,我看到其访问权限级别恢复到了旧的状态。为什么会出现这种情况,如何解决?**
造成这种情况的原因很可能是因为 IAM Identity Center 中的用户和组关联与您工作区的 Amazon Managed Grafana 权限记录不匹配。如果您的团队成员遇到访问权限级别不一致的情况,您或 Amazon Managed Grafana 管理员可能已经从 Amazon Managed Grafana 控制台解决了不匹配问题,并移除了不匹配的记录。您可以从 Amazon Managed Grafana 控制台重新分配所需的访问级别, APIs 也可以恢复所需的权限。
**注意**
Grafana 工作区不支持用户访问权限管理。使用亚马逊托管 Grafana 控制台 APIs 或分配用户或群组权限。
**为什么我发现我的访问权限级别发生了变化? 例如,我以前有管理员权限,但现在只有编辑者权限。**
您工作区的管理员可能更改了您的权限。如果 IAM Identity Center 中的用户和组关联与 Amazon Managed Grafana 中的权限不匹配,就可能发生这种不经意的操作。在这种情况下,解决不匹配问题可能会移除您较高的访问权限。您可以请求管理员从 Amazon Managed Grafana 控制台重新分配所需的访问权限级别。
# 管理数据来源和通知渠道的权限
您的 Amazon Managed Grafana 工作空间必须有权 AWS 访问指标的数据源和提醒的通知渠道。您可以使用亚马逊托管 Grafana 控制台让亚马逊托管 Grafana 自动为 AWS 要在亚马逊托管 Grafana 工作空间中使用的数据源和通知渠道 AWS Identity and Access Management 创建 (IAM) 策略和权限。
**要管理数据来源和通知渠道的权限与策略**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在左侧导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择要管理的工作区的名称。
1. 要在使用**服务托管**权限和**客户管理**权限之间切换,请选择 **IAM 角色**的编辑图标,然后进行选择。有关更多信息,请参阅 [亚马逊托管 Grafana 数据源的权限和政策 AWS](AMG-manage-permissions.md)。
如果您从**服务托管**权限更改为**客户管理**权限,Amazon Managed Grafana 为您创建的角色和策略不会从当前账户中删除。如果您对组织使用**服务托管**权限,组织内其他账户中的角色和策略将被删除。
1. 选择**数据来源**选项卡。
1. 如果您使用**服务托管**权限,可以选择 **IAM 权限访问设置**旁边的**编辑**,以更改**服务托管**权限是仅适用于当前账户,还是适用于整个组织。有关更多信息,请参阅 [亚马逊托管 Grafana 数据源的权限和政策 AWS](AMG-manage-permissions.md)。
在 “**数据源**” 下,选择要在此工作空间中查询 AWS 的数据源。选择数据来源可使 Amazon Managed Grafana 创建允许 Amazon Managed Grafana 从这些来源读取数据的 IAM 角色和权限。您仍必须在 Grafana 工作区控制台中添加数据来源。
要管理可用作通知渠道的 AWS 服务,请选择**通知渠道**。
选择要在此工作区中使用的 AWS 通知渠道。选择通知渠道后,Amazon Managed Grafana 就可以创建允许 Amazon Managed Grafana 使用这些服务的 IAM 角色和权限。您仍必须在 Grafana 工作区控制台中添加通知渠道。
**注意**
有关使用通知的更多信息,请参阅 [管理警报通知](v9-alerting-managenotifications.md)。
# 使用创建亚马逊托管 Grafana 资源 AWS CloudFormation
Amazon Managed Grafana AWS CloudFormation与一项服务集成,可帮助您对资源进行建模和设置 AWS ,从而减少创建和管理资源和基础设施所花费的时间。您可以创建一个描述所需的所有 AWS 资源(例如工作空间)的模板,并为您预 CloudFormation 置和配置这些资源。
使用时 CloudFormation,您可以重复使用您的模板来一致且重复地设置您的亚马逊托管 Grafana 资源。只需描述一次您的资源,然后在多个 AWS 账户 区域中一遍又一遍地配置相同的资源。
## 亚马逊托管 Grafana 和模板 CloudFormation
要为 Amazon Managed Grafana 和相关服务预置和配置资源,您必须了解 [CloudFormation 模板](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)。模板是 JSON 或 YAML 格式的文本文件。这些模板描述了您要在 CloudFormation 堆栈中配置的资源。如果你不熟悉 JSON 或 YAML,可以使用 D CloudFormation esigner 来帮助你开始使用 CloudFormation 模板。有关更多信息,请参阅[什么是 CloudFormation 设计器?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) 在《*AWS CloudFormation 用户指南》*中。
Amazon Managed Grafana 支持在 CloudFormation中创建工作区。有关详细信息,包括工作区的 JSON 和 YAML 模板示例,请参见《AWS CloudFormation 用户指南》**中的 [Amazon Managed Grafana 资源类型参考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-grafana-workspace.html)。
## 了解更多关于 CloudFormation
要了解更多信息 CloudFormation,请参阅以下资源:
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation 用户指南](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API 引用](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation 命令行界面用户指南](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)
# 配置对 Amazon Managed Grafana 工作区的网络访问权限
您可以控制用户和主机访问 Grafana 工作区的方式。
Grafana 要求所有用户都必须经过身份验证和授权。但是,默认情况下,Amazon Managed Grafana 工作区对所有网络流量开放。您可以为工作区配置网络访问控制,以控制允许哪些网络流量访问该工作区。
您可以通过两种方式控制访问工作区的流量。
+ **IP 地址**(前缀列表):您可以创建一个[托管前缀列表](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html),其中包含允许访问工作区的 IP 范围。Amazon Managed Grafana 仅支持用于网络访问控制的公共 IPv4 地址。
+ **VPC 端点**:您可以创建工作区的 VPC 端点列表,以允许它们访问特定工作区。
配置网络访问控制时,必须至少包含一个前缀列表或 VPC 端点。
Amazon Managed Grafana 会使用前缀列表和 VPC 端点来决定允许连接到 Grafana 工作区的请求。下图说明了这种过滤。
![\[图像展示 Amazon Managed Grafana 网络访问控制允许了某些请求,并阻止了其他尝试访问 Amazon Managed Grafana 工作区的请求。\]](http://docs.aws.amazon.com/zh_cn/grafana/latest/userguide/images/grafana-nac.png)
通过为 Amazon Managed Grafana 工作区配置网络访问控制(**1**),可以指定允许哪些请求访问工作区。网络访问控制可以通过 IP 地址(**2**)或使用的接口端点(**3**)允许或阻止流量。
以下部分介绍如何设置网络访问控制。
## 配置网络访问控制
您可以将网络访问控制添加到现有工作区,也可以在最初创建工作区时进行配置。
**先决条件**
要设置网络访问控制,您必须先为工作区创建一个接口 VPC 端点,或为要允许的 IP 地址创建至少一个 IP 前缀列表。您可以同时创建二者,也可以创建多个接口 VPC 端点或多个 IP 前缀列表。
+ **VPC 端点**:您可以创建可访问所有工作区的接口 VPC 端点。创建端点后,对于每个您希望允许的端点,您需要获取其 VPC 端点 ID。VPC 终端节点 IDs 的格式为`vpce-1a2b3c4d`。
有关为 Grafana 工作区创建 VPC 端点的信息,请参阅 [接口 VPC 端点](VPC-endpoints.md)。要专门为工作区创建 VPC 端点,请使用 `com.amazonaws.region.grafana-workspace` 端点名称。
对于允许访问工作区的 VPC 端点,您可以通过为这些端点配置安全组,进一步限制其访问权限。要了解更多信息,请参阅 *Amazon VPC 文档*中的[关联安全组](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups)和[安全组规则](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)。
+ **托管前缀列表**(用于 IP 地址范围):要允许 IP 地址,您必须在 Amazon VPC 中创建一个或多个前缀列表,其中包含要允许的 IP 范围列表。用于 Amazon Managed Grafana 时,前缀列表有一些限制:
+ 每个前缀列表最多可包含 100 个 IP 地址范围。
+ 私有 IP 地址范围(例如 `10.0.0.0/16`)将被忽略。您可以在前缀列表中包含私有 IP 地址范围,但 Amazon Managed Grafana 会在过滤工作区流量时忽略这些地址范围。要允许这些主机访问工作区,请为工作区创建一个 VPC 端点并授予它们访问权限。
+ Amazon Managed Grafana 仅 IPv4 支持前缀列表中的地址,不支持。 IPv6 IPv6 地址被忽略。
您可以通过 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/home?#ManagedPrefixLists)创建托管前缀列表。创建前缀列表后,对于每个您希望在 Amazon Managed Grafana 中允许的前缀列表,您需要获取其 ID。前缀列表 IDs 的格式为`pl-1a2b3c4d`。
有关创建前缀列表的更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》**中的[使用托管前缀列表对 CIDR 块进行分组](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)。
+ 您必须拥有配置或创建 Amazon Managed Grafana 工作区所需的权限。例如,您可以使用 AWS 托管策略`AWSGrafanaAccountAdministrator`。
获得要允许访问工作空间的前缀列表或 VPC 终端节点列表后,就可以创建网络访问控制配置了。 IDs
**注意**
如果您启用网络访问控制,但未在配置中添加前缀列表,则除了通过允许的 VPC 端点外,对工作区的访问将不被允许。
同样,如果您启用网络访问控制,但未在配置中添加 VPC 端点,则除了通过允许的 IP 地址外,对工作区的访问将不被允许。
您必须在网络访问控制配置中至少包含一个前缀列表或 VPC 端点,否则您将无法从任何地方访问您的工作区。
**要为工作区配置网络访问控制**
1. 打开 [Amazon Managed Grafana 控制台](https://console.aws.amazon.com/grafana/home/)。
1. 在左侧导航窗格中,选择**所有工作区**。
1. 选择要为其配置网络访问控制的工作区名称。
1. 在**网络访问控制**选项卡的**网络访问控制**下,选择**受限访问**,以配置网络访问控制。
**注意**
创建工作区时也可以访问这些选项。
1. 从下拉列表中选择是添加**前缀列表**还是 **VPC 端点**。
1. 选择要添加的 VPC 端点或前缀列表 ID(或者,也可以键入要使用的 ID)。必须选择至少一个。
1. 要添加更多端点或列表,请为每个要添加的端点或列表选择**添加新资源**。
**注意**
您最多可以添加 5 个前缀列表和 5 个 VPC 端点。
1. 选择**保存更改**,以完成设置。
**警告**
如果工作区中已有用户,请在配置中包含其 IP 范围或 VPC 端点,否则他们会因 `403 Forbidden` 错误而失去访问权限。建议在设置或修改网络访问控制配置后,对现有接入点进行测试。
# 静态加密
默认情况下,Amazon Managed Grafana 会自动为您提供静态加密,并 AWS 使用自有的加密密钥来执行此操作。
+ **AWS 自有密钥** — Amazon Managed Grafana 使用这些密钥自动加密您的工作空间数据。您无法查看、管理或使用 AWS 自有密钥,也无法审核其使用情况。但是,无需采取任何措施或更改任何计划即可保护用于加密数据的密钥。有关更多信息,请参阅《*AWS KMS 开发者指南》*中的[AWS自有密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。
静态数据加密有助于减少保护敏感客户数据(例如个人身份信息)所需的运维开销和复杂性。其支持构建符合严格加密合规性和监管要求的安全应用程序。
您也可以选择在创建工作区时使用客户托管密钥:
+ **客户托管密钥** — Amazon Managed Grafana 支持使用由您创建、拥有和管理的对称客户托管密钥来加密工作空间中的数据。由于您可以完全控制此加密,因此可以执行以下任务:
+ 制定和维护关键策略
+ 建立和维护 IAM 策略和授权
+ 启用和禁用密钥策略
+ 轮换加密材料
+ 添加 标签
+ 创建密钥别名
+ 安排密钥删除
有关更多信息,请参阅《*AWS KMS 开发人员指南》*中的[客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)和[什么是 AWS KMS?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
谨慎选择是使用客户托管密钥还是 AWS 自有密钥。使用客户托管密钥创建的工作区以后不能转换为使用 AWS 自有密钥(反之亦然)。
**注意**
Amazon Managed Grafana AWS 使用自有密钥自动启用静态加密,从而免费保护您的数据。
但是,使用客户管理的密钥需要 AWS KMS 付费。有关定价的更多信息,请参阅 [AWS KMS 定价](https://aws.amazon.com/kms/pricing/)。
**重要**
如果您在密钥策略中禁用客户托管密钥或移除 Amazon Managed Grafana 访问权限,则您的工作空间将无法访问。工作区将保持`ACTIVE`状态,但功能不可用。您有 7 天的时间通过重新启用密钥或恢复密钥策略来恢复访问权限。7 天后,工作空间将变为`FAILED`状态,只能删除。
计划在中 AWS KMS 删除密钥至少需要等待 7 天才能删除密钥。密钥一旦被删除,就无法恢复,任何使用该密钥加密的工作空间都将永久失去对其数据的访问权限。
客户托管密钥加密仅在创建新工作空间时可用。现有工作空间无法转换为使用客户托管密钥。
创建工作空间后,您无法修改其客户托管密钥。
## Amazon Managed Grafana 如何使用补助金 AWS KMS
亚马逊托管 Grafana 需要获得授权才能使用您的客户托管密钥。
当您创建使用客户托管密钥加密的亚马逊托管 Grafana 工作空间时,亚马逊托管 Grafana 会通过向发送请求来代表您创建授权。[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS中的授权 AWS KMS 用于让 Amazon Managed Grafana 访问您账户中的 KMS 密钥,即使不是直接以您的名义调用(例如,存储控制面板数据或用户配置时)。
Amazon Managed Grafana 需要获得授权才能使用您的客户托管密钥进行以下内部操作:
+ 向发送[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)请求 AWS KMS 以根据需要创建其他授权。
+ 向发送[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)请求, AWS KMS 以验证创建工作空间时给出的对称客户托管 KMS 密钥是否有效。
+ 在不同的加密环境之间移动时,向发送[ReEncryptTo 和 ReEncryptFrom](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)请求 AWS KMS 以重新加密数据。
+ 将 [E](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) ncrypt 请求发送 AWS KMS 到,直接使用您的客户托管密钥对数据进行加密。
+ 将 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 请求发送 AWS KMS 到以解密加密的数据密钥,以便它们可用于加密您的数据。
+ 向发送[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)请求 AWS KMS 以生成由您的客户托管密钥加密的数据密钥。
+ 向发送[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)请求 AWS KMS 以生成加密数据密钥,而无需返回纯文本版本。
+ 向发送取消 AWS KMS 不再需要的补助金的[RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)请求。
亚马逊托管 Grafana 为密钥创建授权,允许亚马逊托管 Grafana 代表您使用密钥。 AWS KMS 您可以通过更改密钥策略、禁用密钥或撤消授权来删除对密钥的访问权限。在执行这些操作之前,您应该了解这些操作的后果。这可能会导致工作区中的数据丢失。
如果您以任何方式取消对任何授权的访问权限,Amazon Managed Grafana 将无法访问由客户托管密钥加密的任何数据,也无法存储发送到工作空间的新数据,这会影响依赖该数据的操作。工作区的新更新将无法访问,并且可能会永久丢失。
**警告**
如果您禁用密钥或在密钥策略中移除 Amazon Managed Grafana 访问权限,则无法再访问工作空间数据。工作区将保持`ACTIVE`状态,但功能不可用。发送到工作区的新更新将无法访问,并且可能会永久丢失。您可以在 7 天内重新启用密钥或恢复 Amazon Managed Grafana 对密钥的访问权限,从而恢复对工作空间数据的访问权限并恢复接收新数据。7 天无法访问后,工作空间将变为`FAILED`状态。
如果您计划在中删除密钥 AWS KMS,则密钥将在强制的 7 天等待期之后被删除。删除后,密钥将无法恢复,工作空间数据将永久无法访问。
如果您*撤销* 授权,则无法重新创建该授权,并且工作区中的数据将永久丢失。
Amazon Managed Grafana 通过亚马逊 RDS 创建额外的儿童补助金,因为它依赖于 RDS 进行数据存储。撤销这些与 RDS 相关的授权将产生与撤销 Grafana 主授予相同的永久数据丢失效果。
## 步骤 1:创建客户托管式密钥
您可以使用管理控制台创建对称客户托管密钥,或者。 AWS AWS KMS APIs密钥必须与 Amazon Managed Grafana 工作空间位于同一区域,并且必须是具有密钥用法的对称密钥。`ENCRYPT_DECRYPT`
**创建对称的客户托管密钥**
+ 按照**《AWS KMS 开发人员指南》中[创建对称的客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)的步骤进行操作。
密钥策略控制对客户自主管理型密钥的访问。每个客户托管式密钥必须只有一个密钥策略,其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管式密钥时,可以指定密钥策略。有关更多信息,请参阅**《AWS KMS 开发人员指南》中的[管理对客户托管密钥的访问](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)。
要在亚马逊托管 Grafana 工作空间中使用您的客户托管密钥,密钥政策中必须允许以下 API 操作:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — 向客户托管密钥添加授权。授予对指定 KMS 密钥的控制访问权限,从而允许访问[授权 Amazon Managed Grafana 所需的操作](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations)。有关更多信息,请参阅 *AWS KMS 开发人员指南*中的[使用授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。这允许亚马逊 Managed Grafana 执行以下操作:
+ 调`GenerateDataKey`用生成加密的数据密钥并将其存储。
+ 调用 `Decrypt` 使用存储的加密数据密钥访问加密数据。
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — 提供客户托管密钥详细信息以允许 Amazon Managed Grafana 验证密钥。
以下是您可以为亚马逊托管 Grafana 添加的政策声明示例:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow IAM Users and Roles to validate KMS key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/root"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"grafana..amazonaws.com"
]
}
}
},
{
"Sid": "Allow IAM Users and Roles to create grant on KMS key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/root"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"grafana..amazonaws.com"
],
"kms:GrantConstraintType": "EncryptionContextSubset"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"CreateGrant",
"RetireGrant",
"Decrypt",
"Encrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
}
}
}
]
}
```
+ 有关在策略中指定权限的更多信息,请参阅[AWS 密钥管理服务开发人员指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。
+ 有关密钥访问疑难解答的更多信息,请参阅[AWS 密钥管理服务开发人员指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## 第 2 步:为亚马逊托管 Grafana 指定客户托管密钥
创建工作空间时,您可以通过输入 KMS 密钥 ARN 来指定客户托管密钥,Amazon Managed Grafana 使用该密钥来加密工作空间存储的数据。
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)。
1. 选择**创建工作区**。
1. 在 “**加密**” 部分中,选择**客户管理的密钥**。
1. 在 KMS 密钥 ARN 字段中输入您的客户托管密**钥的 ARN。**
1. 完成剩余的工作空间配置,然后选择**创建工作空间**。
在创建工作区时,您可以使用以下`--kms-key-id`参数指定客户托管密钥:
```
aws grafana create-workspace \
--workspace-name "my-encrypted-workspace" \
--workspace-description "Workspace with customer managed encryption" \
--account-access-type "CURRENT_ACCOUNT" \
--authentication-providers "AWS_SSO" \
--permission-type "SERVICE_MANAGED" \
--kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
```
## 监控您的亚马逊托管 Grafana 的加密密钥
当您在亚马逊托管 Grafana 工作空间中使用 AWS KMS 客户托管密钥时,您可以使用 AWS CloudTrail 或 Amazon Logs 来跟踪 CloudWatch 亚马逊托管 Grafana 向其发送的请求。 AWS KMS
以下示例是`CreateGrant`、`DescribeKey``GenerateDataKey`、和监控 Amazon Manage `Decrypt` d Grafana 为访问由您的客户托管密钥加密的数据而调用的 KMS 操作 AWS CloudTrail 的事件:
当您使用 AWS KMS 客户托管密钥加密您的工作空间时,Amazon Managed Grafana `CreateGrant` 会代表您发送访问您指定的 KMS 密钥的请求。Amazon Managed Grafana 创建的补助金特定于与客户托管密钥关联 AWS KMS 的资源。
以下示例事件记录了 `CreateGrant` 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
Amazon Managed Grafana 使用`DescribeKey`该操作来验证账户和 AWS KMS 区域中是否存在与您的工作空间关联的客户托管密钥。
以下示例事件记录了 `DescribeKey` 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
Amazon Managed Grafana 使用`GenerateDataKey`该操作生成用于加密工作空间数据的数据密钥。
以下示例事件记录了 `GenerateDataKey` 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
Amazon Managed Grafana 使用`Decrypt`该操作来解密加密的数据密钥,以便这些密钥可用于解密工作空间数据。
以下示例事件记录了 `Decrypt` 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
## 了解详情
以下资源提供有关静态数据加密的更多信息。
+ 有关 AWS KMS 基本概念的更多信息,请参阅《[AWS KMS 开发人员指南》](https://docs.aws.amazon.com/kms/latest/developerguide/)。
+ 有关安全最佳实践的更多信息 AWS KMS,请参阅《[AWS KMS 开发人员指南》](https://docs.aws.amazon.com/kms/latest/developerguide/)。
# 从 Amazon Managed Grafana 连接到 Amazon VPC 中的数据来源或通知渠道
默认情况下,从 Amazon Managed Grafana 工作区到数据来源或通知渠道的流量通过公共互联网流动。这限制了从 Amazon Managed Grafana 工作区连接到可公开访问的服务。
**注意**
如果您尚未配置私有 VPC,而 Amazon Managed Grafana 正在连接到可公开访问的数据源,则它会通过连接到同一 AWS 区域中的某些服务。 AWS PrivateLink这包括诸如 CloudWatch适用于 Prometheus 的亚马逊托管服务等服务,以及。 AWS X-Ray这些服务的流量不通过公共互联网流动。
如果您想连接到 VPC 中面向私人的数据来源,或将流量保持在 VPC 本地,您可以将 Amazon Managed Grafana 工作区连接到托管这些数据来源的Amazon Virtual Private Cloud(Amazon VPC)。配置 VPC 数据来源连接后,所有流量都会通过 VPC 流动。
*虚拟私有云* (VPC) 是专用于您的虚拟网络 AWS 账户。它在逻辑上与其他虚拟网络(包括其他 VPCs 和公共互联网)隔离。使用 Amazon VPC VPCs 在中创建和管理您的 AWS 云。Amazon VPC 可让您完全控制虚拟网络环境,包括资源放置、连接和安全。Amazon Managed Grafana 数据来源以及其他资源都可以在您的 VPC 中创建。有关更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》**中的 [Amazon VPC 是什么?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。
**注意**
如果您想让 Amazon Managed Grafana 工作区连接到 VPC 以外的其他网络或公共互联网中的数据,则必须向其他网络添加路由。有关如何将 VPC 连接到其他网络的信息,请参阅《Amazon Virtual Private Cloud 用户指南》**中的[将 VPC 连接到其他网络](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)。
## VPC 连接的工作原理
[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 可让您完全控制虚拟网络环境,包括创建面向公众和面向私人的*子网*供您的应用程序连接,以及创建*安全组*来管理哪些服务或资源可以访问子网。
要将 Amazon Managed Grafana 与 VPC 中的资源一起使用,您必须为 Amazon Managed Grafana 工作区创建与该 VPC 的连接。设置连接后,Amazon Managed Grafana 会将您的工作区连接到该 VPC 中每个可用区的每个子网,所有进出 Amazon Managed Grafana 工作区的流量都会流经该 VPC。下图展示了这种连接在逻辑上的表现方式。
![\[图像展示 Amazon Managed Grafana 跨多个可用区连接到 VPC。\]](http://docs.aws.amazon.com/zh_cn/grafana/latest/userguide/images/grafana-vpc-connection.png)
Amazon Managed Grafana 为每个子网创建一个连接(**1**)(使用[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)或 ENI),以连接到 VPC(**2**)。Amazon Managed Grafana VPC 连接与一组安全组(**3**)关联,这些安全组控制 VPC 与 Amazon Managed Grafana 工作区之间的流量。所有流量都通过配置的 VPC 路由,包括警报目的地和数据来源的连接。要连接到其他 VPCs 或公共 Internet (**4**) 中的数据源和警报目的地,请在另一个网络和您的 VPC 之间创建一个网[关](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**)。
## 创建与 VPC 的连接
本节介绍从现有的 Amazon Managed Grafana 工作区连接到 VPC 的步骤。您可以在创建工作区时遵循相同的说明。有关创建工作区的更多信息,请参阅 [创建 Amazon Managed Grafana 工作区](AMG-create-workspace.md)。
### 先决条件
从现有 Amazon Managed Grafana 工作区建立与 VPC 的连接的先决条件如下。
+ 您必须拥有配置或创建 Amazon Managed Grafana 工作区所需的权限。例如,您可以使用 AWS 托管策略`AWSGrafanaAccountAdministrator`。
+ 您必须在账户中设置 VPC,并至少配置两个可用区,每个可用区配置一个*私有子网*。您必须知道 VPC 的子网和安全组信息。
**注意**
不支持 [Local Zone](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html) 和 [Wavelength Zone](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)。
VPCs不支持使用`Tenancy`设置`Dedicated`为进行@@ [配置](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
**重要**
连接到您的 Amazon Managed Grafana 工作区的每个子网中必须至少有 15 个可用 IP 地址。强烈建议您在 VPC 子网中配置警报以[监控 IP 用量](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)。如果子网的可用 IP 地址数量低于 15 个,您可能会遇到以下问题:
在您释放其他 IP 地址或使用其他 IP 地址连接子网之前,无法对工作区进行配置更改
您的工作区将无法接收安全更新或补丁
在极少数情况下,您可能会遇到工作区可用性完全丧失的情况,从而导致警报无法运行,控制面板无法访问
+ 如果要连接已配置数据来源的现有 Amazon Managed Grafana 工作区,建议先将 VPC 配置为连接到这些数据来源,然后再将 Amazon Managed Grafana 连接到 VPC。这包括通过连接 CloudWatch 的服务 AWS PrivateLink。否则,将失去与这些数据来源的连接。
+ 如果您的 VPC 已经有多个网关连接到其他网络,您可能需要在多个网关之间设置 DNS 解析。有关详细信息,请参阅 [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。
### 从现有的 Amazon Managed Grafana 工作区连接到 VPC
以下过程介绍了如何将 Amazon VPC 数据来源连接添加至现有的 Amazon Managed Grafana 工作区。
**注意**
配置与 Amazon VPC 的连接时,会创建一个 IAM 角色。使用此角色,Amazon Managed Grafana 可以创建与 VPC 的连接。IAM 角色使用与服务关联的角色策略 `AmazonGrafanaServiceLinkedRolePolicy`。要详细了解与服务关联的角色,请参阅 [Amazon Managed Grafana 的服务相关角色权限](using-service-linked-roles.md#slr-permissions)。
**要从现有的 Amazon Managed Grafana 工作区连接到 VPC**
1. 打开 [Amazon Managed Grafana 控制台](https://console.aws.amazon.com/grafana/home/)。
1. 在左侧导航窗格中,选择**所有工作区**。
1. 选择要为其添加 VPC 数据来源连接的工作区名称。
1. 在**网络访问设置**选项卡的**出站 VPC 连接**旁边,选择**编辑**,以创建您的 VPC 连接。
1. 选择要连接的 **VPC**。
1. 在**映射**下,选择要使用的可用区。必须至少选择两个。
1. 在每个可用区中至少选择一个*私有子网*。子网必须支持 IPv4。
1. 为 VPC 选择至少一个**安全组**。您最多可指定 5 个安全组。或者,您也可以创建一个适用于此连接的安全组。
1. 选择**保存更改**,以完成设置。
现在,您已经设置好了 VPC 连接,可以向 Amazon Managed Grafana 工作区添加可从该 VPC 访问的 [连接到数据来源](AMG-data-sources.md)。
**更改出站 VPC 设置**
要更改设置,您可以返回工作区配置的**网络访问设置**选项卡,也可以使用 [UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html)API。
**重要**
Amazon Managed Grafana 会为您管理 VPC 配置。请勿使用 Amazon EC2 控制台编辑这些 VPC 设置 APIs,否则设置将不同步。
# 排查将 VPC 与 Amazon Managed Grafana 配合使用时的问题
将 Amazon Virtual Private Cloud(Amazon VPC)与 Amazon Managed Grafana 配合使用时的常见问题解答。
## 何时需要在 Amazon Managed Grafana 中配置 VPC?
如果您尝试连接到仅在私有 VPC(不对公众开放)中可用的数据来源,则需要在 Amazon Managed Grafana 中配置 VPC。
对于公开可用的数据来源,或具有面向公众端点的数据来源,您不需要配置 VPC。
如果您连接到亚马逊 CloudWatch、适用于 Prometheus 的亚马逊托管服务, AWS X-Ray或者,则无需配置 VPC。这些数据来源默认通过 AWS PrivateLink 连接到 Amazon Managed Grafana。
## 将 VPC 与我的 Amazon Managed Grafana 工作区配置在一起之后,为什么我现有的数据来源无法连接?
您现有的数据来源应该可以通过公共网络访问,而您的 Amazon VPC 配置不允许访问公共网络。在 Amazon Managed Grafana 工作区中配置 VPC 连接后,所有流量都必须流经该 VPC。这包括托管在该 VPC 中的私有数据来源、其他 VPC 中的数据来源、VPC 中不可用的 AWS 托管服务,以及面向互联网的数据来源。
要解决此问题,必须将其他数据来源连接到已配置的 VPC:
+ 对于面向互联网的数据来源,请将 VPC 连接到互联网。例如,您可以[使用 NAT 设备连接到互联网或其他网络](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)(详见《Amazon Virtual Private Cloud 用户指南》**)。
+ 对于其他数据源 VPCs,请在两 VPCs者之间创建对等关系。有关更多信息,请参阅[ VPCs 使用 VPC 对等连接进行连接](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)(来自*亚马逊虚拟私有云用户指南*)。
+ 对于在您的 VPC 中无法访问的 AWS 托管服务 CloudWatch,例如 X-Ray 或适用于 Prometheus 的亚马逊托管服务,您可能需要在 VPC 中为该服务创建接口 VPC 终端节点。有关更多信息,请参阅*AWS PrivateLink 指南*中的[使用接口 VPC 终端节点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
## 我能否使用具有专用租赁的 VPC?
不支持,不支持将 `Tenancy` `Dedicated` “设置为” 进行[VPCs 配置](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
## 我能否将 AWS 托管服务(例如适用于 Promet CloudWatch heus 的亚马逊托管服务或 X-Ray)和私有数据源(包括 Amazon Redshift)连接到同一个亚马逊托管 Grafana 工作空间?
可以。您必须配置与私有数据源位于同一 VPC 中的 Managed Services 的连接(例如,使用[接口 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)或 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)),并将您的 Amazon Managed Grafana 工作空间配置为连接到同一 VPC。 AWS
## 在 Amazon Managed Grafana 工作区中配置 VPC 后,当我尝试连接到数据来源时,为什么会出现 `502 Bad Gateway Error`?
以下是数据来源连接返回 `502` 错误的三个最常见原因。
+ **安全组错误**:在 Amazon Managed Grafana 中配置 VPC 时选择的安全组必须通过入站和出站规则允许与数据来源的连接。
要解决此问题,请确保数据来源安全组和 Amazon Managed Grafana 安全组中的规则都允许此连接。
+ **用户权限错误**:分配的工作区用户没有查询数据来源的正确权限。
要解决此问题,请确认用户是否拥有编辑工作区所需的 IAM 权限,以及从托管服务访问和查询数据的正确数据来源策略。权限可在 AWS Identity and Access Management (IAM) 控制台中获得,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
+ **提供的连接详细信息不正确**:由于提供的连接详细信息不正确,Amazon Managed Grafana 工作区无法连接到您的数据来源。
要解决此问题,请确认数据来源连接中的信息(包括数据来源身份验证和端点 URL),然后重试连接。
## 我能否 VPCs 从同一个亚马逊托管 Grafana 工作空间连接到多个工作空间?
您只能为一个 Amazon Managed Grafana 工作区配置一个 VPC。要访问不同 VPC 中的数据来源,或跨区域访问数据来源,请参阅下一个问题。
## 如何连接不同 VPC 中的数据来源? 如何从位于不同 AWS 区域 或的 VPC 连接到数据源 AWS 账户?
您可以使用 [VPC 对](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)等互连或[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)连接跨区域或跨账户 VPCs,然后连接与您的 Amazon Managed Grafana 工作空间位于相同 AWS 账户 和区域的 VPC。Amazon Managed Grafana 会像 VPC 内的任何其他连接一样,连接到外部数据来源。
**注意**
如果您无法选择 VPC 对等连接,请与您的客户经理分享您的用例,或者发送电子邮件至 [aws-grafana-feedback@amazon .com](mailto:aws-grafana-feedback@amazon.com)。
## 当我的 Amazon Managed Grafana 工作区连接到 VPC 时,我是否仍能连接到其他公共数据来源?
可以。您可以同时将 VPC 的数据来源和公共数据来源连接到单个 Amazon Managed Grafana 工作区。对于公共数据来源,您必须通过 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)或其他 [VPC 连接](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)配置 VPC 连接。对公共数据来源的请求会穿过您的 VPC,为您提供对这些请求的额外可见性和控制力。
## 如果我因为 IP 地址不足而无法更新 Amazon Managed Grafana 工作区,该怎么办?
在修改 Amazon Managed Grafana 工作区配置时,您可能会遇到以下错误:VPC 配置中的所有子网都必须至少有 15 个可用 IP 地址。
如果连接到您的工作区的一个或多个子网不符合最低 IP 要求,则会收到此错误。与您的工作区相连的每个子网中必须至少有 15 个可用 IP 地址。当子网的可用 IP 地址数量低于 15 时,您可能会遇到以下问题:
+ 在您释放其他 IP 地址或使用其他 IP 地址连接子网之前,无法对工作区进行配置更改
+ 您的工作区将无法接收安全更新或补丁
+ 在极少数情况下,您可能会遇到工作区可用性完全丧失的情况,从而导致警报无法运行,控制面板无法访问
**减轻 IP 耗尽的风险**
1. 如果子网的可用 IP 地址少于 15 个,请释放与实例关联的 IP 地址或删除未使用的网络接口以释放 IP 容量。
1. 如果您无法释放现有子网中的 IP 地址,则必须将该子网替换为至少有 15 个可用 IP 地址的子网。我们建议为 Amazon Managed Grafana 使用专用子网。
**替换子网**
1. 打开 [Amazon Managed Grafana 控制台](https://console.aws.amazon.com/grafana)。
1. 在左侧导航窗格中,选择**所有工作区**,然后选择工作区的名称。
1. 在**网络访问控制**选项卡的**出站 VPC 连接**旁边,选择**编辑**。
1. 在**映射**下,选择包含 IP 地址不足的子网的可用区。
1. 在下拉列表中,取消选择 IP 地址不足的子网,然后选择一个至少有 15 个可用 IP 地址的子网。如有必要,在您的 VPC 中创建新子网。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。
1. 选择**保存更改**,以完成设置。
## 在配置 VPC 连接之前,我的 Grafana 警报已成功发送到下游服务,例如 PagerDuty 和 Slack。配置 VPC 后,为什么我的 Grafana 警报没有发送到这些通知目的地?
为 Amazon Managed Grafana 工作区配置 VPC 连接后,工作区中发往数据来源的所有流量都会流经配置的 VPC。确保 VPC 有到达这些警报通知服务的路由。例如,由第三方托管的警报通知目的地可能需要连接到互联网。与数据来源一样,配置互联网或 AWS Transit Gateway,或其他与外部目的地的 VPC 连接。
## 我可以手动编辑我的 VPC 吗? 为什么修改我的安全组或子网会导致我的 Amazon Managed Grafana 工作区变得不可用?
Amazon Managed Grafana VPC 连接使用安全组和子网来控制 VPC 和您的 Amazon Managed Grafana 工作区之间被允许的流量。当从 Amazon Managed Grafana 控制台外部(如使用 VPC 控制台)修改或删除安全组或子网时,Amazon Managed Grafana 工作区中的 VPC 连接将停止保护您的工作区安全,工作区将变得不可访问。要解决此问题,请更新 Amazon Managed Grafana 控制台中为 Amazon Managed Grafana 工作区配置的安全组。查看工作区时,在**网络访问控制**选项卡上选择**出站 VPC 连接**,以修改与 VPC 连接关联的子网或安全组。
# 配置 Amazon Managed Grafana 工作区
Amazon Managed Grafana 配置可分为 Amazon Managed Grafana 身份验证和权限配置,以及 Grafana 工作区配置。本节包含有关 Grafana 工作区配置的信息。
有关配置 Amazon Managed Grafana 身份验证和权限的更多信息,请参阅以下主题。
+ [在 Amazon Managed Grafana 工作区中对用户进行身份验证](authentication-in-AMG.md)
+ [管理用户和组对 Amazon Managed Grafana 工作区的访问权限](AMG-manage-users-and-groups-AMG.md)
+ [用户、团队和权限](Grafana-administration-authorization.md)
在查看工作区属性时,您可以在 Amazon Managed Grafana 的**工作区配置选项卡**上修改 Grafana 工作区的配置。
更改 Grafana 实例的配置可能会导致实例重新启动,从而重新加载新设置。配置更改后,用户可能需要刷新所有显示 Grafana 工作区的浏览器页面。
**注意**
首次创建工作区时,您也可以使用相同的选项。
**使用 Amazon Managed Grafana 控制台更改 Grafana 工作区的配置**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在左侧导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择要配置的工作区名称。这将打开该工作区的详细信息。
1. 选择**工作区配置选项**选项卡,查看实例的实例配置选项。
1. 选择 **Grafana Alerting** 或**插件管理**旁边的**编辑**。
+ **Grafana Alerting**
您可以启用 [Grafana Alerting](v10-alerts.md)。要在 Grafana 工作区中查看 Prometheus 警报,请选择**开启 Grafana Alerting** 复选框。在运行版本 8 或 9 的工作区中,这将为 Grafana 警报发送多个通知。如果使用在 Grafana 中定义的警报,我们建议将工作区更新到 10.4 或更高版本。
如果想改为使用经典 Grafana 警报,请*清除***开启 Grafana Alerting** 旁边的复选框。这将开启[经典控制面板警报](old-alerts-overview.md)。即使不开启 Grafana Alerting,也会评估现有的 Grafana 警报。
**注意**
经典控制面板警报将在版本 11 中移除。在 Grafana 版本 10 的工作区中,您可以预览 Grafana Alerting 功能。有关更多信息,请参阅 [将经典控制面板警报迁移到 Grafana Alerting](v10-alerting-use-grafana-alerts.md)。
+ **插件管理**
要启用插件管理,请选中**开启插件管理**复选框。开启插件管理允许 Amazon Managed Grafana 工作区的管理员使用 Grafana 插件目录安装、更新或移除[插件](grafana-plugins.md)。此选项仅适用于支持 Grafana 版本 9 或更新版本的工作区。
**注意**
如果您*关闭* Grafana Alerting,则会丢失开启 Grafana Alerting 时对警报配置所做的所有更改。这包括您创建的所有新警报规则。
有关使用 Grafana Alerting 的更多信息,以及开启或关闭警报的效果,请参阅 [Grafana 10 版本中的警报](v10-alerts.md)。
下一节将介绍如何使用 Amazon Managed Grafana API 或 AWS CLI更改 Grafana 实例配置。
## 使用 API 设置配置或 AWS CLI
您可以使用 Amazon Managed Grafana API 或 AWS CLI设置 Grafana 工作区配置。
**注意**
`configuration` 是一个 JSON 字符串,允许以后添加配置设置。
------
#### [ AWS CLI ]
**要更新亚马逊托管 Grafana 实例配置,请使用 AWS CLI**
运行以下命令开启实例的 Grafana Alerting 和插件管理功能。将**和**字符串替换为适合您的实例的值。
```
aws grafana update-workspace-configuration \
--region region \
--workspace-id \
--configuration '{"plugins": {"pluginAdminEnabled": true}, "unifiedAlerting": {"enabled": true}}'
```
该配置目前支持以下选项。这些选项可开启或关闭 Grafana Alerting 或插件管理。
+ 要启用 Grafana Alerting,请使用此配置选项:
```
--configuration '{"unifiedAlerting": { "enabled": true }}'
```
+ 要启用插件管理,请使用此配置选项:
```
--configuration '{"plugins": {"pluginAdminEnabled": true }}'
```
此选项仅在支持 Grafana 版本 9 或更新版本的工作区中提供。
------
#### [ Amazon Managed Grafana API ]
**要使用 API 更新 Amazon Managed Grafana 实例配置**
使用以下操作开启实例的 Grafana Alerting 和插件管理功能。将该**字符串替换为适合您的实例的值。
```
PUT /workspaces//configuration HTTP/1.1
Content-type: application/json
{
"configuration": "{ \"unifiedAlerting\": { \"enabled\": true }, \"plugins\": { \"pluginAdminEnabled\": true }}"
}
```
该配置目前支持以下选项。这些选项可开启或关闭 Grafana Alerting 或插件管理。
+ 要启用 Grafana Alerting,请使用此配置选项:
```
"configuration": "{\"unifiedAlerting\": { \"enabled\": true }}"
```
+ 要启用插件管理,请使用此选项:
```
"plugins": "{\"pluginAdminEnabled\": true }"
```
此选项仅在支持 Grafana 版本 9 或更新版本的工作区中提供。
------
# 删除 Amazon Managed Grafana 工作区
如果您删除 Amazon Managed Grafana 工作区,该工作区的所有配置数据也将被删除。这包括控制面板、数据来源配置、警报和快照。
**要删除 Amazon Managed Grafana 工作区**
1. 打开 Amazon Managed Grafana 控制台,其位于 [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)。
1. 在左侧导航窗格中,选择菜单图标。
1. 选择**所有工作区**。
1. 选择要删除的工作区的名称。
1. 选择**删除**。
1. 要确认删除,请输入工作区的名称并选择**删除**。
**注意**
此过程将删除工作区。其他资源可能不会删除。例如,该工作区使用的 IAM 角色不会删除(但如果不再使用,可能会被解锁)。