本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理 Amazon Managed Grafana 工作區的使用者和群組存取權
<a name="AMG-manage-users-and-groups-AMG"></a>

您可以使用身分提供者 (IdP) 或 中設定的使用者來存取 Amazon Managed Grafana 工作區 AWS IAM Identity Center。您必須將這些使用者 （或其所屬的群組） 許可授予工作區。您可以為他們提供 `User`、 `Editor`或 `Admin`許可。

## 將許可授予使用者或群組
<a name="AMG-manage-users-and-groups-proc"></a>

**先決條件**
+ 若要授予使用者或使用者群組對 Amazon Managed Grafana 工作區的存取權，必須先在身分提供者 (IdP) 或 中佈建使用者或群組 AWS IAM Identity Center。如需詳細資訊，請參閱[驗證 Amazon Managed Grafana 工作區中的使用者](authentication-in-AMG.md)。
+ 若要管理使用者和群組存取，您必須以具有 AWS Identity and Access Management (IAM) 政策 **AWSGrafanaWorkspacePermissionManagementV2** 或同等許可的使用者身分登入。如果您使用 IAM Identity Center 管理使用者，您還必須擁有 **AWSSSOMemberAccountAdministrator** 和 **AWSSSODirectoryReadOnly** IAM 政策或同等許可。如需詳細資訊，請參閱[指派和取消指派使用者對 Amazon Managed Grafana 的存取權](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-assign-users)。

**使用 Amazon Managed Grafana 主控台管理 Grafana 工作區的使用者存取權**

1. 開啟位於 https：//[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。

1. 在左側導覽窗格中，選擇功能表圖示。

1. 選擇**所有工作區**。

1. 選擇您要管理的工作區名稱。

1. 選擇**身分驗證**索引標籤。

1. 如果您在此工作區中使用 IAM Identity Center，請選擇**設定使用者和使用者群組**，然後執行下列一或多個動作：
   + 若要讓使用者存取 Amazon Managed Grafana 工作區，請選取使用者旁邊的核取方塊，然後選擇**指派使用者**。
   + 若要讓使用者成為工作區`Admin`的 ，請選擇**建立管理員**。
   + 若要移除使用者的工作區存取權，請選擇**取消指派使用者**。
   + 若要新增使用者群組，例如 LDAP 群組，請選擇**指派的使用者群組**索引標籤。然後執行下列其中一項：
     + 若要讓群組的所有成員存取 Amazon Managed Grafana 工作區，請選取群組旁的核取方塊，然後選擇**指派群組**。
     + 若要為群組的所有成員提供工作區中`Admin`的角色，請選擇**建立管理員**。
     + 若要移除群組所有成員的工作區存取權，請選擇**取消指派群組**。
**注意**  
如果您使用 IAM Identity Center 來管理使用者，請僅使用 IAM Identity Center 主控台來佈建新的使用者和群組。使用 Amazon Managed Grafana 主控台或 APIs 來授予或移除對 Grafana 工作區的存取權。  
如果 IAM Identity Center 和 Amazon Managed Grafana 不同步，您會收到**解決**任何衝突的選項。如需詳細資訊，請參閱[設定使用者和群組時發生許可不相符錯誤](#AMG-manage-users-and-groups-mismatch)下方的 。

1. 如果您在此工作區中使用 SAML，請選擇 **SAML 組態**並執行下列一或多個動作：
   + 對於**匯入方法**，執行下列其中一項操作：
     + 選擇 **URL** 並輸入 IdP 中繼資料的 URL。
     + 選擇**上傳或複製/貼上**。如果您要上傳中繼資料，請選擇**選擇檔案**，然後選取中繼資料檔案。或者，如果您使用複製並貼上，請將中繼資料複製到**匯入中繼資料**。
   + 針對 **Assertion 屬性角色**，輸入要從中擷取角色資訊的 SAML 聲明屬性名稱。
   + 對於**管理員角色值**，輸入 IdP 中的使用者角色，該使用者角色應該全部在 Amazon Managed Grafana 工作區中授予該`Admin`角色，或選擇**不將管理員指派給我的工作區。**
**注意**  
如果您選擇**不將管理員指派給我的工作區。**您將無法使用 Amazon Managed Grafana 主控台來管理工作區，包括管理資料來源、使用者和儀表板許可等任務。您只能使用 Amazon Managed Grafana APIs 對工作區進行管理變更。
   + （選用） 若要輸入其他 SAML 設定，請選擇**其他設定**並執行下列一或多個動作，然後選擇**儲存 SAML 組態**。所有這些欄位都是選用的。
     + 對於 **Assertion 屬性名稱**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者完整「易記」名稱。
     + 對於 **Assertion 屬性登入**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者登入名稱。
     + 對於 **Assertion 屬性電子郵件**，請在 SAML 聲明中指定屬性的名稱，以用於 SAML 使用者的使用者電子郵件名稱。
     + 針對**登入有效期間 （以分鐘為單位）**，指定 SAML 使用者的登入有效期間，使用者必須再次登入。
     + 對於 **Assertion 屬性組織**，請在 SAML 聲明中指定屬性的名稱，以用於使用者組織的「易記」名稱。
     + 對於 **Assertion 屬性群組**，請在 SAML 聲明中指定屬性的名稱，以用於使用者群組的「易記」名稱。
     + 對於**允許的組織**，您只能將使用者存取權限制為 IdP 中特定組織的成員。輸入一或多個要允許的組織，以逗號分隔。
     + 在**編輯器角色值**中，輸入 IdP 中的使用者角色，這些使用者角色都應該在 Amazon Managed Grafana 工作區中授予該`Editor`角色。輸入一或多個角色，以逗號分隔。

1. 或者，若要新增 LDAP 群組等使用者群組，請選擇**使用者群組**索引標籤。然後執行下列其中一項：
   + 若要讓群組的所有成員存取 Amazon Managed Grafana 工作區，請選取群組旁的核取方塊，然後選擇**指派群組**。
   + 若要為群組的所有成員提供工作區中`Admin`的角色，請選擇**建立管理員**。
   + 若要移除群組所有成員的工作區存取權，請選擇**取消指派群組**。

## 設定使用者和群組時發生許可不相符錯誤
<a name="AMG-manage-users-and-groups-mismatch"></a>

在 Amazon Managed Grafana 主控台中設定使用者和群組時，您可能會遇到不相符錯誤。這表示 Amazon Managed Grafana 和 IAM Identity Center 不同步。在此情況下，Amazon Managed Grafana 會顯示警告，並選擇**解決**不相符的問題。如果您選擇**解析**，Amazon Managed Grafana 會顯示一個對話方塊，其中包含具有不同步許可的使用者清單。

從 IAM Identity Center 移除的使用者會顯示為 `Unknown user`，並在對話方塊中顯示數字 ID。對於這些使用者，修正不相符的唯一方法是選擇**解析**，並移除其許可。

仍在 IAM Identity Center 中，但不再屬於具有先前擁有存取權的群組的使用者，會在**解析**清單中顯示其使用者名稱。有兩種方法可以修正此問題。您可以使用**解析**對話方塊來移除或減少其存取權，或者您可以依照上一節中的指示授予他們存取權。

## 關於許可不相符的常見問題
<a name="AMG-manage-users-and-groups-mismatch-faq"></a>

**為什麼我在 Amazon Managed Grafana 主控台**的設定使用者和群組**區段中看到錯誤陳述許可不相符？**  
您看到此訊息是因為在 IAM Identity Center 中的使用者和群組關聯中發現不相符，以及在 Amazon Managed Grafana 中針對工作區的許可。您可以從 Amazon Managed Grafana 主控台 （在**設定使用者和群組**索引標籤中） 或從 IAM Identity Center 主控台 (**應用程式指派**頁面） 將使用者新增至或移除 Grafana 工作區。不過，只能透過將**檢視器**、**編輯器**或**管理員**許可指派給使用者或群組，從 Amazon Managed Grafana （使用 Amazon Managed Grafana 主控台或 APIs) 定義 Grafana 使用者許可。使用者可以屬於具有不同許可的多個群組，在這種情況下，他們的許可是以使用者所屬所有群組和許可的最高存取層級為基礎。

不相符的記錄可能來自：
+ 使用者或群組會從 IAM Identity Center 刪除，但不會在 Amazon Managed Grafana 中刪除。這些記錄在 Amazon Managed Grafana 主控台中顯示為**未知使用者**。
+ 使用者或群組與 Grafana 的關聯會在 IAM Identity Center （在**應用程式指派**下） 中刪除，但在 Amazon Managed Grafana 中不會刪除。
+ 使用者許可先前已直接從 Grafana 工作區更新。Amazon Managed Grafana 不支援來自 Grafana 工作區的更新。

若要避免這些不相符，請使用 Amazon Managed Grafana 主控台或 Amazon Managed Grafana APIs 來管理工作區的使用者和群組許可。

**我先前已從 Grafana 工作區更新部分團隊成員的存取層級。現在，我看到其存取層級還原至較舊的存取層級。為什麼我看到此情況，以及如何解決此問題？**  
這很可能是因為 IAM Identity Center 中的使用者和群組關聯與 Amazon Managed Grafana 記錄工作區的許可不相符。如果您的團隊成員遇到不同的存取層級，您或 Amazon Managed Grafana 的管理員可能已從 Amazon Managed Grafana 主控台解決不相符的問題，移除不相符的記錄。您可以從 Amazon Managed Grafana 主控台或 APIs 重新指派所需的存取層級，以還原所需的許可。

**注意**  
Grafana 工作區不支援使用者存取管理。使用 Amazon Managed Grafana 主控台或 APIs來指派使用者或群組許可。

**為什麼要注意存取層級的變更？ 例如，我之前有管理員存取權，但現在只有編輯器許可。**  
工作區的管理員可能已變更您的許可。如果 IAM Identity Center 中的使用者和群組關聯與 Amazon Managed Grafana 中的許可不相符，則可能會不小心發生這種情況。在此情況下，解決不符可能已移除您較高的存取許可。您可以從 Amazon Managed Grafana 主控台請求管理員重新指派所需的存取層級。