本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Managed Grafana 的身分型政策範例
<a name="security_iam_id-based-policy-examples"></a>

根據預設，使用者和角色沒有建立或修改 Amazon Managed Grafana 資源的許可。若要授予使用者對其所需資源執行動作的許可，IAM 管理員可以建立 IAM 政策。

如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策，請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。

如需 Amazon Managed Grafana 定義的動作和資源類型的詳細資訊，包括每種資源類型的 ARNs 格式，請參閱*《服務授權參考*》中的 [Amazon Managed Grafana 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html)。

**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [使用 Amazon Managed Grafana 主控台](#security_iam_id-based-policy-examples-console)
+ [Amazon Managed Grafana 的範例政策](#security_iam_AMG-id-based-policy-examples)

## 政策最佳實務
<a name="security_iam_service-with-iam-policy-best-practices"></a>

身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Amazon Managed Grafana 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時，請遵循下列準則及建議事項：
+ **開始使用 AWS 受管政策並轉向最低權限許可** – 若要開始將許可授予您的使用者和工作負載，請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策，以進一步減少許可。如需更多資訊，請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時，請僅授予執行任務所需的許可。為實現此目的，您可以定義在特定條件下可以對特定資源採取的動作，這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊，請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策，以限制動作和資源的存取。例如，您可以撰寫政策條件，指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務，您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素：條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策，確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策，確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議，可協助您撰寫安全且實用的政策。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶，請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA，請將 MFA 條件新增至您的政策。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。

如需 IAM 中最佳實務的相關資訊，請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。

## 使用 Amazon Managed Grafana 主控台
<a name="security_iam_id-based-policy-examples-console"></a>

若要存取 主控台，您必須擁有最低的一組許可。這些許可必須允許您列出和檢視 中資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策，則對於具有該政策的實體 (使用者或角色) 而言，主控台就無法如預期運作。

## Amazon Managed Grafana 的範例政策
<a name="security_iam_AMG-id-based-policy-examples"></a>

本節包含適用於多種 Amazon Managed Grafana 案例的身分型政策。

### 使用 SAML 的 Grafana 管理員
<a name="security_iam_id-based-policy-examples-SAML"></a>

如果您使用 SAML 進行使用者身分驗證，則建立和管理 Amazon Managed Grafana 的管理員需要下列政策：
+ **AWSGrafanaAccountAdministrator** 或同等許可，以建立和管理 Amazon Managed Grafana 工作區。
+ 如果您想要將 Amazon Managed Grafana 工作區升級至 Grafana Enterprise，則 **AWSMarketplaceManageSubscriptions** 政策或同等許可。

#### 使用 IAM Identity Center 管理帳戶中的 Grafana 管理員
<a name="security_iam_id-based-policy-examples-admin-org"></a>

若要授予在整個組織中建立和管理 Amazon Managed Grafana 工作區的許可，以及啟用相依性，例如 IAM Identity Center，請將 **AWSGrafanaAccountAdministrator**、**AWSSSOMasterAccountAdministrator** 和 **AWSSSODirectoryAdministrator** 政策指派給使用者。此外，若要將 Amazon Managed Grafana 工作區升級至 Grafana Enterprise，使用者必須擁有 **AWSMarketplaceManageSubscriptions** IAM 政策或同等許可。

如果您想要在建立 Amazon Managed Grafana 工作區時使用服務受管許可，則建立工作區的使用者也必須具有 `iam:CreateRole`、 `iam:CreatePolicy`和 `iam:AttachRolePolicy`許可。這些是使用 CloudFormation StackSets 部署政策的必要條件，可讓您讀取組織帳戶中的資料來源。

**重要**  
將 `iam:CreateRole`、`iam:CreatePolicy` 和 `iam:AttachRolePolicy` 許可授與使用者，可給予該使用者對您 AWS 帳戶的完整管理存取權。例如，擁有這些許可的使用者，可以建立具有所有資源完整許可的政策，並將該政策連接至任何角色。對於您授與這些許可的對象，請務必謹慎。

若要查看授予 **AWSGrafanaAccountAdministrator** 的許可，請參閱 [AWS 受管政策：AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

#### 使用 IAM Identity Center 的成員帳戶中的 Grafana 管理員
<a name="security_iam_id-based-policy-examples-admin-member"></a>

若要授予在組織成員帳戶中建立和管理 Amazon Managed Grafana 工作區的許可，請將 **AWSGrafanaAccountAdministrator**、**AWSSSOMemberAccountAdministrator** 和 **AWSSSODirectoryAdministrator** 政策指派給使用者。此外，若要將 Amazon Managed Grafana 工作區升級至 Grafana Enterprise，使用者必須擁有 **AWSMarketplaceManageSubscriptions** IAM 政策或同等許可。

如果您想要在建立 Amazon Managed Grafana 工作區時使用服務受管許可，則建立工作區的使用者也必須具有 `iam:CreateRole`、 `iam:CreatePolicy`和 `iam:AttachRolePolicy`許可。需要這些才能讓使用者讀取帳戶中的資料來源。

**重要**  
將 `iam:CreateRole`、`iam:CreatePolicy` 和 `iam:AttachRolePolicy` 許可授與使用者，可給予該使用者對您 AWS 帳戶的完整管理存取權。例如，擁有這些許可的使用者，可以建立具有所有資源完整許可的政策，並將該政策連接至任何角色。對於您授與這些許可的對象，請務必謹慎。

若要查看授予 **AWSGrafanaAccountAdministrator** 的許可，請參閱 [AWS 受管政策：AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

#### 使用 IAM Identity Center 在單一獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者
<a name="security_iam_id-based-policy-examples-create-workspace-standalone"></a>

獨立 AWS 帳戶是尚未成為組織成員的帳戶。如需組織的詳細資訊，請參閱[什麼是 AWS Organizations？](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 

若要授予在獨立帳戶中建立和管理 Amazon Managed Grafana 工作區和使用者的許可，請將 **AWSGrafanaAccountAdministrator**、**AWSSSOMasterAccountAdministrator**、**AWSOrganizationsFullAccess** 和 **AWSSSODirectoryAdministrator** 政策指派給使用者。此外，若要將 Amazon Managed Grafana 工作區升級至 Grafana Enterprise，使用者必須擁有 **AWSMarketplaceManageSubscriptions** IAM 政策或同等許可。

**重要**  
將 `iam:CreateRole`、`iam:CreatePolicy` 和 `iam:AttachRolePolicy` 許可授與使用者，可給予該使用者對您 AWS 帳戶的完整管理存取權。例如，擁有這些許可的使用者，可以建立具有所有資源完整許可的政策，並將該政策連接至任何角色。對於您授與這些許可的對象，請務必謹慎。

若要查看授予 **AWSGrafanaAccountAdministrator** 的許可，請參閱 [AWS 受管政策：AWSGrafanaAccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

#### 指派和取消指派使用者對 Amazon Managed Grafana 的存取權
<a name="security_iam_id-based-policy-examples-assign-users"></a>

若要授予許可來管理其他使用者對帳戶中 Amazon Managed Grafana 工作區的存取權，包括將 Grafana 管理員許可授予那些使用者，請將 **AWSGrafanaWorkspacePermissionManagementV2** 政策指派給該使用者。如果您使用 IAM Identity Center 來管理此工作區中的使用者，使用者也需要 **AWSSSOReadOnly** 和 **AWSSSODirectoryReadOnly** 政策。

若要查看授予 **AWSGrafanaWorkspacePermissionManagementV2** 的許可，請參閱 [AWS 受管政策：AWSGrafanaWorkspacePermissionManagementV2](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2)

#### Amazon Managed Grafana 唯讀許可
<a name="security_iam_id-based-policy-examples-Grafana-readonly"></a>

若要授予讀取動作的許可，例如列出和檢視工作區，以及開啟 Grafana 工作區主控台，請將 **AWSGrafanaConsoleReadOnlyAccess**、**AWSSSOReadOnly** 和 **AWSSSODirectoryReadOnly** 政策指派給使用者或 IAM 角色。

若要查看授予 **AWSGrafanaConsoleReadOnlyAccess** 的許可，請參閱 [AWS 受管政策：AWSGrafanaConsoleReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess)。