Nastavení ověřování a oprávnění služby Azure Managed Grafana

Ke zpracování dat potřebuje Azure Managed Grafana oprávnění pro přístup ke zdrojům dat. V této příručce se dozvíte, jak nastavit ověřování během vytváření instance Azure Managed Grafana, aby grafana mohl přistupovat ke zdrojům dat pomocí spravované identity přiřazené systémem nebo instančního objektu. Tato příručka také představuje možnost přidat přiřazení role Čtenář monitorování v cílovém předplatném.

Požadavek

Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

Přihlášení k Azure

Přihlaste se k Azure pomocí webu Azure Portal nebo pomocí Azure CLI.

Azure Portal

Přihlaste se k webu Azure Portal pomocí svého účtu Azure.

Azure CLI

Otevřete rozhraní příkazového řádku a spusťte az login příkaz pro přihlášení k Azure.

az login

Tento příkaz zobrazí výzvu k spuštění a načtení přihlašovací stránky Azure.

Nastavení ověřování a oprávnění během vytváření instance

Vytvořte pracovní prostor pomocí webu Azure Portal nebo rozhraní příkazového řádku.

Azure Portal

Konfigurace základního nastavení

1. V levém horním rohu domovské stránky vyberte Vytvořit prostředek. Do pole Prohledat prostředky, služby a dokumenty (G+/) zadejte Azure Managed Grafana a vyberte Azure Managed Grafana.

   

2. Vyberte Vytvořit.

3. V podokně Základy zadejte následující nastavení.

   Nastavení	Popis	Příklad
   ID předplatného	Vyberte předplatné Azure, které chcete použít.	moje předplatné
   Název skupiny prostředků	Vytvořte skupinu prostředků pro prostředky Azure Managed Grafana.	my-resource-group
   Poloha	Pomocí umístění určete zeměpisné umístění, ve kterém se má prostředek hostovat. Zvolte umístění, které je vám nejblíže.	(USA) USA – východ
   Název	Zadejte jedinečný název prostředku. Použije se jako název domény v adrese URL spravované instance Grafana.	my-grafana
   Cenový plán	Vyberte si mezi plánem Essential (Preview) a Standardním plánem. Úroveň Standard nabízí další funkce. Další informace o cenových plánech	Essential (Preview)

4. Ponechte všechny ostatní výchozí hodnoty a vyberte kartu Oprávnění k řízení přístupových práv pro instanci Grafana a zdroje dat:

Konfigurace nastavení oprávnění

Projděte si následující různé metody správy oprávnění pro přístup ke zdrojům dat ve službě Azure Managed Grafana.

S povolenou spravovanou identitou

Spravovaná identita přiřazená systémem je výchozí metoda ověřování poskytovaná všem uživatelům, kteří mají roli Vlastník nebo Uživatelský přístup Správa istrator pro předplatné.

Poznámka:

Pokud Azure na kartě oprávnění zobrazí zprávu "Abyste mohli tuto funkci používat, musíte být předplatné Vlastník nebo Uživatelský přístup Správa istrator". V další části tohoto dokumentu se dozvíte, jak nastavit Spravovanou grafana Azure se zakázanou spravovanou identitou přiřazenou systémem.

1. Pole Spravovaná identita přiřazená systémem je ve výchozím nastavení zapnutá.

2. Pole Přidat přiřazení role k této identitě s rolí Čtenář monitorování v cílovém předplatném je ve výchozím nastavení zaškrtnuté. Pokud zaškrtnutí tohoto políčka zrušíte, budete muset později ručně přidat přiřazení rolí pro Azure Managed Grafana. Referenční informace najdete v tématu Úprava přístupových oprávnění ke službě Azure Monitor.

3. V části Role správce Grafana je ve výchozím nastavení zaškrtnuté políčko Zahrnout sebe . Volitelně můžete vybrat Přidat a udělit roli správce Grafana dalším členům.

   

S zakázanou spravovanou identitou

Azure Managed Grafana má také přístup ke zdrojům dat se zakázanou spravovanou identitou. Instanční objekt můžete použít k ověřování pomocí ID klienta a tajného klíče.

1. Na kartě Oprávnění nastavte pole Spravovaná identita přiřazená systémem na Vypnuto. Řádek Přidat přiřazení role k této identitě s rolí Čtenář monitorování v cílovém předplatném se automaticky zobrazí šedě.

2. V části Role správce Grafana, pokud máte roli Vlastník nebo Uživatelský přístup Správa istrator pro předplatné, políčko Zahrnout se ve výchozím nastavení zaškrtne. Volitelně můžete vybrat Přidat a udělit roli správce Grafana dalším členům. Pokud nemáte potřebnou roli, nebudete moct spravovat přístupová práva Grafana sami.

   

Poznámka:

Vypnutí spravované identity přiřazené systémem zakáže modul plug-in zdroje dat služby Azure Monitor pro vaši instanci Azure Managed Grafana. V tomto scénáři použijte instanční objekt místo služby Azure Monitor pro přístup ke zdrojům dat.

Kontrola a vytvoření nové instance

Vyberte kartu Zkontrolovat a vytvořit. Po spuštění ověření vyberte Vytvořit. Váš prostředek Grafana spravovaný v Azure se nasazuje.

Azure CLI

Spuštěním následujícího příkazu az group create vytvořte skupinu prostředků pro uspořádání potřebných prostředků Azure. Tento krok přeskočte, pokud už máte skupinu prostředků, kterou chcete použít.

Parametr	Popis	Příklad
--Jméno	Zvolte jedinečný název nové skupiny prostředků.	grafana-rg
--Umístění	Zvolte oblast Azure, ve které je dostupná spravovaná grafana. Další informace najdete v tématu Produkty dostupné v jednotlivých oblastech.	eastus

az group create --location <location> --name <resource-group-name>

Poznámka:

Prostředí rozhraní příkazového řádku pro Azure Managed Grafana je součástí rozšíření amg pro Azure CLI (verze 2.30.0 nebo vyšší). Rozšíření se automaticky nainstaluje při prvním spuštění az grafana příkazu.

S povolenou spravovanou identitou

Spravovaná identita přiřazená systémem je výchozí metoda ověřování pro Azure Managed Grafana. Spuštěním následujícího příkazu az grafana create vytvořte instanci Azure Managed Grafana se spravovanou identitou přiřazenou systémem.

1. Pokud máte v tomto předplatném roli vlastníka nebo správce:

   Parametr	Popis	Příklad
   --Jméno	Zvolte jedinečný název nové spravované instance Grafany.	grafana-test
   --resource-group	Zvolte skupinu prostředků pro spravovanou instanci Grafany.	my-resource-group

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name>
   

2. Pokud v tomto předplatném nemáte roli vlastníka nebo správce:

   Parametr	Popis	Příklad
   --Jméno	Zvolte jedinečný název nové spravované instance Grafany.	grafana-test
   --resource-group	Zvolte skupinu prostředků pro spravovanou instanci Grafany.	my-resource-group
   --skip-role-assignment	Pokud v tomto předplatném nemáte roli vlastníka nebo správce, zadejte true toto přiřazení rolí. Přeskočení přiřazení role umožňuje vytvořit instanci bez rolí potřebných k přiřazení oprávnění.	--skip-role-assignment true

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true
   

Poznámka:

Abyste mohli použít metodu ověřování spravované identity přiřazené systémem, musíte mít ve svém předplatném roli vlastníka nebo správce. Pokud nemáte potřebnou roli, přejděte do další části a zjistěte, jak vytvořit instanci Azure Managed Grafana se zakázanou spravovanou identitou přiřazenou systémem.

S zakázanou spravovanou identitou

Azure Managed Grafana má také přístup ke zdrojům dat se zakázanou spravovanou identitou. Instanční objekt můžete použít k ověřování pomocí ID klienta a tajného klíče místo spravované identity. Pokud chcete použít tuto metodu, spusťte následující příkaz:

Parametr	Popis	Příklad
--Jméno	Zvolte jedinečný název nové spravované instance Grafany.	grafana-test
--resource-group	Zvolte skupinu prostředků pro spravovanou instanci Grafany.	my-resource-group
--skip-system-assigned-identity	Zadáním zakážete true identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je výchozí metoda ověřování pro Azure Managed Grafana. Tuto možnost použijte, pokud nechcete používat spravovanou identitu přiřazenou systémem.	--skip-system-assigned-identity true
--skip-role-assignment	Pokud v tomto předplatném nemáte roli vlastníka nebo správce, zadejte true toto přiřazení rolí. Přeskočení přiřazení role umožňuje vytvořit instanci bez rolí potřebných k přiřazení oprávnění.	--skip-role-assignment true

az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true --skip-system-assigned-identity true

Poznámka:

Vypnutí spravované identity přiřazené systémem zakáže modul plug-in zdroje dat služby Azure Monitor pro vaši instanci Azure Managed Grafana. V tomto scénáři použijte instanční objekt místo služby Azure Monitor pro přístup ke zdrojům dat.

Po dokončení nasazení se ve výstupu příkazového řádku zobrazí poznámka s informací, že se instance úspěšně vytvořila, spolu s dalšími informacemi o nasazení.

Aktualizace ověřování a oprávnění

Po vytvoření pracovního prostoru můžete dál zapnout nebo vypnout spravovanou identitu přiřazenou systémem a aktualizovat přiřazení rolí Azure pro Azure Managed Grafana.

1. Na webu Azure Portal v nabídce vlevo v části Nastavení vyberte Identita.

2. Nastavte stav systému přiřazeného k vypnuto, deaktivujte spravovanou identitu přiřazenou systémem nebo ji nastavte na Zapnuto a aktivujte tuto metodu ověřování.

3. V části Oprávnění vyberte přiřazení rolí Azure a nastavte role Azure.

4. Až budete hotovi, vyberte Uložit.

   

Poznámka:

Zakázání spravované identity přiřazené systémem je nevratné. Pokud identitu znovu povolíte v budoucnu, Azure vytvoří novou identitu.

Další kroky

Synchronizace týmů Grafana se skupinami Microsoft Entra