Einrichten der Azure Managed Grafana-Authentifizierung und -Berechtigungen

Um Daten zu verarbeiten, benötigt Azure Managed Grafana die Berechtigung für den Zugriff auf Datenquellen. In diesem Leitfaden erfahren Sie, wie Sie die Authentifizierung während der Erstellung der Azure Managed Grafana-Instanz einrichten, damit Grafana mithilfe einer systemseitig zugewiesenen verwalteten Identität oder einem Dienstprinzipal auf Datenquellen zugreifen kann. In diesem Leitfaden wird außerdem die Option zum Hinzufügen einer „Überwachungsleser“-Rollenzuweisung für das Zielabonnement eingeführt.

Voraussetzung

Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

Anmelden bei Azure

Melden Sie sich über das Azure-Portal oder mit der Azure CLI bei Azure an.

Portal

Melden Sie sich mit Ihrem Azure-Konto beim Azure-Portal an.

Azure-Befehlszeilenschnittstelle

Öffnen Sie Ihre CLI, und führen Sie den Befehl az login aus, um sich bei Azure anzumelden.

az login

Mit diesem Befehl wird Ihr Webbrowser aufgefordert, eine Azure-Anmeldeseite zu starten und zu laden.

Einrichten von Authentifizierung und Berechtigungen während der Erstellung der Instanz

Erstellen Sie einen Arbeitsbereich im Azure-Portal oder mit der CLI.

Portal

Grundeinstellungen konfigurieren

1. Wählen Sie links oben auf der Startseite die Option Ressource erstellen aus. Geben Sie im Feld Ressourcen, Dienste und Dokumente durchsuchen (G+/)Azure Managed Grafana ein, und wählen Sie Azure Managed Grafana aus.

   

2. Klicken Sie auf Erstellen.

3. Geben Sie auf der Registerkarte Grundlagen die folgenden Einstellungen ein.

   Einstellung	BESCHREIBUNG	Beispiel
   Abonnement-ID	Wählen Sie das Azure-Abonnement aus, das Sie verwenden möchten.	my-subscription
   Ressourcengruppenname	Erstellen Sie eine Ressourcengruppe für Ihre Azure Managed Grafana-Ressourcen.	my-resource-group
   Standort	Unter „Standort“ können Sie einen geografischen Standort angeben, an dem Ihre Ressource gehostet wird. Wählen Sie den nächstgelegenen Standort aus.	(USA) USA, Osten
   Name	Geben Sie einen eindeutigen Ressourcennamen ein. Er wird als Domänenname in der URL Ihrer Managed Grafana-Instanz verwendet.	my-grafana
   Pricing Plan (Tarif)	Wählen Sie zwischen einem Essential (Vorschau) und einem Standardplan aus. Die Stufe "Standard" bietet zusätzliche Features. Weitere Informationen zu Preisplänen.	Essential (Vorschau)

4. Behalten Sie alle anderen Standardwerte bei, und wählen Sie die Registerkarte Berechtigung zum Steuern der Zugriffsrechte für Ihre Grafana-Instanz und -Datenquellen aus:

Konfigurieren von Berechtigungseinstellungen

Überprüfen Sie unten stehenden, unterschiedlichen Methoden zum Verwalten von Berechtigungen für den Zugriff auf Datenquellen in Azure Managed Grafana.

Mit aktivierter verwalteter Identität

Die systemseitig zugewiesene verwaltete Identität ist die Standardauthentifizierungsmethode für alle Benutzer mit der Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für das Abonnement.

Hinweis

Wenn Azure auf der Registerkarte „Berechtigungen“ die Meldung „Sie müssen ‚Besitzer‘ oder ‚Benutzerzugriffsadministrator‘ des Abonnements sein, um diese Funktion nutzen zu können.“ anzeigt, wechseln Sie zum nächsten Abschnitt dieses Dokuments, um zu erfahren, wie Sie Azure Managed Grafana mit deaktivierter systemseitig zugewiesener verwalteter Identität einrichten.

1. Das Feld Systemseitig zugewiesene verwaltete Identität ist standardmäßig auf Ein festgelegt.

2. Das Kontrollkästchen Dieser Identität eine Rollenzuweisung mit der Rolle „Überwachungsleser“ für das Zielabonnement hinzufügen ist standardmäßig aktiviert. Wenn Sie dieses Kontrollkästchen deaktivieren, müssen Sie Rollenzuweisungen für Azure Managed Grafana später manuell hinzufügen. Referenzinformationen hierzu finden Sie unter Ändern von Zugriffsberechtigungen für Azure Monitor.

3. Unter Grafana-Administratorrolle ist das Feld Mich einschließen standardmäßig aktiviert. Wählen Sie optional Hinzufügen aus, um weiteren Mitgliedern die Grafana-Administratorrolle zu gewähren.

   

Mit deaktivierter verwalteter Identität

Azure Managed Grafana kann auch auf Datenquellen mit deaktivierter verwalteter Identität zugreifen. Sie können einen Dienstprinzipal für die Authentifizierung verwenden, indem Sie eine Client-ID und ein Geheimnis verwenden.

1. Legen Sie auf der Registerkarte "Berechtigungen " das Feld "System zugewiesene verwaltete Identität " auf " Aus" fest. Die Zeile "Rollenzuweisung zu dieser Identität hinzufügen" mit der Rolle "Überwachungsleseberechtigter" für das Zielabonnement wird automatisch abgeblentet.

2. Wenn Sie über die Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für das Abonnement verfügen, ist unter Grafana-Administratorrolle das Feld Mich einschließen standardmäßig aktiviert. Wählen Sie optional Hinzufügen aus, um weiteren Mitgliedern die Grafana-Administratorrolle zu gewähren. Wenn Sie nicht über die notwendige Rolle verfügen, können Sie Grafana-Zugriffsrechte nicht selbst verwalten.

   

Hinweis

Das Deaktivieren der systemseitig zugewiesenen verwalteten Identität deaktiviert das Azure Monitor-Datenquellen-Plug-In für Ihre Azure Managed Grafana-Instanz. Verwenden Sie in diesem Szenario einen Dienstprinzipal anstelle von Azure Monitor, um auf Datenquellen zuzugreifen.

Überprüfen und Erstellen der neuen Instanz

Wählen Sie die Registerkarte "Überprüfen+ Erstellen" aus. Nachdem die Überprüfung ausgeführt wurde, wählen Sie "Erstellen" aus. Ihre Azure Managed Grafana-Ressource wird bereitgestellt.

Azure-Befehlszeilenschnittstelle

Führen Sie den Befehl az group create unten aus, um eine Ressourcengruppe zu erstellen, mit der die erforderlichen Azure-Ressourcen organisiert werden sollen. Sie können diesen Schritt überspringen, wenn Sie bereits über eine Ressourcengruppe verfügen, die Sie verwenden möchten.

Parameter	BESCHREIBUNG	Beispiel
--name	Geben Sie der neuen Ressource einen eindeutigen Namen.	grafana-rg
--location	Wählen Sie eine Azure-Region aus, in der Managed Grafana verfügbar ist. Weitere Informationen finden Sie unter nach Regionen verfügbare Produkte.	eastus

az group create --location <location> --name <resource-group-name>

Hinweis

Die CLI-Erfahrung für Azure Managed Grafana ist Teil der amg-Erweiterung für die Azure CLI (Version 2.30.0 oder höher). Die Erweiterung wird automatisch installiert, wenn Sie einen az grafana-Befehl zum ersten Mal ausführen.

Mit aktivierter verwalteter Identität

Die systemseitig zugewiesene verwaltete Identität ist die Standardauthentifizierungsmethode für Azure Managed Grafana. Führen Sie den Befehl az grafana create unten aus, um eine Azure Managed Grafana-Instanz mit systemseitig zugewiesener verwalteter Identität zu erstellen.

1. Wenn Sie über die Rolle „Besitzer“ oder „Administrator“ in diesem Abonnement verfügen:

   Parameter	BESCHREIBUNG	Beispiel
   --name	Wählen Sie einen eindeutigen Namen für Ihre neue Managed Grafana-Instanz aus.	grafana-test
   --resource-group	Wählen Sie eine Ressourcengruppe für Ihre Managed Grafana-Instanz aus.	my-resource-group

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name>
   

2. Wenn Sie nicht über die Rolle „Besitzer“ oder „Administrator“ in diesem Abonnement verfügen:

   Parameter	BESCHREIBUNG	Beispiel
   --name	Wählen Sie einen eindeutigen Namen für Ihre neue Managed Grafana-Instanz aus.	grafana-test
   --resource-group	Wählen Sie eine Ressourcengruppe für Ihre Managed Grafana-Instanz aus.	my-resource-group
   --skip-role-assignment	Geben Sie true ein, um die Rollenzuweisung zu überspringen, wenn Sie für dieses Abonnement nicht die Rolle „Besitzer“ oder „Administrator“ besitzen. Durch das Überspringen der Rollenzuweisung können Sie eine Instanz ohne die Rollen erstellen, die zum Zuweisen von Berechtigungen erforderlich sind.	--skip-role-assignment true

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true
   

Hinweis

Sie müssen über die Rolle „Besitzer“ oder „Administrator“ in Ihrem Abonnement verfügen, um die Authentifizierungsmethode „systemseitig zugewiesene verwaltete Identität“ zu verwenden. Wenn Sie nicht über die erforderliche Rolle verfügen, wechseln Sie zum nächsten Abschnitt, um zu erfahren, wie Sie eine Azure Managed Grafana-Instanz mit deaktivierter systemseitig zugewiesener verwalteter Identität erstellen.

Mit deaktivierter verwalteter Identität

Azure Managed Grafana kann auch auf Datenquellen mit deaktivierter verwalteter Identität zugreifen. Sie können einen Dienstprinzipal für die Authentifizierung verwenden, indem Sie eine Client-ID und ein Geheimnis anstelle einer verwalteten Identität verwenden. Führen Sie den folgenden Befehl aus, um diese Methode zu verwenden:

Parameter	BESCHREIBUNG	Beispiel
--name	Wählen Sie einen eindeutigen Namen für Ihre neue Managed Grafana-Instanz aus.	grafana-test
--resource-group	Wählen Sie eine Ressourcengruppe für Ihre Managed Grafana-Instanz aus.	my-resource-group
--skip-system-assigned-identity	Geben Sie true ein, um die systemseitig zugewiesene Identität zu deaktivieren. Die systemseitig zugewiesene verwaltete Identität ist die Standardauthentifizierungsmethode für Azure Managed Grafana. Verwenden Sie diese Option, wenn Sie keine systemseitig zugewiesene verwaltete Identität verwenden möchten.	--skip-system-assigned-identity true
--skip-role-assignment	Geben Sie true ein, um die Rollenzuweisung zu überspringen, wenn Sie für dieses Abonnement nicht die Rolle „Besitzer“ oder „Administrator“ besitzen. Durch das Überspringen der Rollenzuweisung können Sie eine Instanz ohne die Rollen erstellen, die zum Zuweisen von Berechtigungen erforderlich sind.	--skip-role-assignment true

az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true --skip-system-assigned-identity true

Hinweis

Das Deaktivieren der systemseitig zugewiesenen verwalteten Identität deaktiviert das Azure Monitor-Datenquellen-Plug-In für Ihre Azure Managed Grafana-Instanz. Verwenden Sie in diesem Szenario einen Dienstprinzipal anstelle von Azure Monitor, um auf Datenquellen zuzugreifen.

Sobald die Bereitstellung abgeschlossen ist, wird in der Ausgabe der Befehlszeile eine Notiz angezeigt, die besagt, dass die Instanz erfolgreich erstellt wurde, zusammen mit zusätzlichen Informationen zur Bereitstellung.

Aktualisieren von Authentifizierung und Berechtigungen

Nachdem Ihr Arbeitsbereich erstellt wurde, können Sie immer noch die systemseitig zugewiesene verwaltete Identität aktivieren oder deaktivieren und Azure-Rollenzuweisungen für Azure Managed Grafana aktualisieren.

1. Wählen Sie im Azure-Portal im linken Menü unter Einstellungen die Option Identität aus.

2. Legen Sie den Status für „systemseitig zugewiesen“ auf Aus fest, um die systemseitig zugewiesene verwaltete Identität zu deaktivieren, oder legen Sie ihn auf Ein fest, um diese Authentifizierungsmethode zu aktivieren.

3. Wählen Sie unter „Berechtigungen“ die Option Azure-Rollenzuweisungen aus, um Azure-Rollen festzulegen.

4. Wenn Sie fertig sind, wählen Sie Speichern aus.

   

Hinweis

Das Deaktivieren einer systemseitig zugewiesenen verwalteten Identität kann nicht rückgängig gemacht werden. Wenn Sie die Identität in Zukunft erneut aktivieren, erstellt Azure eine neue Identität.

Nächste Schritte

Synchronisieren von Grafana-Teams mit Microsoft Entra-Gruppen