Configuración de la autenticación y los permisos de Azure Managed Grafana (versión preliminar)
Para procesar los datos, Azure Managed Grafana necesita permiso para acceder a los orígenes de datos. En esta guía, aprenderá a configurar la autenticación en una instancia de Azure Managed Grafana para que Grafana pueda acceder a orígenes de datos mediante una identidad administrada o una entidad de servicio. En esta guía, también se presenta la acción de agregar una asignación de roles Lector de supervisión en la suscripción de destino para proporcionar acceso de solo lectura a los datos de supervisión en todos los recursos de la suscripción.
Requisitos previos
- Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
- Un área de trabajo de Azure Managed Grafana. cree una instancia de Azure Managed Grafana.
- Permisos de propietario o administrador de acceso de usuario en el recurso de Azure Managed Grafana
Usar una identidad administrada asignada por el sistema
La identidad administrada asignada por el sistema es el método de autenticación predeterminado proporcionado en Azure Managed Grafana. La identidad administrada se autentica con Microsoft Entra ID, por lo que no tiene que almacenar ninguna credencial en el código. Aunque puede optar por no participar, se habilita de forma predeterminada al crear un área de trabajo, siempre y cuando tenga el rol Propietario o Administrador de acceso de usuario para la suscripción. Si la identidad administrada asignada por el sistema está deshabilitada en el área de trabajo y tiene los permisos necesarios, puede habilitarla más adelante.
Para habilitar una identidad administrada asignada por el sistema:
Vaya a Configuración>(versión preliminar).
En la pestaña Sistema asignado (versión preliminar), establezca el estado de Sistema asignado a Activado.
Nota:
No es posible asignar varias identidades administradas a un único recurso de Azure Managed Grafana. Si una identidad administrada asignada por el usuario ya está asignada al recurso de Azure Managed Grafana, primero debe quitar la asignación de la pestaña Usuario asignado (versión preliminar) para poder habilitar la identidad administrada asignada por el sistema.
Nota:
Deshabilitar una identidad administrada asignada por el sistema es irreversible. Cada vez que habilita una identidad administrada asignada por el sistema, Azure crea una nueva identidad.
En Permisos, seleccione Asignaciones de roles de Azure y asigne el rol Lector de supervisión a esta identidad administrada en la suscripción de destino.
Cuando haya terminado, seleccione Guardar
Uso de una identidad administrada asignada por el usuario
Las identidades administradas asignadas por el usuario permiten que los recursos de Azure se autentiquen en servicios en la nube sin almacenar credenciales en código. Este tipo de identidad administrada se crea como un recurso de Azure independiente y tiene su propio ciclo de vida. Una única identidad administrada asignada por el usuario se puede compartir entre varios recursos.
Para asignar una identidad administrada asignada por el usuario a un área de trabajo, debe tener los permisos Propietario o Administrador de acceso de usuario en el recurso.
Para asignar una identidad administrada asignada por el usuario:
Vaya a Configuración>(versión preliminar).
En la pestaña Usuario asignado (versión preliminar), seleccione Agregar.
Nota:
No es posible asignar varias identidades administradas a un único recurso de Azure Managed Grafana. Solo puede usar una identidad administrada por recurso. Si una identidad asignada por el sistema está habilitada, primero debe deshabilitarla en la pestaña Asignado por el sistema (versión preliminar) para poder habilitar la identidad asignada por el usuario.
En el panel lateral, seleccione una suscripción y una identidad y, a continuación, seleccione Agregar.
Una vez agregada correctamente la identidad, ábrala seleccionando su nombre y vaya a Asignaciones de roles de Azure para asignarle el rol Lector de supervisión en la suscripción de destino.
Cuando haya terminado, seleccione Guardar
Nota:
Solo puede asignar una identidad administrada asignada por el usuario por instancia de Azure Managed Grafana.
Uso de una entidad de servicio
Azure Managed Grafana también puede acceder a orígenes de datos mediante entidades de servicio para la autenticación, mediante identificadores de cliente y secretos.
Asigne a esta entidad de servicio el rol Lector de supervisión en la suscripción de destino; para ello, abra la suscripción en Azure Portal y vaya a Control de acceso (IAM)>Agregar>Agregar asignación de roles.