Configurare l'autenticazione e le autorizzazioni di Grafana con gestione Azure

Per elaborare i dati, Azure Managed Grafana deve disporre dell'autorizzazione per accedere alle origini dati. Questa guida illustra come configurare l'autenticazione durante la creazione dell'istanza di Grafana gestita di Azure, in modo che Grafana possa accedere alle origini dati usando un'identità gestita assegnata dal sistema o un'entità servizio. Questa guida introduce anche l'opzione per aggiungere un'assegnazione di ruolo Lettore di monitoraggio nella sottoscrizione di destinazione.

Prerequisito

Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

Accedere ad Azure

Accedere ad Azure con il portale di Azure o con l'interfaccia della riga di comando di Azure.

Portale

Accedere al portale di Azure con il proprio account Azure.

Interfaccia della riga di comando di Azure

Aprire l'interfaccia della riga di comando ed eseguire il az login comando per accedere ad Azure.

az login

Questo comando richiederà al Web browser di avviare e caricare una pagina di accesso di Azure.

Configurare l'autenticazione e le autorizzazioni durante la creazione dell'istanza

Creare un'area di lavoro con il portale di Azure o l'interfaccia della riga di comando.

Portale

Configurare le impostazioni di base

1. Nell'angolo superiore sinistro della home page selezionare Crea una risorsa. Nella casella Cerca risorse, servizi e documentazione (G+/) immettere Grafana gestita di Azure e selezionare Grafana gestita di Azure.

   

2. Seleziona Crea.

3. Nel riquadro Informazioni di base immettere le impostazioni seguenti.

   Impostazione	Descrizione	Esempio
   ID sottoscrizione	Selezionare la sottoscrizione di Azure da usare.	my-subscription
   Nome gruppo di risorse	Creare un gruppo di risorse per le risorse di Grafana gestite di Azure.	my-resource-group
   Titolo	Usare Località per specificare la posizione geografica in cui ospitare la risorsa. Scegliere la località più vicina.	(Stati Uniti) Stati Uniti orientali
   Nome	Immettere un nome di risorsa univoco. Verrà usato come nome di dominio nell'URL dell'istanza di Grafana gestita.	my-grafana
   Piano tariffario	Scegliere tra un piano Essential (anteprima) e un piano Standard. Il livello Standard offre funzionalità aggiuntive. Altre informazioni sui piani tariffari.	Informazioni di base (anteprima)

4. Mantenere tutti gli altri valori predefiniti e selezionare la scheda Autorizzazione per controllare i diritti di accesso per l'istanza di Grafana e le origini dati:

Configurare le impostazioni delle autorizzazioni

Esaminare i diversi metodi seguenti per gestire le autorizzazioni per accedere alle origini dati all'interno di Grafana gestito di Azure.

Con l'identità gestita abilitata

L'identità gestita assegnata dal sistema è il metodo di autenticazione predefinito fornito a tutti gli utenti con il ruolo Proprietario o Accesso utente Amministrazione istrator per la sottoscrizione.

Nota

Nella scheda Autorizzazioni, se Azure visualizza il messaggio "È necessario essere una sottoscrizione "Proprietario" o "Accesso utente Amministrazione istrator" per usare questa funzionalità. Per informazioni sulla configurazione di Grafana gestita dal sistema con identità gestita assegnata dal sistema disabilitata, vedere la sezione successiva di questo documento.

1. La casella Identità gestita assegnata dal sistema è impostata su Sì per impostazione predefinita.

2. La casella Aggiungi assegnazione di ruolo a questa identità con il ruolo "Lettore di monitoraggio" nella sottoscrizione di destinazione è selezionata per impostazione predefinita. Se si deseleziona questa casella, sarà necessario aggiungere manualmente le assegnazioni di ruolo per Grafana gestito di Azure in un secondo momento. Per riferimento, vedere Modificare le autorizzazioni di accesso a Monitoraggio di Azure.

3. In Ruolo di amministratore di Grafana la casella Includi me stesso è selezionata per impostazione predefinita. Facoltativamente, selezionare Aggiungi per concedere il ruolo di amministratore di Grafana a più membri.

   

Con identità gestita disabilitata

Grafana gestito di Azure può anche accedere alle origini dati con identità gestita disabilitata. È possibile usare un'entità servizio per l'autenticazione usando un ID client e un segreto.

1. Nella scheda Autorizzazioni impostare la casella Identità gestita assegnata dal sistema su No. La riga Aggiungi un'assegnazione di ruolo a questa identità con il ruolo "Lettore di monitoraggio" nella sottoscrizione di destinazione viene disattivata automaticamente.

2. In Ruolo di amministratore di Grafana, se si dispone del ruolo Proprietario o Accesso utenti Amministrazione istrator per la sottoscrizione, la casella Includi me è selezionata per impostazione predefinita. Facoltativamente, selezionare Aggiungi per concedere il ruolo di amministratore di Grafana a più membri. Se non si ha il ruolo necessario, non sarà possibile gestire manualmente i diritti di accesso di Grafana.

   

Nota

La disattivazione dell'identità gestita assegnata dal sistema disabilita il plug-in dell'origine dati di Monitoraggio di Azure per l'istanza di Grafana gestita di Azure. In questo scenario usare un'entità servizio anziché Monitoraggio di Azure per accedere alle origini dati.

Esaminare e creare la nuova istanza

Selezionare la scheda Rivedi e crea . Dopo l'esecuzione della convalida, selezionare Crea. La risorsa Grafana gestita di Azure viene distribuita.

Interfaccia della riga di comando di Azure

Eseguire il comando az group create di seguito per creare un gruppo di risorse per organizzare le risorse di Azure necessarie. Ignorare questo passaggio se si ha già un gruppo di risorse che si vuole usare.

Parametro	Descrizione	Esempio
--name	Scegliere un nome univoco per il nuovo gruppo di risorse.	grafana-rg
--location	Scegliere un'area di Azure in cui è disponibile Managed Grafana. Per altre info, vedere Prodotti disponibili in base all'area geografica.	eastus

az group create --location <location> --name <resource-group-name>

Nota

L'esperienza dell'interfaccia della riga di comando per Grafana gestita di Azure fa parte dell'estensione amg per l'interfaccia della riga di comando di Azure (versione 2.30.0 o successiva). L'estensione installerà automaticamente la prima volta che si esegue un az grafana comando.

Con l'identità gestita abilitata

L'identità gestita assegnata dal sistema è il metodo di autenticazione predefinito per Grafana gestito di Azure. Eseguire il comando az grafana create di seguito per creare un'istanza di Grafana gestita di Azure con identità gestita assegnata dal sistema.

1. Se si ha il ruolo di proprietario o amministratore in questa sottoscrizione:

   Parametro	Descrizione	Esempio
   --name	Scegliere un nome univoco per la nuova istanza di Managed Grafana.	grafana-test
   --resource-group	Scegliere un gruppo di risorse per l'istanza di Managed Grafana.	my-resource-group

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name>
   

2. Se non si ha il ruolo di proprietario o amministratore in questa sottoscrizione:

   Parametro	Descrizione	Esempio
   --name	Scegliere un nome univoco per la nuova istanza di Managed Grafana.	grafana-test
   --resource-group	Scegliere un gruppo di risorse per l'istanza di Managed Grafana.	my-resource-group
   --skip-role-assignment	Immettere true per ignorare l'assegnazione di ruolo se non si ha un ruolo di proprietario o amministratore in questa sottoscrizione. Ignorare l'assegnazione di ruolo consente di creare un'istanza senza i ruoli necessari per assegnare le autorizzazioni.	--skip-role-assignment true

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true
   

Nota

Per usare il metodo di autenticazione dell'identità gestita assegnata dal sistema, è necessario disporre del ruolo di proprietario o amministratore nella sottoscrizione. Se non si ha il ruolo necessario, passare alla sezione successiva per vedere come creare un'istanza di Grafana gestita di Azure con identità gestita assegnata dal sistema disabilitata.

Con identità gestita disabilitata

Grafana gestito di Azure può anche accedere alle origini dati con identità gestita disabilitata. È possibile usare un'entità servizio per l'autenticazione, usando un ID client e un segreto anziché un'identità gestita. Per usare questo metodo, eseguire il comando seguente:

Parametro	Descrizione	Esempio
--name	Scegliere un nome univoco per la nuova istanza di Managed Grafana.	grafana-test
--resource-group	Scegliere un gruppo di risorse per l'istanza di Managed Grafana.	my-resource-group
--skip-system-assigned-identity	Immettere true per disabilitare l'identità assegnata dal sistema. L'identità gestita assegnata dal sistema è il metodo di autenticazione predefinito per Grafana gestito di Azure. Usare questa opzione se non si vuole usare un'identità gestita assegnata dal sistema.	--skip-system-assigned-identity true
--skip-role-assignment	Immettere true per ignorare l'assegnazione di ruolo se non si ha un ruolo di proprietario o amministratore in questa sottoscrizione. Ignorare l'assegnazione di ruolo consente di creare un'istanza senza i ruoli necessari per assegnare le autorizzazioni.	--skip-role-assignment true

az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true --skip-system-assigned-identity true

Nota

La disattivazione dell'identità gestita assegnata dal sistema disabilita il plug-in dell'origine dati di Monitoraggio di Azure per l'istanza di Grafana gestita di Azure. In questo scenario usare un'entità servizio anziché Monitoraggio di Azure per accedere alle origini dati.

Al termine della distribuzione, verrà visualizzata una nota nell'output della riga di comando che informa che l'istanza è stata creata correttamente, insieme a informazioni aggiuntive sulla distribuzione.

Aggiornare l'autenticazione e le autorizzazioni

Dopo aver creato l'area di lavoro, è comunque possibile attivare o disattivare l'identità gestita assegnata dal sistema e aggiornare le assegnazioni di ruolo di Azure per Grafana gestito di Azure.

1. Nel portale di Azure, nel menu a sinistra, in Impostazioni selezionare Identità.

2. Impostare lo stato per System assegnato a Off per disattivare l'identità gestita assegnata dal sistema o impostarla su Sì per attivare questo metodo di autenticazione.

3. In Autorizzazioni selezionare Assegnazioni di ruolo di Azure per impostare i ruoli di Azure.

4. Al termine, selezionare Salva

   

Nota

La disabilitazione di un'identità gestita assegnata dal sistema è irreversibile. Se si riabilita l'identità in futuro, Azure creerà una nuova identità.

Passaggi successivi

Sincronizzare i team di Grafana con i gruppi di Microsoft Entra