Azure Managed Grafana の認証とアクセス許可を設定する

データを処理するには、Azure Managed Grafana にデータ ソースへのアクセス許可が必要です。 このガイドでは、Grafana がシステム割り当てマネージド ID またはサービス プリンシパルを使用してデータ ソースにアクセスできるように、Azure Managed Grafana インスタンスの作成中に認証を設定する方法について説明します。 また、このガイドでは、ターゲット サブスクリプションに監視閲覧者ロールの割り当てを追加するオプションについても紹介します。

前提条件

アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。

Azure へのサインイン

Azure portal または Azure CLI を使用して Azure にサインインします。

ポータル

Azure アカウントで Azure Portal にサインインします。

Azure CLI

CLI を開き、az login コマンドを実行して Azure にサインインします。

az login

このコマンドを実行すると、Web ブラウザーが起動して、Azure サインイン ページが読み込まれます。

インスタンスの作成中に認証とアクセス許可を設定する

Azure portal または CLI を使用してワークスペースを作成します。

ポータル

基本設定を構成する

1. ホーム ページの左上にある [+ リソースの作成] を選択します。 [リソース、サービス、ドキュメントの検索 (G+/)] ボックスに「Azure Managed Grafana」と入力し、[Azure Managed Grafana] を選択します。

   

2. ［作成］ を選択します

3. [基本情報] ペインで、以下の設定を入力します。

   設定	説明	例
   サブスクリプション ID	使用する Azure サブスクリプションを選択します。	my-subscription
   リソース グループ名	Azure Managed Grafana リソースのリソース グループを作成します。	my-resource-group
   場所	[場所] を使用して、リソースをホストする地理的な場所を指定します。 ご自分に最も近い場所を選択します。	(米国) 米国東部
   名前	一意のリソース名を入力します。 これは、Managed Grafana インスタンス URL のドメイン名として使用されます。	my-grafana
   料金プラン	Essential (プレビュー) と Standard のプランのどちらかを選択します。 Standard レベルでは追加の機能が提供されます。 価格プランの詳細については、こちらを参照してください。	Essential (プレビュー)

4. 他のすべての既定値はそのままにし、[アクセス許可] タブを選択して、Grafana インスタンスとデータ ソースのアクセス権を制御します。

アクセス許可の設定を構成する

Azure Managed Grafana 内のデータ ソースへのアクセス許可を管理するには、以下のさまざまな方法を確認します。

マネージド ID が有効な場合

システム割り当てマネージド ID は、サブスクリプションの所有者またはユーザー アクセス管理者ロールを持つすべてのユーザーに提供される既定の認証方法です。

Note

[アクセス許可] タブで、Azure に "この機能を使用するには、サブスクリプション `所有者` または `ユーザー アクセス管理者`である必要があります。" というメッセージが表示されている場合は、このドキュメントの次のセクションに移動して、システム割り当てマネージド ID を無効にして Azure Managed Grafana を設定する方法について確認してください。

1. [システム割り当てマネージド ID] ボックスは既定で [オン] に設定されています。

2. [ターゲット サブスクリプションの "監視閲覧者" ロールを使用して、この ID にロールの割り当てを追加します] ボックスは既定でオンになっています。 このボックスをオフにした場合は、後で Azure Managed Grafana のロールの割り当てを手動で追加する必要があります。 参考に、「Azure Monitor へのアクセス許可を変更する」をご覧ください。

3. [Grafana 管理者ロール] の [自分を含める] ボックスは既定でオンになっています。 必要に応じて、[追加] を選択して、Grafana 管理者ロールを他のメンバーに付与します。

   

マネージド ID が無効になっている場合

Azure Managed Grafana は、マネージド ID が無効になっているデータ ソースにもアクセスできます。 クライアント ID とシークレットを使用して、認証にサービス プリンシパルを使用できます。

1. [アクセス許可] タブで、[システム割り当てマネージド ID] ボックスを [オフ] に設定します。 [ターゲット サブスクリプションの "監視閲覧者" ロールを使用して、この ID にロールの割り当てを追加します] 行は自動的にグレーアウトされます。

2. [Grafana 管理者ロール] で、サブスクリプションの所有者またはユーザー アクセス管理者ロールがある場合は、既定で [自分を含める] ボックスがオンになっています。 必要に応じて、[追加] を選択して、Grafana 管理者ロールを他のメンバーに付与します。 必要なロールがない場合は、Grafana のアクセス権限を自分自身で管理することはできません。

   

Note

システム割り当てマネージド ID をオフにすると、Azure Managed Grafana インスタンスの Azure Monitor データ ソース プラグインが無効になります。 このシナリオでは、Azure Monitor の代わりにサービス プリンシパルを使用してデータ ソースにアクセスします。

新しいインスタンスを確認して作成する

[確認および作成] タブを選択します。検証の実行後、[作成] を選択します。 Azure Managed Grafana リソースがデプロイされます。

Azure CLI

次の az group create コマンドを実行して、必要な Azure リソースを整理するリソース グループを作成します。 使用するリソース グループが既にある場合は、この手順をスキップします。

パラメーター	説明	例
--name	新しいリソース グループに一意の名前を選択します。	grafana-rg
--location	Managed Grafana を使用できる Azure リージョンを選択します。 詳細については、「リージョン別の利用可能な製品」を参照してください。	eastus

az group create --location <location> --name <resource-group-name>

Note

Azure Managed Grafana の CLI エクスペリエンスは、Azure CLI (バージョン 2.30.0 以降) の amg 拡張機能の一部です。 この拡張機能は、az grafana コマンドを初めて実行したときに自動的にインストールされます。

マネージド ID が有効な場合

システム割り当てマネージド ID は、Azure Managed Grafana の既定の認証方法です。 次の az grafana create コマンドを実行して、システム割り当てマネージド ID を使用して Azure Managed Grafana インスタンスを作成します。

1. このサブスクリプションの所有者または管理者ロールがある場合:

   パラメーター	説明	例
   --name	新しい Managed Grafana インスタンスの一意の名前を選択します。	grafana-test
   --resource-group	Managed Grafana インスタンスのリソース グループを選択します。	my-resource-group

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name>
   

2. このサブスクリプションの所有者または管理者ロールがない場合:

   パラメーター	説明	例
   --name	新しい Managed Grafana インスタンスの一意の名前を選択します。	grafana-test
   --resource-group	Managed Grafana インスタンスのリソース グループを選択します。	my-resource-group
   --skip-role-assignment	このサブスクリプションに所有者または管理者ロールがない場合は、[skip role assignment](ロールの割り当てをスキップする) に 「true」 を入力します。 ロールの割り当てをスキップすると、アクセス許可の割り当てに必要なロールなしでインスタンスを作成できます。	--skip-role-assignment true

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true
   

Note

システム割り当てマネージド ID の認証方法を使用するには、サブスクリプションの所有者または管理者ロールが必要です。 必要なロールがない場合は、次のセクションに移動し、システム割り当てマネージド ID を無効にして Azure Managed Grafana インスタンスを作成する方法について確認してください。

マネージド ID が無効になっている場合

Azure Managed Grafana は、マネージド ID が無効になっているデータ ソースにもアクセスできます。 マネージド ID の代わりにクライアント ID とシークレットを使用することで、認証にサービス プリンシパルを使用できます。 この方法を使用するには、次のコマンドを実行します。

パラメーター	説明	例
--name	新しい Managed Grafana インスタンスの一意の名前を選択します。	grafana-test
--resource-group	Managed Grafana インスタンスのリソース グループを選択します。	my-resource-group
--skip-system-assigned-identity	[disable system assigned identity](システム割り当て ID を無効にする) に「true」を入力します。 システム割り当てマネージド ID は、Azure Managed Grafana の既定の認証方法です。 システム割り当てマネージド ID を使用しない場合は、このオプションを使用します。	--skip-system-assigned-identity true
--skip-role-assignment	このサブスクリプションに所有者または管理者ロールがない場合は、[skip role assignment](ロールの割り当てをスキップする) に 「true」 を入力します。 ロールの割り当てをスキップすると、アクセス許可の割り当てに必要なロールなしでインスタンスを作成できます。	--skip-role-assignment true

az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true --skip-system-assigned-identity true

Note

システム割り当てマネージド ID をオフにすると、Azure Managed Grafana インスタンスの Azure Monitor データ ソース プラグインが無効になります。 このシナリオでは、Azure Monitor の代わりにサービス プリンシパルを使用してデータ ソースにアクセスします。

デプロイが完了すると、デプロイに関する追加情報と共に、インスタンスが正常に作成されたことを示す注意がコマンド ラインの出力に表示されます。

認証とアクセス許可を更新する

ワークスペースが作成されたら、引き続きシステム割り当てマネージド ID を有効または無効にして、Azure Managed Grafana の Azure ロールの割り当てを更新できます。

1. Azure portal の左側のメニューの [設定] で [ID] を選択します。

2. [システムが割り当て済み] の状態を [オフ] に設定し、システム割り当てマネージド ID を非アクティブ化するか、[オン] に設定してこの認証方法をアクティブ化します。

3. [アクセス許可] で [Azure ロールの割り当て] を選択し、Azure ロールを設定します。

4. 操作が完了したら、[保存] を選択します

   

Note

システム割り当てマネージド ID の無効化は元に戻すことができません。 今後 ID を再度有効にする場合は、Azure によって新しい ID が作成されます。

次のステップ

Grafana チームを Microsoft Entra グループと同期する