Konfigurowanie uwierzytelniania i uprawnień usługi Azure Managed Grafana

Aby przetwarzać dane, usługa Azure Managed Grafana musi mieć uprawnienia dostępu do źródeł danych. W tym przewodniku dowiesz się, jak skonfigurować uwierzytelnianie podczas tworzenia wystąpienia zarządzanego narzędzia Grafana platformy Azure, aby aplikacja Grafana mogła uzyskiwać dostęp do źródeł danych przy użyciu tożsamości zarządzanej przypisanej przez system lub jednostki usługi. W tym przewodniku przedstawiono również opcję dodania przypisania roli Czytelnik monitorowania w subskrypcji docelowej.

Warunek wstępny

Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

Logowanie się do platformy Azure

Zaloguj się do platformy Azure przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.

Portal

Zaloguj się w witrynie Azure Portal przy użyciu danych konta Azure.

Interfejs wiersza polecenia platformy Azure

Otwórz interfejs wiersza polecenia i uruchom az login polecenie , aby zalogować się na platformie Azure.

az login

To polecenie spowoduje wyświetlenie monitu przeglądarki internetowej o uruchomienie i załadowanie strony logowania platformy Azure.

Konfigurowanie uwierzytelniania i uprawnień podczas tworzenia wystąpienia

Utwórz obszar roboczy za pomocą witryny Azure Portal lub interfejsu wiersza polecenia.

Portal

Konfigurowanie ustawień podstawowych

1. W lewym górnym rogu strony głównej wybierz pozycję Utwórz zasób. W polu Wyszukaj zasoby, usługi i dokumenty (G+/) wprowadź ciąg Azure Managed Grafana i wybierz pozycję Azure Managed Grafana.

   

2. Wybierz pozycję Utwórz.

3. W okienku Podstawy wprowadź następujące ustawienia.

   Ustawienie	opis	Przykład
   Identyfikator subskrypcji	Wybierz subskrypcję platformy Azure, której chcesz użyć.	moja subskrypcja
   Nazwa grupy zasobów	Utwórz grupę zasobów dla zasobów usługi Azure Managed Grafana.	my-resource-group
   Lokalizacja	Użyj opcji Lokalizacja, aby określić lokalizację geograficzną, w której ma być hostowany zasób. Wybierz lokalizację znajdującą się najbliżej Ciebie.	(USA) Wschodnie stany USA
   Nazwisko	Wprowadź unikatową nazwę zasobu. Będzie ona używana jako nazwa domeny w adresie URL wystąpienia zarządzanego Grafana.	my-grafana
   Plan cenowy	Wybierz między planem Essential (wersja zapoznawcza) i planem w warstwie Standardowa. Warstwa Standardowa oferuje dodatkowe funkcje. Więcej informacji o planach cenowych.	Essential (wersja zapoznawcza)

4. Zachowaj wszystkie inne wartości domyślne i wybierz kartę Uprawnienie do kontrolowania praw dostępu dla wystąpienia i źródeł danych Grafana:

Konfigurowanie ustawień uprawnień

Zapoznaj się z poniższymi różnymi metodami zarządzania uprawnieniami dostępu do źródeł danych w usłudze Azure Managed Grafana.

Z włączoną tożsamością zarządzaną

Tożsamość zarządzana przypisana przez system jest domyślną metodą uwierzytelniania udostępnioną wszystkim użytkownikom, którzy mają rolę właściciela lub dostępu użytkowników Administracja istrator dla subskrypcji.

Uwaga

Jeśli na karcie uprawnienia na platformie Azure zostanie wyświetlony komunikat "Musisz być subskrypcją "Właściciel" lub "Użytkownik Administracja istrator" do korzystania z tej funkcji." przejdź do następnej sekcji tego dokumentu, aby dowiedzieć się więcej o konfigurowaniu aplikacji Azure Managed Grafana z wyłączoną tożsamością zarządzaną przypisaną przez system.

1. W polu Tożsamość zarządzana przypisana przez system jest domyślnie włączona.

2. Pole Dodaj przypisanie roli do tej tożsamości z rolą "Czytelnik monitorowania" w subskrypcji docelowej jest domyślnie sprawdzane. Jeśli usuniesz zaznaczenie tego pola, musisz ręcznie dodać przypisania ról dla narzędzia Azure Managed Grafana później. Aby uzyskać informacje, przejdź do tematu Modyfikowanie uprawnień dostępu do usługi Azure Monitor.

3. W obszarze Rola administratora narzędzia Grafana pole Dołącz do siebie jest domyślnie zaznaczone. Opcjonalnie wybierz pozycję Dodaj , aby udzielić roli administratora narzędzia Grafana do większej liczby członków.

   

Z wyłączoną tożsamością zarządzaną

Usługa Azure Managed Grafana może również uzyskiwać dostęp do źródeł danych z wyłączoną tożsamością zarządzaną. Do uwierzytelniania można użyć jednostki usługi przy użyciu identyfikatora klienta i wpisu tajnego.

1. Na karcie Uprawnienia ustaw pole Tożsamość zarządzana przypisana przez system na Wyłączone. Wiersz Dodawanie przypisania roli do tej tożsamości z rolą "Czytelnik monitorowania" w subskrypcji docelowej jest automatycznie wyszaryzowany.

2. W obszarze Rola administratora narzędzia Grafana, jeśli masz rolę właściciela lub dostępu użytkowników Administracja istrator dla subskrypcji, pole Dołącz siebie jest domyślnie zaznaczone. Opcjonalnie wybierz pozycję Dodaj , aby udzielić roli administratora narzędzia Grafana do większej liczby członków. Jeśli nie masz niezbędnej roli, nie będziesz mieć możliwości samodzielnego zarządzania prawami dostępu do narzędzia Grafana.

   

Uwaga

Wyłączenie tożsamości zarządzanej przypisanej przez system powoduje wyłączenie wtyczki źródła danych usługi Azure Monitor dla wystąpienia usługi Azure Managed Grafana. W tym scenariuszu użyj jednostki usługi zamiast usługi Azure Monitor, aby uzyskać dostęp do źródeł danych.

Przeglądanie i tworzenie nowego wystąpienia

Wybierz kartę Przeglądanie i tworzenie . Po uruchomieniu walidacji wybierz pozycję Utwórz. Wdrażany jest zasób Grafana zarządzany przez platformę Azure.

Interfejs wiersza polecenia platformy Azure

Uruchom poniższe polecenie az group create, aby utworzyć grupę zasobów w celu zorganizowania potrzebnych zasobów platformy Azure. Pomiń ten krok, jeśli masz już grupę zasobów, której chcesz użyć.

Parametr	Opis	Przykład
--Nazwa	Wybierz unikatową nazwę nowej grupy zasobów.	grafana-rg
--Lokalizacji	Wybierz region platformy Azure, w którym jest dostępna zarządzana aplikacja Grafana. Aby uzyskać więcej informacji, przejdź do pozycji Produkty dostępne według regionów.	eastus

az group create --location <location> --name <resource-group-name>

Uwaga

Środowisko interfejsu wiersza polecenia dla usługi Azure Managed Grafana jest częścią rozszerzenia amg dla interfejsu wiersza polecenia platformy Azure (wersja 2.30.0 lub nowsza). Rozszerzenie zostanie automatycznie zainstalowane przy pierwszym uruchomieniu az grafana polecenia.

Z włączoną tożsamością zarządzaną

Tożsamość zarządzana przypisana przez system jest domyślną metodą uwierzytelniania dla usługi Azure Managed Grafana. Uruchom poniższe polecenie az grafana create, aby utworzyć wystąpienie zarządzanego narzędzia Grafana platformy Azure z przypisaną przez system tożsamością zarządzaną.

1. Jeśli masz rolę właściciela lub administratora w tej subskrypcji:

   Parametr	Opis	Przykład
   --Nazwa	Wybierz unikatową nazwę nowego wystąpienia zarządzanego narzędzia Grafana.	grafana-test
   --resource-group	Wybierz grupę zasobów dla wystąpienia zarządzanego narzędzia Grafana.	my-resource-group

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name>
   

2. Jeśli nie masz roli właściciela lub administratora w tej subskrypcji:

   Parametr	Opis	Przykład
   --Nazwa	Wybierz unikatową nazwę nowego wystąpienia zarządzanego narzędzia Grafana.	grafana-test
   --resource-group	Wybierz grupę zasobów dla wystąpienia zarządzanego narzędzia Grafana.	my-resource-group
   --skip-role-assignment	Wprowadź , true aby pominąć przypisanie roli, jeśli nie masz roli właściciela lub administratora w tej subskrypcji. Pomijanie przypisania roli umożliwia utworzenie wystąpienia bez ról wymaganych do przypisania uprawnień.	--skip-role-assignment true

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true
   

Uwaga

Aby korzystać z metody uwierzytelniania tożsamości zarządzanej przypisanej przez system, musisz mieć rolę właściciela lub administratora subskrypcji. Jeśli nie masz niezbędnej roli, przejdź do następnej sekcji, aby zobaczyć, jak utworzyć wystąpienie usługi Azure Managed Grafana z wyłączoną tożsamością zarządzaną przypisaną przez system.

Z wyłączoną tożsamością zarządzaną

Usługa Azure Managed Grafana może również uzyskiwać dostęp do źródeł danych z wyłączoną tożsamością zarządzaną. Do uwierzytelniania można użyć jednostki usługi, używając identyfikatora klienta i wpisu tajnego zamiast tożsamości zarządzanej. Aby użyć tej metody, uruchom poniższe polecenie:

Parametr	Opis	Przykład
--Nazwa	Wybierz unikatową nazwę nowego wystąpienia zarządzanego narzędzia Grafana.	grafana-test
--resource-group	Wybierz grupę zasobów dla wystąpienia zarządzanego narzędzia Grafana.	my-resource-group
--skip-system-assigned-identity	Wprowadź , true aby wyłączyć tożsamość przypisaną przez system. Tożsamość zarządzana przypisana przez system jest domyślną metodą uwierzytelniania dla usługi Azure Managed Grafana. Użyj tej opcji, jeśli nie chcesz używać tożsamości zarządzanej przypisanej przez system.	--skip-system-assigned-identity true
--skip-role-assignment	Wprowadź , true aby pominąć przypisanie roli, jeśli nie masz roli właściciela lub administratora w tej subskrypcji. Pomijanie przypisania roli umożliwia utworzenie wystąpienia bez ról wymaganych do przypisania uprawnień.	--skip-role-assignment true

az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true --skip-system-assigned-identity true

Uwaga

Wyłączenie tożsamości zarządzanej przypisanej przez system powoduje wyłączenie wtyczki źródła danych usługi Azure Monitor dla wystąpienia usługi Azure Managed Grafana. W tym scenariuszu użyj jednostki usługi zamiast usługi Azure Monitor, aby uzyskać dostęp do źródeł danych.

Po zakończeniu wdrażania zobaczysz notatkę w danych wyjściowych wiersza polecenia z informacją, że wystąpienie zostało pomyślnie utworzone, wraz z dodatkowymi informacjami o wdrożeniu.

Aktualizowanie uwierzytelniania i uprawnień

Po utworzeniu obszaru roboczego nadal można włączyć lub wyłączyć tożsamość zarządzaną przypisaną przez system i zaktualizować przypisania ról platformy Azure dla usługi Azure Managed Grafana.

1. W witrynie Azure Portal z menu po lewej stronie w obszarze Ustawienia wybierz pozycję Tożsamość.

2. Ustaw stan systemu przypisanego do pozycji Wyłączone, aby dezaktywować tożsamość zarządzaną przypisaną przez system lub ustawić ją na Wł. , aby aktywować tę metodę uwierzytelniania.

3. W obszarze uprawnienia wybierz pozycję Przypisania ról platformy Azure, aby ustawić role platformy Azure.

4. Po zakończeniu wybierz pozycję Zapisz

   

Uwaga

Wyłączenie tożsamości zarządzanej przypisanej przez system jest nieodwracalne. Jeśli w przyszłości ponownie włączysz tożsamość, platforma Azure utworzy nową tożsamość.

Następne kroki

Synchronizowanie zespołów Grafana z grupami Firmy Microsoft Entra