Configurar a autenticação e as permissões do Azure Managed Grafana

Para processar dados, o Azure Managed Grafana precisa de permissão para acessar fontes de dados. Neste guia, saiba como configurar a autenticação durante a criação da instância do Azure Managed Grafana, para que o Grafana possa acessar fontes de dados usando uma identidade gerenciada atribuída pelo sistema ou uma entidade de serviço. Este guia também apresenta a opção de adicionar uma atribuição de função de Leitor de Monitoramento na assinatura de destino.

Pré-requisito

Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

Iniciar sessão no Azure

Entre no Azure com o portal do Azure ou com a CLI do Azure.

Portal

Inicie sessão no portal do Azure com a sua conta do Azure.

CLI do Azure

Abra sua CLI e execute o az login comando para entrar no Azure.

az login

Este comando solicitará que seu navegador da Web inicie e carregue uma página de entrada do Azure.

Configurar autenticação e permissões durante a criação da instância

Crie um espaço de trabalho com o portal do Azure ou a CLI.

Portal

Configurar as definições básicas

1. No canto superior esquerdo da página inicial, selecione Criar um recurso. Na caixa Pesquisar recursos, serviços e documentos (G+/), insira Azure Managed Grafana e selecione Azure Managed Grafana.

   

2. Selecione Criar.

3. No painel Noções básicas, insira as seguintes configurações.

   Definição	Descrição	Exemplo
   ID da subscrição	Selecione a subscrição do Azure que pretende utilizar.	A minha subscrição
   Nome do grupo de recursos	Crie um grupo de recursos para seus recursos do Azure Managed Grafana.	meu-recurso-grupo
   Localização	Use Localização para especificar a localização geográfica na qual hospedar seu recurso. Escolha o local mais próximo de si.	(EUA) E.U.A Leste
   Nome	Insira um nome de recurso exclusivo. Ele será usado como o nome de domínio em sua URL de instância do Managed Grafana.	minha-grafana
   Plano de Preços	Escolha entre um plano Essencial (visualização) e um plano Padrão. A camada Standard oferece recursos adicionais. Mais informações sobre planos de preços.	Essencial (pré-visualização)

4. Mantenha todos os outros valores padrão e selecione a guia Permissão para controlar os direitos de acesso para sua instância do Grafana e fontes de dados:

Definir configurações de permissão

Analise abaixo os diferentes métodos para gerenciar permissões para acessar fontes de dados no Azure Managed Grafana.

Com a identidade gerenciada habilitada

A identidade gerenciada atribuída ao sistema é o método de autenticação padrão fornecido a todos os usuários que têm a função de Proprietário ou Administrador de Acesso de Usuário para a assinatura.

Nota

Na guia permissões, se o Azure exibir a mensagem "Você deve ser um 'Proprietário' ou 'Administrador de Acesso de Usuário' de assinatura para usar esse recurso.", vá para a próxima seção deste documento para saber como configurar o Azure Managed Grafana com a identidade gerenciada atribuída ao sistema desabilitada.

1. A caixa Identidade gerenciada atribuída ao sistema é definida como Ativado por padrão.

2. A caixa Adicionar atribuição de função a esta identidade com a função 'Leitor de monitoramento' na assinatura de destino está marcada por padrão. Se você desmarcar essa caixa, precisará adicionar manualmente atribuições de função para o Azure Managed Grafana mais tarde. Para referência, vá para Modificar permissões de acesso ao Azure Monitor.

3. Em Função de administrador do Grafana, a caixa Incluir-me está marcada por padrão. Opcionalmente, selecione Adicionar para conceder a função de administrador do Grafana a mais membros.

   

Com a identidade gerenciada desabilitada

O Azure Managed Grafana também pode acessar fontes de dados com a identidade gerenciada desabilitada. Você pode usar uma entidade de serviço para autenticação, usando um ID de cliente e segredo.

1. Na guia Permissões, defina a caixa Identidade gerenciada atribuída ao sistema como Desativado. A linha Adicionar atribuição de função a esta identidade com a função 'Leitor de Monitoramento' na assinatura de destino fica automaticamente esmaecida.

2. Em Função de administrador do Grafana, se você tiver a função de Proprietário ou Administrador de Acesso de Usuário para a assinatura, a caixa Incluir-me estará marcada por padrão. Opcionalmente, selecione Adicionar para conceder a função de administrador do Grafana a mais membros. Se você não tiver a função necessária, você não poderá gerenciar os direitos de acesso do Grafana sozinho.

   

Nota

Desativar a identidade gerenciada atribuída ao sistema desabilita o plug-in de fonte de dados do Azure Monitor para sua instância do Azure Managed Grafana. Nesse cenário, use uma entidade de serviço em vez do Azure Monitor para acessar fontes de dados.

Revisar e criar a nova instância

Selecione a guia Revisar + criar . Após a execução da validação, selecione Criar. Seu recurso do Azure Managed Grafana está sendo implantado.

CLI do Azure

Execute o comando az group create abaixo para criar um grupo de recursos para organizar os recursos do Azure necessários. Ignore esta etapa se já tiver um grupo de recursos que deseja usar.

Parâmetro	Descrição	Exemplo
--nome	Escolha um nome exclusivo para o seu novo grupo de recursos.	Grafana-RG
--localização	Escolha uma região do Azure onde o Managed Grafana esteja disponível. Para mais informações, aceda a Produtos disponíveis por região.	Eastus

az group create --location <location> --name <resource-group-name>

Nota

A experiência da CLI para o Azure Managed Grafana faz parte da extensão amg para a CLI do Azure (versão 2.30.0 ou superior). A extensão será instalada automaticamente na primeira vez que você executar um az grafana comando.

Com a identidade gerenciada habilitada

A identidade gerenciada atribuída pelo sistema é o método de autenticação padrão para o Azure Managed Grafana. Execute o comando az grafana create abaixo para criar uma instância do Azure Managed Grafana com identidade gerenciada atribuída ao sistema.

1. Se você tiver a função de proprietário ou administrador nesta assinatura:

   Parâmetro	Descrição	Exemplo
   --nome	Escolha um nome exclusivo para sua nova instância do Managed Grafana.	teste de grafana
   --grupo de recursos	Escolha um grupo de recursos para sua instância do Managed Grafana.	meu-recurso-grupo

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name>
   

2. Se não tiver a função de proprietário ou administrador nesta subscrição:

   Parâmetro	Descrição	Exemplo
   --nome	Escolha um nome exclusivo para sua nova instância do Managed Grafana.	teste de grafana
   --grupo de recursos	Escolha um grupo de recursos para sua instância do Managed Grafana.	meu-recurso-grupo
   --skip-role-assignment	Entre true para ignorar a atribuição de função se não tiver uma função de proprietário ou administrador nesta subscrição. Ignorar a atribuição de função permite criar uma instância sem as funções necessárias para atribuir permissões.	--skip-role-assignment true

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true
   

Nota

Você deve ter a função de proprietário ou administrador em sua assinatura para usar o método de autenticação de identidade gerenciada atribuído pelo sistema. Se você não tiver a função necessária, vá para a próxima seção para ver como criar uma instância do Azure Managed Grafana com a identidade gerenciada atribuída ao sistema desabilitada.

Com a identidade gerenciada desabilitada

O Azure Managed Grafana também pode acessar fontes de dados com a identidade gerenciada desabilitada. Você pode usar uma entidade de serviço para autenticação, usando um ID de cliente e segredo em vez de uma identidade gerenciada. Para usar esse método, execute o comando abaixo:

Parâmetro	Descrição	Exemplo
--nome	Escolha um nome exclusivo para sua nova instância do Managed Grafana.	teste de grafana
--grupo de recursos	Escolha um grupo de recursos para sua instância do Managed Grafana.	meu-recurso-grupo
--skip-system-assigned-identity	Enter true para desativar a identidade atribuída ao sistema. A identidade gerenciada atribuída pelo sistema é o método de autenticação padrão para o Azure Managed Grafana. Use esta opção se não quiser usar uma identidade gerenciada atribuída ao sistema.	--skip-system-assigned-identity true
--skip-role-assignment	Entre true para ignorar a atribuição de função se não tiver uma função de proprietário ou administrador nesta subscrição. Ignorar a atribuição de função permite criar uma instância sem as funções necessárias para atribuir permissões.	--skip-role-assignment true

az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true --skip-system-assigned-identity true

Nota

Desativar a identidade gerenciada atribuída ao sistema desabilita o plug-in de fonte de dados do Azure Monitor para sua instância do Azure Managed Grafana. Nesse cenário, use uma entidade de serviço em vez do Azure Monitor para acessar fontes de dados.

Quando a implantação estiver concluída, você verá uma observação na saída da linha de comando informando que a instância foi criada com êxito, juntamente com informações adicionais sobre a implantação.

Atualizar autenticação e permissões

Depois que seu espaço de trabalho for criado, você ainda poderá ativar ou desativar a identidade gerenciada atribuída ao sistema e atualizar as atribuições de função do Azure para o Azure Managed Grafana.

1. No portal do Azure, no menu à esquerda, em Configurações, selecione Identidade.

2. Defina o status de Sistema atribuído como Desativado, para desativar a identidade gerenciada atribuída ao sistema, ou defina-o como Ativado para ativar esse método de autenticação.

3. Em permissões, selecione Atribuições de função do Azure para definir funções do Azure.

4. Quando terminar, selecione Salvar

   

Nota

A desativação de uma identidade gerenciada atribuída ao sistema é irreversível. Se você reativar a identidade no futuro, o Azure criará uma nova identidade.

Próximos passos

Sincronize equipes do Grafana com grupos do Microsoft Entra