Настройка проверки подлинности и разрешений Управляемой Grafana Azure (предварительная версия)
Для обработки данных управляемым Grafana Azure требуется разрешение на доступ к источникам данных. В этом руководстве описано, как настроить проверку подлинности в управляемом экземпляре Grafana Azure, чтобы Grafana смог получить доступ к источникам данных с помощью управляемого удостоверения или субъекта-службы. В этом руководстве также представлено действие добавления назначения роли читателя мониторинга в целевой подписке, чтобы предоставить доступ только для чтения к данным мониторинга во всех ресурсах в подписке.
Необходимые компоненты
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
- Рабочая область Azure Managed Grafana. Создайте экземпляр Azure Managed Grafana.
- Разрешения владельца или администратора доступа пользователей в ресурсе Azure Managed Grafana
Использование управляемого удостоверения, назначаемого системой
Назначаемое системой управляемое удостоверение — это метод проверки подлинности по умолчанию, предоставляемый в Управляемой Grafana Azure. Управляемое удостоверение проходит проверку подлинности с помощью идентификатора Microsoft Entra, поэтому вам не нужно хранить учетные данные в коде. Хотя вы можете отказаться, он включен по умолчанию при создании новой рабочей области, если у вас есть роль "Владелец" или "Администратор доступа пользователей" для подписки. Если управляемое удостоверение, назначаемое системой, отключено в рабочей области и у вас есть необходимые разрешения, вы можете включить его позже.
Чтобы включить управляемое удостоверение, назначаемое системой, выполните действия.
Перейдите к удостоверению параметров>(предварительная версия).
На вкладке " Назначенная система" (предварительная версия) задайте состояние для системы, назначенной вкл.
Примечание.
Назначение нескольких управляемых удостоверений одному ресурсу Управляемой Grafana Azure невозможно. Если управляемое удостоверение, назначаемое пользователем, уже назначено ресурсу Azure Managed Grafana, прежде чем включить управляемое удостоверение, назначаемое системой, необходимо сначала удалить назначение с вкладки "Назначенная пользователем (предварительная версия").
Примечание.
Отключение управляемого удостоверения, назначаемого системой, является необратимым. При каждом включении управляемого удостоверения, назначаемого системой, Azure создает новое удостоверение.
В разделе разрешений выберите назначения ролей Azure и назначьте роль средства чтения мониторинга этому управляемому удостоверению в целевой подписке.
По завершении нажмите кнопку "Сохранить"
Использование управляемого удостоверения, назначаемого пользователем
Назначаемые пользователем управляемые удостоверения позволяют ресурсам Azure проходить проверку подлинности в облачных службах без хранения учетных данных в коде. Этот тип управляемого удостоверения создается как автономный ресурс Azure и имеет собственный жизненный цикл. Управляемое удостоверение, назначаемое пользователем, можно совместно использовать в нескольких ресурсах.
Чтобы назначить управляемое удостоверение, назначаемое пользователем, рабочей области, необходимо иметь разрешения "Владелец" или "Администратор доступа пользователей" для ресурса.
Чтобы назначить управляемое удостоверение, назначаемое пользователем, выполните действия.
Перейдите к удостоверению параметров>(предварительная версия).
На вкладке "Назначенный пользователем ( предварительная версия) нажмите кнопку "Добавить".
Примечание.
Назначение нескольких управляемых удостоверений одному ресурсу Управляемой Grafana Azure невозможно. Для каждого ресурса можно использовать только одно управляемое удостоверение. Если удостоверение, назначаемое системой, необходимо сначала отключить его на вкладке "Назначенная системой (предварительная версия") перед включением удостоверения, назначаемого пользователем.
На боковой панели выберите подписку и удостоверение, а затем нажмите кнопку "Добавить".
После успешного добавления удостоверения откройте его, выбрав его имя и перейдите к назначениям ролей Azure, чтобы назначить ей роль средства чтения мониторинга в целевой подписке.
По завершении нажмите кнопку "Сохранить"
Примечание.
На экземпляр Управляемой Grafana Azure можно назначить только одно управляемое удостоверение, назначаемое пользователем.
Использование субъекта-службы
Управляемый Grafana Azure также может получить доступ к источникам данных с помощью субъектов-служб для проверки подлинности, используя идентификаторы клиентов и секреты.
Назначьте этому субъекту-службе роль средства чтения мониторинга в целевой подписке, открыв подписку в портал Azure и перейдя к элементу управления доступом (IAM)>Добавить>назначение ролей.