Настройка проверки подлинности и разрешений в Управлении Azure для Grafana

Для обработки данных управляемым Grafana Azure требуется разрешение на доступ к источникам данных. В этом руководстве вы узнаете, как настроить проверку подлинности во время создания экземпляра Azure Managed Grafana, чтобы Grafana смог получить доступ к источникам данных с помощью управляемого удостоверения, назначаемого системой, или субъекта-службы. В этом руководстве также представлен параметр добавления назначения роли читателя мониторинга в целевую подписку.

Необходимые условия

Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

Вход в Azure

Войдите в Azure с помощью портал Azure или с помощью Azure CLI.

Портал

Войдите на портал Azure с помощью своей учетной записи Azure.

Azure CLI

Откройте интерфейс командной az login строки и выполните команду, чтобы войти в Azure.

az login

Она укажет веб-браузеру, что нужно запустить и загрузить страницу входа в Azure.

Настройка проверки подлинности и разрешений во время создания экземпляра

Создайте рабочую область с помощью портал Azure или ИНТЕРФЕЙСА командной строки.

Портал

Настройка основных параметров

1. Выберите Создать ресурс в левом верхнем углу домашней страницы. В поле "Поиск ресурсов, служб и документов( G+/) введите Azure Managed Grafana и выберите Azure Managed Grafana.

   

2. Выберите Создать.

3. В области "Основные сведения" введите следующие параметры.

   Параметр	Description	Пример
   Идентификатор подписки	Выберите подписку Azure, которую нужно использовать.	my-subscription
   Имя группы ресурсов	Создайте группу ресурсов для ресурсов Azure Managed Grafana.	my-resource-group
   Расположение	Используйте расположение, чтобы указать географическое расположение, в котором размещается ресурс. Выберите ближайшее к вам расположение.	Восточная часть США (США)
   Имя	Введите уникальное имя ресурса. Он будет использоваться в качестве доменного имени в URL-адресе управляемого экземпляра Grafana.	my-grafana
   Тарифный план	Выберите один из основных (предварительный просмотр) и стандартный план. Уровень "Стандартный" предоставляет дополнительные функции. Дополнительные сведения о планах ценообразования.	Essential (предварительная версия)

4. Сохраните все остальные значения по умолчанию и выберите вкладку "Разрешение на управление правами доступа" для экземпляра Grafana и источников данных:

Настройка параметров разрешений

Просмотрите ниже различные методы управления разрешениями для доступа к источникам данных в Управляемой Grafana Azure.

С включенным управляемым удостоверением

Назначаемое системой управляемое удостоверение — это метод проверки подлинности по умолчанию, предоставляемый всем пользователям, у которых есть роль владельца или доступа пользователей Администратор istrator для подписки.

Примечание.

На вкладке разрешений, если в Azure отображается сообщение "Вы должны быть подпиской "Владелец" или "Доступ пользователей Администратор istrator", чтобы использовать эту функцию." Перейдите к следующему разделу этой документации, чтобы узнать о настройке Управляемого Grafana Azure с отключенным управляемым удостоверением, назначенным системой.

1. По умолчанию управляемое удостоверение , назначаемое системой, имеет значение On .

2. Поле "Добавить назначение ролей в это удостоверение" с ролью "Средство чтения мониторинга" в целевой подписке по умолчанию проверка. Если вы не проверка этом поле, вам потребуется вручную добавить назначения ролей для Управляемой Grafana Azure позже. Дополнительные сведения см. в разделе "Изменение разрешений доступа к Azure Monitor".

3. В разделе роли администратора Grafana поле "Включить" проверка по умолчанию. При необходимости выберите "Добавить ", чтобы предоставить роль администратора Grafana дополнительным членам.

   

При отключении управляемого удостоверения

Управляемый Grafana Azure также может получить доступ к источникам данных с отключенным управляемым удостоверением. Субъект-службу можно использовать для проверки подлинности с помощью идентификатора клиента и секрета.

1. На вкладке "Разрешения" установите для управляемого удостоверения , назначаемого системой, значение Off. Строка "Добавить назначение ролей в это удостоверение" с ролью "Средство чтения мониторинга" в целевой подписке автоматически удаляется.

2. В разделе роли администратора Grafana, если у вас есть роль владельца или доступа пользователей Администратор istrator для подписки, поле "Включить" проверка по умолчанию. При необходимости выберите "Добавить ", чтобы предоставить роль администратора Grafana дополнительным членам. Если у вас нет необходимой роли, вы не сможете самостоятельно управлять правами доступа Grafana.

   

Примечание.

Отключение управляемого удостоверения, назначаемого системой, отключает подключаемый модуль источника данных Azure Monitor для экземпляра Управляемого Grafana Azure. В этом сценарии используйте субъект-службу вместо Azure Monitor для доступа к источникам данных.

Проверка и создание нового экземпляра

Выберите вкладку "Просмотр и создание ". После выполнения проверки нажмите кнопку "Создать". Развертывается ресурс Управляемой Grafana в Azure.

Azure CLI

Выполните приведенную ниже команду az group create , чтобы создать группу ресурсов, чтобы упорядочить необходимые ресурсы Azure. Пропустите этот шаг, если у вас уже есть группа ресурсов, которую вы хотите использовать.

Параметр	Описание	Пример
--name	Выберите уникальное имя новой группы ресурсов.	grafana-rg
--location	Выберите регион Azure, где доступна Управляемая Grafana. Дополнительные сведения см. в разделе "Продукты", доступные по регионам.	eastus

az group create --location <location> --name <resource-group-name>

Примечание.

Интерфейс командной строки для Управляемой Grafana Azure является частью расширения amg для Azure CLI (версия 2.30.0 или более поздней). Расширение автоматически установит при первом выполнении az grafana команды.

С включенным управляемым удостоверением

Назначаемое системой управляемое удостоверение — это метод проверки подлинности по умолчанию для Управляемой Grafana Azure. Выполните команду az grafana create ниже, чтобы создать экземпляр Azure Managed Grafana с управляемым удостоверением, назначенным системой.

1. Если у вас есть роль владельца или администратора в этой подписке:

   Параметр	Описание	Пример
   --name	Выберите уникальное имя для нового управляемого экземпляра Grafana.	grafana-test
   --resource-group	Выберите группу ресурсов для управляемого экземпляра Grafana.	my-resource-group

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name>
   

2. Если у вас нет роли владельца или администратора в этой подписке:

   Параметр	Описание	Пример
   --name	Выберите уникальное имя для нового управляемого экземпляра Grafana.	grafana-test
   --resource-group	Выберите группу ресурсов для управляемого экземпляра Grafana.	my-resource-group
   --skip-role-assignment	Введите true , чтобы пропустить назначение ролей, если у вас нет роли владельца или администратора в этой подписке. Пропуск назначения ролей позволяет создать экземпляр без ролей, необходимых для назначения разрешений.	--skip-role-assignment-true

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true
   

Примечание.

Для использования метода проверки подлинности управляемого удостоверения, назначаемого системой, необходимо иметь роль владельца или администратора в подписке. Если у вас нет необходимой роли, перейдите к следующему разделу, чтобы узнать, как создать экземпляр Управляемой Grafana Azure с отключенным управляемым удостоверением, назначенным системой.

При отключении управляемого удостоверения

Управляемый Grafana Azure также может получить доступ к источникам данных с отключенным управляемым удостоверением. Субъект-службу можно использовать для проверки подлинности, используя идентификатор клиента и секрет вместо управляемого удостоверения. Чтобы использовать этот метод, выполните следующую команду:

Параметр	Описание	Пример
--name	Выберите уникальное имя для нового управляемого экземпляра Grafana.	grafana-test
--resource-group	Выберите группу ресурсов для управляемого экземпляра Grafana.	my-resource-group
--skip-system-assigned-identity	Введите true , чтобы отключить назначенное системой удостоверение. Назначаемое системой управляемое удостоверение — это метод проверки подлинности по умолчанию для Управляемой Grafana Azure. Используйте этот параметр, если вы не хотите использовать управляемое удостоверение, назначаемое системой.	--skip-system-assigned-identity true
--skip-role-assignment	Введите true , чтобы пропустить назначение ролей, если у вас нет роли владельца или администратора в этой подписке. Пропуск назначения ролей позволяет создать экземпляр без ролей, необходимых для назначения разрешений.	--skip-role-assignment-true

az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true --skip-system-assigned-identity true

Примечание.

Отключение управляемого удостоверения, назначаемого системой, отключает подключаемый модуль источника данных Azure Monitor для экземпляра Управляемого Grafana Azure. В этом сценарии используйте субъект-службу вместо Azure Monitor для доступа к источникам данных.

После завершения развертывания вы увидите в выходных данных командной строки заметку о том, что экземпляр был успешно создан, а также дополнительные сведения о развертывании.

Обновление проверки подлинности и разрешений

После создания рабочей области вы можете включить или отключить управляемое удостоверение, назначаемое системой, и обновить назначения ролей Azure для Управляемой Grafana Azure.

1. В портал Azure в меню слева в разделе Параметры выберите "Удостоверение".

2. Задайте состояние для системы, назначенной в off, для деактивации управляемого удостоверения, назначенного системой, или установите для него значение On , чтобы активировать этот метод проверки подлинности.

3. В разделе разрешений выберите назначения ролей Azure, чтобы задать роли Azure.

4. По завершении нажмите кнопку "Сохранить"

   

Примечание.

Отключение управляемого удостоверения, назначаемого системой, является необратимым. При повторном включении удостоверения в будущем Azure создаст новое удостоверение.

Следующие шаги

Синхронизация команд Grafana с группами Microsoft Entra