分享方式:

設定 Azure 受控 Grafana 驗證和授權

  • 文章

若要處理資料,Azure 受控 Grafana 需要存取資料來源的授權。 在本指南中,了解如何在建立 Azure 受控 Grafana 執行個體期間設定驗證,以便 Grafana 可以使用系統指派的受控識別或服務主體來存取資料來源。 本指南也會介紹在目標訂用帳戶上新增監視讀取者角色指派的選項。

必要條件

具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶

登入 Azure

使用 Azure 入口網站或 Azure CLI 登入 Azure。

使用您的 Azure 帳戶登入 Azure 入口網站

在建立執行個體期間設定驗證和授權

使用 Azure 入口網站 或 CLI 建立工作區。

設定基本設定

  1. 在首頁的左上角,選取 [建立資源]。 在 [搜尋資源、服務和文件 (G+/)] 方塊中,輸入 Azure 受控 Grafana,然後選取 [Azure 受控 Grafana]

    Screenshot of the Azure platform. Find Azure Managed Grafana in the marketplace.

  2. 選取 建立

  3. 在 [基本] 窗格中,輸入下列設定。

    設定 描述 範例
    訂用帳戶識別碼 選取您要使用的 Azure 訂用帳戶。 my-subscription
    資源群組名稱 為 Azure 受控 Grafana 資源建立資源群組。 my-resource-group
    Location 使用 [位置] 指定裝載資源的地理位置。 選擇最靠近您的位置。 (美國) 美國東部
    名稱 輸入唯一資源名稱。 這會作為受控 Grafana 執行個體 URL 中的網域名稱。 my-grafana
    定價方案 選擇 Essential (預覽) 或標準方案。 標準層提供其他功能。 定價方案的詳細資訊 Essential (預覽)

  4. 保留所有其他預設值,然後選取 [權限] 索引標籤,以控制 Grafana 執行個體和資料來源的存取權限:

設定權限設定

請檢閱下列不同方法來管理授權,以存取 Azure Managed Grafana 內的資料來源。

已啟用受控識別

系統指派的受控識別是預設的驗證方法,提供給具有訂用帳戶擁有者或使用者存取系統管理員角色的所有使用者。

注意

在 [授權] 索引標籤中,如果 Azure 顯示訊息「您必須是訂用帳戶『擁有者』或『使用者存取系統管理員』才能使用此功能。」,請移至本檔的下一節,了解如何設定已停用系統指派受控識別的 Azure 受控 Grafana。

  1. [系統指派的受控識別] 方塊預設設定為 [開啟]

  2. 預設已核取 [使用目標訂用帳戶上的「監視讀者」角色,將角色指派新增到此身分識別] 方塊。 如果您取消核取此方塊,您稍後將需要手動新增 Azure 受控 Grafana 的角色指派。 如需參考,請移至修改 Azure 監視器的存取權限

  3. 預設會核取 [Grafana 管理員角色] 下的 [包括我自己] 方塊。 選擇性地選取 [新增] 以將 Grafana 系統管理員角色授與更多成員。

    Screenshot of the Azure portal. Create workspace form. Permission.

已停用受控識別

Azure 受控 Grafana 也可以存取已停用受控識別的資料來源。 您可以使用服務主體進行驗證,並使用用戶端識別碼和祕密。

  1. 在 [授權] 索引標籤中,將 [系統指派的受控識別] 方塊設定為 [關閉]。 [使用目標訂用帳戶上的「監視讀者」角色,將角色指派新增到此身分識別] 一行會自動呈現灰色。

  2. 在 [Grafana 系統管理員角色] 下,如果您有訂用帳戶的擁有者或使用者存取系統管理員角色,預設會核取 [包含自己] 方塊。 選擇性地選取 [新增] 以將 Grafana 系統管理員角色授與更多成員。 如果您沒有必要的角色,您將無法自行管理 Grafana 存取權限。

    Screenshot of the Azure portal. Create workspace form. Permission tab with managed identity disabled.

注意

關閉系統指派的受控識別會停用 Azure 受控 Grafana 執行個體的 Azure 監視器資料來源外掛程式。 在此情節中,請使用服務主體而非 Azure 監視器來存取資料來源。

檢閱並建立新的執行個體

選取 [檢閱 + 建立] 索引標籤。驗證執行之後,選取 [建立]。 Azure 受控 Grafana 資源正在部署。

Screenshot of the Azure portal. Create workspace form. Validation.

更新驗證和權限

建立工作區之後,您仍然可以開啟或關閉系統指派的受控識別,並更新 Azure 受控 Grafana 的 Azure 角色指派。

  1. 在Azure 入口網站,從左側功能表的 [設定] 底下,選取 [身分識別]

  2. 將 [系統指派] 的狀態設定為 [關閉]、停用系統指派的受控識別,或將它設定為 [開啟] 以啟用此驗證方法。

  3. 在 [權限] 下,選取 [Azure 角色指派] 設定 Azure 角色。

  4. 完成時,選取 [儲存]

    Screenshot of the Azure portal. Updating the system-assigned managed identity. Basics.

注意

停用系統指派的受控識別無法復原。 如果您在未來重新啟用身分識別,Azure 將會建立新的身分識別。

下一步

同步 Grafana 小組與 Microsoft Entra 群組