設定 Azure 受控 Grafana 驗證和授權
若要處理資料,Azure 受控 Grafana 需要存取資料來源的許可權。 在本指南中,瞭解如何在建立 Azure 受控 Grafana 實例期間設定驗證,讓 Grafana 可以使用系統指派的受控識別或服務主體來存取資料來源。 本指南也會介紹在目標訂用帳戶上新增監視讀取者角色指派的選項。
必要條件
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
登入 Azure
使用 Azure 入口網站 或使用 Azure CLI 登入 Azure。
使用您的 Azure 帳戶登入 Azure 入口網站 。
在建立實例期間設定驗證和許可權
使用 Azure 入口網站 或 CLI 建立工作區。
設定基本設定
在首頁左上角,選取 [建立資源 ]。 在 [ 搜尋資源、服務和檔 ](G+/) 方塊中,輸入 Azure 受控 Grafana,然後選取 [Azure 受控 Grafana ]。
選取建立。
在 [ 基本] 窗格中,輸入下列設定。
設定 描述 範例 訂用帳戶識別碼 選取您想要使用的 Azure 訂用帳戶。 my-subscription 資源群組名稱 為您的 Azure 受控 Grafana 資源建立資源群組。 my-resource-group 位置 使用 [位置] 指定要裝載資源的地理位置。 選擇最接近您的位置。 (美國) 美國東部 名稱 輸入唯一資源名稱。 它會作為受控 Grafana 實例 URL 中的功能變數名稱。 my-grafana 定價方案 選擇 Essential (預覽) 和標準方案。 標準層提供其他功能。 有關定價方案 的詳細資訊。 Essential (預覽) 保留所有其他預設值,然後選取 [許可權 ] 索引標籤 ,以控制 Grafana 實例和資料來源的存取權限:
設定許可權設定
請檢閱以下不同的方法來管理許可權,以存取 Azure Managed Grafana 內的資料來源。
已啟用受控識別
系統指派的受控識別是提供給具有訂用帳戶擁有者或使用者存取管理員istrator 角色之所有使用者的預設驗證方法。
注意
在 [許可權] 索引標籤中,如果 Azure 顯示訊息「您必須是訂用帳戶'擁有者」或「使用者存取管理員istrator」才能使用這項功能。」,請移至此檔的下一節,以瞭解設定已停用系統指派受控識別的 Azure Managed Grafana。
[系統指派的受控識別 ] 方塊 預設會設定為 [開啟 ]。
預設會核取 [在目標訂 用帳戶上新增具有「監視讀取者」角色的角色指派至此身分識別的方 塊。 如果您取消核取此方塊,您稍後必須手動新增 Azure 受控 Grafana 的角色指派。 如需參考,請移至修改 Azure 監視器 的存取權限。
在 Grafana 系統管理員角色 下 ,預設會核取 [包含自己 ] 方 塊。 選擇性地選取 [ 新增 ] 以將 Grafana 系統管理員角色授與更多成員。
停用受控識別
Azure 受控 Grafana 也可以存取已停用受控識別的資料來源。 您可以使用服務主體進行驗證,並使用用戶端識別碼和秘密。
在 [ 許可權] 索引標籤中,將 [系統指派的受控識別 ] 方塊 設定為 [關閉 ]。 將角色指派新增至目標訂 用帳戶上具有「監視讀取者」角色的這個身分識別行 會自動呈現灰色。
在 Grafana 系統管理員角色 下,如果您有訂用帳戶的擁有者或使用者存取管理員istrator 角色,預設會核取 [包含自己 ] 方 塊。 選擇性地選取 [ 新增 ] 以將 Grafana 系統管理員角色授與更多成員。 如果您沒有必要的角色,您將無法自行管理 Grafana 存取權限。
注意
關閉系統指派的受控識別會停用 Azure 受控 Grafana 實例的 Azure 監視器資料來源外掛程式。 在此案例中,請使用服務主體而非 Azure 監視器來存取資料來源。
檢閱並建立新的實例
選取 [ 檢閱 + 建立] 索引卷 標。驗證執行之後,請選取 [ 建立 ]。 您的 Azure 受控 Grafana 資源正在部署。
更新驗證和許可權
建立工作區之後,您仍然可以開啟或關閉系統指派的受控識別,並更新 Azure 受控 Grafana 的 Azure 角色指派。
在Azure 入口網站中,從左側功能表的 [設定 ] 底下 ,選取 [ 身分 識別]。
將 [系統指派] 的狀態設定為 [ 關閉 ]、停用系統指派的受控識別,或將它設定為 [開啟 ] 以啟用此驗證方法。
在 [許可權] 底下 ,選取 [Azure 角色指派] 以設定 Azure 角色。
完成後,選取 [ 儲存]
注意
停用系統指派的受控識別是無法復原的。 如果您在未來重新啟用身分識別,Azure 將會建立新的身分識別。