はじめに
Organizations配下の子アカウントでAmazon Managed Grafana(以下Grafana)をIAM Identity Center(以下IdP)で認証している場合、 管理アカウントで新規作成したIdPユーザーにはアプリケーション(Grafana)を紐付ける必要があります。
これをしないとGrafana側で、あれ?ユーザー追加したのに表示されないぞ?となるので注意が必要です。 紐付けはIdP側ではなくGrafana側で設定する必要があることに注意しましょう。
新規ユーザー追加前の状態を確認
まずは検証前の状況を確認します。 イメージとしてはGrafanaをすでに運用している状態です。
子アカウントでGrafanaワークスペースが作成されており、ワークスペースのIdP認証は済んでいる状態です。
親アカウントでもIdPへアプリケーション(Grafana)は登録されている状態です。
IdPへのGrafanaの登録は、Grafana側でIdP認証を行った際に自動で登録されます。
ユーザー作成
上記の環境に新たにIdPユーザーを追加します。 今回はdemo_userという名前でユーザーを追加します。
ユーザーを追加すると設定したメールアドレス宛にパスワード設定のリンクが届きます。
パスワードを設定します。
再度、管理アカウントのIdPのユーザー一覧画面に戻ります。
新しく作成したdemo_userが追加されていますね。
この時点では新規作成したユーザーはGrafanaに紐づいていないため、Grafanaのユーザーとして使用することはできません。
ユーザーの詳細画面を確認すると、アプリケーションが紐づいていないことが分かります。
Grafanaでこのユーザーを使用するには、ここにアプリケーションを紐づける必要があります。
Grafanaでユーザー設定(紐付け)
Grafanaのコンソール画面で「ユーザーとユーザーグループの設定」をクリックします。
アクション > ユーザーを割り当てる を選択します。
一覧に先ほど作成したdemo_userがあるので、チェックを入れて「ユーザーとグループを割り当て」をクリックします。
demo_userがGrafanaのユーザーとして割り当てられていることが確認できますね。
この時、アクションよりユーザーの権限を変更することも可能です。 必要に応じて権限を変更しましょう。
では念の為ログインできることを確認します。
初回ログイン時にMFAの設定を求められるため、MFAも設定しましょう。
ログインが確認できました。
まとめ
GrafanaでIdP認証を使用している場合は、ユーザー追加ごとにアプリケーションの割り当てが必要になります。
アプリケーションが割り当てられているかはIdP側で確認できますが、割り当て操作自体はGrafanaで実施する必要があります。
ユーザーを追加したのに、あれ?ないぞ?なんでだ?となった場合はこのブログを参考にしてみてください。
4
