Konfigurera autentisering och behörigheter för Azure Managed Grafana

För att bearbeta data behöver Azure Managed Grafana behörighet att komma åt datakällor. I den här guiden får du lära dig hur du konfigurerar autentisering när Azure Managed Grafana-instansen skapas, så att Grafana kan komma åt datakällor med hjälp av en systemtilldelad hanterad identitet eller ett huvudnamn för tjänsten. Den här guiden introducerar också alternativet för att lägga till en rolltilldelning för övervakningsläsare i målprenumerationen.

Förutsättningar

Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.

Logga in på Azure

Logga in på Azure med Azure-portalen eller med Azure CLI.

Portal

Logga in på Azure Portal med ditt Azure-konto.

Azure CLI

Öppna CLI och kör az login kommandot för att logga in på Azure.

az login

Det här kommandot uppmanar webbläsaren att starta och läsa in en Azure-inloggningssida.

Konfigurera autentisering och behörigheter när instansen skapas

Skapa en arbetsyta med Azure-portalen eller CLI.

Portal

Konfigurera grundläggande inställningar

1. I det övre vänstra hörnet på startsidan väljer du Skapa en resurs. I rutan Sök efter resurser, tjänster och dokument (G+/) anger du Azure Managed Grafana och väljer Azure Managed Grafana.

   

2. Välj Skapa.

3. I fönstret Grundläggande anger du följande inställningar.

   Inställning	Description	Exempel
   Prenumerations-ID:t	Ange den prenumeration som du vill använda.	my-subscription
   Namn på resursgrupp	Skapa en resursgrupp för dina Azure Managed Grafana-resurser.	my-resource-group
   Plats	Använd Plats för att ange den geografiska plats som resursen ska vara värd för. Välj den plats som är närmast dig.	(USA) USA, östra
   Name	Ange ett unikt resursnamn. Det används som domännamn i din hanterade Grafana-instans-URL.	my-grafana
   Prisplan	Välj mellan en Essential (förhandsversion) och en Standard-plan. Standardnivån erbjuder ytterligare funktioner. Mer information om prisplaner.	Essential (förhandsversion)

4. Behåll alla andra standardvärden och välj fliken Behörighet för att kontrollera åtkomsträttigheterna för grafanainstansen och datakällorna:

Konfigurera behörighetsinställningar

Granska olika metoder nedan för att hantera behörigheter för åtkomst till datakällor i Azure Managed Grafana.

Med hanterad identitet aktiverad

Systemtilldelad hanterad identitet är standardautentiseringsmetoden som tillhandahålls till alla användare som har rollen Ägare eller Administratör för användaråtkomst för prenumerationen.

Kommentar

På fliken Behörigheter går du till nästa avsnitt i det här dokumentet om du vill veta mer om hur du konfigurerar Azure Managed Grafana med systemtilldelad hanterad identitet inaktiverad på fliken Behörigheter.

1. Rutan Systemtilldelad hanterad identitet är inställd på På som standard.

2. Kryssrutan Lägg till rolltilldelning till den här identiteten med rollen Övervakningsläsare i målprenumerationen är markerad som standard. Om du avmarkerar den här rutan måste du lägga till rolltilldelningar för Azure Managed Grafana manuellt senare. Som referens går du till Ändra åtkomstbehörigheter till Azure Monitor.

3. Under Grafana-administratörsrollen markeras kryssrutan Inkludera mig själv som standard. Du kan också välja Lägg till för att ge Grafana-administratörsrollen till fler medlemmar.

   

Med hanterad identitet inaktiverad

Azure Managed Grafana kan också komma åt datakällor med hanterad identitet inaktiverad. Du kan använda tjänstens huvudnamn för autentisering med hjälp av ett klient-ID och en hemlighet.

1. På fliken Behörigheter anger du rutan Systemtilldelad hanterad identitet till Av. Raden Lägg till rolltilldelning till den här identiteten med rollen Övervakningsläsare i målprenumerationen är automatiskt nedtonad.

2. Om du har rollen Ägare eller Administratör för användaråtkomst för prenumerationen under Grafana-administratörsrollen markeras kryssrutan Inkludera mig själv som standard. Du kan också välja Lägg till för att ge Grafana-administratörsrollen till fler medlemmar. Om du inte har den nödvändiga rollen kan du inte hantera Grafana-åtkomsträttigheter själv.

   

Kommentar

Om du inaktiverar systemtilldelad hanterad identitet inaktiveras plugin-programmet Azure Monitor-datakällan för din Azure Managed Grafana-instans. I det här scenariot använder du tjänstens huvudnamn i stället för Azure Monitor för att komma åt datakällor.

Granska och skapa den nya instansen

Välj fliken Granska + skapa . När verifieringen har körts väljer du Skapa. Din Azure Managed Grafana-resurs distribueras.

Azure CLI

Kör kommandot az group create nedan för att skapa en resursgrupp för att organisera de Azure-resurser som behövs. Hoppa över det här steget om du redan har en resursgrupp som du vill använda.

Parameter	Beskrivning	Exempel
--Namn	Välj ett unikt namn för den nya resursgruppen.	grafana-rg
--Plats	Välj en Azure-region där Managed Grafana är tillgängligt. Mer information finns i Produkter som är tillgängliga per region.	eastus

az group create --location <location> --name <resource-group-name>

Kommentar

CLI-upplevelsen för Azure Managed Grafana är en del av amg-tillägget för Azure CLI (version 2.30.0 eller senare). Tillägget installeras automatiskt första gången du kör ett az grafana kommando.

Med hanterad identitet aktiverad

Systemtilldelad hanterad identitet är standardautentiseringsmetoden för Azure Managed Grafana. Kör kommandot az grafana create nedan för att skapa en Azure Managed Grafana-instans med systemtilldelad hanterad identitet.

1. Om du har rollen ägare eller administratör för den här prenumerationen:

   Parameter	Beskrivning	Exempel
   --Namn	Välj ett unikt namn för din nya hanterade Grafana-instans.	grafana-test
   --resource-group	Välj en resursgrupp för din hanterade Grafana-instans.	my-resource-group

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name>
   

2. Om du inte har rollen ägare eller administratör för den här prenumerationen:

   Parameter	Beskrivning	Exempel
   --Namn	Välj ett unikt namn för din nya hanterade Grafana-instans.	grafana-test
   --resource-group	Välj en resursgrupp för din hanterade Grafana-instans.	my-resource-group
   --skip-role-assignment	Ange true för att hoppa över rolltilldelning om du inte har någon ägar- eller administratörsroll i den här prenumerationen. Om du hoppar över rolltilldelningen kan du skapa en instans utan de roller som krävs för att tilldela behörigheter.	--skip-role-assignment true

   az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true
   

Kommentar

Du måste ha rollen ägare eller administratör för din prenumeration för att kunna använda den systemtilldelade autentiseringsmetoden för hanterad identitet. Om du inte har den roll som krävs går du till nästa avsnitt för att se hur du skapar en Azure Managed Grafana-instans med systemtilldelad hanterad identitet inaktiverad.

Med hanterad identitet inaktiverad

Azure Managed Grafana kan också komma åt datakällor med hanterad identitet inaktiverad. Du kan använda tjänstens huvudnamn för autentisering med hjälp av ett klient-ID och en hemlighet i stället för en hanterad identitet. Om du vill använda den här metoden kör du kommandot nedan:

Parameter	Beskrivning	Exempel
--Namn	Välj ett unikt namn för din nya hanterade Grafana-instans.	grafana-test
--resource-group	Välj en resursgrupp för din hanterade Grafana-instans.	my-resource-group
--skip-system-assigned-identity	Ange true för att inaktivera systemtilldelad identitet. Systemtilldelad hanterad identitet är standardautentiseringsmetoden för Azure Managed Grafana. Använd det här alternativet om du inte vill använda en systemtilldelad hanterad identitet.	--skip-system-assigned-identity true
--skip-role-assignment	Ange true för att hoppa över rolltilldelning om du inte har någon ägar- eller administratörsroll i den här prenumerationen. Om du hoppar över rolltilldelningen kan du skapa en instans utan de roller som krävs för att tilldela behörigheter.	--skip-role-assignment true

az grafana create --name <managed-grafana-resource-name> --resource-group <resource-group-name> --skip-role-assignment true --skip-system-assigned-identity true

Kommentar

Om du inaktiverar systemtilldelad hanterad identitet inaktiveras plugin-programmet Azure Monitor-datakällan för din Azure Managed Grafana-instans. I det här scenariot använder du tjänstens huvudnamn i stället för Azure Monitor för att komma åt datakällor.

När distributionen är klar visas en anteckning i utdata från kommandoraden som anger att instansen har skapats tillsammans med ytterligare information om distributionen.

Uppdatera autentisering och behörigheter

När arbetsytan har skapats kan du fortfarande aktivera eller inaktivera systemtilldelad hanterad identitet och uppdatera Azure-rolltilldelningar för Azure Managed Grafana.

1. I Azure-portalen går du till den vänstra menyn under Inställningar och väljer Identitet.

2. Ange status för System tilldelad till Av, för att inaktivera den systemtilldelade hanterade identiteten eller ange den till På för att aktivera den här autentiseringsmetoden.

3. Under Behörigheter väljer du Azure-rolltilldelningar för att ange Azure-roller.

4. När du är klar väljer du Spara

   

Kommentar

Det går inte att inaktivera en systemtilldelad hanterad identitet. Om du återaktiverar identiteten i framtiden skapar Azure en ny identitet.

Nästa steg

Synkronisera Grafana-team med Microsoft Entra-grupper