すべてのプロダクト
Search

このプロダクト

    Application Real-Time Monitoring Service:Grafana でのリソースの整理と権限の管理

    ドキュメントセンター

    Application Real-Time Monitoring Service:Grafana でのリソースの整理と権限の管理

    最終更新日:Jun 11, 2025

    このトピックでは、Grafana でのリソースの整理、ワークスペースの作成、認証方式の設定、および権限の管理を行う方法について説明します。

    背景情報

    Grafana は、リソースを整理し、権限を管理するために使用できる複数の構造を提供しています。複数のチーム、部門、または顧客が Grafana を使用する場合は、次の課題に対処する必要がある場合があります。

    • ビジネス要件に基づいて Grafana エディションを選択します。

    • ユーザーを割り当て、ユーザー権限を管理して、異なる部門のユーザーを分離します。たとえば、部門 A と部門 B のユーザーを分離できます。

    • 部門にコストを割り当てます。

    • 異なる認証方式とプラグインを使用する部門を分離します。

    • 匿名アクセスを有効にして、認証されていないユーザーが公開コンテンツを表示できるようにします。

    このトピックでは、Grafana でのリソースの整理、ワークスペースの作成、認証方式の設定、および権限の管理を行う方法について説明します。

    ワークスペースの作成

    Managed Service for GrafanaManaged Service for Grafana は、Pro Edition (10 Users)、Pro Edition (30 Users)、Pro Edition (50 Users)、および Advanced Edition (100 Users) の 4 つのエディションを提供しています。

    機能の選択

    レポート機能と監査機能を使用する場合は、Advanced Edition を使用します。

    ユーザー数の選択

    1. 会社の最小の集合粒度を定義します。

      ほとんどの場合、1 つのワークスペースでビジネス要件を満たすことができます。ただし、次のシナリオで権限またはデータを完全に分離する場合は、部門またはチームごとにワークスペースを購入できます。

      • 部門 A と部門 B のコストを個別に管理します。

      • 会社のチームを Grafana にマッピングし、OAuth 2.0 プロトコルを使用して Grafana のチームにユーザーを追加します。各チームには固有の AppID があります。Grafana の OAuth2 機能では、1 つの AppID のみをチームにマッピングできます。

      • 本番環境またはテスト環境で異なるチームまたは部門に異なる権限を付与して、さまざまなデータセキュリティとアクセス要件を満たします。

    2. エディションを選択します。

      • 部門に 100 人のユーザーがいる場合は、Advanced Edition (100 Users) を購入することをお勧めします。

      • チームに 20 人のユーザーがいる場合は、Pro Edition (30 Users) を購入することをお勧めします。

      • テスト環境で 30 人のユーザーが使用し、本番環境で 10 人のユーザーが使用する場合は、Pro Edition (30 Users) と Pro Edition (10 Users) を購入することをお勧めします。

    ユーザー数がわからない場合は、最初に Pro Edition (10 Users) を購入し、ビジネス要件に基づいて構成をスペックアップすることをお勧めします。

    認証方式の設定

    Grafana では、ユーザーは Grafana ユーザーとして、または認証プロバイダーのアカウントを使用してログオンできます。 Grafana はさまざまな認証プロバイダーをサポートしています。詳細については、「Grafana ドキュメント」をご参照ください。

    Alibaba Cloud Managed Service for Grafana はAlibaba Cloud認証方式もサポートしています。次の表に、Managed Service for Grafana にログインするために使用できるメソッドを示します。ビジネス要件に基づいて、ワークスペースに1つ以上のメソッドを設定できます。

    タイプ

    方式

    説明

    ユーザー管理 (サーバー管理者)

    ユーザーとパスワードの作成

    サーバー管理者として Grafana にログインします。 アイコン (Server Admin) にポインターを移動します。ショートカットメニューが表示されます。次に、ユーザーを作成し、パスワードを指定し、ユーザーに権限を付与できます。また、メール、Alibaba Cloud シングルサインオン (SSO)、OAuth、および LDAP によって認証されるユーザーを管理することもできます。Server administrator

    ユーザー管理 (組織管理者)

    メールでユーザーを組織に招待する

    サーバー管理者と組織管理者には、異なる権限が付与されます。次の図は、組織管理者としてログインした後に表示される Grafana コンソールを示しています。Shield アイコンは左側のナビゲーションウィンドウに表示されません。組織にユーザーを追加することはできません。ユーザーにメールを送信して、組織への参加を招待することのみ可能です。メールには、ユーザーが招待を受け入れるためにクリックできるリンクが含まれています。メールを送信するときに、ユーザーに権限を付与できます。組織管理者には、ユーザーのパスワードを表示する権限は付与されていません。サーバー管理者にのみ、ユーザーのパスワードを表示する権限が付与されています。Managed Service for Grafana は、デフォルトの簡易メール転送プロトコル(SMTP)設定を使用します。ユーザーを招待するために SMTP 設定を構成できます。詳細については、「SMTP 対応のメールアカウントを使用してユーザーを招待する」をご参照ください。Organization administrator

    Alibaba Cloud シングルサインオン (SSO)

    Alibaba Cloud アカウントを使用してログオンする

    Managed Service for Grafana コンソールで、Alibaba Cloud アカウントの ID または RAM ユーザーの ID を入力します。Alibaba Cloud コンソールにログインしている場合は、認証なしで Managed Service for Grafana にログインできます。詳細については、「アカウントの管理」をご参照ください。

    OAuth 認証

    Grafana と認証プロバイダーを統合する

    Managed Service for Grafana は、標準 OAuth プロトコルに基づく認証をサポートしています。Grafana は、Azure AD OAuth、Google OAuth、カスタム認証統合など、さまざまな認証プロバイダーをサポートしています。このメソッドは、Grafana を認証プロバイダーと統合する場合に適しています。Grafana を認証プロバイダーと統合する方法については、「OAuth を使用して Grafana にログインする」をご参照ください。前述のトピックでは、Alibaba Cloud を例として使用して、企業の認証システムをシミュレートし、Grafana を認証プロバイダーと統合しています。

    LDAP

    Grafana と認証プロバイダーを統合する

    [Managed Service for Grafana] コンソールでは、LDAP 構成ファイルをアップロードできません。LDAP 認証を有効にする場合は、DingTalk グループ チャット(ID: 34785590)に参加してテクニカルサポートを受けてください。

    匿名アクセス

    ログオンせずに公開コンテンツを表示する

    匿名アクセスを有効にして、ダッシュボードを公開することができます。認証されていないユーザーは、ログオンせずにダッシュボードを表示できます。たとえば、Grafana デモ Web サイトは、匿名アクセスリクエストを許可するデモページです。匿名アクセスリクエストを有効にする方法については、「Grafana ダッシュボードを共有するためのリンクを生成する」をご参照ください。

    権限の管理

    オープンソースの Grafana は、ビジネス要件に基づいて権限を管理するのに役立つさまざまな方法を提供しています。 Grafana で推奨されているフォルダとチームを使用して、Grafana リソースの権限を管理できます。また、組織とワークスペースを使用して権限を管理することもできます。ワークスペースは、組織よりも詳細な権限管理に適しています。

    比較

    方式

    メリット

    デメリット

    フォルダとチーム (推奨)

    • フォルダとチームは柔軟で軽量です。リソースはチーム間で柔軟に共有できます。

    • フォルダとチームを使用するために実行できる構成の数は少なくなります。

    • Grafana は、フォルダとチーム向けのより多くの機能を開発しています。詳細については、「Grafana ドキュメント」をご参照ください。

    フォルダとチームはワークスペースを分離しません。

    組織

    ユーザーは最初のログオン後に再認証する必要はありません。

    • 組織は、データソース、ダッシュボード、フォルダなどのリソースを分離します。これらのリソースのデータを組織間で同期するには、API を呼び出します。

    • ユーザー管理はより複雑です。異なる組織のユーザーを個別に構成する必要があります。

    • 組織はフォルダよりも柔軟性が低く、ワークスペースよりも分離性が低くなります。

    ワークスペース

    異なるワークスペースのデータベースと構成ファイルは互いに完全に分離されています。

    データソース、ダッシュボード、フォルダなどのリソースは、ワークスペース間で共有および同期できません。リソースを共有するには、API を呼び出す必要があります。

    フォルダとチームのベストプラクティス

    たとえば、会社にオンラインチームが含まれているとします。

    • 次のチームを作成します。R&D、O&M、および運用。また、次のフォルダも作成します。サービスとインフラストラクチャ。

    • 実行中のアプリケーションに基づいて生成されたサービスダッシュボードをサービスフォルダに保存します。フォルダは R&D チームによって構成され、運用チームによって表示されます。

    • Alibaba Cloud Elastic Compute Service (ECS) や ApsaraDB RDS などのインフラストラクチャを監視するために使用されるダッシュボードをインフラストラクチャフォルダに保存します。フォルダは O&M チームによって構成され、R&D チームによって表示されます。

    次の手順を実行することをお勧めします。

    1. Grafana コンソールにログインします。左側のナビゲーションウィンドウで、未4 > [構成] を選択します。

    2. [構成] ページの [チーム] タブで、R&D、O&M、および運用チームを作成し、チームメンバーを追加します。詳細については、「Grafana ドキュメント」をご参照ください。Create teams

    3. 左側のナビゲーションウィンドウで、34 > [+ 新しいフォルダ] を選択し、サービスフォルダとインフラストラクチャフォルダを作成します。詳細については、「Grafana ドキュメント」をご参照ください。er

    4. フォルダの権限を付与します。

      フォルダに移動し、[権限] タブで権限を追加してから、チームに権限を付与します。

      Grant permissions

      権限を付与した後、表示権限が付与されているチームメンバーのみがダッシュボードを表示できます。

      説明

      ユーザーに管理者権限が付与されていて、表示権限が付与されているチームに属している場合、管理者権限が優先されます。