すべてのプロダクト
Search

このプロダクト

    Managed Service for Grafana:Grafana でのリソースの整理と権限の管理

    ドキュメントセンター

    Managed Service for Grafana:Grafana でのリソースの整理と権限の管理

    最終更新日:Jan 13, 2025

    このトピックでは、Grafana でのリソースの整理、ワークスペースの作成、認証方法の設定、および権限の管理を行う方法について説明します。

    背景情報

    Grafana は、リソースを整理し、権限を管理するために使用できる複数の構造を提供します。複数のチーム、部門、または顧客に Grafana を使用させる場合は、次の課題に対処する必要がある場合があります。

    • ビジネス要件に基づいて Grafana エディションを選択します。

    • ユーザーを割り当て、ユーザー権限を管理して、異なる部門のユーザーを分離します。たとえば、部門 A と部門 B のユーザーを分離できます。

    • 部門にコストを割り当てます。

    • 異なる認証方法とプラグインを使用する部門を分離します。

    • 匿名アクセスを有効にして、認証されていないユーザーが公開コンテンツを表示できるようにします。

    このトピックでは、Grafana でのリソースの整理、ワークスペースの作成、認証方法の設定、および権限の管理を行う方法について説明します。

    ワークスペースの作成

    Managed Service for Grafana は、Pro Edition(10 ユーザー)、Pro Edition(30 ユーザー)、Pro Edition(50 ユーザー)、および Advanced Edition(100 ユーザー)の 4 つのエディションを提供します。

    機能の選択

    レポート機能と監査機能を使用する場合は、Advanced Edition を使用します。

    ユーザー数の選択

    1. 会社の最小の集合粒度を定義します。

      ほとんどの場合、1 つのワークスペースでビジネス要件を満たすことができます。ただし、次のシナリオで権限またはデータを完全に分離する場合は、部門またはチームごとにワークスペースを購入できます。

      • 部門 A と部門 B のコストを個別に管理します。

      • 会社のチームを Grafana にマッピングし、OAuth 2.0 プロトコルを使用して Grafana のチームにユーザーを追加します。各チームには一意の AppID があります。Grafana の OAuth2 機能では、1 つの AppID のみをチームにマッピングできます。

      • 本番環境またはテスト環境で異なるチームまたは部門に異なる権限を付与して、さまざまなデータセキュリティとアクセス要件を満たします。

    2. エディションを選択します。

      • 部門に 100 人のユーザーがいる場合は、Advanced Edition(100 ユーザー)を購入することをお勧めします。

      • チームに 20 人のユーザーがいる場合は、Pro Edition(30 ユーザー)を購入することをお勧めします。

      • テスト環境で 30 人のユーザーが使用し、本番環境で 10 人のユーザーが使用する場合は、Pro Edition(30 ユーザー)と Pro Edition(10 ユーザー)を購入することをお勧めします。

    ユーザー数がわからない場合は、最初に Pro Edition(10 ユーザー)を購入し、ビジネス要件に基づいて構成をアップグレードすることをお勧めします。

    認証方法の設定

    Grafana では、ユーザーは Grafana ユーザーとして、または認証プロバイダーのアカウントを使用してログオンできます。Grafana はさまざまな認証プロバイダーをサポートしています。詳細については、Grafana のドキュメントをご参照ください。

    Alibaba Cloud Managed Service for Grafana は、Alibaba Cloud 認証方法もサポートしています。次の表に、Managed Service for Grafana へのログオンに使用できる方法を示します。ビジネス要件に基づいて、ワークスペースに 1 つ以上の方法を設定できます。

    タイプ

    方法

    説明

    ユーザー管理(サーバー管理者)

    ユーザーとパスワードの作成

    サーバー管理者として Grafana にログオンします。 アイコン(サーバー管理者(シールド))にポインターを移動します。ショートカットメニューが表示されます。次に、ユーザーを作成し、パスワードを指定し、ユーザーに権限を付与できます。また、メール、Alibaba Cloud SSO、OAuth、および LDAP によって認証されるユーザーを管理することもできます。Server administrator

    ユーザー管理(組織管理者)

    メールでユーザーを組織に招待する

    サーバー管理者と組織管理者には、異なる権限が付与されます。次の図は、組織管理者としてログオンした後に表示される Grafana コンソールを示しています。左側のナビゲーションペインには Shield アイコンは表示されません。組織にユーザーを追加することはできません。ユーザーにメールを送信して、組織への参加を招待することしかできません。メールには、ユーザーがクリックして招待を受け入れることができるリンクが含まれています。メールを送信するときに、ユーザーに権限を付与できます。組織管理者には、ユーザーのパスワードを表示する権限は付与されていません。サーバー管理者にのみ、ユーザーのパスワードを表示する権限が付与されます。Managed Service for Grafana は、デフォルトの SMTP(Simple Mail Transfer Protocol)設定を使用します。ユーザーを招待するために SMTP 設定を構成できます。詳細については、SMTP が有効になっているメールアカウントを使用してユーザーを招待するをご参照ください。Organization administrator

    Alibaba Cloud SSO

    Alibaba Cloud アカウントを使用してログオンする

    Managed Service for Grafana コンソールで、Alibaba Cloud アカウントの ID または RAM ユーザーの ID を入力します。Alibaba Cloud コンソールにログオンしている場合は、認証なしで Managed Service for Grafana にログオンできます。詳細については、アカウント管理をご参照ください。

    OAuth 認証

    Grafana を認証プロバイダーと統合する

    Managed Service for Grafana は、標準 OAuth プロトコルに基づく認証をサポートしています。Grafana は、Azure AD OAuth、Google OAuth、カスタム認証統合など、さまざまな認証プロバイダーをサポートしています。この方法は、Grafana を認証プロバイダーと統合する場合に適しています。Grafana を認証プロバイダーと統合する方法については、OAuth を使用して Grafana にログオンするをご参照ください。上記のトピックでは、Alibaba Cloud を例として使用して、会社の認証システムをシミュレートし、Grafana を認証プロバイダーと統合しています。

    LDAP

    Grafana を認証プロバイダーと統合する

    Managed Service for Grafana コンソールに LDAP 構成ファイルをアップロードすることはできません。LDAP 認証を有効にする場合は、DingTalk グループチャット(ID:34785590)に参加してテクニカルサポートを受けてください。

    匿名アクセス

    ログオンせずに公開コンテンツを表示する

    匿名アクセスを有効にして、ダッシュボードを公開表示できます。認証されていないユーザーは、ログオンせずにダッシュボードを表示できます。たとえば、Grafana デモ Web サイトは、匿名アクセスリクエストを許可するデモページです。匿名アクセスリクエストを有効にする方法については、Grafana ダッシュボードを共有するためのリンクを生成するをご参照ください。

    権限の管理

    オープンソースの Grafana は、ビジネス要件に基づいて権限を管理するのに役立つさまざまな方法を提供します。Grafana で推奨されているフォルダーとチームを使用して、Grafana リソースの権限を管理できます。また、組織とワークスペースを使用して権限を管理することもできます。ワークスペースは、組織よりもきめ細かい権限管理に適しています。

    比較

    方法

    メリット

    デメリット

    フォルダーとチーム(推奨)

    • フォルダーとチームは柔軟で軽量です。リソースはチーム間で柔軟に共有できます。

    • フォルダーとチームを使用するために実行できる構成の数が少なくなります。

    • Grafana は、フォルダーとチームの機能をさらに開発しています。詳細については、Grafana のドキュメントをご参照ください。

    フォルダーとチームはワークスペースを分離しません。

    組織

    ユーザーは、最初のログオン後に再認証する必要はありません。

    • 組織は、データソース、ダッシュボード、フォルダーなどのリソースを分離します。これらのリソースのデータを組織間で同期するには、API を呼び出します。

    • ユーザー管理がより複雑になります。異なる組織のユーザーを個別に構成する必要があります。

    • 組織はフォルダーよりも柔軟性が低く、ワークスペースよりも分離性が低くなります。

    ワークスペース

    異なるワークスペースのデータベースと構成ファイルは、互いに完全に分離されています。

    データソース、ダッシュボード、フォルダーなどのリソースは、ワークスペース間で共有および同期できません。リソースを共有するには、API を呼び出す必要があります。

    フォルダーとチームのベストプラクティス

    たとえば、会社にオンラインチームが含まれているとします。

    • 次のチームを作成します。R&D、O&M、および運用。また、次のフォルダーも作成します。サービスとインフラストラクチャ。

    • 実行中のアプリケーションに基づいて生成されたサービスダッシュボードをサービスフォルダーに保存します。フォルダーは R&D チームによって構成され、運用チームによって表示されます。

    • Alibaba Cloud ECS(Elastic Compute Service)や ApsaraDB RDS などのインフラストラクチャを監視するために使用されるダッシュボードをインフラストラクチャフォルダーに保存します。フォルダーは O&M チームによって構成され、R&D チームによって表示されます。

    次の手順を実行することをお勧めします。

    1. Grafana コンソールにログオンします。左側のナビゲーションペインで、未4 > [構成] を選択します。

    2. [チーム] タブの [構成] ページで、R&D、O&M、および運用チームを作成し、チームメンバーを追加します。詳細については、「Grafana ドキュメント」をご参照ください。Create teams

    3. 左側のナビゲーションペインで、34 > [+ 新しいフォルダー] を選択し、サービスフォルダーとインフラストラクチャフォルダーを作成します。詳細については、Grafana のドキュメントをご参照ください。er

    4. フォルダーの権限を付与します。

      フォルダーに移動し、[権限] タブで権限を追加してから、チームに権限を付与します。

      Grant permissions

      権限を付与した後、表示権限が付与されているチームメンバーのみがダッシュボードを表示できます。

      説明

      管理者権限が付与されていて、表示権限が付与されているチームに属しているユーザーの場合、管理者権限が優先されます。