Einrichten der Azure Managed Grafana-Authentifizierung und -Berechtigungen (Vorschau)

Um Daten zu verarbeiten, benötigt Azure Managed Grafana die Berechtigung für den Zugriff auf Datenquellen. In diesem Leitfaden erfahren Sie, wie Sie die Authentifizierung in einer Azure Managed Grafana-Instanz einrichten, damit Grafana mithilfe einer verwalteten Identität oder eines Dienstprinzipals auf Datenquellen zugreifen kann. In diesem Leitfaden wird auch die Aktion zum Hinzufügen der Rollenzuweisung „Benutzer mit Leseberechtigung für Überwachungsdaten“ für das Zielabonnement eingeführt, um schreibgeschützten Zugriff auf Überwachungsdaten in allen Ressourcen innerhalb des Abonnements zu ermöglichen.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
• Ein Azure Managed Grafana-Arbeitsbereich. Erstellen Sie eine Azure Managed Grafana-Instanz.
• Berechtigungen vom Typ „Besitzer“ oder „Benutzerzugriffsadministrator“ für die Azure Managed Grafana-Ressource

Verwenden einer systemseitig zugewiesenen verwalteten Identität

Die systemseitig zugewiesene verwaltete Identität ist die Standardauthentifizierungsmethode in Azure Managed Grafana. Die verwaltete Identität wird mit Microsoft Entra ID authentifiziert, sodass Sie keine Anmeldeinformationen im Code speichern müssen. Sie können sie zwar deaktivieren, sie ist aber standardmäßig aktiviert, wenn Sie einen neuen Arbeitsbereich erstellen, sofern Sie über die Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für das Abonnement verfügen. Wenn die systemseitig zugewiesene verwaltete Identität in Ihrem Arbeitsbereich deaktiviert ist und Sie über die erforderlichen Berechtigungen verfügen, können Sie sie später aktivieren.

So aktivieren Sie eine systemseitig zugewiesenen verwalteten Identität

1. Wechseln Sie zu Einstellungen>Identität (Vorschau).

2. Legen Sie auf der Registerkarte Systemseitig zugewiesen (Vorschau) den Status für Systemseitig zugewiesen auf Ein fest.

   Hinweis

   Das Zuweisen mehrerer verwalteter Identitäten zu einer einzelnen Azure Managed Grafana-Ressource ist nicht möglich. Wenn der Azure Managed Grafana-Ressource bereits eine benutzerseitig zugewiesene verwaltete Identität zugewiesen ist, müssen Sie zuerst die Zuordnung auf der Registerkarte Benutzerseitig zugewiesen (Vorschau) entfernen, bevor Sie die systemseitig zugewiesene verwaltete Identität aktivieren können.

   Hinweis

   Das Deaktivieren einer systemseitig zugewiesenen verwalteten Identität kann nicht rückgängig gemacht werden. Jedes Mal, wenn Sie eine systemseitig zugewiesene verwaltete Identität aktivieren, erstellt Azure eine neue Identität.

   

3. Wählen Sie unter „Berechtigungen“ die Option Azure-Rollenzuweisungen aus, und weisen Sie dieser verwalteten Identität im Zielabonnement die Rolle Benutzer mit Leseberechtigung für Überwachungsdaten zu.

4. Wenn Sie fertig sind, wählen Sie Speichern aus.

Verwenden einer benutzerseitig zugewiesenen verwalteten Identität

Benutzerseitig zugewiesene verwaltete Identitäten ermöglichen Azure-Ressourcen die Authentifizierung bei Clouddiensten, ohne dass Anmeldeinformationen im Code gespeichert werden. Diese Art der verwalteten Identität wird als eigenständige Azure-Ressourcen erstellt und besitzt einen eigenen Lebenszyklus. Eine einzelne benutzerseitig zugewiesene verwaltete Identität von mehreren Ressourcen gemeinsam genutzt werden.

Um einem Arbeitsbereich eine benutzerseitig zugewiesene verwaltete Identität zuzuweisen, müssen Sie über die Berechtigung „Besitzer“ oder „Benutzerzugriffsadministrator“ für die Ressource verfügen.

So weisen Sie eine benutzerseitig zugewiesene verwaltete Identität zu

1. Wechseln Sie zu Einstellungen>Identität (Vorschau).

2. Wählen Sie auf der Registerkarte Benutzerseitig zugewiesen (Vorschau) die Option Hinzufügen aus.

   Hinweis

   Das Zuweisen mehrerer verwalteter Identitäten zu einer einzelnen Azure Managed Grafana-Ressource ist nicht möglich. Sie können nur eine verwaltete Identität pro Ressource verwenden. Wenn eine systemseitig zugewiesene Identität aktiviert ist, müssen Sie sie zuerst auf der Registerkarte Systemseitig zugewiesen (Vorschau) deaktivieren, bevor Sie die benutzerseitig zugewiesene Identität aktivieren können.

3. Wählen Sie im seitlichen Bereich ein Abonnement und eine Identität und dann die Option Hinzufügen aus.

4. Nachdem die Identität erfolgreich hinzugefügt wurde, öffnen Sie sie, indem Sie ihren Namen auswählen und zu Azure-Rollenzuweisungen navigieren, um ihr die Rolle Benutzer mit Leseberechtigung für Überwachungsdaten für das Zielabonnement zuzuweisen.

5. Wenn Sie fertig sind, wählen Sie Speichern aus.

   

   Hinweis

   Sie können nur eine benutzerseitig zugewiesene verwaltete Identität pro Azure Managed Grafana-Instanz zuweisen.

Verwenden eines Dienstprinzipals

Azure Managed Grafana kann unter Verwendung von Dienstprinzipalen für die Authentifizierung auch auf Datenquellen zugreifen. Dazu werden Client-IDs und Geheimnisse verwendet.

Weisen Sie diesem Dienstprinzipal die Rolle Benutzer mit Leseberechtigung für Überwachungsdaten für das Zielabonnement zu, indem Sie Ihr Abonnement im Azure-Portal öffnen und zu Zugriffssteuerung (IAM)>Hinzufügen>Rollenzuweisung hinzufügen navigieren.

Nächste Schritte