Configurar a autenticação e as permissões do Grafana Gerenciado do Azure (versão prévia)
Para processar dados, o Espaço Gerenciado do Azure para Grafana precisa de permissão para acessar fontes de dados. Neste guia, saiba como configurar a autenticação em uma instância do Grafana Gerenciado do Azure para que o Grafana possa acessar fontes de dados usando uma identidade gerenciada ou uma entidade de serviço. Este guia também apresenta a ação de adicionar uma atribuição de função de leitor de monitoramento na assinatura de destino para fornecer acesso somente leitura aos dados de monitoramento em todos os recursos dentro da assinatura.
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- Um espaço de trabalho do Espaço Gerenciado do Azure para Grafana. Crie uma instância do Espaço Gerenciado do Azure para Grafana.
- Permissões de administrador de acesso de usuário ou proprietário no recurso do Espaço Gerenciado do Azure para Grafana
Usar uma identidade gerenciada atribuída pelo sistema
A identidade gerenciada atribuída pelo sistema é o método de autenticação padrão fornecido no Espaço Gerenciado do Azure para Grafana. A identidade gerenciada é autenticada com o Microsoft Entra ID, portanto, você não precisa armazenar nenhuma credencial no código. Embora você possa recusar esta opção, ela é habilitada por padrão quando você cria um novo workspace, contanto que você tenha a função Proprietário ou Administrador de Acesso do Usuário para a assinatura. Se a identidade gerenciada atribuída pelo sistema estiver desabilitada em seu workspace e você tiver as permissões necessárias, você poderá habilitá-la posteriormente.
Para habilitar uma identidade gerenciada atribuída pelo sistema:
Vá para Configurações>Identidade (Versão prévia).
Na guia Atribuído pelo sistema (Versão prévia), defina o status de Atribuído pelo sistema como Ativado.
Observação
Não é possível atribuir várias identidades gerenciadas a um único recurso do Espaço Gerenciado do Azure para Grafana. Se uma identidade gerenciada atribuída pelo usuário já estiver atribuída ao recurso do Espaço Gerenciado do Azure para Grafana, primeiro você deverá remover a atribuição da guia Atribuído pelo usuário (Versão prévia) antes de habilitar a identidade gerenciada atribuída pelo sistema.
Observação
A desabilitação de uma identidade gerenciada atribuída pelo sistema é irreversível. Sempre que você habilita uma identidade gerenciada atribuída pelo sistema, o Azure cria uma nova identidade.
Em permissões, selecione Atribuições de função do Azure e atribua a função Leitor de monitoramento a essa identidade gerenciada na assinatura de destino.
Ao terminar, escolha Salvar
Usar uma identidade gerenciada atribuída pelo usuário
As identidades gerenciadas atribuídas pelo usuário permitem que os recursos do Azure se autentiquem nos serviços de nuvem sem armazenar credenciais no código. Este tipo de identidade gerenciada é criado como um recurso autônomo do Azure e tem o seu próprio ciclo de vida. Uma única identidade gerenciada atribuída pelo usuário pode ser compartilhada entre vários recursos.
Para atribuir uma identidade gerenciada atribuída pelo usuário a um workspace, você deve ter as permissões Proprietário ou Administrador de Acesso de Usuários no recurso.
Para atribuir uma identidade gerenciada atribuída pelo usuário:
Vá para Configurações>Identidade (Versão prévia).
Na guia Atribuído pelo usuário (Versão prévia), selecione Adicionar.
Observação
Não é possível atribuir várias identidades gerenciadas a um único recurso do Espaço Gerenciado do Azure para Grafana. Você só pode usar uma identidade gerenciada por recurso. Se uma identidade atribuída pelo sistema estiver habilitada, primeiro desabilite-a na guia Atribuído pelo sistema (Versão prévia) antes de habilitar a identidade atribuída pelo usuário.
No painel lateral, selecione uma assinatura e uma identidade e selecione Adicionar.
Depois que a identidade for adicionada com sucesso, abra-a selecionando o seu nome e vá para Atribuições de função do Azure para atribuir a ela a função Leitor de monitoramento na assinatura de destino.
Ao terminar, escolha Salvar
Observação
Você só pode atribuir uma identidade gerenciada atribuída pelo usuário por instância do Espaço Gerenciado do Azure para Grafana.
Usar uma entidade de serviço
O Espaço Gerenciado do Azure para Grafana também pode acessar fontes de dados usando entidades de serviço para autenticação, usando IDs e segredos do cliente.
Atribua a esta entidade de serviço a função Leitor de monitoramento na assinatura de destino abrindo a sua assinatura no portal do Azure e acessando Controle de acesso (IAM)>Adicionar>Adicionar atribuição de função.