ユーザーと ID のアクセスおよびアクセス許可を管理する

今日の共同作業環境では、多くの場合、複数のチームが同じ監視ダッシュボードにアクセスして管理する必要があります。 アプリケーションのパフォーマンスを監視する DevOps チームであるか、お客様の問題のトラブルシューティングを行うサポート チームであるかにかかわらず、適切なアクセス許可を持っていることが重要です。 Azure Managed Grafana では、チーム メンバーと ID にさまざまなレベルのアクセス許可を設定できるようにすることで、このプロセスが簡略化されます。

このガイドでは、サポートされている Grafana ロールについて説明し、ロールとアクセス許可の設定を使用して関連するアクセス許可をチーム メンバーや ID と共有する方法を示します。

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
• Azure Managed Grafana ワークスペース。 まだない場合は、Azure Managed Grafana ワークスペースを作成します。
• ワークスペースに対する Grafana 管理者アクセス許可が必要です。

Grafana ロールについて学習する

Azure Managed Grafana では Azure ロールベースのアクセス制御 (RBAC) がサポートされています。これは、Azure リソースへの個々のアクセスを管理できる認可システムです。

Azure RBAC を使用すると、Azure Managed Grafana リソースを管理するために、さまざまなアクセス許可レベルをユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てることができます。

Azure Managed Grafana では、それぞれ異なるレベルのアクセスを提供する、次の組み込みロールを使用できます。

組み込みのロール	説明	ID
Grafana 管理者	データ ソースの管理、ダッシュボードの作成、Grafana 内でのロールの割り当ての管理など、すべての Grafana 操作を実行します。	22926164-76b3-42b3-bc55-97df8dab3e41
Grafana エディター	ダッシュボードやアラートなど、Grafana インスタンスを表示および編集します。	a79a5197-3a5c-4973-a920-486035ffd60f
Grafana 制限付き閲覧者	Grafana のホーム ページを表示します。 このロールには既定で割り当てられたアクセス許可が含まれていないため、Grafana v9 ワークスペースでは使用できません。	41e04612-9dac-4699-a02b-c82ff2cc3fb5
Grafana ビューアー	ダッシュボードとアラートを含む Grafana ワークスペースを表示します。	60921a7e-fef1-4a43-9b16-a26c52ad4769

Grafana ユーザー インターフェイスにアクセスするには、ユーザーが上記のロールのいずれかを持っている必要があります。 Grafana のロールの詳細については、Grafana のドキュメントを参照してください。 Azure の Grafana 制限付き閲覧者ロールは、Grafana のドキュメントでは "No Basic Role" にマップされます。

Grafana ロールを割り当てる

Grafana のユーザー ロールと割り当ては、Microsoft Entra ID 内で完全に統合されています。 Grafana ロールは、任意の Microsoft Entra ユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てることができ、それらに、そのロールに関連付けられたアクセス許可を付与できます。 これらのアクセス許可は、Azure portal またはコマンド ラインから管理できます。 このセクションでは、Azure portal で Grafana ロールをユーザーに割り当てる方法について説明します。

ポータル

1. Azure Managed Grafana ワークスペースを開きます。

2. 左側のメニューで [アクセスの制御 (IAM)] を選択します。

3. [ロールの割り当ての追加] を選択します。

   

4. [Grafana 管理者]、[Grafana 編集者]、[Grafana 制限付き閲覧者]、または [Grafana 閲覧者] の中から、割り当てる Grafana ロールを選んで、[次へ] を選びます。

   

5. アクセスを [ユーザー、グループ、サービス プリンシパル]、または [マネージド ID] のどちらに割り当てるかを選択します。

6. [メンバーの選択] をクリックし、Grafana ロールを割り当てるメンバーを選択し、[選択] で確認します。

7. [次へ] を選択し、[確認と割り当て] を選択してロールの割り当てを完了します。

Azure CLI

az role assignment create コマンドを使用してロールを割り当てます。

以下のコードで次のプレースホルダーを置き換えます。

• <assignee>:
  • Microsoft Entra ユーザーの場合、メールアドレスまたはユーザー オブジェクト ID を入力します。
  • グループの場合、グループ オブジェクト ID を入力します。
  • サービス プリンシパルの場合、サービス プリンシパル オブジェクト ID を入力します。
  • マネージド ID の場合、オブジェクト ID を入力します。
• <roleNameOrId>:
  • Grafana 管理者の場合、Grafana Admin または 22926164-76b3-42b3-bc55-97df8dab3e41 を入力します。
  • Grafana 編集者の場合、Grafana Editor または a79a5197-3a5c-4973-a920-486035ffd60f を入力します。
  • Grafana 制限付き閲覧者の場合は、「Grafana Limited Viewer」または「41e04612-9dac-4699-a02b-c82ff2cc3fb5」と入力します。
  • Grafana 閲覧者の場合、Grafana Viewer または 60921a7e-fef1-4a43-9b16-a26c52ad4769 を入力します。
• <scope>: Azure Managed Grafana インスタンスの完全な ID を入力します。

az role assignment create --assignee "<assignee>" \
--role "<roleNameOrId>" \
--scope "<scope>"

例:

az role assignment create --assignee "name@contoso.com" \
--role "Grafana Admin" \
--scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-rg/providers/Microsoft.Dashboard/grafana/my-grafana"

Azure CLI を使用して Azure ロールを割り当てる方法の詳細については、ロールベースのアクセスの制御に関するドキュメントを参照してください。

ヒント

新しいユーザーを Azure Managed Grafana ワークスペースにオンボードするときに、Grafana 制限付き閲覧者ロールを付与すると、Grafana ワークスペースへの制限付きアクセスが許可されます。

その後、管理設定を使用して、関連する各ダッシュボードとデータ ソースへのアクセス権をユーザーに付与できます。 この方法により、Grafana 制限付き閲覧者ロールを持つユーザーは、必要な特定のコンポーネントにのみアクセスし、セキュリティとデータのプライバシーが強化されます。

特定のコンポーネント要素のアクセス許可を編集する

次の手順に従って、ダッシュボード、フォルダー、データ ソースなどの特定のコンポーネントのアクセス許可を Grafana ユーザー インターフェイスから編集します。

1. Grafana ポータルを開き、アクセス許可を管理する対象のコンポーネントに移動します。
2. [設定]>[アクセス許可]>[アクセス許可の追加] に進みます。
3. [Add permission for] (アクセス許可の追加) で、ユーザー、サービス アカウント、チーム、またはロールを選択し、必要なアクセス許可レベル (表示、編集、管理者) を割り当てます。

関連するコンテンツ

• Grafana ダッシュボードまたはパネルを共有する。
• データ ソースの構成
• Grafana チームの構成