Amazon Web Services ブログ
多くの新機能を備えた Amazon Managed Grafana が一般公開されました
12 月に、AWS は Amazon Managed Grafana のプレビューをご紹介しました。Amazon Managed Grafana は Grafana Labs と共同で開発したフルマネージドサービスで、複数のソースからのデータを視覚化して分析するために Grafana のオープンソースバージョンとエンタープライズバージョンを簡単に使用できるようにします。Amazon Managed Grafana を使用することにより、サーバーのプロビジョニングや、ソフトウェアの設定と更新を行う必要なく、メトリクス、ログ、およびトレースを分析できます。
プレビュー中、Amazon Managed Grafana は新機能で更新されました。今回は、追加の新機能を備えた Amazon Managed Grafana が一般公開されたことをお知らせしたいと思います。
- Grafana はバージョン 8 にアップグレードされており、新しいデータソース、視覚化に加えて、1 度構築するだけで複数のダッシュボードで再利用できるライブラリパネル、メトリクスをすばやく検索してクエリするための Prometheus メトリクスブラウザ、および新しい状態タイムラインとステータス履歴の視覚化などの機能を提供します。
- Amazon Managed Grafana ワークスペース内の追加のデータソースのクエリを一元化するため、JSON データソースプラグインを使用してデータをクエリできるようになりました。また、Redis、SAP HANA、Salesforce、ServiceNow、Atlassian Jira、およびその他多くのデータソースのクエリも可能になりました。
- Grafana API キーを使用して、独自のダッシュボードを公開したり、Grafana ワークスペースへのプログラム的なアクセスを許可したりすることができます。例えば、こちらはデータソースとダッシュボードを追加するために使用できる Terraform レシピです。
- Security Assertion Markup Language 2.0 (SAML 2.0) を使用して、Amazon Managed Grafana ワークスペースへのシングルサインオンを有効にできます。アイデンティティプロバイダー (IdP) である CyberArk、Okta、OneLogin、Ping Identity、および Azure Active Directory と協力して、ローンチ時にそれらが統合されるようにしました。
- Amazon Managed Grafana コンソールからのすべての呼び出しと、Amazon Managed Grafana API オペレーションへのコード呼び出しは、AWS CloudTrail によってキャプチャされます。そうすることで、ユーザー、ロール、または AWS のサービスによって Amazon Managed Grafana で実行されたアクションの記録を残すことができます。さらに、ダッシュボードが削除された場合や、データソース許可が変更された場合など、Amazon Managed Grafana ワークスペースで発生する変異的な変化を監査できるようになりました。
- このサービスは、10 の AWS リージョンでご利用いただけます (記事の最後に完全なリストがあります)。
これが実際にどのように機能するかを確認するために、簡単なチュートリアルを実行しましょう。
Amazon Managed Grafana の使用
Amazon Managed Grafana コンソールで、[Create workspace] (ワークスペースを作成) をクリックします。ワークスペースとは、論理的に分離され、優れた可用性を備えた Grafana サーバーです。ワークスペースの名前と説明を入力してから、[Next] (次へ) をクリックします。
ワークスペースのユーザーの認証には、AWS Single Sign-On (AWS SSO)、または SAML 経由で外部のアイデンティティプロバイダーを使用できます。手順を簡単にするため、AWS SSO を選択します。SAML 認証の仕組みは、この記事の後半で説明します。AWS SSO を初めて使用する場合は、ドキュメントで前提条件 (AWS Organizations を設定しておくなど) を確認できます。
次に、[Service managed] (サービスマネージド) のアクセス許可タイプを選択します。これを選択することによって、次のステップで選択する AWS のサービスにアクセスするために必要な IAM 許可を、Amazon Managed Grafana が自動的にプロビジョンします。
[Service managed permission settings] (サービスマネージド型のアクセス許可設定) で、現在の AWS アカウントにあるリソースをモニタリングすることを選択します。AWS 環境を一元管理するために AWS Organizations を使用する場合は、Grafana を使用して組織単位 (OU) 内のリソースをモニタリングできます。
オプションで、使用する予定の AWS データソースを選択できます。この設定は、Amazon Managed Grafana がアカウント内のこれらのリソースにアクセスすることを可能にする AWS Identity and Access Management (IAM) ロールを作成します。選択したサービスは、後ほど Grafana コンソールでデータソースとしてセットアップできます。今回は、Grafana ダッシュボードで CloudWatch メトリクスをすばやく視覚化できるように、Amazon CloudWatch を選択します。
ここでは、Amazon Managed Service for Prometheus (AMP) をデータソースとして使用するための許可も設定して、アプリケーションのためのフルマネージドモニタリングソリューションを用意します。例えば、AWS Distro for OpenTelemetry または Prometheus サーバーをコレクションエージェントとして使用して、Amazon Elastic Kubernetes Service (EKS) および Amazon Elastic Container Service (Amazon ECS) 環境から Prometheus メトリクスを収集できます。
このステップでは、通知チャネルとして Amazon Simple Notification Service (SNS) も選択します。このオプションは、上記のデータソースと同様に Amazon Managed Grafana に SNS へのアクセス権を付与しますが、通知チャネルはセットアップしません。これは、後ほど Grafana コンソールで実行できます。具体的に言うと、この設定は、grafana
で始まるトピックへの SNS パブリッシュ許可を、Amazon Managed Grafana コンソールで作成された IAM ロールに追加します。SNS またはデータソースの許可をより厳密に制御したい場合は、IAM コンソールでロールを編集する、またはワークスペースにお客様が管理する許可を使用することができます。
最後に、すべてのオプションを確認してから、ワークスペースを作成します。
数分後、ワークスペースの準備が完了し、Grafana コンソールにアクセスするために使用できるワークスペース URL が表示されます。
ワークスペース URL にアクセスできるように、少なくとも 1 人のユーザーまたはグループを Grafana ワークスペースに割り当てる必要があります。[Assign new user or group] (新しいユーザーまたはグループの割り当て) をクリックしてから、AWS SSO ユーザーの 1 人を選択します。
デフォルトで、ユーザーには Viewer ユーザータイプが割り当てられ、ワークスペースへの表示専用のアクセス権があります。このユーザーにダッシュボードとアラートを作成して管理する許可を付与するには、ユーザーを選択してから、[Make admin] (管理者を作成する) をクリックします。
ワークスペースの概要に戻り、ワークスペース URL をクリックして、AWS SSO ユーザー認証情報を使用してサインインします。ここでは、Grafana のオープンソースバージョンを使っています。Grafana ユーザーであれば、すべてが見慣れた内容です。最初の設定では、AWS データソースに焦点を当てるので、左の垂直バーで AWS のロゴを選択します。
ここでは CloudWatch を選択します。先ほどのサービスマネージド許可の設定で CloudWatch を選択したため、許可は既に設定されています。デフォルトの AWS リージョンを選択し、データソースを追加します。CloudWatch データソースをクリックすると、[Dashboards] (ダッシュボード) タブに Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Elastic Block Store (EBS)、AWS Lambda、Amazon Relational Database Service (RDS)、および CloudWatch Logs などの AWS のサービスのダッシュボードがいくつか表示されます。
AWS Lambda ダッシュボードをインポートします。これで、アカウントの Lambda 関数の呼び出し、エラー、およびスロットルのモニタリングに Grafana を使用できるようになりました。このリージョンには面白いデータがないので、スクリーンショットは掲載しないでおきます。
SAML 認証の使用
AWS SSO を有効にしていない場合は、ワークスペースの作成時に SAML 認証オプションを選択することにより、外部のアイデンティティプロバイダー (IdP) を使用してユーザーを Amazon Managed Grafana ワークスペースに認証できます。既存のワークスペースについては、ワークスペースの概要で [Setup SAML configuration] (SAML の設定をセットアップする) をクリックできます。
このワークスペースを設定するための IdP メタデータを生成するには、まずワークスペース ID と URL 情報を IdP に提供する必要があります。
IdP の設定後、URL を指定する、またはコピーしてエディタに貼り付けることによって IdP メタデータをインポートします。
最後に、Amazon Managed Grafana ワークスペースで Administrator、Editor、および Viewer 許可を持つユーザーの指定など、IdP のユーザー許可を Grafana ユーザー許可にマップできます。
利用可能なリージョンと料金
Amazon Managed Grafana は、本日から米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、欧州 (アイルランド)、欧州 (フランクフルト)、欧州 (ロンドン)、アジアパシフィック (シンガポール)、アジアパシフィック (東京)、アジアパシフィック (シドニー)、およびアジアパシフィック (ソウル) の 10 の AWS リージョンでご利用いただけます。詳細については、AWS リージョン別のサービス表をご覧ください。
Amazon Managed Grafana では、ワークスペースごとのアクティブユーザーに対する料金を毎月支払います。ダッシュボードを公開するために使用された Grafana API キーの料金は、ワークスペースごとの API ユーザーライセンスとして毎月請求されます。Grafana Enterprise にアップグレードして、Grafana Labs からエンタープライズプラグイン、サポート、およびオンデマンドトレーニングに直接アクセスすることができます。詳細については、Amazon Managed Grafana の料金ページを参照してください。
あらゆる規模の運用データを視覚化して分析するために、今すぐ Amazon Managed Grafana の使用を開始しましょう。
– Danilo
原文はこちらです。