トップ > Amazon Managed Grafana > OneLoginを使って Amazon Managed Grafana(AMG)へSAMLログインしてみる

OneLoginを使って Amazon Managed Grafana(AMG)へSAMLログインしてみる

Amazon Managed Grafana OneLogin
記事タイトルとURLをコピーする

こんにちは。島村です。

今年の年明けくらいからジムに通い始めました。
プロテインが早速無くなりそうです。なくなる前に注文したました。今回はバナナ味です。
前回はチョコミントだったので、今回注文したバナナと混ぜてチョコミントバナナで楽しめます。最高です。

今回はAmazon Managed Grafana(AMG)へSAMLログインを行なってみるところまでを解説できればと思います。
Amazon Managed Grafana長いので、以下AMGと記載します。メルセデスではありません。

前提

OneLoginは開発者向けのアカウントを取得することで無料で使用することができます。

www.onelogin.com

実際にハンズオンをする場合は取得してから進めましょう。

Amazon Managed Grafanaとは何か

Grafanaはオープンソースのデータ視覚化や運用ダッシュボードに使用できます。
類似のソフトウェアだと、Kibanaなどがありますね。

名前の通り、AMGは基盤となるサーバの管理はユーザー自身では行いません。
可視化やダッシュボードの管理に集中することができます。

データソース

AWSデータソースとの統合で以下のサービスから取得することが可能です。

  • Amazon CloudWatch(Logs含む)
  • Amazon OpenSearch Service
  • AWS X-Ray
  • AWS IoT SiteWise
  • Amazon Timestream
  • Amazon Managed Service for Prometheus

それ以外にも有料のプラグインを導入すればDatadogやNew Relicなどからもデータを統合、視覚化することが可能のようです。 docs.aws.amazon.com

料金

AMGの料金は次のとおりです。

ライセンス種別 費用
管理/編集者 1ユーザー$9/月
閲覧のみ 1ユーザー$5/月
Grafana Enterprise $3500/月

Grafana Enterpriseを有効にすると、管理/編集者のライセンス料金に$36の上乗せが発生します。
Grafana Enterpriseを有効にすると、閲覧のみライセンス料金に$10の上乗せが発生します。

30 日間の無料トライアルを提供されるようですが、検証環境で有効にしないようにしましょう

OneLoginのセットアップ

OneLoginの開発アカウントでログインしたら、管理者ページにアクセスします。
※おそらく、ログイン時は管理者ページにアクセスしているかと思います。

[Applications]→[Applications]を選択します。

画面が遷移したら、[Add App]を選択します。

検索欄にて[Amazon Managed Grafana]と入力します。

出てきましたね。
[Save]を選択します。

作成されたアプリケーションを構成していきます。

まずは、[Configuration]タブです。
GrafanaのワークスペースIDを入力する欄なので、作成した後に入力します。

[Parameters]はデフォルトで問題ないです

[Role]タブです。ここが重要です。
[Add Role]を選択すると、ポップアップウィンドウが出てきますので設定します。
[Conditions]では、[Email],[contains]値に管理者のメールアドレスを入力します
管理者が複数の場合は入力欄を追加します。

[Actions]では、[Set adminRole in Amazon Managed Grafana] を選択。
[Macro]を選択し、trueと入力します。
[Save]を押して保存しましょう。

SAMLメタデータを取得し、一旦OneLoginの設定は以上です。

Amazon Managed Grafanaワークスペースの作成

早速環境をセットアップしていきます。
OneLoginアカウントはすでにある体で進めていきます。

AWS Managed Grafanaコンソールへ移動し、[ワークスペース]を作成を選択します。


ワークスペース名のみが必須となるので、適当な値を入力して[次]へ


AWS IAM IDセンターは使用しないので、SAMLのみにチェックをつけます。
今回はVPC接続と、Grafanaアラートは未設定のままで問題ありません。

IAMのアクセス権限です。
検証目的のため、すべてチェックします。
最後に、設定をチェックし問題なければワークスペースを作成します。

できましたね。

続いてSAML設定をしていきます。

取得したメタデータをインポートします。
アサーション属性を[adminRole]、値を[true]とします。

Grafanaのワークスペース URLを取得しておき、OneLoginに戻ります。

再びOneLoginの設定へ

GrafanaのワークスペースをConfigurationで入力します。

設定は以上で完了しました。
ログインを試してみます。

ログインを試してみる

OneLoginからアクセスしてみます。

ログインできました!!

最後に

いかがでしたでしょうか。
AMGのSAMLはOneLogin以外にもOktaやAzure ADにも対応していますので
お使いのツールに合わせて、AMGを使っていきましょう。

島村 輝 (Shimamura Hikaru) 記事一覧はコチラ

最近ECS周りをキャッチアップ中。趣味は車・バイク全般。
一応、AWS12冠です。