サービスアカウントを使用して Grafana HTTP APIs - Amazon Managed Grafana
サービスアカウントトークンサービスアカウントのメリットサービスアカウントの作成サービスアカウントにトークンを追加するサービスアカウントにロールを割り当てる

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスアカウントを使用して Grafana HTTP APIs

サービスアカウントを使用して、ダッシュボードのプロビジョニング、設定、レポート生成などの自動ワークロードを Grafana で実行できます。Grafana コンソールまたは Amazon Managed Grafana API を使用して、Terraform などのアプリケーションを認証するためのサービスアカウントとトークンを作成します

注記

サービスアカウントは Grafana 9.x 以降で利用でき、Grafana とやり取りするアプリケーションを認証する主な方法として API キーを置き換えています。

サービスアカウントを作成するための一般的なユースケースは、自動タスクまたはトリガーされたタスクに対してオペレーションを実行することです。サービスアカウントを使用して、次のことができます。

  • Grafana で使用するシステム内のアラートを定義する

  • ユーザーとしてサインインせずに Grafana を操作する

注記

各サービスアカウントは、請求の目的でユーザーと見なされます。

サービスアカウントトークン

サービスアカウントトークンは、Grafana の HTTP API で認証するときにパスワードの代替として機能する、生成されたランダム文字列です。

サービスアカウントを作成するときに、1 つ以上のアクセストークンを関連付けることができます。サービスアクセストークンは API キーと同じ方法で使用できます。例えば、Grafana HTTP APIs にプログラムでアクセスできます。

同じサービスアカウントに対して複数のトークンを作成できます。これは、次の場合に実行できます。

  • 複数のアプリケーションが同じアクセス許可を使用しますが、それらのアクションを個別に監査または管理したい場合。

  • 侵害されたトークンをローテーションまたは置き換える必要があります。

サービスアカウントアクセストークンは、サービスアカウントからアクセス許可を継承します。

サービスアカウントのメリット

API キーにサービスアカウントの利点には、次のようなものがあります。

  • サービスアカウントは Grafana ユーザーと似ており、有効/無効にしたり、特定のアクセス許可を付与したり、削除または無効化されるまでアクティブのままにしたりできます。API キーは有効期限が切れるまで有効です。

  • サービスアカウントは複数のトークンに関連付けることができます。

  • API キーとは異なり、サービスアカウントトークンは特定のユーザーに関連付けられません。つまり、Grafana ユーザーが削除された場合でもアプリケーションを認証できます。

  • ユーザーにアクセス許可を付与するのと同じ方法で、サービスアカウントにアクセス許可を付与できます。

    権限の詳細については、 許可の使用 をご参照ください。

サービスアカウントの作成

注記

サービスアカウントを作成するユーザーは、作成したサービスアカウントとそのサービスアカウントに関連付けられたアクセス許可を読み、更新、削除することもできます。

前提条件

サービスアカウントを作成および編集するアクセス許可があることを確認します。デフォルトでは、サービスアカウントを作成および編集するには、組織の管理者ロールが必要です。権限の詳細については、 許可の使用 をご参照ください。

サービスアカウントを作成するには

  1. Amazon Managed Grafana ワークスペースにサインインし、左側のメニューから管理を選択します。

  2. サービスアカウント を選択します。

  3. サービスアカウントの追加 を選択します。

  4. 表示名 を入力します。

  5. 表示名は、サービスアカウントに関連付けられた ID を決定する際に一意である必要があります。

    • サービスアカウントに名前を付けるときは、一貫した命名規則を使用することをお勧めします。一貫した命名規則は、将来のサービスアカウントのスケーリングと維持に役立ちます。

    • 表示名はいつでも変更できます。

  6. [作成] を選択します。

注記

Amazon Managed Grafana AWS APIs を使用してサービスアカウントを作成することもできます。を使用してCreateWorkspaceServiceAccount、プログラムでサービスアカウントを作成します。

サービスアカウントにトークンを追加する

サービスアカウントトークンは、Grafana の HTTP API で認証するときにパスワードの代替として機能する、生成されたランダム文字列です。

前提条件

サービスアカウントを作成および編集するアクセス許可があることを確認します。デフォルトでは、サービスアカウントを作成および編集するには、組織の管理者ロールが必要です。権限の詳細については、 許可の使用 をご参照ください。

サービスアカウントにトークンを追加するには

  1. Grafana にサインインし、左側のメニューで管理を選択します。

  2. サービスアカウント を選択します。

  3. トークンを追加するサービスアカウントを選択します。

  4. サービスアカウントトークンの追加 を選択します。

  5. トークンの名前を入力します。

  6. 有効期限の設定を選択し、トークンの有効期限を入力します。

    • 有効期限は、キーを有効にする期間を指定します。

    • 有効期限は最大 30 日先まで設定できます。

    • 有効期限が不明な場合は、数時間以下など、少し時間が経過するとトークンの有効期限が切れるように設定することをお勧めします。これにより、長期間有効なトークンに関連するリスクが制限されます。

  7. [Generate token] を選択します。

注記

Amazon Managed Grafana AWS APIs を使用してサービスアカウントトークンを作成することもできます。を使用してCreateWorkspaceServiceAccountToken、プログラムでサービスアカウントトークンを作成します。

サービスアカウントにロールを割り当てる

Grafana サービスアカウントにロールを割り当てて、関連付けられたサービスアカウントトークンへのアクセスを制御できます。Grafana UI または API を使用して、サービスアカウントにロールを割り当てることができます。

前提条件

サービスアカウントを作成および編集するアクセス許可があることを確認します。デフォルトでは、サービスアカウントを作成および編集するには、組織の管理者ロールが必要です。権限の詳細については、 許可の使用 をご参照ください。

サービスアカウントにロールを割り当てるには

  1. Grafana にサインインし、左側のメニューで管理を選択します。

  2. サービスアカウント を選択します。

  3. ロールを割り当てるサービスアカウントを選択します。別の方法として、リストビューでサービスアカウントを検索します。

  4. 更新するロールピッカーを使用してロールを割り当てます。