サービスアカウントを使用して Grafana で認証する HTTP APIs - Amazon Managed Grafana
サービスアカウントトークンサービスアカウントの特典サービスアカウントの作成サービスアカウントにトークンを追加するサービストークンを削除するサービスアカウントにロールを割り当てる

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスアカウントを使用して Grafana で認証する HTTP APIs

サービスアカウントを使用して、ダッシュボードのプロビジョニング、設定、レポート生成などの自動ワークロードを Grafana で実行できます。Grafana コンソールまたは Amazon Managed Grafana APIを使用して、Terraform などのアプリケーションを認証するサービスアカウントとトークンを作成します。

注記

サービスアカウントは Grafana 9.x 以降で利用可能で、Grafana とやり取りするアプリケーションを認証する主な方法としてAPIキーを置き換えています。

サービスアカウントを作成するための一般的なユースケースは、自動タスクまたはトリガーされたタスクに対してオペレーションを実行することです。サービスアカウントを使用すると、次のことができます。

  • Grafana で使用するシステム内のアラートを定義する

  • ユーザーとしてサインインせずに Grafana を操作する

注記

各サービスアカウントは、請求目的でユーザーと見なされます。

サービスアカウントトークン

サービスアカウントトークンは、Grafana の で認証するためのキーとして機能する生成された文字列ですHTTPAPI。

サービスアカウントを作成するときに、1 つ以上のアクセストークンを関連付けることができます。サービスアクセストークンは API Keys と同じ方法で使用できます。例えば、Grafana にHTTPAPIsプログラムでアクセスできます。

同じサービスアカウントに複数のトークンを作成できます。これは、次の場合に実行できます。

  • 複数のアプリケーションが同じアクセス許可を使用しますが、それらのアクションを個別に監査または管理したいと考えています。

  • 侵害されたトークンをローテーションまたは置き換える必要があります。

サービスアカウントアクセストークンは、サービスアカウントからアクセス許可を継承します。

Amazon Managed Grafana には、一度に使用できるサービスアカウントトークンの数に対するクォータがあります。これには、アクティブトークンと期限切れトークンが含まれます。クォータから削除するには、トークンを削除する必要があります。

サービスアカウントの特典

API キーに追加されたサービスアカウントの利点は次のとおりです。

  • サービスアカウントは Grafana ユーザーと似ており、有効/無効にしたり、特定のアクセス許可を付与したり、削除または無効化されるまでアクティブのままにしたりできます。API キーは有効期限まで有効です。

  • サービスアカウントは、複数のトークンに関連付けることができます。

  • API キーとは異なり、サービスアカウントトークンは特定のユーザーに関連付けられないため、Grafana ユーザーが削除されてもアプリケーションを認証できます。

  • ユーザーにアクセス許可を付与するのと同じ方法で、サービスアカウントにアクセス許可を付与できます。

    権限の詳細については、 許可の使用 をご参照ください。

サービスアカウントの作成

注記

サービスアカウントを作成するユーザーは、作成したサービスアカウントとそのサービスアカウントに関連付けられたアクセス許可を読み、更新、削除することもできます。

前提条件

サービスアカウントを作成および編集するアクセス許可があることを確認します。デフォルトでは、サービスアカウントを作成および編集するには、組織管理者ロールが必要です。権限の詳細については、 許可の使用 をご参照ください。

サービスアカウントを作成するには

  1. Amazon Managed Grafana ワークスペースにサインインし、左側のメニューから管理を選択します。

  2. サービスアカウント を選択します。

  3. サービスアカウントの追加 を選択します。

  4. 表示名 を入力します。

  5. 表示名は、サービスアカウントに関連付けられた ID を決定するため、一意である必要があります。

    • サービスアカウントに名前を付けるときは、一貫した命名規則を使用することをお勧めします。一貫した命名規則は、将来的にサービスアカウントのスケーリングと維持に役立ちます。

    • 表示名はいつでも変更できます。

  6. [Create] (作成) を選択します。

注記

Amazon Managed Grafana を使用してサービスアカウントを作成することもできます AWS APIs。CreateWorkspaceServiceAccount を使用して、プログラムでサービスアカウントを作成します。

サービスアカウントにトークンを追加する

サービスアカウントトークンは、Grafana の で認証するときにパスワードの代替として機能する生成されたランダム文字列ですHTTPAPI。

前提条件

サービスアカウントを作成および編集するアクセス許可があることを確認します。デフォルトでは、サービスアカウントを作成および編集するには、組織管理者ロールが必要です。権限の詳細については、 許可の使用 をご参照ください。

サービスアカウントにトークンを追加するには

  1. Grafana ワークスペースにサインインし、左側のメニューで管理を選択します。

  2. ユーザーとアクセスメニューを展開します。

  3. サービスアカウント を選択します。

  4. トークンを追加するサービスアカウントを選択します。

  5. サービスアカウントトークンの追加 を選択します。

  6. トークンの名前を入力します。

  7. 有効期限の設定を選択し、トークンの有効期限を入力します。

    • 有効期限は、キーを有効にする期間を指定します。

    • 有効期限は最大 30 日先まで設定できます。

    • 有効期限が不明な場合は、数時間以内など、短期間でトークンの有効期限が切れるように設定することをお勧めします。これにより、長期間有効なトークンに関連するリスクが制限されます。

  8. [Generate token] を選択します。

注記

Amazon Managed Grafana AWS を使用してサービスアカウントトークンを作成することもできますAPIs。を使用してCreateWorkspaceServiceAccountToken、プログラムでサービスアカウントトークンを作成します。

サービストークンを削除する

サービストークンの使用が完了したら、削除してワークスペースから削除する必要があります。期限切れのトークンは、まだ削除されていないが、サービスアカウントトークンのクォータにカウントされます。

前提条件

サービスアカウントを作成および編集するアクセス許可があることを確認します。デフォルトでは、サービスアカウントを作成および編集するには、組織管理者ロールが必要です。権限の詳細については、 許可の使用 をご参照ください。

サービスアカウントへのトークンを削除するには

  1. Grafana ワークスペースにサインインし、左側のメニューで管理を選択します。

  2. ユーザーとアクセスメニューを展開します。

  3. サービスアカウント を選択します。

  4. トークンを削除するサービスアカウントを選択します。

  5. トークンのリストで、削除するサービスアカウントトークンの横にある x が付いた赤いアイコンを選択します。

  6. [削除] を選択します。

トークンは削除されます。

注記

Amazon Managed Grafana AWS を使用してサービスアカウントトークンを削除することもできますAPIs。を使用してDeleteWorkspaceServiceAccountToken、プログラムでサービスアカウントトークンを削除します。

サービスアカウントにロールを割り当てる

Grafana サービスアカウントにロールを割り当てると、関連付けられたサービスアカウントトークンへのアクセスを制御できます。Grafana UI または を使用して、サービスアカウントにロールを割り当てることができますAPI。

前提条件

サービスアカウントを作成および編集するアクセス許可があることを確認します。デフォルトでは、サービスアカウントを作成および編集するには、組織管理者ロールが必要です。権限の詳細については、 許可の使用 をご参照ください。

サービスアカウントにロールを割り当てるには

  1. Grafana にサインインし、左側のメニューで管理を選択します。

  2. サービスアカウント を選択します。

  3. ロールを割り当てるサービスアカウントを選択します。別の方法として、リストビューでサービスアカウントを検索します。

  4. 更新するロールピッカーを使用してロールを割り当てます。