使用服务账号通过 Grafana 进行身份验证 HTTP APIs - Amazon Managed Grafana
服务账户令牌服务账户权益创建服务帐号向服务帐号添加令牌删除服务令牌为服务帐号分配角色

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务账号通过 Grafana 进行身份验证 HTTP APIs

您可以使用服务帐号在 Grafana 中运行自动工作负载,例如仪表板配置、配置或报告生成。创建服务账户和令牌,使用 Grafana 控制台或亚马逊托管 Grafana 对应用程序(例如 Terraform)进行身份验证。API

注意

Grafana 9.x 及更高版本中提供服务帐户,并且正在API取代密钥作为对与 Grafana 交互的应用程序进行身份验证的主要方式。

创建服务帐号的常见用例是对自动或触发的任务执行操作。您可以使用服务帐号来:

  • 在系统中定义要在 Grafana 中使用的警报

  • 无需以用户身份登录即可与 Grafana 互动

注意

出于计费目的,每个服务帐号都被视为用户。

服务账户令牌

服务账号令牌是一个生成的字符串,用作向 Grafana 进行身份验证的密钥。HTTP API

创建服务帐号时,可以将一个或多个访问令牌与其关联。您可以像使用API密钥一样使用服务访问令牌,例如以编程方式访问 Grafana HTTP APIs。

您可以为同一个服务帐号创建多个令牌。在以下情况下,你可能需要这样做:

  • 多个应用程序使用相同的权限,但您想单独审核或管理它们的操作。

  • 您需要轮换或替换被盗的令牌。

服务账号访问令牌继承服务帐号的权限。

Amazon Managed Grafana 对您一次可以拥有的服务账户令牌数量有配额。这包括有效和过期的令牌。您必须删除代币才能将其从配额中移除。

服务账户权益

服务帐号为API密钥带来的额外好处包括:

  • 服务帐号类似于 Grafana 用户,可以启用/禁用、授予特定权限,并保持活动状态,直到它们被删除或禁用。API密钥仅在到期日之前有效。

  • 服务帐号可以与多个令牌关联。

  • 与API密钥不同,服务账号令牌不与特定用户关联,这意味着即使删除了 Grafana 用户,也可以对应用程序进行身份验证。

  • 您可以像向用户授予权限一样向服务帐号授予权限。

    有关权限的更多信息,请参阅使用权限

创建服务帐号

注意

创建服务帐号的用户还可以读取、更新和删除他们创建的服务帐号以及与该服务帐号关联的权限。

先决条件

确保您拥有创建和编辑服务帐号的权限。默认情况下,需要组织管理员角色才能创建和编辑服务帐户。有关权限的更多信息,请参阅使用权限

创建服务帐号

  1. 登录您的亚马逊托管 Grafana 工作空间,然后从左侧菜单中选择管理。

  2. 选择服务帐号

  3. 选择添加服务帐号

  4. 输入显示名称

  5. 显示名称必须是唯一的,因为它决定了与服务帐号关联的 ID。

    • 我们建议您在命名服务帐号时使用一致的命名约定。一致的命名约定可以帮助您在将来扩展和维护服务帐户。

    • 您可以随时更改显示名称。

  6. 选择创建

注意

您也可以使用亚马逊托管 Grafana AWS APIs 创建服务账户。使用CreateWorkspaceServiceAccount以编程方式创建服务帐号。

向服务帐号添加令牌

服务账号令牌是一个生成的随机字符串,在使用 Grafana 进行身份验证时,它可以替代密码。HTTP API

先决条件

确保您拥有创建和编辑服务帐号的权限。默认情况下,需要组织管理员角色才能创建和编辑服务帐户。有关权限的更多信息,请参阅使用权限

向服务帐号添加令牌

  1. 登录您的 Grafana 工作区,然后在左侧菜单中选择管理。

  2. 展开 “用户和访问权限” 菜单。

  3. 选择服务帐号

  4. 选择要向其添加令牌的服务帐号。

  5. 选择添加服务帐号令牌

  6. 输入令牌的名称。

  7. 选择 “设置到期日期”,然后输入令牌的到期日期。

    • 到期日期指定您希望密钥的有效期限。

    • 您最多可以将过期日期设置为未来 30 天。

    • 如果您不确定到期日期,我们建议您将令牌设置为在短时间(例如几个小时或更短时间)后过期。这限制了与长期有效的代币相关的风险。

  8. 选择生成令牌

注意

您也可以使用亚马逊托管 Grafana AWS APIs 创建服务账户令牌。使用CreateWorkspaceServiceAccountToken以编程方式创建服务帐号令牌。

删除服务令牌

使用完服务令牌后,必须将其删除才能将其从工作区中移除。令牌已过期但尚未删除,将计入您的服务帐号令牌配额

先决条件

确保您拥有创建和编辑服务帐号的权限。默认情况下,需要组织管理员角色才能创建和编辑服务帐户。有关权限的更多信息,请参阅使用权限

移除服务帐号的令牌

  1. 登录您的 Grafana 工作区,然后在左侧菜单中选择管理。

  2. 展开 “用户和访问权限” 菜单。

  3. 选择服务帐号

  4. 选择要从中删除令牌的服务帐号。

  5. 在令牌列表中,选择要删除的服务帐号令牌旁边带有 x 的红色图标。

  6. 选择删除

您的令牌已删除。

注意

您也可以使用亚马逊托管 Grafana AWS APIs 删除服务账户令牌。使用DeleteWorkspaceServiceAccountToken以编程方式删除服务帐号令牌。

为服务帐号分配角色

您可以将角色分配给 Grafana 服务帐号,以控制关联服务帐号令牌的访问权限。您可以使用 Grafana 用户界面或通过。API

先决条件

确保您拥有创建和编辑服务帐号的权限。默认情况下,需要组织管理员角色才能创建和编辑服务帐户。有关权限的更多信息,请参阅使用权限

为服务帐号分配角色

  1. 登录 Grafana,然后在左侧菜单中选择管理。

  2. 选择服务帐号

  3. 选择要为其分配角色的服务帐号。或者,在列表视图中找到服务帐号。

  4. 使用角色选择器分配角色进行更新。