Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Authentifizieren Sie sich mit Tokens
<a name="authenticating-grafana-apis"></a>

*Um eine Grafana-API mit Ihrem Amazon Managed Grafana-Workspace verwenden zu können, benötigen Sie ein gültiges Grafana-Token.* Das Token bietet Authentifizierung und Autorisierung für den Aufrufer der API. Es gibt zwei Möglichkeiten, Token zu erstellen.
+ **Dienstkonto** — Ein Dienstkonto wird verwendet, um automatisierte Workloads in Grafana auszuführen, z. B. für die Bereitstellung, Konfiguration oder Berichtsgenerierung. Sie können Dienstkonto-Token für Ihr Dienstkonto erstellen. Dienstkonten sind in Grafana-Workspaces verfügbar, die mit Version 9.x kompatibel sind, und es ist geplant, API-Schlüssel als primäre Methode zur Authentifizierung von Anwendungen zu ersetzen, die mit Grafana interagieren. APIs
+ **API-Schlüssel** — Ein API-Schlüssel (auch API-Token genannt) ist eine zufällig generierte Zeichenfolge, die externe Systeme verwenden können, um mit Grafana HTTP APIs zu interagieren. API-Schlüssel sind in den Versionen 8, 9 und 10 von Grafana-Workspaces verfügbar. Es GrafanaLabs wurde jedoch angekündigt, dass sie in einer future Version nicht mehr unterstützt werden.

**Topics**
+ [Verwenden Sie Dienstkonten, um sich mit dem Grafana-HTTP zu authentifizieren APIs](service-accounts.md)
+ [Verwenden Sie API-Schlüssel, um sich mit Grafana HTTP zu authentifizieren APIs](using-api-keys.md)

# Verwenden Sie Dienstkonten, um sich mit dem Grafana-HTTP zu authentifizieren APIs
<a name="service-accounts"></a>

Sie können ein Dienstkonto verwenden, um automatisierte Workloads in Grafana auszuführen, z. B. die Bereitstellung, Konfiguration oder Berichtsgenerierung von Dashboards. Erstellen Sie Dienstkonten und Token, um Anwendungen wie Terraform mit der Grafana-Konsole oder der [Amazon](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html) Managed Grafana-API zu authentifizieren.

**Anmerkung**  
Dienstkonten sind in Grafana 9.x und neuer verfügbar und ersetzen API-Schlüssel als primäre Methode zur Authentifizierung von Anwendungen, die mit Grafana interagieren.

Ein häufiger Anwendungsfall für die Erstellung eines Dienstkontos ist die Ausführung von Vorgängen für automatisierte oder ausgelöste Aufgaben. Sie können Dienstkonten verwenden, um:
+ Definieren Sie Warnmeldungen in Ihrem System, die in Grafana verwendet werden sollen
+ Interagieren Sie mit Grafana, ohne sich als Benutzer anzumelden

**Anmerkung**  
Jedes Dienstkonto wird für Abrechnungszwecke als Benutzer betrachtet.

## Servicekonto-Tokens
<a name="service-account-tokens"></a>

Ein Dienstkonto-Token ist eine generierte Zeichenfolge, die als Schlüssel zur Authentifizierung mit der HTTP-API von Grafana dient.

Wenn Sie ein Dienstkonto erstellen, können Sie ihm ein oder mehrere Zugriffstoken zuordnen. Sie können Service-Zugriffstoken auf die gleiche Weise wie API-Schlüssel verwenden, um beispielsweise APIs programmgesteuert auf Grafana HTTP zuzugreifen.

Sie können mehrere Token für dasselbe Dienstkonto erstellen. Möglicherweise möchten Sie dies tun, wenn:
+ mehrere Anwendungen verwenden dieselben Berechtigungen, aber Sie möchten ihre Aktionen separat prüfen oder verwalten.
+ Sie müssen ein kompromittiertes Token rotieren oder ersetzen.

Zugriffstoken für Dienstkonten erben die Berechtigungen des Dienstkontos.

Amazon Managed Grafana hat ein [Kontingent](AMG_quotas.md) für die Anzahl der Dienstkonto-Token, die Sie gleichzeitig haben können. Dies beinhaltet aktive und abgelaufene Token. Sie müssen Token löschen, um sie aus Ihrem Kontingent zu entfernen.

## Vorteile des Dienstkontos
<a name="service-account-benefits"></a>

Zu den zusätzlichen Vorteilen von Dienstkonten gegenüber API-Schlüsseln gehören:
+ Dienstkonten ähneln Grafana-Benutzern und können aktiviert/deaktiviert werden, ihnen können bestimmte Berechtigungen erteilt werden und sie bleiben aktiv, bis sie gelöscht oder deaktiviert werden. API-Schlüssel sind nur bis zu ihrem Ablaufdatum gültig.
+ Dienstkonten können mit mehreren Tokens verknüpft werden.
+ Im Gegensatz zu API-Schlüsseln sind Dienstkonto-Tokens keinem bestimmten Benutzer zugeordnet, was bedeutet, dass Anwendungen auch dann authentifiziert werden können, wenn ein Grafana-Benutzer gelöscht wird.
+ Sie können Dienstkonten auf die gleiche Weise Berechtigungen gewähren, wie Sie Benutzern Berechtigungen gewähren.

  Weitere Informationen zu Berechtigungen finden Sie unter [Berechtigungen verwenden](Grafana-permissions.md).

## Ein Dienstkonto erstellen
<a name="service-account-create"></a>

**Anmerkung**  
Der Benutzer, der ein Dienstkonto erstellt, kann auch das von ihm erstellte Dienstkonto sowie die mit diesem Dienstkonto verknüpften Berechtigungen lesen, aktualisieren und löschen.

**Voraussetzung**

Stellen Sie sicher, dass Sie berechtigt sind, Dienstkonten zu erstellen und zu bearbeiten. Standardmäßig ist die Rolle des Organisationsadministrators erforderlich, um Dienstkonten zu erstellen und zu bearbeiten. Weitere Informationen zu Berechtigungen finden Sie unter [Berechtigungen verwenden](Grafana-permissions.md).

**Um ein Dienstkonto zu erstellen**

1. Melden Sie sich bei Ihrem Amazon Managed Grafana-Workspace an und wählen Sie im Menü auf der linken Seite **Administration** aus.

1. Wählen Sie **Dienstkonten aus.**

1. Wählen Sie **Dienstkonto hinzufügen** aus.

1. Geben Sie einen **Anzeigenamen** ein.

1. Der Anzeigename muss eindeutig sein, da er die dem Dienstkonto zugeordnete ID bestimmt.
   + Wir empfehlen, bei der Benennung von Dienstkonten eine einheitliche Benennungskonvention zu verwenden. Eine einheitliche Benennungskonvention kann Ihnen helfen, Servicekonten in future zu skalieren und zu verwalten.
   + Sie können den Anzeigenamen jederzeit ändern.

1. Wählen Sie **Erstellen** aus.

**Anmerkung**  
Sie können auch Dienstkonten mit Amazon Managed Grafana AWS APIs erstellen. Verwenden Sie den [CreateWorkspaceServiceAccount](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html), um programmgesteuert ein Servicekonto zu erstellen.

## Hinzufügen eines Tokens zu einem Dienstkonto
<a name="service-account-add-token"></a>

Ein Dienstkonto-Token ist eine generierte zufällige Zeichenfolge, die bei der Authentifizierung mit der HTTP-API von Grafana als Alternative zu einem Passwort dient.

**Voraussetzung**

Stellen Sie sicher, dass Sie berechtigt sind, Dienstkonten zu erstellen und zu bearbeiten. Standardmäßig ist die Rolle des Organisationsadministrators erforderlich, um Dienstkonten zu erstellen und zu bearbeiten. Weitere Informationen zu Berechtigungen finden Sie unter [Berechtigungen verwenden](Grafana-permissions.md).

**Um einem Dienstkonto ein Token hinzuzufügen**

1. Melden Sie sich in Ihrem Grafana-Workspace an und wählen Sie im **Menü auf der linken Seite Administration**.

1. Erweitern Sie das Menü **Benutzer und Zugriff**.

1. Wählen Sie **Dienstkonten** aus.

1. Wählen Sie das Dienstkonto aus, dem Sie ein Token hinzufügen möchten.

1. Wählen Sie **Dienstkonto-Token hinzufügen** aus.

1. Geben Sie einen Namen für das Token ein.

1. Wählen Sie **Ablaufdatum festlegen** und geben Sie ein Ablaufdatum für das Token ein.
   + Das Ablaufdatum gibt an, wie lange der Schlüssel gültig sein soll.
   + Sie können ein Ablaufdatum festlegen, das bis zu 30 Tage in der future liegt.
   + Wenn Sie sich bezüglich eines Ablaufdatums nicht sicher sind, empfehlen wir Ihnen, das Token so einzustellen, dass es nach einer kurzen Zeit abläuft, z. B. nach einigen Stunden oder weniger. Dadurch wird das Risiko begrenzt, das mit einem Token verbunden ist, das über einen langen Zeitraum gültig ist.

1. Wählen Sie **Generate token (Token erstellen)** aus.

**Anmerkung**  
Sie können auch Dienstkonto-Tokens mit Amazon Managed Grafana AWS APIs erstellen. Verwenden Sie das [CreateWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccountToken.html), um programmgesteuert ein Dienstkonto-Token zu erstellen.

## Löschen Sie ein Diensttoken
<a name="service-account-delete-token"></a>

Wenn Sie mit einem Service-Token fertig sind, müssen Sie es löschen, um es aus Ihrem Workspace zu entfernen. Abgelaufene, aber noch nicht gelöschte Token werden auf dein [Kontingent](AMG_quotas.md) an Dienstkonto-Tokens angerechnet.

**Voraussetzung**

Stellen Sie sicher, dass Sie berechtigt sind, Dienstkonten zu erstellen und zu bearbeiten. Standardmäßig ist die Rolle des Organisationsadministrators erforderlich, um Dienstkonten zu erstellen und zu bearbeiten. Weitere Informationen zu Berechtigungen finden Sie unter [Berechtigungen verwenden](Grafana-permissions.md).

**Um ein Token aus einem Dienstkonto zu entfernen**

1. Melden Sie sich in Ihrem Grafana-Workspace an und wählen Sie im **Menü auf der linken Seite Administration**.

1. Erweitern Sie das Menü **Benutzer und Zugriff**.

1. Wählen Sie **Dienstkonten** aus.

1. Wählen Sie das Dienstkonto aus, von dem Sie ein Token löschen möchten.

1. Wählen Sie in der Tokenliste das rote Symbol mit einem **X** neben dem Dienstkonto-Token aus, das Sie löschen möchten.

1. Wählen Sie **Löschen** aus.

Ihr Token ist gelöscht.

**Anmerkung**  
Sie können Service-Konto-Tokens auch mit Amazon Managed Grafana AWS APIs löschen. Verwenden Sie den [DeleteWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DeleteWorkspaceServiceAccountToken.html), um ein Dienstkonto-Token programmgesteuert zu löschen.

## Weisen Sie einem Dienstkonto Rollen zu
<a name="service-account-role"></a>

Sie können einem Grafana-Dienstkonto Rollen zuweisen, um den Zugriff auf die zugehörigen Dienstkonto-Tokens zu steuern. Sie können einem Dienstkonto über die Grafana-Benutzeroberfläche oder über die API Rollen zuweisen.

**Voraussetzung**

Stellen Sie sicher, dass Sie berechtigt sind, Dienstkonten zu erstellen und zu bearbeiten. Standardmäßig ist die Rolle des Organisationsadministrators erforderlich, um Dienstkonten zu erstellen und zu bearbeiten. Weitere Informationen zu Berechtigungen finden Sie unter [Berechtigungen verwenden](Grafana-permissions.md).

**Um einem Dienstkonto eine Rolle zuzuweisen**

1. Melden Sie sich bei Grafana an und wählen Sie im **Menü auf der linken Seite Administration**.

1. Wählen Sie **Dienstkonten.**

1. Wählen Sie das Dienstkonto aus, dem Sie eine Rolle zuweisen möchten. Suchen Sie alternativ das Dienstkonto in der Listenansicht.

1. Weisen Sie mithilfe der Rollenauswahl eine Rolle zu, um sie zu aktualisieren.

# Verwenden Sie API-Schlüssel, um sich mit Grafana HTTP zu authentifizieren APIs
<a name="using-api-keys"></a>

Eine Möglichkeit, auf Grafana zuzugreifen, APIs ist die Verwendung eines *API-Schlüssels*, der auch als *API-Token* bezeichnet wird. Verwenden Sie eines der folgenden Verfahren, um einen API-Schlüssel zu erstellen. Ein API-Schlüssel ist für eine begrenzte Zeit gültig, die Sie bei der Erstellung angeben, bis zu 30 Tage.

**Topics**
+ [Erstellen eines Grafana-API-Schlüssels zur Verwendung mit Grafana APIs im Workspace (Konsole)](#API_key_console)
+ [Erstellen eines Amazon Managed Grafana-Workspace-API-Schlüssels mit AWS CLI](#API_key_CLI)

**Anmerkung**  
In Version 9 oder neuer wird die Verwendung von Dienstkonten anstelle von API-Schlüsseln bevorzugt. Dienstkonten ersetzen API-Schlüssel als primäre Methode zur Authentifizierung von Anwendungen, die mit APIs Grafana interagieren. Grafana Labs hat angekündigt, dass API-Schlüssel in einer future Version entfernt werden.

Wenn Sie einen API-Schlüssel erstellen, geben Sie eine *Rolle* für den Schlüssel an. Die Rolle bestimmt den Grad der administrativen Befugnisse, über die Benutzer des Schlüssels verfügen. 

In den folgenden Tabellen sind die Berechtigungen aufgeführt, die den Rollen Admin, Editor und Viewer gewährt wurden. Die erste Tabelle zeigt allgemeine organisatorische Berechtigungen. In dieser Tabelle bedeutet **Vollständig** die Fähigkeit, Berechtigungen einzusehen, zu bearbeiten, hinzuzufügen und zu löschen. *In der Spalte **Erkunden** wird angezeigt, ob die Rolle die Explore-Ansicht verwenden kann.* In der Spalte **Andere** Berechtigungen wird angezeigt, ob die Rolle über Berechtigungen zur Verwaltung von Benutzern, Teams, Plug-ins und Organisationseinstellungen verfügt. 


|  Rolle  |  Dashboards  |  Playlisten  |  Ordner  |  Erkunden  |  Datenquellen  |  Andere Genehmigungen  | 
| --- | --- | --- | --- | --- | --- | --- | 
|  **Betrachter**  |  Anzeigen  |  Anzeigen  |  Nein  |  Nein  |  Nein  |  Nein  | 
|  **Editor (Editor)**  |  Voll  |  Voll  |  Voll  |  Ja  |  Nein  |  Nein  | 
|  **Admin.**  |  Voll  |  Voll  |  Voll  |  Ja  |  Voll  |  Voll  | 

Die folgende Tabelle zeigt die zusätzlichen Berechtigungen auf Dashboard- und Ordnerebene, die Sie festlegen können. Diese unterscheiden sich von den Rollen Admin, Editor und Viewer.


|  Rolle  |  Dashboards  |  Ordner  |  Berechtigungen ändern  | 
| --- | --- | --- | --- | 
|  **Anzeigen**  |  Anzeigen  |  Anzeigen  |  Nein  | 
|  **Edit (Bearbeiten)**  |  Erstellen, bearbeiten  |  Anzeigen  |  Nein  | 
|  **Admin.**  |  Erstellen, bearbeiten, löschen  |  Erstellen, bearbeiten, löschen  |  Ja  | 

**Anmerkung**  
Eine umfassendere Berechtigung mit einer niedrigeren Berechtigungsstufe hat keine Wirkung, wenn eine allgemeinere Regel mit mehr Rechten existiert. Wenn Sie einem Benutzer beispielsweise die Rolle des organisatorischen **Redakteurs** zuweisen und diesem Benutzer dann nur die **Anzeigeberechtigungen** für ein Dashboard zuweisen, hat die restriktivere **Anzeigeberechtigung** keine Auswirkung, da der Benutzer aufgrund seiner **Editor-Rolle** vollen **Bearbeitungszugriff** hat.

## Erstellen eines Grafana-API-Schlüssels zur Verwendung mit Grafana APIs im Workspace (Konsole)
<a name="API_key_console"></a>

**Anmerkung**  
In Amazon Managed Grafana-Workspaces, die mit Grafana-Version 10 und höher kompatibel sind, wurde die Möglichkeit, API-Schlüssel im Workspace zu erstellen, entfernt. Wenn es sich bei Ihrem Workspace um einen Grafana-Workspace der Version 10 handelt, können Sie API-Schlüssel nur über die AWS CLI oder API erstellen.  
Die Entfernung von API-Schlüsseln wurde von Grafana Labs für eine future Version angekündigt. Es wird empfohlen, stattdessen Dienstkonten zu verwenden.

**Um einen Grafana-API-Schlüssel zur Verwendung mit Grafana APIs in der Workspace-Konsole zu erstellen**

1. Öffnen Sie die Amazon Managed Grafana-Konsole unter [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).

1. Wählen Sie in der oberen linken Ecke der Seite das Menüsymbol und dann **Alle Workspaces**.

1. Wählen Sie den Namen des Amazon Managed Grafana-Arbeitsbereichs.

1. Wählen Sie auf der Seite mit den Workspace-Details die URL aus, die unter **Grafana-Workspace-URL** angezeigt wird.

1.  Machen Sie im Seitenmenü der Grafana-Konsole eine Pause auf dem **Konfigurationssymbol** (Zahnrad) und wählen Sie dann **API-Schlüssel**.

1. Wählen Sie **Neuer API-Schlüssel**.

1. Geben Sie einen eindeutigen Namen für den Schlüssel ein.

1. Wählen Sie unter **Rolle** die Zugriffsebene aus, der der Schlüssel gewährt werden soll. Wählen Sie **Admin** aus, um einem Benutzer mit diesem Schlüssel die Nutzung APIs auf der breitesten und leistungsfähigsten Administrationsebene zu ermöglichen. Wählen Sie **Editor** oder **Viewer**, um die Benutzer des Schlüssels auf diese Machtstufen zu beschränken. Weitere Informationen finden Sie in den vorherigen Tabellen.

1. Geben Sie **unter Time to Live** an, wie lange der Schlüssel gültig sein soll. Das Maximum beträgt 30 Tage (ein Monat). Sie geben eine Zahl und einen Buchstaben ein. Die gültigen Buchstaben sind **s** für Sekunden, **m** für Minuten, **h** für Stunden, **d** für Tage, **w** für Wochen und **M** für Monat. Beispielsweise steht **12h** für 12 Stunden und **1M** für 1 Monat (30 Tage). 

    Es wird dringend empfohlen, die Gültigkeitsdauer des Schlüssels auf einen kürzeren Zeitraum einzustellen, z. B. auf einige Stunden oder weniger. Dies birgt ein viel geringeres Risiko als API-Schlüssel, die für eine lange Zeit gültig sind.

1. Wählen Sie **Hinzufügen** aus.

1. (Optional) Sie können die Erstellung von API-Schlüsseln mit der [Create API Key API](Grafana-API-Authentication.md) mithilfe von Terraform automatisieren. Weitere Informationen zur Automatisierung der API-Schlüsselerstellung mit Terraform finden Sie unter [Grafana-API-Schlüssel mit Terraform erstellen](https://aws-observability.github.io/observability-best-practices/recipes/recipes/amg-automation-tf/).

## Erstellen eines Amazon Managed Grafana-Workspace-API-Schlüssels mit AWS CLI
<a name="API_key_CLI"></a>

**So erstellen Sie einen Amazon Managed Grafana-Workspace-API-Schlüssel mit AWS CLI**

Ersetzen Sie im folgenden Beispiel das *key\$1name**key\$1role*, *seconds\$1to\$1live* und *workspace\$1id* durch Ihre eigenen Informationen. Informationen zum Format von Schlüsselname, Schlüsselrolle und finden Sie [https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceApiKey.html](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceApiKey.html) im seconds-to-live API-Leitfaden. 

```
aws grafana create-workspace-api-key --key-name "key_name" --key-role "key_role" --seconds-to-live seconds_to_live --workspace-id "workspace_id"
```

Im Folgenden finden Sie ein Beispiel für eine CLI-Antwort:

![\[\]](http://docs.aws.amazon.com/de_de/grafana/latest/userguide/images/APICLI.png)


Sie können den *workspace\$1id* Ihres Workspace finden, indem Sie den folgenden Befehl ausführen:

```
aws grafana list-workspaces
```