Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Autenticación con tokens
Para usar una API de Grafana con su espacio de trabajo de Amazon Managed Grafana, debe tener un *token* de Grafana que sea válido. El token proporciona autenticación y autorización a la persona que llama a la API. Hay dos formas de crear tokens.
+ **Cuenta de servicio**: una cuenta de servicio se utiliza para ejecutar cargas de trabajo automatizadas en Grafana, como el aprovisionamiento, la configuración o la generación de informes. Puede crear tokens de cuentas de servicio para su cuenta de servicio. Las cuentas de servicio están disponibles en los espacios de trabajo de Grafana compatibles con la versión 9.x y está previsto que sustituyan a las claves de API como la principal forma de autenticar las aplicaciones que interactúan con Grafana. APIs
+ **Clave** de API: una clave de API (también llamada token de API) es una cadena generada aleatoriamente que los sistemas externos pueden usar para interactuar con Grafana HTTP. APIs Las claves de API están disponibles en las versiones 8, 9 y 10 de los espacios de trabajo de Grafana, sin embargo, GrafanaLabs ha anunciado que las dejarán en desuso en una versión futura.
**Topics**
+ [Utilice cuentas de servicio para autenticarse con el HTTP de Grafana APIs](service-accounts.md)
+ [Utilice claves de API para autenticarse con Grafana HTTP APIs](using-api-keys.md)
# Utilice cuentas de servicio para autenticarse con el HTTP de Grafana APIs
Puede usar una cuenta de servicio para ejecutar cargas de trabajo automatizadas en Grafana, como el aprovisionamiento de paneles, la configuración o la generación de informes. Cree cuentas de servicio y tokens para autenticar aplicaciones, como Terraform, con la consola de Grafana o la [API de Amazon Managed Grafana](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html).
**nota**
Las cuentas de servicio están disponibles en la versión 9.x de Grafana y sustituyen a las claves de API como la principal forma de autenticar las aplicaciones que interactúan con Grafana.
Un caso de uso común para crear una cuenta de servicio es llevar a cabo operaciones en tareas automatizadas o activadas. Puede usar las cuentas de servicio para:
+ Definir alertas en su sistema para utilizarlas en Grafana
+ Interactuar con Grafana sin iniciar sesión como usuario
**nota**
Cada cuenta de servicio se considera un usuario a efectos de facturación.
## Tokens de cuenta de servicio
Un token de cuenta de servicio es una cadena generada que actúa como clave para autenticarse con la API HTTP de Grafana.
Al crear una cuenta de servicio, puede asociarle uno o más tokens de acceso. Puede usar los tokens de acceso al servicio de la misma manera que las claves de API, por ejemplo, para acceder a Grafana HTTP APIs mediante programación.
Puede crear varios tokens para la misma cuenta de servicio. Es posible que desee hacer esto si:
+ Varias aplicaciones utilizan los mismos permisos, pero le gustaría auditar o administrar sus acciones por separado.
+ Necesita rotar o reemplazar un token comprometido.
Los tokens de acceso a la cuenta de servicio heredan los permisos de la cuenta de servicio.
Amazon Managed Grafana tiene una [cuota](AMG_quotas.md) con respecto a la cantidad de tokens de cuentas de servicio que puede tener a la vez. Esto incluye los tokens activos y vencidos. Debe eliminar los tokens para quitarlos de la cuota.
## Ventajas de la cuenta de servicio
Entre los beneficios adicionales de las cuentas de servicio para las claves de API se incluyen los siguientes:
+ Las cuentas de servicio se parecen a las de los usuarios de Grafana y pueden habilitarse o deshabilitarse, es posible otorgarles permisos específicos y pueden permanecer activas hasta que se eliminen o deshabiliten. Las claves de API solo son válidas hasta su fecha de caducidad.
+ Las cuentas de servicio se pueden asociar a varios tokens.
+ A diferencia de las claves de API, los tokens de las cuentas de servicio no están asociados a un usuario específico, lo que significa que las aplicaciones se pueden autenticar incluso si se elimina un usuario de Grafana.
+ Puede conceder permisos a las cuentas de servicio del mismo modo que concede permisos a los usuarios.
Para obtener más información sobre los permisos, consulte [Uso de permisos](Grafana-permissions.md).
## Creación de una cuenta de servicio
**nota**
El usuario que crea una cuenta de servicio también puede leer, actualizar y eliminar la cuenta de servicio que creó, así como los permisos asociados a esa cuenta.
**Requisito previo**
Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, debe tener el rol de administrador de la organización para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte [Uso de permisos](Grafana-permissions.md).
**Creación de una cuenta de servicio**
1. Inicie sesión en su espacio de trabajo de Amazon Managed Grafana y seleccione **Administración** en el menú de la izquierda.
1. Seleccione **Cuentas de servicio**.
1. Seleccione **Agregar cuenta de servicio**.
1. Ingrese un **Nombre de visualización**.
1. El nombre de visualización debe ser único, ya que determina el ID asociado a la cuenta de servicio.
+ Le recomendamos que utilice una convención de nomenclatura coherente al asignar nombres a las cuentas de servicio. Una convención de nomenclatura coherente puede ayudarlo a escalar y mantener las cuentas de servicio en el futuro.
+ Puede cambiar el nombre de visualización en cualquier momento.
1. Seleccione **Crear**.
**nota**
También puedes crear cuentas de servicio con el AWS APIs Grafana gestionado por Amazon. Úselo [CreateWorkspaceServiceAccount](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html)para crear una cuenta de servicio mediante programación.
## Cómo agregar un token a una cuenta de servicio
Un token de cuenta de servicio es una cadena generada aleatoriamente que actúa como alternativa de una contraseña para autenticarse con la API HTTP de Grafana.
**Requisito previo**
Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, debe tener el rol de administrador de la organización para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte [Uso de permisos](Grafana-permissions.md).
**Cómo agregar un token a una cuenta de servicio**
1. Inicie sesión en su espacio de trabajo de Grafana y seleccione **Administración** en el menú de la izquierda.
1. Amplíe el menú **Usuarios y acceso**.
1. Seleccione **Cuentas de servicio**.
1. Seleccione la cuenta de servicio a la que desea agregar un token.
1. Seleccione **Agregar token de cuenta de servicio**.
1. Ingrese un nombre para el token.
1. Seleccione **Establecer fecha de caducidad** e ingrese una fecha de caducidad para el token.
+ La fecha de caducidad especifica cuánto tiempo de validez desea que tenga la clave.
+ Puede establecer una fecha de caducidad de hasta 30 días en el futuro.
+ Si no tiene clara la fecha de caducidad, le recomendamos que configure el token para que caduque al cabo de poco tiempo, por ejemplo, unas horas o menos. Esto limita el riesgo asociado a un token que es válido durante mucho tiempo.
1. Elija **Generar token**.
**nota**
También puedes crear tokens de cuentas de servicio con el AWS APIs Grafana gestionado por Amazon. Úselo [CreateWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccountToken.html)para crear un token de cuenta de servicio mediante programación.
## Eliminación de un token de servicio
Cuando termine de usar un token de servicio, debe eliminarlo para que, a su vez, se elimine de su espacio de trabajo. Los tokens caducados, pero que aún no se han eliminado, se tienen en cuenta para la [cuota](AMG_quotas.md) de tokens de la cuenta de servicio.
**Requisito previo**
Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, debe tener el rol de administrador de la organización para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte [Uso de permisos](Grafana-permissions.md).
**Eliminación de un token de una cuenta de servicio**
1. Inicie sesión en su espacio de trabajo de Grafana y seleccione **Administración** en el menú de la izquierda.
1. Amplíe el menú **Usuarios y acceso**.
1. Seleccione **Cuentas de servicio**.
1. Seleccione la cuenta de servicio de la que desea eliminar un token.
1. En la lista de tokens, seleccione el icono rojo con una **x** junto al token de la cuenta de servicio que desea eliminar.
1. Seleccione **Eliminar**.
Se eliminará su token.
**nota**
También puedes eliminar los tokens de las cuentas de servicio mediante el AWS APIs Grafana gestionado por Amazon. Úselo [DeleteWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DeleteWorkspaceServiceAccountToken.html)para eliminar un token de cuenta de servicio mediante programación.
## Asignación de roles a una cuenta de servicio
Puede asignar roles a una cuenta de servicio de Grafana para controlar el acceso a los tokens de la cuenta de servicio asociados. Puede asignar roles a una cuenta de servicio mediante la interfaz de usuario de Grafana o mediante la API.
**Requisito previo**
Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, debe tener el rol de administrador de la organización para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte [Uso de permisos](Grafana-permissions.md).
**Asignación de un rol a una cuenta de servicio**
1. Inicie sesión en Grafana y seleccione **Administración** en el menú de la izquierda.
1. Seleccione **Cuentas de servicio**.
1. Seleccione la cuenta de servicio a la que desea asignar un rol. Como alternativa, busque la cuenta de servicio en la vista de lista.
1. Asigne un rol mediante el selector de roles para actualizarlo.
# Utilice claves de API para autenticarse con Grafana HTTP APIs
Una forma de acceder a Grafana APIs es usar una *clave de API*, que también se denomina token de *API*. Utilice uno de los siguientes procedimientos para crear una clave de API: Una clave de API es válida durante el tiempo limitado que se especifique al crearla, hasta 30 días.
**Topics**
+ [Creación de una clave API de Grafana para usarla con Grafana APIs en el espacio de trabajo (consola)](#API_key_console)
+ [Creación de una clave de API de espacio de trabajo de Grafana gestionado por Amazon mediante AWS CLI](#API_key_CLI)
**nota**
En la versión 9 o posterior, se prefiere utilizar cuentas de servicio en lugar de claves de API. Las cuentas de servicio están sustituyendo a las claves de API como la principal forma de autenticar las aplicaciones que interactúan con Grafana APIs. Grafana Labs ha anunciado que las claves de API se eliminarán en una versión futura.
Al crear una clave de API, se especifica un *rol* para la clave. El rol determina el nivel de poder administrativo que tienen los usuarios de la clave.
En las siguientes tablas se muestran los permisos concedidos a los roles de administrador, editor y lector. La primera tabla muestra los permisos organizativos generales. En esta tabla, **Completo** significa poder ver, editar, agregar y eliminar permisos. La columna **Explore** muestra si el rol puede utilizar la vista *Explore*. La columna de permisos **Otros** muestra si el rol tiene permisos para administrar los usuarios, los equipos, los complementos y la configuración de la organización.
| Rol | Paneles | Listas de reproducción | Carpetas | Exploración | Orígenes de datos | Otros permisos |
| --- | --- | --- | --- | --- | --- | --- |
| **Espectador** | Visualización | Visualización | No | No | No | No |
| **Editor** | Full | Full | Full | Sí | No | No |
| **Administrador** | Full | Full | Full | Sí | Full | Full |
En la tabla siguiente se muestran los permisos adicionales de panel y carpeta que se pueden configurar. Son diferentes de los roles de administrador, editor y lector.
| Rol | Paneles | Carpetas | Cambiar los permisos |
| --- | --- | --- | --- |
| **Ver** | Visualización | Visualización | No |
| **Editar** | Crear, editar | Visualización | No |
| **Administrador** | Crear, editar, eliminar | Crear, editar, eliminar | Sí |
**nota**
Un permiso con un ámbito más amplio y un nivel de permiso inferior no surtirá efecto si existe una regla más general con más permisos. Por ejemplo, si asigna a un usuario el rol de **editor** de la organización y, a continuación, solo le asigna los permisos de **visualización** de un panel, el permiso de **visualización**, que es más restrictivo, no surtirá efecto, ya que el usuario tiene acceso completo de **edición** debido a su rol de **editor**.
## Creación de una clave API de Grafana para usarla con Grafana APIs en el espacio de trabajo (consola)
**nota**
En los espacios de trabajo de Amazon Managed Grafana compatibles con la versión 10 y posteriores de Grafana, ya no se pueden crear claves de API en el espacio de trabajo. Si su espacio de trabajo es un espacio de trabajo de Grafana versión 10, solo puede crear claves de API a través de la API o la AWS CLI.
Grafana Labs ha anunciado la eliminación de las claves de API para una versión futura. En su lugar, se recomienda utilizar cuentas de servicio.
**Para crear una clave de API de Grafana para usarla con Grafana en la consola del espacio de trabajo APIs**
1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/).
1. En la esquina superior izquierda de la página, elija el icono de menú y, a continuación, elija **Todos los espacios de trabajo**.
1. Elija el nombre del espacio de trabajo de Amazon Managed Grafana.
1. En la página de detalles del espacio de trabajo, elija la URL que aparece en **URL del espacio de trabajo de Grafana**.
1. En el menú lateral de la consola de Grafana, haga una pausa en el icono **Configuración** (engranaje) y, a continuación, elija **Claves de API**.
1. Elija **Nueva clave de API**.
1. Ingrese un nombre exclusivo para la clave.
1. En **Rol**, seleccione el nivel de acceso al que se va a conceder la clave. Seleccione **Admin** para permitir que un usuario con esta clave la utilice APIs en el nivel administrativo más amplio y potente. Seleccione **Editor** o **Lector** para limitar los usuarios de la clave a esos niveles de control. Para obtener más información, consulte las tablas anteriores.
1. En **Tiempo de vida**, especifique cuánto tiempo de validez quiere que tenga la clave. El máximo es de 30 días (un mes). Ingrese un número y una letra. Las letras válidas son **s** para los segundos, **m** para los minutos, **h** para las horas, **d** para los días, **w** para las semanas y **M** para el mes. Por ejemplo, **12h** son 12 horas y **1M** es 1 mes (30 días).
Le recomendamos que establezca el tiempo de vida de la clave para un periodo más corto, por ejemplo, unas pocas horas o menos. Esto supone un riesgo mucho menor que tener claves de API que sean válidas durante mucho tiempo.
1. Elija **Añadir**.
1. (Opcional) Puede automatizar la creación de claves de API con la API [Creación de claves de API](Grafana-API-Authentication.md) mediante Terraform. Para obtener más información sobre la automatización de la creación de claves de API con Terraform, consulte [Creating Grafana API Key using Terraform](https://aws-observability.github.io/observability-best-practices/recipes/recipes/amg-automation-tf/).
## Creación de una clave de API de espacio de trabajo de Grafana gestionado por Amazon mediante AWS CLI
**Creación de una clave de API de espacio de trabajo de Amazon Managed Grafana mediante la AWS CLI**
En el siguiente ejemplo, sustituya la *key\$1name**key\$1role*, *seconds\$1to\$1live* y *workspace\$1id* por su propia información. Para obtener información sobre el formato de la clave-nombre, la clave-rol y seconds-to-live, consulte [https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceApiKey.html](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceApiKey.html) la guía de la API.
```
aws grafana create-workspace-api-key --key-name "key_name" --key-role "key_role" --seconds-to-live seconds_to_live --workspace-id "workspace_id"
```
A continuación, se muestra una respuesta de la CLI de ejemplo:
![\[\]](http://docs.aws.amazon.com/es_es/grafana/latest/userguide/images/APICLI.png)
Puede encontrar el espacio *workspace\$1id* de trabajo ejecutando el siguiente comando:
```
aws grafana list-workspaces
```