Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de cuentas de servicio para autenticarse con las API HTTP de Grafana
Puede usar una cuenta de servicio para ejecutar cargas de trabajo automatizadas en Grafana, como el aprovisionamiento de paneles, la configuración o la generación de informes. Cree cuentas de servicio y tokens para autenticar aplicaciones, como Terraform, con la consola de Grafana o la [API de Amazon Managed Grafana](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html).
**nota**
Las cuentas de servicio están disponibles en Grafana 9.x y versiones posteriores, y han reemplazado a las claves de API como la forma principal de autenticar las aplicaciones que interactúan con Grafana. Las claves de API están en desuso y se han eliminado en la versión 12 de Amazon Managed Grafana.
Un caso de uso común para crear una cuenta de servicio es llevar a cabo operaciones en tareas automatizadas o activadas. Puede usar las cuentas de servicio para:
+ Definir alertas en su sistema para utilizarlas en Grafana
+ Interactuar con Grafana sin iniciar sesión como usuario
**nota**
Cada cuenta de servicio se considera un usuario a efectos de facturación.
## Tokens de cuenta de servicio
Un token de cuenta de servicio es una cadena generada que actúa como clave para autenticarse con la API HTTP de Grafana.
Al crear una cuenta de servicio, puede asociarle uno o más tokens de acceso. Puede usar los tokens de acceso al servicio de la misma manera que las claves de API, por ejemplo, para acceder a las API HTTP de Grafana mediante programación.
Puede crear varios tokens para la misma cuenta de servicio. Es posible que desee hacer esto si:
+ Varias aplicaciones utilizan los mismos permisos, pero le gustaría auditar o administrar sus acciones por separado.
+ Necesita rotar o reemplazar un token comprometido.
Los tokens de acceso a la cuenta de servicio heredan los permisos de la cuenta de servicio.
Amazon Managed Grafana tiene una [cuota](AMG_quotas.md) con respecto a la cantidad de tokens de cuentas de servicio que puede tener a la vez. Esto incluye los tokens activos y vencidos. Debe eliminar los tokens para quitarlos de la cuota.
## Ventajas de la cuenta de servicio
Entre los beneficios adicionales de las cuentas de servicio para las claves de API se incluyen los siguientes:
+ Las cuentas de servicio se parecen a las de los usuarios de Grafana y se les pueden enabled/disabled conceder permisos específicos y permanecer activas hasta que se eliminen o deshabiliten. Las claves de API solo son válidas hasta su fecha de caducidad.
+ Las cuentas de servicio se pueden asociar a varios tokens.
+ A diferencia de las claves de API, los tokens de las cuentas de servicio no están asociados a un usuario específico, lo que significa que las aplicaciones se pueden autenticar incluso si se elimina un usuario de Grafana.
+ Puede conceder permisos a las cuentas de servicio del mismo modo que concede permisos a los usuarios.
Para obtener más información sobre los permisos, consulte [Uso de permisos](Grafana-permissions.md).
## Creación de una cuenta de servicio
**nota**
El usuario que crea una cuenta de servicio también puede leer, actualizar y eliminar la cuenta de servicio que creó, así como los permisos asociados a esa cuenta.
**Requisito previo**
Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, debe tener el rol de administrador de la organización para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte [Uso de permisos](Grafana-permissions.md).
**Creación de una cuenta de servicio**
1. Inicie sesión en su espacio de trabajo de Amazon Managed Grafana y seleccione **Administración** en el menú de la izquierda.
1. Seleccione **Cuentas de servicio**.
1. Seleccione **Agregar cuenta de servicio**.
1. Ingrese un **Nombre de visualización**.
1. El nombre de visualización debe ser único, ya que determina el ID asociado a la cuenta de servicio.
+ Le recomendamos que utilice una convención de nomenclatura coherente al asignar nombres a las cuentas de servicio. Una convención de nomenclatura coherente puede ayudarlo a escalar y mantener las cuentas de servicio en el futuro.
+ Puede cambiar el nombre de visualización en cualquier momento.
1. Seleccione **Crear**.
**nota**
También puedes crear cuentas de servicio con las API de Grafana AWS gestionadas por Amazon. Utilícela [CreateWorkspaceServiceAccount](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html)para crear una cuenta de servicio mediante programación.
## Cómo agregar un token a una cuenta de servicio
Un token de cuenta de servicio es una cadena generada aleatoriamente que actúa como alternativa de una contraseña para autenticarse con la API HTTP de Grafana.
**Requisito previo**
Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, debe tener el rol de administrador de la organización para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte [Uso de permisos](Grafana-permissions.md).
**Cómo agregar un token a una cuenta de servicio**
1. Inicie sesión en su espacio de trabajo de Grafana y seleccione **Administración** en el menú de la izquierda.
1. Amplíe el menú **Usuarios y acceso**.
1. Seleccione **Cuentas de servicio**.
1. Seleccione la cuenta de servicio a la que desea agregar un token.
1. Seleccione **Agregar token de cuenta de servicio**.
1. Ingrese un nombre para el token.
1. Seleccione **Establecer fecha de caducidad** e ingrese una fecha de caducidad para el token.
+ La fecha de caducidad especifica cuánto tiempo de validez desea que tenga la clave.
+ Puede establecer una fecha de caducidad de hasta 30 días en el futuro.
+ Si no tiene clara la fecha de caducidad, le recomendamos que configure el token para que caduque al cabo de poco tiempo, por ejemplo, unas horas o menos. Esto limita el riesgo asociado a un token que es válido durante mucho tiempo.
1. Elija **Generar token**.
**nota**
También puede crear tokens de cuentas de servicio con las API de AWS de Amazon Managed Grafana. Úselo [CreateWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccountToken.html)para crear un token de cuenta de servicio mediante programación.
## Eliminación de un token de servicio
Cuando termine de usar un token de servicio, debe eliminarlo para que, a su vez, se elimine de su espacio de trabajo. Los tokens caducados, pero que aún no se han eliminado, se tienen en cuenta para la [cuota](AMG_quotas.md) de tokens de la cuenta de servicio.
**Requisito previo**
Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, debe tener el rol de administrador de la organización para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte [Uso de permisos](Grafana-permissions.md).
**Eliminación de un token de una cuenta de servicio**
1. Inicie sesión en su espacio de trabajo de Grafana y seleccione **Administración** en el menú de la izquierda.
1. Amplíe el menú **Usuarios y acceso**.
1. Seleccione **Cuentas de servicio**.
1. Seleccione la cuenta de servicio de la que desea eliminar un token.
1. En la lista de tokens, seleccione el icono rojo con una **x** junto al token de la cuenta de servicio que desea eliminar.
1. Seleccione **Eliminar**.
Se eliminará su token.
**nota**
También puede eliminar tokens de cuentas de servicio con las API de AWS de Amazon Managed Grafana. Úselo [DeleteWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DeleteWorkspaceServiceAccountToken.html)para eliminar un token de cuenta de servicio mediante programación.
## Asignación de roles a una cuenta de servicio
Puede asignar roles a una cuenta de servicio de Grafana para controlar el acceso a los tokens de la cuenta de servicio asociados. Puede asignar roles a una cuenta de servicio mediante la interfaz de usuario de Grafana o mediante la API.
**Requisito previo**
Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, debe tener el rol de administrador de la organización para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte [Uso de permisos](Grafana-permissions.md).
**Asignación de un rol a una cuenta de servicio**
1. Inicie sesión en Grafana y seleccione **Administración** en el menú de la izquierda.
1. Seleccione **Cuentas de servicio**.
1. Seleccione la cuenta de servicio a la que desea asignar un rol. Como alternativa, busque la cuenta de servicio en la vista de lista.
1. Asigne un rol mediante el selector de roles para actualizarlo.