Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autenticazione con token
*Per utilizzare un'API Grafana con il tuo spazio di lavoro Amazon Managed Grafana, devi disporre di un token Grafana valido.* Il token fornisce l'autenticazione e l'autorizzazione per il chiamante dell'API. Esistono due modi per creare token.
+ **Account di servizio**: un account di servizio viene utilizzato per eseguire carichi di lavoro automatizzati in Grafana, come il provisioning, la configurazione o la generazione di report. È possibile creare token di account di servizio per il proprio account di servizio. Gli account di servizio sono disponibili nelle aree di lavoro Grafana compatibili con la versione 9.x e sono progettati per sostituire le chiavi API come metodo principale per autenticare le applicazioni che interagiscono con Grafana. APIs
+ **Chiave API**: una chiave API (chiamata anche token API) è una stringa generata casualmente che i sistemi esterni possono utilizzare per interagire con Grafana HTTP. APIs Le chiavi API sono disponibili nelle versioni 8, 9 e 10 delle aree di lavoro Grafana, tuttavia, GrafanaLabs ha annunciato che le renderanno obsolete in una versione futura.
**Topics**
+ [Usa gli account di servizio per l'autenticazione con l'HTTP Grafana APIs](service-accounts.md)
+ [Usa le chiavi API per l'autenticazione con Grafana HTTP APIs](using-api-keys.md)
# Usa gli account di servizio per l'autenticazione con l'HTTP Grafana APIs
Puoi utilizzare un account di servizio per eseguire carichi di lavoro automatizzati in Grafana, come il provisioning del dashboard, la configurazione o la generazione di report. [Crea account e token di servizio per autenticare applicazioni, come Terraform, con la console Grafana o l'API Amazon Managed Grafana.](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html)
**Nota**
Gli account di servizio sono disponibili in Grafana 9.x e versioni successive e sostituiscono le chiavi API come metodo principale per autenticare le applicazioni che interagiscono con Grafana.
Un caso d'uso comune per la creazione di un account di servizio consiste nell'eseguire operazioni su attività automatizzate o attivate. È possibile utilizzare gli account di servizio per:
+ Definisci gli avvisi nel tuo sistema da utilizzare in Grafana
+ Interagisci con Grafana senza accedere come utente
**Nota**
Ogni account di servizio è considerato un utente ai fini della fatturazione.
## Token dell'account di servizio
Un token di account di servizio è una stringa generata che funge da chiave per l'autenticazione con l'API HTTP di Grafana.
Quando crei un account di servizio, puoi associarvi uno o più token di accesso. È possibile utilizzare i token di accesso al servizio allo stesso modo delle chiavi API, ad esempio per accedere a Grafana APIs HTTP a livello di codice.
È possibile creare più token per lo stesso account di servizio. Potresti volerlo fare se:
+ più applicazioni utilizzano le stesse autorizzazioni, ma vorresti controllare o gestire le loro azioni separatamente.
+ devi ruotare o sostituire un token compromesso.
I token di accesso all'account di servizio ereditano le autorizzazioni dall'account di servizio.
Amazon Managed Grafana ha una [quota](AMG_quotas.md) sul numero di token di account di servizio che puoi avere contemporaneamente. Sono inclusi i token attivi e quelli scaduti. È necessario eliminare i token per rimuoverli dalla quota.
## Vantaggi dell'account di servizio
I vantaggi aggiuntivi degli account di servizio rispetto alle chiavi API includono:
+ Gli account di servizio assomigliano agli utenti di Grafana e possono essere abilitati/disabilitati, possono essere concesse autorizzazioni specifiche e rimanere attivi fino a quando non vengono eliminati o disabilitati. Le chiavi API sono valide solo fino alla data di scadenza.
+ Gli account di servizio possono essere associati a più token.
+ A differenza delle chiavi API, i token degli account di servizio non sono associati a un utente specifico, il che significa che le applicazioni possono essere autenticate anche se un utente Grafana viene eliminato.
+ È possibile concedere le autorizzazioni agli account di servizio nello stesso modo in cui si concedono le autorizzazioni agli utenti.
Per ulteriori informazioni sulle autorizzazioni, consultare [Utilizzo delle autorizzazioni](Grafana-permissions.md).
## Creazione di un account di servizio
**Nota**
L'utente che crea un account di servizio è anche in grado di leggere, aggiornare ed eliminare l'account di servizio che ha creato, nonché le autorizzazioni associate a tale account di servizio.
**Prerequisito**
Assicurati di avere l'autorizzazione per creare e modificare gli account di servizio. Per impostazione predefinita, il ruolo di amministratore dell'organizzazione è richiesto per creare e modificare gli account di servizio. Per ulteriori informazioni sulle autorizzazioni, consultare [Utilizzo delle autorizzazioni](Grafana-permissions.md).
**Per creare un account di servizio**
1. Accedi al tuo spazio di lavoro Amazon Managed Grafana e seleziona **Amministrazione** dal menu a sinistra.
1. **Seleziona Account di servizio.**
1. Seleziona **Aggiungi account di servizio**.
1. Inserisci un **nome da visualizzare**.
1. Il nome visualizzato deve essere univoco in quanto determina l'ID associato all'account del servizio.
+ Si consiglia di utilizzare una convenzione di denominazione coerente quando si assegnano nomi agli account di servizio. Una convenzione di denominazione coerente può aiutarti a scalare e mantenere gli account di servizio in futuro.
+ È possibile modificare il nome visualizzato in qualsiasi momento.
1. Scegli **Create** (Crea).
**Nota**
Puoi anche creare account di servizio utilizzando Amazon Managed Grafana AWS APIs. Usa il [CreateWorkspaceServiceAccount](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html)per creare un account di servizio a livello di codice.
## Aggiungere un token a un account di servizio
Un token di account di servizio è una stringa casuale generata che funge da alternativa a una password durante l'autenticazione con l'API HTTP di Grafana.
**Prerequisito**
Assicurati di avere l'autorizzazione per creare e modificare gli account di servizio. Per impostazione predefinita, il ruolo di amministratore dell'organizzazione è richiesto per creare e modificare gli account di servizio. Per ulteriori informazioni sulle autorizzazioni, consultare [Utilizzo delle autorizzazioni](Grafana-permissions.md).
**Per aggiungere un token a un account di servizio**
1. Accedi al tuo spazio di lavoro Grafana e scegli **Amministrazione** nel menu a sinistra.
1. Espandi il menu **Utenti e accesso**.
1. Scegli **Account di servizio**.
1. Seleziona l'account di servizio a cui desideri aggiungere un token.
1. Scegli **Aggiungi token dell'account di servizio**.
1. Inserisci un nome per il token.
1. Seleziona **Imposta data di scadenza** e inserisci una data di scadenza per il token.
+ La data di scadenza specifica per quanto tempo desideri che la chiave sia valida.
+ Puoi impostare una data di scadenza fino a 30 giorni nel futuro.
+ Se non sei sicuro della data di scadenza, ti consigliamo di impostare il token in modo che scada dopo un breve periodo di tempo, ad esempio poche ore o meno. Ciò limita il rischio associato a un token valido per un lungo periodo.
1. Scegli **Generate token (Genera token)**.
**Nota**
Puoi anche creare token di account di servizio utilizzando Amazon Managed Grafana AWS APIs. Utilizza il [CreateWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccountToken.html)per creare un token di account di servizio in modo programmatico.
## Eliminare un token di servizio
Quando hai finito con un token di servizio, devi eliminarlo per rimuoverlo dal tuo spazio di lavoro. I token scaduti, ma non ancora eliminati, vengono conteggiati ai fini della [quota](AMG_quotas.md) di token dell'account di servizio.
**Prerequisito**
Assicurati di avere l'autorizzazione per creare e modificare gli account di servizio. Per impostazione predefinita, il ruolo di amministratore dell'organizzazione è richiesto per creare e modificare gli account di servizio. Per ulteriori informazioni sulle autorizzazioni, consultare [Utilizzo delle autorizzazioni](Grafana-permissions.md).
**Per rimuovere un token da un account di servizio**
1. Accedi al tuo spazio di lavoro Grafana e scegli **Amministrazione** nel menu a sinistra.
1. Espandi il menu **Utenti e accesso**.
1. Scegli **Account di servizio**.
1. Seleziona l'account di servizio da cui desideri eliminare un token.
1. Nell'elenco dei token, seleziona l'icona rossa con una **x** accanto al token dell'account di servizio che desideri eliminare.
1. Seleziona **Elimina**.
Il token è stato eliminato.
**Nota**
Puoi anche eliminare i token degli account di servizio utilizzando Amazon Managed Grafana AWS APIs. Utilizza il [DeleteWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DeleteWorkspaceServiceAccountToken.html)per eliminare il token di un account di servizio a livello di codice.
## Assegna ruoli a un account di servizio
È possibile assegnare ruoli a un account del servizio Grafana per controllare l'accesso ai token dell'account di servizio associati. Puoi assegnare ruoli a un account di servizio utilizzando l'interfaccia utente Grafana o tramite l'API.
**Prerequisito**
Assicurati di avere l'autorizzazione per creare e modificare account di servizio. Per impostazione predefinita, il ruolo di amministratore dell'organizzazione è richiesto per creare e modificare gli account di servizio. Per ulteriori informazioni sulle autorizzazioni, consultare [Utilizzo delle autorizzazioni](Grafana-permissions.md).
**Per assegnare un ruolo a un account di servizio**
1. Accedi a Grafana e scegli **Amministrazione nel menu** a sinistra.
1. **Scegli Account di servizio.**
1. Seleziona l'account di servizio a cui desideri assegnare un ruolo. In alternativa, trova l'account del servizio nella visualizzazione a elenco.
1. Assegna un ruolo utilizzando il selettore di ruoli per l'aggiornamento.
# Usa le chiavi API per l'autenticazione con Grafana HTTP APIs
Un modo per accedere a Grafana APIs consiste nell'utilizzare una *chiave API*, chiamata anche token *API*. Per creare una chiave API, utilizza una delle seguenti procedure. Una chiave API è valida per un periodo di tempo limitato specificato al momento della creazione, fino a 30 giorni.
**Topics**
+ [Creazione di una chiave API Grafana da utilizzare con Grafana APIs nell'area di lavoro (Console)](#API_key_console)
+ [Creazione di una chiave API per l'area di lavoro Amazon Managed Grafana utilizzando AWS CLI](#API_key_CLI)
**Nota**
Nella versione 9 o successiva, è preferibile utilizzare gli account di servizio anziché le chiavi API. Gli account di servizio stanno sostituendo le chiavi API come metodo principale per autenticare le applicazioni che interagiscono con Grafana APIs. Grafana Labs ha annunciato che le chiavi API verranno rimosse in una versione futura.
Quando si crea una chiave API, si specifica un *ruolo* per la chiave. Il ruolo determina il livello di potere amministrativo degli utenti della chiave.
Le tabelle seguenti mostrano le autorizzazioni concesse ai ruoli Admin, Editor e Viewer. La prima tabella mostra le autorizzazioni organizzative generali. In questa tabella, per **Completo** si intende la possibilità di visualizzare, modificare, aggiungere autorizzazioni ed eliminare autorizzazioni. La colonna **Esplora** mostra se il ruolo può utilizzare la vista *Esplora*. La colonna **Altre** autorizzazioni mostra se il ruolo dispone delle autorizzazioni per la gestione di utenti, team, plug-in e impostazioni organizzative.
| Ruolo | Pannelli di controllo | Playlist | Cartelle | Esplora | Origini dati | Altre autorizzazioni |
| --- | --- | --- | --- | --- | --- | --- |
| **Visualizzatore** | Vista | Vista | No | No | No | No |
| **Editor** | Completa | Completa | Completa | Sì | No | No |
| **Amministratore** | Completa | Completa | Completa | Sì | Completa | Completa |
La tabella seguente mostra le autorizzazioni aggiuntive a livello di dashboard e cartella che è possibile impostare. Questi sono diversi dai ruoli Admin, Editor e Viewer.
| Ruolo | Pannelli di controllo | Cartelle | Modifica le autorizzazioni |
| --- | --- | --- | --- |
| **Visualizzazione** | Vista | Vista | No |
| **Modificare** | Crea, modifica | Vista | No |
| **Amministratore** | Crea, modifica, elimina | Crea, modifica, elimina | Sì |
**Nota**
Un'autorizzazione più ampia con un livello di autorizzazione inferiore non ha effetto se esiste una regola più generale con più autorizzazioni. **Ad esempio, se si assegna a un utente il ruolo di **Editor** dell'organizzazione e quindi si assegnano a quell'utente solo le autorizzazioni di **visualizzazione** per una dashboard, l'autorizzazione di **visualizzazione** più restrittiva non ha alcun effetto perché l'utente ha pieno accesso alla **modifica** grazie al ruolo di Editor.**
## Creazione di una chiave API Grafana da utilizzare con Grafana APIs nell'area di lavoro (Console)
**Nota**
Nelle aree di lavoro Amazon Managed Grafana compatibili con Grafana versione 10 e successive, la possibilità di creare chiavi API nell'area di lavoro è stata rimossa. Se il tuo spazio di lavoro è uno spazio di lavoro Grafana versione 10, puoi creare chiavi API solo tramite la AWS CLI o l'API.
La rimozione delle chiavi API è stata annunciata da Grafana Labs per una versione futura. Si consiglia invece di utilizzare gli account di servizio.
**Per creare una chiave API Grafana da utilizzare con Grafana APIs nella console del workspace**
1. Apri la console Amazon Managed Grafana all'indirizzo. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/)
1. **Nell'angolo in alto a sinistra della pagina, scegli l'icona del menu, quindi scegli Tutte le aree di lavoro**.
1. Scegli il nome dell'area di lavoro Amazon Managed Grafana.
1. Nella pagina dei dettagli dell'area di lavoro, scegli l'URL visualizzato sotto l'URL dell'area di lavoro **Grafana**.
1. **Nel menu laterale della console Grafana, fai una pausa sull'icona **Configurazione** (ingranaggio), quindi scegli Chiavi API.**
1. Scegli **Nuova chiave API.**
1. Inserisci un nome univoco per la chiave.
1. Per **Ruolo**, seleziona il livello di accesso a cui concedere la chiave. Seleziona **Amministratore** per consentire a un utente con questa chiave di APIs utilizzarla al livello amministrativo più ampio e potente. Seleziona **Editor** o **Viewer** per limitare gli utenti della chiave a quei livelli di potenza. Per ulteriori informazioni, consulta le tabelle precedenti.
1. In **Time to live**, specifica per quanto tempo desideri che la chiave sia valida. Il massimo è 30 giorni (un mese). Inserisci un numero e una lettera. Le lettere valide sono **s per i** secondi, **m** per i minuti, **h** per le ore, **d** per i giorni, **w** per le settimane e **M** per il mese. Ad esempio, **12h corrisponde** a 12 ore e **1M corrisponde** a 1 mese (30 giorni).
Ti consigliamo vivamente di impostare la durata di vita della chiave per un periodo più breve, ad esempio poche ore o meno. Ciò comporta un rischio molto inferiore rispetto all'utilizzo di chiavi API valide per un lungo periodo.
1. Scegliere **Aggiungi**.
1. (Facoltativo) Puoi automatizzare la creazione di chiavi API con l'API [Create API Key](Grafana-API-Authentication.md) utilizzando Terraform. Per ulteriori informazioni sull'automazione della creazione di chiavi API utilizzando Terraform, consulta Creazione della chiave [API Grafana](https://aws-observability.github.io/observability-best-practices/recipes/recipes/amg-automation-tf/) utilizzando Terraform.
## Creazione di una chiave API per l'area di lavoro Amazon Managed Grafana utilizzando AWS CLI
**Per creare una chiave API per l'area di lavoro Amazon Managed Grafana utilizzando AWS CLI**
Nell'esempio seguente, sostituisci *key\$1name**key\$1role*, *seconds\$1to\$1live* e *workspace\$1id* con le tue informazioni. Per maggiori informazioni sul formato del nome chiave, del ruolo chiave e seconds-to-live, consulta la guida [https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceApiKey.html](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceApiKey.html) all'API.
```
aws grafana create-workspace-api-key --key-name "key_name" --key-role "key_role" --seconds-to-live seconds_to_live --workspace-id "workspace_id"
```
Di seguito è riportato un esempio di risposta CLI:
![\[\]](http://docs.aws.amazon.com/it_it/grafana/latest/userguide/images/APICLI.png)
Puoi trovare il tuo spazio *workspace\$1id* di lavoro eseguendo il seguente comando:
```
aws grafana list-workspaces
```