翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サービスアカウントを使用した Grafana HTTP API の認証
<a name="v10-service-accounts"></a>

サービスアカウントを使用すると、ダッシュボードのプロビジョニング、設定、レポート生成などの自動ワークロードを Grafana で実行できます。Grafana コンソールまたは [Amazon Managed Grafana API](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html) を使用して、Terraform などのアプリケーションを認証するサービスアカウントおよびトークンを作成します。

**注記**  
サービスアカウントは Grafana 9.x 以降で利用でき、Grafana とやり取りするアプリケーションを認証する主な方法として API キーを置き換えました。API キーは廃止され、Amazon Managed Grafana バージョン 12 で削除されました。

サービスアカウントを作成する一般的なユースケースは、自動タスクまたはトリガーされたタスクに対してオペレーションを実行することです。サービスアカウントを使用すると、次のことを実行できます。
+ Grafana で使用するシステムのアラートを定義する
+ ユーザーとしてサインインせずに Grafana とやり取りする

**注記**  
各サービスアカウントは、請求対象のユーザーと見なされます。

## サービスアカウントトークン
<a name="v10-service-account-tokens"></a>

サービスアカウントトークンは、Grafana の HTTP API で認証するためのキーとして機能する、生成済みの文字列です。

サービスアカウントを作成するときに、1 つ以上のアクセストークンに関連付けることができます。サービスアクセストークンは、Grafana HTTP API にプログラムでアクセスするなど、API キーと同じ方法で使用できます。

同じサービスアカウントに対して複数のトークンを作成できます。次のケースでは複数作成する場合があります。
+ 複数のアプリケーションが同じアクセス許可を使用するが、それらのアクションを個別に監査または管理したい。
+ 漏洩したトークンをローテーションまたは置き換える必要がある。

サービスアカウントアクセストークンは、サービスアカウントのアクセス許可を継承します。

Amazon Managed Grafana には、一度に使用できるサービスアカウントトークン数の[クォータ](AMG_quotas.md)があります。これにはアクティブトークンと期限切れトークンが含まれます。トークンを削除してご使用のクォータから削除する必要があります。

## サービスアカウントの利点
<a name="v10-service-account-benefits"></a>

API キーに追加されたサービスアカウントの利点は次のとおりです。
+ サービスアカウントは Grafana ユーザーと似ており、有効化/無効化、特定のアクセス許可を付与、および削除または無効化されるまでアクティブにできます。API キーが有効なのはその有効期限までです。
+ サービスアカウントは複数のトークンに関連付けることができます。
+ API キーとは異なり、サービスアカウントトークンは特定のユーザーに関連付けられません。つまり、Grafana ユーザーが削除されてもアプリケーションを認証できます。
+ ユーザーにアクセス許可を付与するのと同じ方法で、サービスアカウントにアクセス許可を付与できます。

  権限の詳細については、「[許可の使用](Grafana-permissions.md)」を参照してください。

## サービスアカウントの作成
<a name="v10-service-account-create"></a>

**注記**  
サービスアカウントを作成するユーザーは、作成済みのサービスアカウントと、そのサービスアカウントに関連付けられたアクセス許可を、読み取り、更新、削除できます。

**前提条件**

サービスアカウントの作成および編集用アクセス許可があることを確認します。デフォルトでは、サービスアカウントの作成および編集には組織管理者ロールが必要です。権限の詳細については、「[許可の使用](Grafana-permissions.md)」を参照してください。

**サービスアカウントの作成方法**

1. Amazon Managed Grafana ワークスペースにサインインし、左側のメニューから **[管理]** を選択します。

1. **[サービスアカウント]** を選択します。

1. **[サービスアカウントの追加]** を選択します。

1. **[表示名]** を入力します。

1. サービスアカウントに関連付けられた ID が表示名により判断されるため、表示名は一意である必要があります。
   + サービスアカウントに名前を付けるときは、一貫した命名規則を使用することをお勧めします。一貫した命名規則は、将来的にサービスアカウントを維持してスケールするのに役立ちます。
   + 表示名はいつでも変更できます。

1. **[作成]** を選択します。

**注記**  
Amazon Managed AWS APIs を使用してサービスアカウントを作成することもできます。[CreateWorkspaceServiceAccount](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html) を使用してプログラムでサービスアカウントを作成します。

## サービスアカウントへのトークンの追加
<a name="v10-service-account-add-token"></a>

サービスアカウントトークンは、Grafana の HTTP API で認証するときにパスワードの代替として機能する、生成済みのランダム文字列です。

**前提条件**

サービスアカウントの作成および編集用アクセス許可があることを確認します。デフォルトでは、サービスアカウントの作成および編集には組織管理者ロールが必要です。権限の詳細については、「[許可の使用](Grafana-permissions.md)」を参照してください。

**サービスアカウントへのトークンの追加方法**

1. Grafana ワークスペースにサインインし、左側のメニューで **[管理]** を選択します。

1. **[ユーザーとアクセス]** メニューを展開します。

1. **[サービスアカウント]** を選択します。

1. トークンを追加するサービスアカウントを選択します。

1. **[サービスアカウントトークンの追加]** を選択します。

1. トークンの名前を入力します。

1. **[有効期限の設定]** を選択してトークンの有効期限を入力します。
   + 有効期限にはキーを有効にする期間を指定します。
   + 有効期限は最大 30 日先まで設定できます。
   + 有効期限が不明な場合は、数時間以内などの短期間でトークンの有効期限が切れるように設定することをお勧めします。これにより長期間有効なトークンに関連するリスクが制限されます。

1. **[Generate token]** を選択します。

**注記**  
Amazon Managed Grafana AWS API を使用してサービスアカウントトークンを作成することもできます。[CreateWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccountToken.html) を使用して、プログラムでサービスアカウントトークンを作成します。

## サービストークンの削除
<a name="v10-service-account-delete-token"></a>

サービストークンの使用が終了したら、トークンを削除してワークスペースから削除する必要があります。有効期限が切れても削除されていないトークンは、サービスアカウントトークンの[クォータ](AMG_quotas.md)にカウントされます。

**前提条件**

サービスアカウントの作成および編集用アクセス許可があることを確認します。デフォルトでは、サービスアカウントの作成および編集には組織管理者ロールが必要です。権限の詳細については、「[許可の使用](Grafana-permissions.md)」を参照してください。

**サービスアカウントへのトークンを削除する方法**

1. Grafana ワークスペースにサインインし、左側のメニューで **[管理]** を選択します。

1. **[ユーザーとアクセス]** メニューを展開します。

1. **[サービスアカウント]** を選択します。

1. トークンを削除するサービスアカウントを選択します。

1. トークンのリストで、削除するサービスアカウントトークンの隣の **[x]** が付いた赤いアイコンを選択します。

1. **[削除]** を選択します。

トークンが削除されます。

**注記**  
Amazon Managed Grafana AWS API を使用してサービスアカウントトークンを削除することもできます。[DeleteWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DeleteWorkspaceServiceAccountToken.html) を使用して、サービスアカウントトークンをプログラムで削除します。

## サービスアカウントへのロールの割り当て
<a name="v10-service-account-role"></a>

Grafana サービスアカウントにロールを割り当てると、関連付けられたサービスアカウントトークンへのアクセスを制御できます。Grafana UI または API を使用して、サービスアカウントにロールを割り当てることができます。

**前提条件**

サービスアカウントの作成および編集用アクセス許可があることを確認します。デフォルトでは、サービスアカウントの作成および編集には組織管理者ロールが必要です。権限の詳細については、「[許可の使用](Grafana-permissions.md)」を参照してください。

**ロールをサービスアカウントに割り当てる方法**

1. Grafana にサインインし、左側のメニューで **[管理]** を選択します。

1. **[サービスアカウント]** を選択します。

1. ロールを割り当てるサービスアカウントを選択します。別の方法として、リストビューでサービスアカウントを検索します。

1. 更新するロールピッカーを使用してロールを割り当てます。