View a markdown version of this page

使用服务账户通过 Grafana HTTP API 进行身份验证 - Amazon Managed Grafana
服务账户令牌服务账户的好处创建服务账户向服务账户添加令牌删除服务令牌为服务账户分配角色

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务账户通过 Grafana HTTP API 进行身份验证

您可以使用服务账户在 Grafana 中运行自动工作负载,例如控制面板预置、配置或报告生成。使用 Grafana 控制台或 Amazon Managed Grafana API 创建服务账户和令牌,以对 Terraform 等应用程序进行身份验证。

注意

Grafana 9.x 及更高版本中提供服务账号,并已取代 API 密钥成为对与 Grafana 交互的应用程序进行身份验证的主要方式。在亚马逊托管 Grafana 版本 12 中,API 密钥已被弃用并已删除。

创建服务账户的常见用例是对自动或触发的任务执行操作。您可以使用服务账户来执行以下操作:

  • 在系统中定义要在 Grafana 中使用的警报

  • 无需以用户身份登录即可与 Grafana 互动

注意

出于计费目的,每个服务账户都被视为用户。

服务账户令牌

服务账户令牌是生成的字符串,用作使用 Grafana 的 HTTP API 进行身份验证时所需的密钥。

在您创建服务账户时,可将一个或多个访问令牌与其关联。您可以像 API 密钥一样使用服务访问令牌,例如以编程方式访问 Grafana HTTP API。

您可以为同一服务账户创建多个令牌。您可能需要在以下情况下进行此操作:

  • 多个应用程序使用相同的权限,但您可能希望单独审核或管理它们的操作。

  • 您需要轮换或替换被泄露的令牌。

服务账户访问令牌继承了服务账户的权限。

Amazon Managed Grafana 对您一次可以拥有的服务账户令牌数量有配额。这包括活动和过期的令牌。您必须删除令牌才能将其从您的配额中移除。

服务账户的好处

服务账户对 API 密钥带来的额外好处包括:

  • 服务帐号类似于 Grafana 用户, enabled/disabled可以被授予特定权限,并保持活动状态,直到它们被删除或禁用。API 密钥仅在到期日之前有效。

  • 服务账户可以与多个令牌关联。

  • 与 API 密钥不同,服务账户令牌不与特定用户关联,这意味着即使删除了 Grafana 用户,也可以对应用程序进行身份验证。

  • 与向用户授予权限一样,您也可以向服务账户授予权限。

    有关权限的更多信息,请参阅 使用权限

创建服务账户

注意

创建服务账户的用户还可以读取、更新和删除他们创建的服务账户以及与该服务账户关联的权限。

先决条件

确保您拥有创建和编辑服务账户的权限。默认情况下,需要组织管理员角色才能创建和编辑服务账户。有关权限的更多信息,请参阅 使用权限

要创建服务账户

  1. 登录您的 Amazon Managed Grafana 工作区,然后从左侧菜单中选择管理

  2. 选择服务账户

  3. 选择添加服务账户

  4. 输入显示名称

  5. 显示名称必须是唯一的,因为它决定了与服务账户关联的 ID。

    • 我们建议您在对服务账户命名时使用一致的命名约定。一致的命名约定可以帮助您在将来扩展和维护服务账户。

    • 您可以随时更改显示名称。

  6. 选择创建

注意

您也可以使用亚马逊托管 Grafana AWS API 创建服务账户。使用CreateWorkspaceServiceAccount以编程方式创建服务帐号。

向服务账户添加令牌

服务账户令牌是生成的随机字符串,在使用 Grafana 的 HTTP API 进行身份验证时,它可以替代密码。

先决条件

确保您拥有创建和编辑服务账户的权限。默认情况下,需要组织管理员角色才能创建和编辑服务账户。有关权限的更多信息,请参阅 使用权限

向服务账户添加令牌

  1. 登录您的 Grafana 工作区,然后在左侧菜单中选择管理

  2. 展开用户和访问权限菜单。

  3. 选择服务账户

  4. 选择要向其添加令牌的服务账户。

  5. 选择添加服务账户令牌

  6. 输入令牌的名称。

  7. 选择设置到期日期,然后输入令牌的到期日期。

    • 到期日期指定您期待的密钥有效时长。

    • 您最多可以将未来 30 天设置为到期日期。

    • 如果您不确定到期日期,我们建议您将令牌设置为在较短时间(例如几个小时或更短时间)后过期。这限制了与长期有效的令牌相关的风险。

  8. 选择生成令牌

注意

您还可以使用 Amazon Managed Grafana AWS API 创建服务账户令牌。使用CreateWorkspaceServiceAccountToken以编程方式创建服务帐号令牌。

删除服务令牌

使用完服务令牌后,必须将其删除才能将其从工作区中移除。如果令牌已过期但尚未删除,则将计入您的服务账户令牌配额

先决条件

确保您拥有创建和编辑服务账户的权限。默认情况下,需要组织管理员角色才能创建和编辑服务账户。有关权限的更多信息,请参阅 使用权限

要移除服务账户的令牌

  1. 登录您的 Grafana 工作区,然后在左侧菜单中选择管理

  2. 展开用户和访问权限菜单。

  3. 选择服务账户

  4. 选择要从中删除令牌的服务账户。

  5. 在令牌列表中,选择要删除的服务账户令牌旁边带有 x 的红色图标。

  6. 选择删除

您的令牌已删除。

注意

您也可以使用 Amazon Managed Grafana AWS API 删除服务账户令牌。使用DeleteWorkspaceServiceAccountToken以编程方式删除服务帐号令牌。

为服务账户分配角色

您可以将角色分配给 Grafana 服务账户,以控制关联服务账户令牌的访问权限。您可以使用 Grafana UI 或通过 API 为服务账户分配角色。

先决条件

确保您拥有创建和编辑服务账户的权限。默认情况下,需要组织管理员角色才能创建和编辑服务账户。有关权限的更多信息,请参阅 使用权限

为服务账户分配角色

  1. 登录 Grafana,然后在左侧菜单中选择管理

  2. 选择服务账户

  3. 选择要向其分配角色的服务账户。或者,在列表视图中找到服务账户。

  4. 使用角色选择器分配角色进行更新。