本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用服务帐号进行身份验证
<a name="v12-authenticating-grafana-apis"></a>

## 使用服务账号
<a name="v12-service-accounts"></a>

要在您的亚马逊托管 Grafana 工作空间中使用 Grafana API，您必须拥有有效的服务账户令牌。服务帐号用于在 Grafana 中运行自动工作负载，例如仪表板配置、配置或报告生成。使用 Grafana 控制台或 [Amazon Managed Grafana API](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html) 创建服务账户和令牌，以对 Terraform 等应用程序进行身份验证。

创建服务账户的常见用例是对自动或触发的任务执行操作。您可以使用服务账户来执行以下操作：
+ 在系统中定义要在 Grafana 中使用的警报
+ 无需以用户身份登录即可与 Grafana 互动

**注意**  
出于计费目的，每个服务账户都被视为用户。

### 服务账户令牌
<a name="v12-service-account-tokens"></a>

服务账户令牌是生成的字符串，用作使用 Grafana 的 HTTP API 进行身份验证时所需的密钥。

在您创建服务账户时，可将一个或多个访问令牌与其关联。您可以使用服务账号令牌以编程方式访问 Grafana HTTP API。

您可以为同一服务账户创建多个令牌。您可能需要在以下情况下进行此操作：
+ 多个应用程序使用相同的权限，但您可能希望单独审核或管理它们的操作。
+ 您需要轮换或替换被泄露的令牌。

服务账户访问令牌继承了服务账户的权限。

Amazon Managed Grafana 对您一次可以拥有的服务账户令牌数量有[配额](AMG_quotas.md)。这包括活动和过期的令牌。您必须删除令牌才能将其从您的配额中移除。

### 服务账户的好处
<a name="v12-service-account-benefits"></a>

服务帐号具有以下好处：
+ 服务帐号类似于 Grafana 用户， enabled/disabled可以被授予特定权限，并保持活动状态，直到它们被删除或禁用。
+ 服务账户可以与多个令牌关联。
+ 服务账号令牌与特定用户无关，这意味着即使删除了 Grafana 用户，也可以对应用程序进行身份验证。
+ 与向用户授予权限一样，您也可以向服务账户授予权限。

  有关权限的更多信息，请参阅 [使用权限](Grafana-permissions.md)。

### 创建服务账户
<a name="v12-service-account-create"></a>

**注意**  
创建服务账户的用户还可以读取、更新和删除他们创建的服务账户以及与该服务账户关联的权限。

**先决条件**

确保您拥有创建和编辑服务账户的权限。默认情况下，需要组织管理员角色才能创建和编辑服务账户。有关权限的更多信息，请参阅 [使用权限](Grafana-permissions.md)。

**要创建服务账户**

1. 登录您的 Amazon Managed Grafana 工作区，然后从左侧菜单中选择**管理**。

1. 选择**服务账户**。

1. 选择**添加服务账户**。

1. 输入**显示名称**。

1. 显示名称必须是唯一的，因为它决定了与服务账户关联的 ID。
   + 我们建议您在对服务账户命名时使用一致的命名约定。一致的命名约定可以帮助您在将来扩展和维护服务账户。
   + 您可以随时更改显示名称。

1. 选择**创建**。

**注意**  
您也可以使用亚马逊托管 Grafana AWS API 创建服务账户。使用[CreateWorkspaceServiceAccount](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html)以编程方式创建服务帐号。

### 向服务账户添加令牌
<a name="v12-service-account-add-token"></a>

服务账户令牌是生成的随机字符串，在使用 Grafana 的 HTTP API 进行身份验证时，它可以替代密码。

**先决条件**

确保您拥有创建和编辑服务账户的权限。默认情况下，需要组织管理员角色才能创建和编辑服务账户。有关权限的更多信息，请参阅 [使用权限](Grafana-permissions.md)。

**向服务账户添加令牌**

1. 登录您的 Grafana 工作区，然后在左侧菜单中选择**管理**。

1. 展开**用户和访问权限**菜单。

1. 选择**服务账户**。

1. 选择要向其添加令牌的服务账户。

1. 选择**添加服务账户令牌**。

1. 输入令牌的名称。

1. 选择**设置到期日期**，然后输入令牌的到期日期。
   + 到期日期指定您期待的密钥有效时长。
   + 您最多可以将未来 30 天设置为到期日期。
   + 如果您不确定到期日期，我们建议您将令牌设置为在较短时间（例如几个小时或更短时间）后过期。这限制了与长期有效的令牌相关的风险。

1. 选择**生成令牌**。

**注意**  
您还可以使用 Amazon Managed Grafana AWS API 创建服务账户令牌。使用[CreateWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccountToken.html)以编程方式创建服务帐号令牌。

### 删除服务令牌
<a name="v12-service-account-delete-token"></a>

使用完服务令牌后，必须将其删除才能将其从工作区中移除。如果令牌已过期但尚未删除，则将计入您的服务账户令牌[配额](AMG_quotas.md)。

**先决条件**

确保您拥有创建和编辑服务账户的权限。默认情况下，需要组织管理员角色才能创建和编辑服务账户。有关权限的更多信息，请参阅 [使用权限](Grafana-permissions.md)。

**要移除服务账户的令牌**

1. 登录您的 Grafana 工作区，然后在左侧菜单中选择**管理**。

1. 展开**用户和访问权限**菜单。

1. 选择**服务账户**。

1. 选择要从中删除令牌的服务账户。

1. 在令牌列表中，选择要删除的服务账户令牌旁边带有 **x** 的红色图标。

1. 选择**删除**。

您的令牌已删除。

**注意**  
您也可以使用 Amazon Managed Grafana AWS API 删除服务账户令牌。使用[DeleteWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DeleteWorkspaceServiceAccountToken.html)以编程方式删除服务帐号令牌。

### 为服务账户分配角色
<a name="v12-service-account-role"></a>

您可以将角色分配给 Grafana 服务账户，以控制关联服务账户令牌的访问权限。您可以使用 Grafana UI 或通过 API 为服务账户分配角色。

**先决条件**

确保您拥有创建和编辑服务账户的权限。默认情况下，需要组织管理员角色才能创建和编辑服务账户。有关权限的更多信息，请参阅 [使用权限](Grafana-permissions.md)。

**为服务账户分配角色**

1. 登录 Grafana，然后在左侧菜单中选择**管理**。

1. 选择**服务账户**。

1. 选择要向其分配角色的服务账户。或者，在列表视图中找到服务账户。

1. 使用角色选择器分配角色进行更新。