View a markdown version of this page

使用服務帳戶向 Grafana HTTP APIs進行身分驗證 - Amazon Managed Grafana
服務帳戶字符服務帳戶利益建立服務帳戶將字符新增至服務帳戶刪除服務字符將角色指派給服務帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用服務帳戶向 Grafana HTTP APIs進行身分驗證

您可以使用服務帳戶在 Grafana 中執行自動化工作負載,例如儀表板佈建、組態或報告產生。使用 Grafana 主控台或 Amazon Managed Grafana API 建立服務帳戶和字符來驗證應用程式,例如 Terraform。

注意

服務帳戶可在 Grafana 9.x 和更新版本中使用,並已取代 API 金鑰作為驗證與 Grafana 互動之應用程式的主要方式。API 金鑰已棄用,並已在 Amazon Managed Grafana 第 12 版中移除。

建立服務帳戶的常見使用案例是對自動化或觸發的任務執行操作。您可以使用服務帳戶來:

  • 在系統中定義要在 Grafana 中使用的提醒

  • 與 Grafana 互動而不以使用者身分登入

注意

每個服務帳戶都被視為計費用途的使用者。

服務帳戶字符

服務帳戶字符是產生的字串,可做為使用 Grafana HTTP API 驗證的金鑰。

建立服務帳戶時,您可以將一或多個存取字符與其建立關聯。您可以使用與 API 金鑰相同的服務存取字符,例如以程式設計方式存取 Grafana HTTP APIs。

您可以為相同的服務帳戶建立多個字符。如果出現下列情況,您可能想要執行此操作:

  • 多個應用程式使用相同的許可,但您想要分別稽核或管理其動作。

  • 您需要輪換或取代遭到入侵的權杖。

服務帳戶存取權杖會從服務帳戶繼承許可。

Amazon Managed Grafana 對您可以一次擁有的服務帳戶字符數量有配額。這包括作用中和過期的字符。您必須刪除權杖,才能從配額中移除權杖。

服務帳戶利益

服務帳戶對 API 金鑰的新增優點包括:

  • 服務帳戶類似 Grafana 使用者,可以啟用/停用、授予特定許可,並保持作用中狀態,直到刪除或停用為止。API 金鑰僅在到期日期之前有效。

  • 服務帳戶可以與多個字符相關聯。

  • 與 API 金鑰不同,服務帳戶字符不會與特定使用者建立關聯,這表示即使刪除 Grafana 使用者,也可以對應用程式進行身分驗證。

  • 您可以像將許可授予使用者一樣,將許可授予服務帳戶。

    如需許可的詳細資訊,請參閱「使用許可」。

建立服務帳戶

注意

建立服務帳戶的使用者也可以讀取、更新和刪除他們建立的服務帳戶,以及與該服務帳戶相關聯的許可。

必要條件

確保您具有建立和編輯服務帳戶的許可。根據預設,需要組織管理員角色才能建立和編輯服務帳戶。如需許可的詳細資訊,請參閱「使用許可」。

建立服務帳戶

  1. 登入您的 Amazon Managed Grafana 工作區,然後從左側功能表中選取管理

  2. 選取服務帳戶

  3. 選取新增服務帳戶

  4. 輸入顯示名稱

  5. 顯示名稱在判斷與服務帳戶相關聯的 ID 時必須是唯一的。

    • 建議您在命名服務帳戶時使用一致的命名慣例。一致的命名慣例可協助您在未來擴展和維護服務帳戶。

    • 您可以隨時變更顯示名稱。

  6. 選擇建立

注意

您也可以使用 Amazon Managed AWS APIs建立服務帳戶。使用 CreateWorkspaceServiceAccount 以程式設計方式建立服務帳戶。

將字符新增至服務帳戶

服務帳戶字符是產生的隨機字串,當使用 Grafana 的 HTTP API 驗證時,可做為密碼的替代方案。

必要條件

確保您具有建立和編輯服務帳戶的許可。根據預設,需要組織管理員角色才能建立和編輯服務帳戶。如需許可的詳細資訊,請參閱「使用許可」。

將字符新增至服務帳戶

  1. 登入您的 Grafana 工作區,然後在左側選單中選擇管理

  2. 展開使用者和存取功能表。

  3. 選擇服務帳戶

  4. 選取您要新增字符的服務帳戶。

  5. 選擇新增服務帳戶字符

  6. 輸入字符的名稱。

  7. 選取設定過期日期,然後輸入權杖的過期日期。

    • 過期日期指定您希望金鑰有效的時間長度。

    • 您可以將過期日期設定為未來最多 30 天。

    • 如果您不確定過期日期,建議您將字符設定為在短時間內過期,例如幾個小時或更短。這可限制與長期有效字符相關聯的風險。

  8. 選擇 Generate token (產生字符)

注意

您也可以使用 Amazon Managed Grafana AWS APIs 建立服務帳戶字符。使用 CreateWorkspaceServiceAccountToken 以程式設計方式建立服務帳戶字符。

刪除服務字符

當您使用服務字符完成時,您必須將其刪除,才能將其從工作區中移除。過期但尚未刪除的字符會計入您的服務帳戶字符配額

必要條件

確保您具有建立和編輯服務帳戶的許可。根據預設,需要組織管理員角色才能建立和編輯服務帳戶。如需許可的詳細資訊,請參閱「使用許可」。

移除服務帳戶的字符

  1. 登入您的 Grafana 工作區,然後在左側選單中選擇管理

  2. 展開使用者和存取功能表。

  3. 選擇服務帳戶

  4. 選取您要從中刪除字符的服務帳戶。

  5. 在權杖清單中,選取您要刪除之服務帳戶權杖旁具有 x 的紅色圖示。

  6. 選取刪除

您的字符已刪除。

注意

您也可以使用 Amazon Managed Grafana AWS APIs 刪除服務帳戶字符。使用 DeleteWorkspaceServiceAccountToken 以程式設計方式刪除服務帳戶字符。

將角色指派給服務帳戶

您可以將角色指派給 Grafana 服務帳戶,以控制相關聯服務帳戶字符的存取。您可以使用 Grafana UI 或透過 API 將角色指派給服務帳戶。

必要條件

確保您具有建立和編輯服務帳戶的許可。根據預設,需要組織管理員角色才能建立和編輯服務帳戶。如需許可的詳細資訊,請參閱「使用許可」。

將角色指派給服務帳戶

  1. 登入 Grafana,然後在左側選單中選擇管理

  2. 選擇服務帳戶

  3. 選取您要為其指派角色的服務帳戶。或者,在清單檢視中尋找服務帳戶。

  4. 使用角色挑選器指派角色以進行更新。