本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 服務帳戶進行驗證
<a name="v12-authenticating-grafana-apis"></a>

## 使用服務帳戶
<a name="v12-service-accounts"></a>

若要搭配 Amazon Managed Grafana 工作區使用 Grafana API，您必須擁有有效的服務帳戶字符。服務帳戶用於在 Grafana 中執行自動化工作負載，例如儀表板佈建、組態或報告產生。使用 Grafana 主控台或 [Amazon Managed Grafana API](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html) 建立服務帳戶和字符來驗證應用程式，例如 Terraform。

建立服務帳戶的常見使用案例是對自動化或觸發的任務執行操作。您可以使用服務帳戶來：
+ 在系統中定義要在 Grafana 中使用的提醒
+ 與 Grafana 互動而不以使用者身分登入

**注意**  
每個服務帳戶都被視為計費用途的使用者。

### 服務帳戶字符
<a name="v12-service-account-tokens"></a>

服務帳戶字符是產生的字串，可做為使用 Grafana HTTP API 驗證的金鑰。

建立服務帳戶時，您可以將一或多個存取字符與其建立關聯。您可以使用服務帳戶字符，以程式設計方式存取 Grafana HTTP APIs。

您可以為相同的服務帳戶建立多個字符。如果出現下列情況，您可能想要執行此操作：
+ 多個應用程式使用相同的許可，但您想要分別稽核或管理其動作。
+ 您需要輪換或取代遭到入侵的權杖。

服務帳戶存取權杖會從服務帳戶繼承許可。

Amazon Managed Grafana 對您可以一次擁有的服務帳戶字符數量有[配額](AMG_quotas.md)。這包括作用中和過期的字符。您必須刪除權杖，才能從配額中移除權杖。

### 服務帳戶利益
<a name="v12-service-account-benefits"></a>

服務帳戶提供下列優點：
+ 服務帳戶類似 Grafana 使用者，可以啟用/停用、授予特定許可，並保持作用中狀態，直到刪除或停用為止。
+ 服務帳戶可以與多個字符相關聯。
+ 服務帳戶字符未與特定使用者建立關聯，這表示即使刪除 Grafana 使用者，應用程式也可以進行身分驗證。
+ 您可以像將許可授予使用者一樣，將許可授予服務帳戶。

  如需許可的詳細資訊，請參閱「[使用許可](Grafana-permissions.md)」。

### 建立服務帳戶
<a name="v12-service-account-create"></a>

**注意**  
建立服務帳戶的使用者也可以讀取、更新和刪除他們建立的服務帳戶，以及與該服務帳戶相關聯的許可。

**必要條件**

確保您具有建立和編輯服務帳戶的許可。根據預設，需要組織管理員角色才能建立和編輯服務帳戶。如需許可的詳細資訊，請參閱「[使用許可](Grafana-permissions.md)」。

**建立服務帳戶**

1. 登入您的 Amazon Managed Grafana 工作區，然後從左側功能表中選取**管理**。

1. 選取**服務帳戶**。

1. 選取**新增服務帳戶**。

1. 輸入**顯示名稱**。

1. 顯示名稱在判斷與服務帳戶相關聯的 ID 時必須是唯一的。
   + 建議您在命名服務帳戶時使用一致的命名慣例。一致的命名慣例可協助您在未來擴展和維護服務帳戶。
   + 您可以隨時變更顯示名稱。

1. 選擇**建立**。

**注意**  
您也可以使用 Amazon Managed AWS APIs建立服務帳戶。使用 [CreateWorkspaceServiceAccount](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccount.html) 以程式設計方式建立服務帳戶。

### 將字符新增至服務帳戶
<a name="v12-service-account-add-token"></a>

服務帳戶字符是產生的隨機字串，當使用 Grafana 的 HTTP API 驗證時，可做為密碼的替代方案。

**必要條件**

確保您具有建立和編輯服務帳戶的許可。根據預設，需要組織管理員角色才能建立和編輯服務帳戶。如需許可的詳細資訊，請參閱「[使用許可](Grafana-permissions.md)」。

**將字符新增至服務帳戶**

1. 登入您的 Grafana 工作區，然後在左側選單中選擇**管理**。

1. 展開**使用者和存取**功能表。

1. 選擇**服務帳戶**。

1. 選取您要新增字符的服務帳戶。

1. 選擇**新增服務帳戶字符**。

1. 輸入字符的名稱。

1. 選取**設定過期日期**，然後輸入權杖的過期日期。
   + 過期日期指定您希望金鑰有效的時間長度。
   + 您可以將過期日期設定為未來最多 30 天。
   + 如果您不確定過期日期，建議您將字符設定為在短時間內過期，例如幾個小時或更短。這可限制與長期有效字符相關聯的風險。

1. 選擇 **Generate token (產生字符)**。

**注意**  
您也可以使用 Amazon Managed Grafana AWS APIs 建立服務帳戶字符。使用 [CreateWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceServiceAccountToken.html) 以程式設計方式建立服務帳戶字符。

### 刪除服務字符
<a name="v12-service-account-delete-token"></a>

當您使用服務字符完成時，您必須將其刪除，才能將其從工作區中移除。過期但尚未刪除的字符會計入您的服務帳戶字符[配額](AMG_quotas.md)。

**必要條件**

確保您具有建立和編輯服務帳戶的許可。根據預設，需要組織管理員角色才能建立和編輯服務帳戶。如需許可的詳細資訊，請參閱「[使用許可](Grafana-permissions.md)」。

**移除服務帳戶的字符**

1. 登入您的 Grafana 工作區，然後在左側選單中選擇**管理**。

1. 展開**使用者和存取**功能表。

1. 選擇**服務帳戶**。

1. 選取您要從中刪除字符的服務帳戶。

1. 在權杖清單中，選取您要刪除之服務帳戶權杖旁具有 **x** 的紅色圖示。

1. 選取**刪除**。

您的字符已刪除。

**注意**  
您也可以使用 Amazon Managed Grafana AWS APIs 刪除服務帳戶字符。使用 [DeleteWorkspaceServiceAccountToken](https://docs.aws.amazon.com/grafana/latest/APIReference/API_DeleteWorkspaceServiceAccountToken.html) 以程式設計方式刪除服務帳戶字符。

### 將角色指派給服務帳戶
<a name="v12-service-account-role"></a>

您可以將角色指派給 Grafana 服務帳戶，以控制相關聯服務帳戶字符的存取。您可以使用 Grafana UI 或透過 API 將角色指派給服務帳戶。

**必要條件**

確保您具有建立和編輯服務帳戶的許可。根據預設，需要組織管理員角色才能建立和編輯服務帳戶。如需許可的詳細資訊，請參閱「[使用許可](Grafana-permissions.md)」。

**將角色指派給服務帳戶**

1. 登入 Grafana，然後在左側選單中選擇**管理**。

1. 選擇**服務帳戶**。

1. 選取您要為其指派角色的服務帳戶。或者，在清單檢視中尋找服務帳戶。

1. 使用角色挑選器指派角色以進行更新。