Verwenden Sie Dienstkonten, um sich mit den Grafana-HTTP-APIs zu authentifizieren - Amazon Managed Grafana
Servicekonto-TokensVorteile des DienstkontosEin Dienstkonto erstellenHinzufügen eines Tokens zu einem DienstkontoWeisen Sie einem Dienstkonto Rollen zu

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie Dienstkonten, um sich mit den Grafana-HTTP-APIs zu authentifizieren

Sie können ein Dienstkonto verwenden, um automatisierte Workloads in Grafana auszuführen, z. B. die Bereitstellung, Konfiguration oder Berichtsgenerierung von Dashboards. Erstellen Sie Dienstkonten und Token, um Anwendungen wie Terraform mit der Grafana-Konsole oder der Amazon Managed Grafana-API zu authentifizieren.

Anmerkung

Dienstkonten sind in Grafana 9.x und neuer verfügbar und ersetzen API-Schlüssel als primäre Methode zur Authentifizierung von Anwendungen, die mit Grafana interagieren.

Ein häufiger Anwendungsfall für die Erstellung eines Dienstkontos ist die Ausführung von Vorgängen für automatisierte oder ausgelöste Aufgaben. Sie können Dienstkonten verwenden, um:

  • Definieren Sie Warnmeldungen in Ihrem System, die in Grafana verwendet werden sollen

  • Interagieren Sie mit Grafana, ohne sich als Benutzer anzumelden

Anmerkung

Jedes Dienstkonto wird für Abrechnungszwecke als Benutzer betrachtet.

Servicekonto-Tokens

Ein Dienstkonto-Token ist eine generierte zufällige Zeichenfolge, die bei der Authentifizierung mit der HTTP-API von Grafana als Alternative zu einem Passwort dient.

Wenn Sie ein Dienstkonto erstellen, können Sie ihm ein oder mehrere Zugriffstoken zuordnen. Sie können Service-Zugriffstoken auf die gleiche Weise wie API-Schlüssel verwenden, um beispielsweise programmgesteuert auf Grafana-HTTP-APIs zuzugreifen.

Sie können mehrere Token für dasselbe Dienstkonto erstellen. Möglicherweise möchten Sie dies tun, wenn:

  • mehrere Anwendungen verwenden dieselben Berechtigungen, aber Sie möchten ihre Aktionen separat prüfen oder verwalten.

  • Sie müssen ein kompromittiertes Token rotieren oder ersetzen.

Zugriffstoken für Dienstkonten erben die Berechtigungen des Dienstkontos.

Vorteile des Dienstkontos

Zu den zusätzlichen Vorteilen von Dienstkonten gegenüber API-Schlüsseln gehören:

  • Dienstkonten ähneln Grafana-Benutzern und können aktiviert/deaktiviert werden, ihnen können bestimmte Berechtigungen erteilt werden und sie bleiben aktiv, bis sie gelöscht oder deaktiviert werden. API-Schlüssel sind nur bis zu ihrem Ablaufdatum gültig.

  • Dienstkonten können mit mehreren Tokens verknüpft werden.

  • Im Gegensatz zu API-Schlüsseln sind Dienstkonto-Tokens keinem bestimmten Benutzer zugeordnet, was bedeutet, dass Anwendungen auch dann authentifiziert werden können, wenn ein Grafana-Benutzer gelöscht wird.

  • Sie können Dienstkonten auf die gleiche Weise Berechtigungen gewähren, wie Sie Benutzern Berechtigungen gewähren.

    Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen verwenden.

Ein Dienstkonto erstellen

Anmerkung

Der Benutzer, der ein Dienstkonto erstellt, kann auch das von ihm erstellte Dienstkonto sowie die mit diesem Dienstkonto verknüpften Berechtigungen lesen, aktualisieren und löschen.

Voraussetzung

Stellen Sie sicher, dass Sie berechtigt sind, Dienstkonten zu erstellen und zu bearbeiten. Standardmäßig ist die Rolle des Organisationsadministrators erforderlich, um Dienstkonten zu erstellen und zu bearbeiten. Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen verwenden.

Um ein Dienstkonto zu erstellen

  1. Melden Sie sich bei Ihrem Amazon Managed Grafana-Workspace an und wählen Sie im Menü auf der linken Seite Administration aus.

  2. Wählen Sie Dienstkonten aus.

  3. Wählen Sie Dienstkonto hinzufügen aus.

  4. Geben Sie einen Anzeigenamen ein.

  5. Der Anzeigename muss eindeutig sein, da er die dem Dienstkonto zugeordnete ID bestimmt.

    • Wir empfehlen, dass Sie bei der Benennung von Dienstkonten eine einheitliche Benennungskonvention verwenden. Eine einheitliche Benennungskonvention kann Ihnen helfen, Servicekonten in future zu skalieren und zu verwalten.

    • Sie können den Anzeigenamen jederzeit ändern.

  6. Wählen Sie Erstellen.

Anmerkung

Sie können auch Dienstkonten mithilfe der Amazon Managed AWS Grafana-APIs erstellen. Verwenden Sie den CreateWorkspaceServiceAccount, um programmgesteuert ein Servicekonto zu erstellen.

Hinzufügen eines Tokens zu einem Dienstkonto

Ein Dienstkonto-Token ist eine generierte zufällige Zeichenfolge, die bei der Authentifizierung mit der HTTP-API von Grafana als Alternative zu einem Passwort dient.

Voraussetzung

Stellen Sie sicher, dass Sie berechtigt sind, Dienstkonten zu erstellen und zu bearbeiten. Standardmäßig ist die Rolle des Organisationsadministrators erforderlich, um Dienstkonten zu erstellen und zu bearbeiten. Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen verwenden.

Um einem Dienstkonto ein Token hinzuzufügen

  1. Melden Sie sich bei Grafana an und wählen Sie im Menü auf der linken Seite Administration.

  2. Wählen Sie Dienstkonten.

  3. Wählen Sie das Dienstkonto aus, dem Sie ein Token hinzufügen möchten.

  4. Wählen Sie Dienstkonto-Token hinzufügen aus.

  5. Geben Sie einen Namen für das Token ein.

  6. Wählen Sie Ablaufdatum festlegen und geben Sie ein Ablaufdatum für das Token ein.

    • Das Ablaufdatum gibt an, wie lange der Schlüssel gültig sein soll.

    • Sie können ein Ablaufdatum festlegen, das bis zu 30 Tage in der future liegt.

    • Wenn Sie sich bezüglich eines Ablaufdatums nicht sicher sind, empfehlen wir Ihnen, das Token so einzustellen, dass es nach einer kurzen Zeit abläuft, z. B. nach einigen Stunden oder weniger. Dadurch wird das Risiko begrenzt, das mit einem Token verbunden ist, das über einen langen Zeitraum gültig ist.

  7. Wählen Sie Generate token (Token erstellen) aus.

Anmerkung

Sie können auch Dienstkonto-Tokens mithilfe der Amazon Managed AWS Grafana-APIs erstellen. Verwenden Sie das CreateWorkspaceServiceAccountToken, um programmgesteuert ein Dienstkonto-Token zu erstellen.

Weisen Sie einem Dienstkonto Rollen zu

Sie können einem Grafana-Dienstkonto Rollen zuweisen, um den Zugriff auf die zugehörigen Dienstkonto-Tokens zu steuern. Sie können einem Dienstkonto über die Grafana-Benutzeroberfläche oder über die API Rollen zuweisen.

Voraussetzung

Stellen Sie sicher, dass Sie berechtigt sind, Dienstkonten zu erstellen und zu bearbeiten. Standardmäßig ist die Rolle des Organisationsadministrators erforderlich, um Dienstkonten zu erstellen und zu bearbeiten. Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen verwenden.

Um einem Dienstkonto eine Rolle zuzuweisen

  1. Melden Sie sich bei Grafana an und wählen Sie im Menü auf der linken Seite Administration.

  2. Wählen Sie Dienstkonten.

  3. Wählen Sie das Dienstkonto aus, dem Sie eine Rolle zuweisen möchten. Suchen Sie alternativ das Dienstkonto in der Listenansicht.

  4. Weisen Sie mithilfe der Rollenauswahl eine Rolle zu, um sie zu aktualisieren.