Utilice cuentas de servicio para autenticarse con las API HTTP de Grafana - Amazon Managed Grafana
Tokens de cuenta de servicioVentajas de la cuenta de servicioCrear una cuenta de servicioAñadir un token a una cuenta de servicioAsigne funciones a una cuenta de servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice cuentas de servicio para autenticarse con las API HTTP de Grafana

Puede usar una cuenta de servicio para ejecutar cargas de trabajo automatizadas en Grafana, como el aprovisionamiento de paneles, la configuración o la generación de informes. Cree cuentas de servicio y tokens para autenticar aplicaciones, como Terraform, con la consola de Grafana o la API de Grafana gestionada por Amazon.

nota

Las cuentas de servicio están disponibles en Grafana 9.x y versiones posteriores, y están sustituyendo a las claves de API como la forma principal de autenticar las aplicaciones que interactúan con Grafana.

Un caso de uso común para crear una cuenta de servicio es realizar operaciones en tareas automatizadas o activadas. Puede usar las cuentas de servicio para:

  • Defina alertas en su sistema para utilizarlas en Grafana

  • Interactúa con Grafana sin iniciar sesión como usuario

nota

Cada cuenta de servicio se considera un usuario a efectos de facturación.

Tokens de cuenta de servicio

Un token de cuenta de servicio es una cadena aleatoria generada que actúa como alternativa a una contraseña al autenticarse con la API HTTP de Grafana.

Al crear una cuenta de servicio, puede asociarle uno o más tokens de acceso. Puede usar los tokens de acceso al servicio de la misma manera que las claves de API, por ejemplo, para acceder a las API HTTP de Grafana mediante programación.

Puede crear varios tokens para la misma cuenta de servicio. Es posible que desees hacerlo si:

  • varias aplicaciones utilizan los mismos permisos, pero le gustaría auditar o gestionar sus acciones por separado.

  • necesitas rotar o reemplazar un token comprometido.

Los tokens de acceso a la cuenta de servicio heredan los permisos de la cuenta de servicio.

Ventajas de la cuenta de servicio

Los beneficios adicionales de las cuentas de servicio a las claves de API incluyen:

  • Las cuentas de servicio se parecen a las de los usuarios de Grafana y se pueden habilitar o deshabilitar, otorgar permisos específicos y permanecer activas hasta que se eliminen o deshabiliten. Las claves de API solo son válidas hasta su fecha de caducidad.

  • Las cuentas de servicio se pueden asociar a varios tokens.

  • A diferencia de las claves de API, los tokens de las cuentas de servicio no están asociados a un usuario específico, lo que significa que las aplicaciones se pueden autenticar incluso si se elimina un usuario de Grafana.

  • Puedes conceder permisos a las cuentas de servicio de la misma manera que concedes permisos a los usuarios.

    Para obtener más información sobre los permisos, consulte Uso de permisos.

Crear una cuenta de servicio

nota

El usuario que crea una cuenta de servicio también puede leer, actualizar y eliminar la cuenta de servicio que creó, así como los permisos asociados a esa cuenta de servicio.

Requisito previo

Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, el rol de administrador de la organización es obligatorio para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte Uso de permisos.

Para crear una cuenta de servicio

  1. Inicia sesión en tu espacio de trabajo de Grafana gestionado por Amazon y selecciona Administración en el menú de la izquierda.

  2. Selecciona Cuentas de servicio.

  3. Selecciona Añadir cuenta de servicio.

  4. Introduce un nombre para mostrar.

  5. El nombre para mostrar debe ser único, ya que determina el ID asociado a la cuenta de servicio.

    • Le recomendamos que utilice una convención de nomenclatura coherente al asignar nombres a las cuentas de servicio. Una convención de nomenclatura coherente puede ayudarle a escalar y mantener las cuentas de servicio en el futuro.

    • Puede cambiar el nombre para mostrar en cualquier momento.

  6. Seleccione Crear.

nota

También puedes crear cuentas de servicio con las API de Grafana AWS gestionadas por Amazon. Utilícela CreateWorkspaceServiceAccountpara crear una cuenta de servicio mediante programación.

Añadir un token a una cuenta de servicio

Un token de cuenta de servicio es una cadena aleatoria generada que actúa como alternativa a una contraseña al autenticarse con la API HTTP de Grafana.

Requisito previo

Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, el rol de administrador de la organización es obligatorio para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte Uso de permisos.

Para añadir un token a una cuenta de servicio

  1. Inicia sesión en Grafana y selecciona Administración en el menú de la izquierda.

  2. Selecciona Cuentas de servicio.

  3. Seleccione la cuenta de servicio a la que quiere añadir un token.

  4. Selecciona Añadir un token de cuenta de servicio.

  5. Introduce un nombre para el token.

  6. Selecciona Establecer fecha de caducidad e introduce una fecha de caducidad para el token.

    • La fecha de caducidad especifica durante cuánto tiempo quieres que la clave sea válida.

    • Puede establecer una fecha de caducidad de hasta 30 días en el futuro.

    • Si no está seguro de la fecha de caducidad, le recomendamos que configure el token para que caduque después de un breve período de tiempo, por ejemplo, unas horas o menos. Esto limita el riesgo asociado a un token que es válido durante mucho tiempo.

  7. Elija Generar token.

nota

También puedes crear tokens de cuentas de servicio mediante las API de Grafana gestionadas por Amazon. AWS Úsalo CreateWorkspaceServiceAccountTokenpara crear un token de cuenta de servicio mediante programación.

Asigne funciones a una cuenta de servicio

Puede asignar funciones a una cuenta de servicio de Grafana para controlar el acceso a los tokens de la cuenta de servicio asociados. Puede asignar funciones a una cuenta de servicio mediante la interfaz de usuario de Grafana o mediante la API.

Requisito previo

Asegúrese de tener permiso para crear y editar cuentas de servicio. De forma predeterminada, el rol de administrador de la organización es obligatorio para crear y editar cuentas de servicio. Para obtener más información sobre los permisos, consulte Uso de permisos.

Para asignar un rol a una cuenta de servicio

  1. Inicia sesión en Grafana y selecciona Administración en el menú de la izquierda.

  2. Selecciona Cuentas de servicio.

  3. Seleccione la cuenta de servicio a la que desea asignar un rol. Como alternativa, busque la cuenta de servicio en la vista de lista.

  4. Asigne un rol mediante el selector de roles para actualizarlo.