Usa gli account di servizio per l'autenticazione con Grafana HTTP APIs

Puoi utilizzare un account di servizio per eseguire carichi di lavoro automatizzati in Grafana, come il provisioning del dashboard, la configurazione o la generazione di report. Crea account e token di servizio per autenticare applicazioni, come Terraform, con la console Grafana o Amazon Managed Grafana. API

Nota

Gli account di servizio sono disponibili in Grafana 9.x e versioni successive e sostituiscono API le chiavi come metodo principale per autenticare le applicazioni che interagiscono con Grafana.

Un caso d'uso comune per la creazione di un account di servizio consiste nell'eseguire operazioni su attività automatizzate o attivate. È possibile utilizzare gli account di servizio per:

• Definisci gli avvisi nel tuo sistema da utilizzare in Grafana

• Interagisci con Grafana senza accedere come utente

Nota

Ogni account di servizio è considerato un utente ai fini della fatturazione.

Token dell'account di servizio

Un token di account di servizio è una stringa generata che funge da chiave per l'autenticazione con Grafana. HTTP API

Quando crei un account di servizio, puoi associarvi uno o più token di accesso. È possibile utilizzare i token di accesso al servizio allo stesso modo di API Keys, ad esempio per accedere a HTTP APIs Grafana a livello di codice.

È possibile creare più token per lo stesso account di servizio. Potresti volerlo fare se:

• più applicazioni utilizzano le stesse autorizzazioni, ma vorresti controllare o gestire le loro azioni separatamente.

• devi ruotare o sostituire un token compromesso.

I token di accesso all'account di servizio ereditano le autorizzazioni dall'account di servizio.

Amazon Managed Grafana ha una quota sul numero di token di account di servizio che puoi avere contemporaneamente. Sono inclusi i token attivi e quelli scaduti. È necessario eliminare i token per rimuoverli dalla quota.

Vantaggi dell'account di servizio

I vantaggi aggiuntivi degli account di servizio rispetto alle API chiavi includono:

• Gli account di servizio assomigliano agli utenti di Grafana e possono essere abilitati/disabilitati, possono essere concesse autorizzazioni specifiche e rimanere attivi fino a quando non vengono eliminati o disabilitati. APIle chiavi sono valide solo fino alla data di scadenza.

• Gli account di servizio possono essere associati a più token.

• A differenza delle API chiavi, i token dell'account di servizio non sono associati a un utente specifico, il che significa che le applicazioni possono essere autenticate anche se un utente Grafana viene eliminato.

• È possibile concedere le autorizzazioni agli account di servizio nello stesso modo in cui si concedono le autorizzazioni agli utenti.

  Per ulteriori informazioni sulle autorizzazioni, consultare Utilizzo delle autorizzazioni.

Creazione di un account di servizio

Nota

L'utente che crea un account di servizio è anche in grado di leggere, aggiornare ed eliminare l'account di servizio che ha creato, nonché le autorizzazioni associate a tale account di servizio.

Prerequisito

Assicurati di avere l'autorizzazione per creare e modificare gli account di servizio. Per impostazione predefinita, il ruolo di amministratore dell'organizzazione è richiesto per creare e modificare gli account di servizio. Per ulteriori informazioni sulle autorizzazioni, consultare Utilizzo delle autorizzazioni.

Per creare un account di servizio

1. Accedi al tuo spazio di lavoro Amazon Managed Grafana e seleziona Amministrazione dal menu a sinistra.

2. Seleziona Account di servizio.

3. Seleziona Aggiungi account di servizio.

4. Inserisci un nome da visualizzare.

5. Il nome visualizzato deve essere univoco in quanto determina l'ID associato all'account del servizio.

   • Si consiglia di utilizzare una convenzione di denominazione coerente quando si assegnano nomi agli account di servizio. Una convenzione di denominazione coerente può aiutarti a scalare e mantenere gli account di servizio in futuro.

   • È possibile modificare il nome visualizzato in qualsiasi momento.

6. Scegli Create (Crea) .

Nota

Puoi anche creare account di servizio utilizzando Amazon Managed Grafana AWS APIs. Usa il CreateWorkspaceServiceAccountper creare un account di servizio a livello di codice.

Aggiungere un token a un account di servizio

Un token di account di servizio è una stringa casuale generata che funge da alternativa alla password durante l'autenticazione con Grafana. HTTP API

Prerequisito

Assicurati di avere l'autorizzazione per creare e modificare gli account di servizio. Per impostazione predefinita, il ruolo di amministratore dell'organizzazione è richiesto per creare e modificare gli account di servizio. Per ulteriori informazioni sulle autorizzazioni, consultare Utilizzo delle autorizzazioni.

Per aggiungere un token a un account di servizio

1. Accedi al tuo spazio di lavoro Grafana e scegli Amministrazione nel menu a sinistra.

2. Espandi il menu Utenti e accesso.

3. Scegli Account di servizio.

4. Seleziona l'account di servizio a cui desideri aggiungere un token.

5. Scegli Aggiungi token dell'account di servizio.

6. Inserisci un nome per il token.

7. Seleziona Imposta data di scadenza e inserisci una data di scadenza per il token.

   • La data di scadenza specifica per quanto tempo desideri che la chiave sia valida.

   • Puoi impostare una data di scadenza fino a 30 giorni nel futuro.

   • Se non sei sicuro della data di scadenza, ti consigliamo di impostare il token in modo che scada dopo un breve periodo di tempo, ad esempio poche ore o meno. Ciò limita il rischio associato a un token valido per un lungo periodo.

8. Scegli Generate token (Genera token).

Nota

Puoi anche creare token di account di servizio utilizzando Amazon Managed Grafana AWS APIs. Utilizza il CreateWorkspaceServiceAccountTokenper creare un token di account di servizio in modo programmatico.

Eliminare un token di servizio

Quando hai finito con un token di servizio, devi eliminarlo per rimuoverlo dal tuo spazio di lavoro. I token scaduti, ma non ancora eliminati, vengono conteggiati ai fini della quota di token dell'account di servizio.

Prerequisito

Assicurati di avere l'autorizzazione per creare e modificare gli account di servizio. Per impostazione predefinita, il ruolo di amministratore dell'organizzazione è richiesto per creare e modificare gli account di servizio. Per ulteriori informazioni sulle autorizzazioni, consultare Utilizzo delle autorizzazioni.

Per rimuovere un token da un account di servizio

1. Accedi al tuo spazio di lavoro Grafana e scegli Amministrazione nel menu a sinistra.

2. Espandi il menu Utenti e accesso.

3. Scegli Account di servizio.

4. Seleziona l'account di servizio da cui desideri eliminare un token.

5. Nell'elenco dei token, seleziona l'icona rossa con una x accanto al token dell'account di servizio che desideri eliminare.

6. Seleziona Elimina.

Il token è stato eliminato.

Nota

Puoi anche eliminare i token degli account di servizio utilizzando Amazon Managed Grafana AWS APIs. Utilizza il DeleteWorkspaceServiceAccountTokenper eliminare il token di un account di servizio a livello di codice.

Assegna ruoli a un account di servizio

È possibile assegnare ruoli a un account del servizio Grafana per controllare l'accesso ai token dell'account di servizio associati. È possibile assegnare ruoli a un account di servizio utilizzando l'interfaccia utente Grafana o tramite. API

Prerequisito

Assicurati di avere l'autorizzazione per creare e modificare account di servizio. Per impostazione predefinita, il ruolo di amministratore dell'organizzazione è richiesto per creare e modificare gli account di servizio. Per ulteriori informazioni sulle autorizzazioni, consultare Utilizzo delle autorizzazioni.

Per assegnare un ruolo a un account di servizio

1. Accedi a Grafana e scegli Amministrazione nel menu a sinistra.

2. Scegli Account di servizio.

3. Seleziona l'account di servizio a cui desideri assegnare un ruolo. In alternativa, trova l'account del servizio nella visualizzazione a elenco.

4. Assegna un ruolo utilizzando il selettore di ruoli per l'aggiornamento.