安全最佳实操

本节中的主题说明了为最好地维护亚马逊托管 Grafana 部署中的安全而应遵循的最佳实践。

使用短期的 API 密钥

要在亚马逊托管 Grafana 工作空间中使用 Grafana API，必须先创建用于授权的 API 密钥。创建密钥时，您可以指定密钥的生存时间，该时间定义了密钥的有效期限，最长为 30 天。我们强烈建议您将密钥的存活时间设置为更短的时间，例如几个小时或更短。与拥有长时间有效的 API 密钥相比，这带来的风险要小得多。

为了保护 API 密钥，我们还建议您将 API 密钥视为密码。例如，不要以纯文本形式存储它们。

从自我管理的 Grafana 迁移

如果您要将现有的自行管理的 Grafana 或 Grafana Enterprise 部署迁移到亚马逊托管 Grafana，则本节与您相关。这既适用于本地 Grafana，也适用于在您自己的账户上部署 Grafana。 AWS

如果您在本地或使用 AWS 自己的账户运行 Grafana，则可能已经定义了用户和团队以及可能的组织角色来管理访问权限。在亚马逊托管 Grafana 中，用户和群组在亚马逊托管 Grafana 之外使用 IAM 身份中心进行管理，或者通过 SAML 2.0 集成直接从您的身份提供商 (IdP) 进行管理。借助 Amazon Managed Grafana，您可以根据需要分配某些权限来执行任务，例如查看控制面板。有关亚马逊托管 Grafana 中的用户管理的更多信息，请参阅。在 Amazon Managed Grafana 中管理工作空间、用户和政策

此外，当你在本地运行 Grafana 时，你使用的是长效密钥或秘密凭证来访问数据源。我们强烈建议您在迁移到 Amazon Managed Grafana 时，将这些 IAM 用户替换为 IAM 角色。有关示例，请参阅 手动添加 CloudWatch 为数据源。