安全最佳實務

本節中的主題說明在 Amazon 受管 Grafana 部署中最佳維護安全性時應遵循的最佳實務。

使用短暫的 API 金鑰

若要在 Amazon 受管的 Grafana 工作區中使用 Grafana API，您必須先建立用於授權的 API 金鑰。建立金鑰時，您可以指定金鑰的存留時間，這會定義金鑰的有效時間長度，最多 30 天。我們強烈建議您將金鑰的存放時間設定為較短的時間，例如幾個小時或更短的時間。與擁有長時間有效的 API 密鑰相比，這會產生更小的風險。

我們也建議您將 API 金鑰視為密碼，以保護密碼。例如，請勿將它們儲存為純文字。

從自我管理的 Grafana 遷移

如果您要將現有的自我管理 Grafana 或 Grafana 企業版部署遷移到 Amazon 受管的 Grafana，則本節與您相關。這適用於內部部署 Grafana 和您自己帳戶中的 Grafana 部署。 AWS

如果您在內部部署或自己的 AWS 帳戶中執行 Grafana，您可能已經定義了使用者和團隊，以及可能的組織角色來管理存取權。在 Amazon 受管的 Grafana 中，使用者和群組可在 Amazon 受管的 Grafana 之外進行管理，使用 IAM 身分中心或直接從您的身分提供者 (IdP) 透過 SAML 2.0 整合進行管理。使用 Amazon 受管的 Grafana，您可以視需要指派特定許可以執行任務，例如檢視儀表板。如需 Amazon 受管的 Grafana 中使用者管理的詳細資訊，請參閱。在 Amazon 受管理的 Grafana 中管理工作區、使用者和政策

此外，當您執行內部部署 Grafana 時，您會使用長期使用的金鑰或秘密認證來存取資料來源。我們強烈建議您在遷移到 Amazon 受管 Grafana 時，將這些 IAM 使用者取代為 IAM 角色。如需範例，請參閱手動新增 CloudWatch 為資料來源。