与Grafana 8.5版本,我们介绍了服务帐户的概念。现在Grafana 9.1版本我们提供服务帐户一般。这是一个项目的技术必要性,但它给了我们机会反思API令牌和机器对机器交互Grafana实验室。bob电竞频道
这里应该是一个视频,但是由于一些原因没有。要么我们输入错了id(哎呀!),或者Vimeo下来。如果是后者,我们预计他们会很快恢复运转。与此同时,看看我们的博客!
服务帐户是什么?
服务帐户Grafana用户——但他们不是人类,他们的机器。服务帐户被用来运行自动或计算工作负载,例如计算每天在Grafana数据源的数量或使用起程拓殖配置警报。这些任务运行在Grafana之外的脚本或服务要求与Grafana交互的api。
自动化使用这个新概念,他们必须创建一个服务帐户标记(坐)与现有的服务帐户。这个令牌然后允许验证对Grafana API的服务帐户与无记名令牌认证。
curl——请求得到\ url http://mygrafana.example。orb / api /数据源\——头“授权:无记名glpl_EX7x97tgxct383QhbrPIZgqPi9Q56w4H_7552804e”
配合使基于角色的访问控制(RBAC) Grafana 9.0 GA和扩展RBAC在Grafana 9.1功能机器的交互,我们想使管理更安全的同时保持它简单易用。我们相信以下特性进一步这一目标。
服务帐户功能
链接到一个组织,而不是一个用户
一个服务帐户与一个组织,这意味着组织内的几个管理员可以管理同一服务帐户。这消除了需要旋转的令牌当管理员离开组织。
管理权限也可以限制到特定的管理员和用户之间传输利用RBAC在Grafana企业或Grafana云先进。
减少允许扩张
服务帐户都有自己的角色和权限,允许您定制服务的访问帐户和其所需权限的最小集合的令牌。结合RBAC格兰特,你可以为外部服务所需的权限,从而减少风险的损害您的完整实例的泄漏令牌或不正当访问外部服务。
现有的API密钥迁移到一个服务帐户
当前的API密钥系统不支持访问控制角色的分配。你可以选择这些密钥迁移到自己的服务帐户不需要令牌旋转。
多个令牌与一个服务帐户
服务帐户可以有多个令牌。更容易旋转令牌使用重叠的过期时间,你可以为每台机器在一个服务创建单独的令牌。你可以保持相同的权限集在这些令牌和添加新权限如果你意识到他们是失踪。
容易识别标记潜伏在你的代码库
当前Grafana API密匙系统使用base64编码的令牌,可以被误认为是合法的代码库中的内容。这些令牌也共享相同的格式Grafana云标记使它难于验证Grafana堆栈组件发出表示令牌。
以前的主要格式
新的密钥格式
我们改变了服务帐户标记他们遵循一个视觉可识别的模式,从而帮助开发人员认识到当一个令牌是硬编码在代码库。你将能够识别服务帐户标记在特定标记“glsa”前缀。
我们还添加了一个校验和容易的令牌验证令牌的有效性。我们也希望这将有助于开源秘密扫描仪减少误报率,帮助用户发现泄露的钥匙。
尽管较短的长度,这个密钥格式具有相同的熵与前面的主要格式,确保我们没有减少了强力的缓解有效的令牌。
Grafana服务帐户的下一步计划是什么?
的Grafana AuthNZ团队致力于继续交付特性使身份验证和授权在Grafana更完整和安全。
如果你想找到更多的信息服务帐户或今天要开始使用它们,你可以查看服务帐户的文档。
如果你不是已经在使用Grafana云-最简单的方法开始使用可观察性在14天的免费试用注册现在Grafana云无限的度量,日志、痕迹和用户,长期保留和访问一个企业插件。