服务帐户
您可以使用服务帐户在Grafana中运行自动化的工作负载,例如仪表板配置、配置或报告生成。使用Grafana API创建服务帐户和令牌来验证应用程序(如Terraform)。
注意:服务账户最终将被取代API密钥作为验证与Grafana交互的应用程序的主要方式。
创建服务帐户的一个常见用例是对自动或触发的任务执行操作。您可以使用服务帐户:
- 为每天/每周/每月交付的特定仪表板安排报告
- 在您的系统中定义在Grafana中使用的警报
- 设置外部SAML身份验证提供程序
- 不以用户身份登录就可以与Grafana交互
在Grafana企业,您也可以将服务帐户与基于角色的访问控制为与Grafana交互的应用程序授予非常特定的权限。
注意:服务帐户只能在为其创建的组织中工作。如果您有多个组织需要的相同任务,我们建议在每个组织中创建服务帐户。
这里应该有视频的,但不知道为什么没有。要么是我们输入了错误的id(哎呀!),要么是Vimeo宕机了。如果是后者,我们预计他们很快就会恢复运行。与此同时,查看我们的博客!
服务帐户令牌
服务帐户令牌是一个生成的随机字符串,在使用Grafana的HTTP API进行身份验证时充当密码的替代方案。
创建服务帐户时,可以将一个或多个访问令牌与其关联。您可以像使用API key一样使用服务访问令牌,例如以编程方式访问Grafana HTTP API。
您可以为同一个服务帐户创建多个令牌。如果你想这样做:
- 多个应用程序使用相同的权限,但您希望分别审计或管理它们的操作。
- 您需要旋转或替换已损坏的令牌。
服务帐户访问令牌继承来自服务帐户的权限。
服务账户福利
API密钥的服务帐户的附加好处包括:
- 服务帐户类似于Grafana用户,可以启用/禁用,授予特定权限,并在被删除或禁用之前保持活动状态。API密钥仅在其到期日期之前有效。
- 服务帐户可以与多个令牌相关联。
- 与API密钥不同,服务帐户令牌不与特定用户相关联,这意味着即使删除了Grafana用户,应用程序也可以进行身份验证。
- 您可以通过利用为服务帐户授予细粒度权限基于角色的访问控制.有关权限的更多信息,请参见关于用户和权限.
在Grafana中创建一个服务帐户
服务帐户可用于在Grafana中运行自动化工作负载,如仪表板配置、配置或报告生成。有关如何使用服务帐户的详细信息,请参阅关于服务账户.
有关通过API创建服务帐户的更多信息,请参阅在HTTP API中创建一个服务帐户.
注意,创建服务帐户的用户还将能够读取、更新和删除他们创建的服务帐户,以及与该服务帐户相关联的权限。
在开始之前
- 确保您拥有创建和编辑服务帐户的权限。默认需要使用组织管理员角色创建和编辑服务帐户。有关用户权限的详细信息,请参见关于用户和权限.
创建服务帐户
- 登录到Grafana并将鼠标悬停在侧边栏中的Configuration (cog)图标上。
- 点击服务帐户.
- 点击新服务帐号.
- 输入一个显示名称.
- 显示名称必须是唯一的,因为它决定了与服务帐户关联的ID。
- 我们建议您在命名服务帐户时使用一致的命名约定。一致的命名约定可以帮助您将来扩展和维护服务帐户。
- 您可以在任何时候更改显示名称。
- 点击创建服务帐户.
在Grafana中向服务帐户添加令牌
服务帐户令牌是一个生成的随机字符串,在使用Grafana的HTTP API进行身份验证时充当密码的替代方案。有关服务帐户的详细信息,请参见关于Grafana的服务账户.
您可以使用Grafana UI或API创建服务帐户令牌。有关通过API创建服务帐户令牌的更多信息,请参阅使用HTTP API创建服务帐户令牌.
在开始之前
- 确保您拥有创建和编辑服务帐户的权限。默认需要使用组织管理员角色创建和编辑服务帐户。有关用户权限的详细信息,请参见关于用户和权限.
向服务帐户添加令牌
- 登录到Grafana,然后将鼠标悬停在上面配置(齿轮图标)在侧边栏。
- 点击服务帐户.
- 单击要向其添加令牌的服务帐户。
- 点击添加标记.
- 为令牌输入一个名称。
- (建议)输入令牌的有效日期和有效日期,或不设置有效日期选项。
- 过期日期指定您希望密钥有效的时间。
- 如果您不确定过期日期,我们建议您将令牌设置为在短时间后过期,例如几个小时或更短时间。这限制了与长时间有效的令牌相关的风险。
- 点击生成服务帐户令牌.
在Grafana中为服务帐户分配角色
您可以将角色分配给Grafana服务帐户,以控制对相关服务帐户令牌的访问。您可以使用Grafana UI或API为服务帐户分配角色。有关通过API将角色分配给服务帐户的更多信息,请参阅使用HTTP API更新服务帐户.
在Grafana企业,你也可以分配RBAC角色为与Grafana交互的应用程序授予非常特定的权限。
在开始之前
- 确保您具有更新服务帐户角色的权限。默认情况下,更新业务帐户权限需要使用组织管理员角色。有关用户权限的详细信息,请参见关于用户和权限.
为服务帐户分配角色
- 登录到Grafana,然后将鼠标悬停在上面配置(齿轮图标)在侧边栏。
- 点击服务帐户.
- 单击需要分配角色的服务帐户。作为一种替代方法,在列表视图中找到服务帐户。
- 使用角色选择器分配角色。
- 点击更新.
在Grafana中管理服务帐户的用户和团队权限
要控制服务帐户可以做什么以及谁可以使用服务帐户,您可以直接将权限分配给用户和团队。您可以使用Grafana UI分配权限。
在开始之前
- 确保您具有更新服务帐户的用户和团队权限的权限。默认情况下,需要组织管理员角色更新服务帐户的用户和团队权限。有关用户权限的详细信息,请参见关于用户和权限.
- 确保您拥有读取团队的权限。
服务帐户的用户和团队权限
您可以为特定用户或团队分配以下权限之一:
- 编辑:具有此权限的用户或团队可以查看、编辑、启用、禁用服务帐户,添加或删除服务帐户令牌。
- 管理:具有此权限的用户或团队将能够从编辑权限,以及管理服务帐户的用户和团队权限。
更新服务帐户的团队权限
- 登录到Grafana,然后将鼠标悬停在上面配置(齿轮图标)在侧边栏。
- 点击服务帐户.
- 单击要将团队权限更新到角色的服务帐户。
- 在权限部分,单击添加权限.
- 选择团队在下拉菜单中选择你想要的团队。
- 选择视图,编辑或管理角色,单击保存.
更新业务帐户的用户权限
- 登录到Grafana,然后将鼠标悬停在上面配置(齿轮图标)在侧边栏。
- 点击服务帐户.
- 单击要将团队权限更新到角色的服务帐户。
- 在权限部分,单击添加权限.
- 选择用户在下拉菜单中选择你想要的用户。
- 选择视图,编辑或管理角色,单击保存.
相关Grafana资源
开幕主题演讲:《Grafana 9》有什么新内容?
Raj Dutt, Myrle Krantz和Torkel Ödegaard揭开了Grafana 9的新内容。观看2022年GrafanaCONline开幕式主题演讲。随需应变。
使用Grafana插件统一您的数据:Datadog, Splunk, MongoDB等
在本次网络研讨会中,学习如何利用Grafana的插件生态系统访问80多个数据源,包括Datadog、Splunk、MongoDB等的插件。
从Grafana Enterprise和可观察性开始
加入Grafanabob电竞频道实验室团队,进行30分钟的演示,演示如何开始使用Grafana堆栈,这样您就可以在短短几分钟内从零到可观察性。