;政府;服务帐户

服务帐户

您可以使用服务帐户在Grafana中运行自动化的工作负载,例如仪表板配置、配置或报告生成。使用Grafana API创建服务帐户和令牌来验证应用程序(如Terraform)。

注意:服务账户最终将被取代API密钥作为验证与Grafana交互的应用程序的主要方式。

创建服务帐户的一个常见用例是对自动或触发的任务执行操作。您可以使用服务帐户:

  • 为每天/每周/每月交付的特定仪表板安排报告
  • 在您的系统中定义在Grafana中使用的警报
  • 设置外部SAML身份验证提供程序
  • 不以用户身份登录就可以与Grafana交互

Grafana企业,您也可以将服务帐户与基于角色的访问控制为与Grafana交互的应用程序授予非常特定的权限。

注意:服务帐户只能在为其创建的组织中工作。如果您有多个组织需要的相同任务,我们建议在每个组织中创建服务帐户。


服务帐户令牌

服务帐户令牌是一个生成的随机字符串,在使用Grafana的HTTP API进行身份验证时充当密码的替代方案。

创建服务帐户时,可以将一个或多个访问令牌与其关联。您可以像使用API key一样使用服务访问令牌,例如以编程方式访问Grafana HTTP API。

您可以为同一个服务帐户创建多个令牌。如果你想这样做:

  • 多个应用程序使用相同的权限,但您希望分别审计或管理它们的操作。
  • 您需要旋转或替换已损坏的令牌。

服务帐户访问令牌继承来自服务帐户的权限。

服务账户福利

API密钥的服务帐户的附加好处包括:

  • 服务帐户类似于Grafana用户,可以启用/禁用,授予特定权限,并在被删除或禁用之前保持活动状态。API密钥仅在其到期日期之前有效。
  • 服务帐户可以与多个令牌相关联。
  • 与API密钥不同,服务帐户令牌不与特定用户相关联,这意味着即使删除了Grafana用户,应用程序也可以进行身份验证。
  • 您可以通过利用为服务帐户授予细粒度权限基于角色的访问控制.有关权限的更多信息,请参见关于用户和权限

在Grafana中创建一个服务帐户

服务帐户可用于在Grafana中运行自动化工作负载,如仪表板配置、配置或报告生成。有关如何使用服务帐户的详细信息,请参阅关于服务账户

有关通过API创建服务帐户的更多信息,请参阅在HTTP API中创建一个服务帐户

注意,创建服务帐户的用户还将能够读取、更新和删除他们创建的服务帐户,以及与该服务帐户相关联的权限。

在开始之前

  • 确保您拥有创建和编辑服务帐户的权限。默认需要使用组织管理员角色创建和编辑服务帐户。有关用户权限的详细信息,请参见关于用户和权限

创建服务帐户

  1. 登录到Grafana并将鼠标悬停在侧边栏中的Configuration (cog)图标上。
  2. 点击服务帐户
  3. 点击新服务帐号
  4. 输入一个显示名称
  5. 显示名称必须是唯一的,因为它决定了与服务帐户关联的ID。
    • 我们建议您在命名服务帐户时使用一致的命名约定。一致的命名约定可以帮助您将来扩展和维护服务帐户。
    • 您可以在任何时候更改显示名称。
  6. 点击创建服务帐户

在Grafana中向服务帐户添加令牌

服务帐户令牌是一个生成的随机字符串,在使用Grafana的HTTP API进行身份验证时充当密码的替代方案。有关服务帐户的详细信息,请参见关于Grafana的服务账户

您可以使用Grafana UI或API创建服务帐户令牌。有关通过API创建服务帐户令牌的更多信息,请参阅使用HTTP API创建服务帐户令牌

在开始之前

  • 确保您拥有创建和编辑服务帐户的权限。默认需要使用组织管理员角色创建和编辑服务帐户。有关用户权限的详细信息,请参见关于用户和权限

向服务帐户添加令牌

  1. 登录到Grafana,然后将鼠标悬停在上面配置(齿轮图标)在侧边栏。
  2. 点击服务帐户
  3. 单击要向其添加令牌的服务帐户。
  4. 点击添加标记
  5. 为令牌输入一个名称。
  6. (建议)输入令牌的有效日期和有效日期,或不设置有效日期选项。
    • 过期日期指定您希望密钥有效的时间。
    • 如果您不确定过期日期,我们建议您将令牌设置为在短时间后过期,例如几个小时或更短时间。这限制了与长时间有效的令牌相关的风险。
  7. 点击生成服务帐户令牌

在Grafana中为服务帐户分配角色

您可以将角色分配给Grafana服务帐户,以控制对相关服务帐户令牌的访问。您可以使用Grafana UI或API为服务帐户分配角色。有关通过API将角色分配给服务帐户的更多信息,请参阅使用HTTP API更新服务帐户

Grafana企业,你也可以分配RBAC角色为与Grafana交互的应用程序授予非常特定的权限。

在开始之前

  • 确保您具有更新服务帐户角色的权限。默认情况下,更新业务帐户权限需要使用组织管理员角色。有关用户权限的详细信息,请参见关于用户和权限

为服务帐户分配角色

  1. 登录到Grafana,然后将鼠标悬停在上面配置(齿轮图标)在侧边栏。
  2. 点击服务帐户
  3. 单击需要分配角色的服务帐户。作为一种替代方法,在列表视图中找到服务帐户。
  4. 使用角色选择器分配角色。
  5. 点击更新

在Grafana中管理服务帐户的用户和团队权限

要控制服务帐户可以做什么以及谁可以使用服务帐户,您可以直接将权限分配给用户和团队。您可以使用Grafana UI分配权限。

在开始之前

  • 确保您具有更新服务帐户的用户和团队权限的权限。默认情况下,需要组织管理员角色更新服务帐户的用户和团队权限。有关用户权限的详细信息,请参见关于用户和权限
  • 确保您拥有读取团队的权限。

服务帐户的用户和团队权限

您可以为特定用户或团队分配以下权限之一:

  1. 编辑:具有此权限的用户或团队可以查看、编辑、启用、禁用服务帐户,添加或删除服务帐户令牌。
  2. 管理:具有此权限的用户或团队将能够从编辑权限,以及管理服务帐户的用户和团队权限。

更新服务帐户的团队权限

  1. 登录到Grafana,然后将鼠标悬停在上面配置(齿轮图标)在侧边栏。
  2. 点击服务帐户
  3. 单击要将团队权限更新到角色的服务帐户。
  4. 权限部分,单击添加权限
  5. 选择团队在下拉菜单中选择你想要的团队。
  6. 选择视图编辑管理角色,单击保存

更新业务帐户的用户权限

  1. 登录到Grafana,然后将鼠标悬停在上面配置(齿轮图标)在侧边栏。
  2. 点击服务帐户
  3. 单击要将团队权限更新到角色的服务帐户。
  4. 权限部分,单击添加权限
  5. 选择用户在下拉菜单中选择你想要的用户。
  6. 选择视图编辑管理角色,单击保存
相关Grafana资源
开幕主题演讲:《Grafana 9》有什么新内容?

Raj Dutt, Myrle Krantz和Torkel Ödegaard揭开了Grafana 9的新内容。观看2022年GrafanaCONline开幕式主题演讲。随需应变。

使用Grafana插件统一您的数据:Datadog, Splunk, MongoDB等

在本次网络研讨会中,学习如何利用Grafana的插件生态系统访问80多个数据源,包括Datadog、Splunk、MongoDB等的插件。
从Grafana Enterprise和可观察性开始

加入Grafanabob电竞频道实验室团队,进行30分钟的演示,演示如何开始使用Grafana堆栈,这样您就可以在短短几分钟内从零到可观察性。