Verwenden von Dienstkonten in Azure Managed Grafana

In diesem Leitfaden erfahren Sie, wie Sie Dienstkonten verwenden. Dienstkonten werden verwendet, um automatisierte Vorgänge auszuführen und Anwendungen in Grafana mit der Grafana-API zu authentifizieren.

Gängige Anwendungsfälle:

• Bereitstellen oder Konfigurieren von Dashboards
• Planen von Berichten
• Definieren von Warnungen
• Einrichten eines externen SAML-Authentifizierungsanbieters
• Interagieren mit Grafana ohne Anmeldung als Benutzer

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
• Eine Azure Managed Grafana-Instanz. Wenn Sie noch nicht über eine Instanz verfügen, erstellen Sie eine Azure Managed Grafana-Instanz.

Aktivieren von Dienstkonten

Wenn in Ihrem vorhandenen Grafana-Arbeitsbereich keine Dienstkonten aktiviert sind, aktivieren Sie diese, indem Sie die Voreinstellungen Ihrer Grafana-Instanz über das Azure-Portal oder die Azure-Befehlszeilenschnittstelle aktualisieren.

Portal

1. Wählen Sie im Azure-Portal unter Einstellungen die Option Konfiguration aus, und wählen Sie dann unter API-Schlüssel und Dienstkonten die Option Aktivieren aus.

   

2. Wählen Sie Speichern aus, um zu bestätigen, dass Sie API-Schlüssel und Dienstkonten in Azure Managed Grafana aktivieren möchten.

Azure-Befehlszeilenschnittstelle

1. Azure Managed Grafana-CLI-Erweiterung 0.3.0 oder höher ist erforderlich. Mit az extension update --name amg können Sie Ihre Erweiterung aktualisieren.

2. Führen Sie den Befehl az grafana update aus, um die Erstellung von API-Schlüsseln und Dienstkonten in einer vorhandenen Azure Managed Grafana-Instanz zu ermöglichen. Ersetzen Sie im folgenden Befehl <azure-managed-grafana-name> durch den Namen der zu aktualisierenden Azure Managed Grafana-Instanz.

   az grafana update --name <azure-managed-grafana-name> ---service-account Enabled
   

Erstellen eines Dienstkontos

Führen Sie die folgenden Schritte aus, um ein neues Grafana-Dienstkonto zu erstellen und vorhandene Dienstkonten aufzulisten:

Grafana-Benutzeroberfläche

1. Gehen Sie zu Ihrem Grafana-Instanz-Endpunkt und wählen Sie dann Benutzer und Zugriff>Dienstkonten aus dem linken Menü aus und wählen Sie Dienstkonto hinzufügen aus.

   

2. Geben Sie einen Anzeigename und eine Rolle für Ihr neues Grafana-Dienstkonto ein. Mögliche Optionen sind Keine grundlegende Rolle, Anzeigende Person, Bearbeiter oder Admin. Wählen Sie anschließend Erstellen aus. Standardmäßig werden keine Rollen zugewiesen.

3. Sobald das Dienstkonto erstellt wurde, zeigt Grafana Informationen über das neue Dienstkonto an, einschließlich des Erstellungsdatums, der vorhandenen Token und der damit verbundenen Berechtigungen. Im nächsten Schritt erstellen Sie ein erstes Token.

4. Wählen Sie optional Dienstkonten aus dem linken Menü aus, um eine Liste aller Dienstkonten in Ihrer Grafana-Instanz anzuzeigen.

Azure-Befehlszeilenschnittstelle

1. Führen Sie den Befehl az grafana service-account create aus, um ein neues Dienstkonto zu erstellen. Ersetzen Sie die Platzhalter <azure-managed-grafana-name>, <service-account-name> und <role> durch Ihre eigenen Informationen.

   Verfügbare Rollen: Admin, Editor, Viewer.

   az grafana service-account create --name <azure-managed-grafana-name> --service-account <service-account-name> --role <role>
   

2. Führen Sie den Befehl az grafana service-account list aus, um eine Liste aller Dienstkonten abzurufen, die zu einer bestimmten Azure Managed Grafana-Instanz gehören. Ersetzen Sie <azure-managed-grafana-name> durch den Namen Ihres Azure Managed Grafana-Arbeitsbereichs.

   az grafana service-account list --name <azure-managed-grafana-name> --output table
   

   Beispiel für die Ausgabe:

   AvatarUrl             IsDisabled    Login        Name        OrgId    Role    Tokens
   --------------------  ------------  -----------  ----------  -------  ------  --------
   /avatar/abc12345678   False         sa-account1  account1    1        Viewer  0
   

   1. Führen Sie den Befehl az grafana service-account show aus, um die Details eines Dienstkontos abzurufen. Ersetzen Sie <azure-managed-grafana-name> und <service-account-name> durch Ihre eigenen Angaben.

   az grafana service-account show --name <azure-managed-grafana-name> --service-account <service-account-name>
   

Hinzufügen eines Dienstkontotokens

Nachdem Sie ein Dienstkonto erstellt haben, fügen Sie ein oder mehrere Zugriffstoken hinzu. Zugriffstoken sind generierte Zeichenketten, die zur Authentifizierung bei der Grafana-API ohne Verwendung eines Benutzernamens und Passworts verwendet werden. Jeder Token ist mit bestimmten Berechtigungen verknüpft, sodass Sie die Zugriffsebene steuern können, die verschiedenen Benutzern oder Anwendungen gewährt wird. Token können nach Bedarf erstellt, verwaltet und widerrufen werden.

Grafana-Benutzeroberfläche

In der Grafana-Benutzeroberfläche:

1. Um ein Dienstkontotoken zu erstellen, wählen Sie Dienstkontotoken hinzufügen aus.

2. Verwenden Sie den automatisch generierten Anzeigenamen oder geben Sie einen Namen Ihrer Wahl ein. Standardmäßig ist das Ablaufdatum auf einen Tag nach dem Erstellungsdatum eingestellt. Optional können Sie das vorgeschlagene Ablaufdatum aktualisieren oder Kein Ablaufdatum auswählen.

   

3. Wählen Sie Generate token (Token generieren) aus. Der Token wird nur einmal angezeigt, kopieren Sie ihn also und bewahren Sie ihn sicher auf. Wenn Sie diesen Token verlieren, müssen Sie ein neues generieren.

4. Der Token wird nun in den Details des Dienstkontos aufgeführt.

Azure-Befehlszeilenschnittstelle

Führen Sie über die Azure CLI folgende Schritte aus:

1. Erstellen Sie mit az grafana service-account token create ein Token für das Grafana-Dienstkonto. Ersetzen Sie die Platzhalter <azure-managed-grafana-name>, <service-account-name> und <token-name> durch Ihre eigenen Informationen.

   Legen Sie optional eine Ablaufzeit fest:

   Parameter	BESCHREIBUNG	Beispiel
   --time-to-live	Token haben standardmäßig eine Gültigkeit von einem Tag. Optional können Sie die Ablaufzeit deaktivieren oder bearbeiten, um das Token nach einer bestimmten Zeit zu deaktivieren. Verwenden Sie s für Sekunden, m für Minuten, h für Stunden, d für Tage, w für Wochen, M für Monate und y für Jahre.	15d

   az grafana service-account token create --name <azure-managed-grafana-name> --service-account <service-account-name> --token <token-name> --time-to-live 15d
   

2. Notieren Sie sich das generierte Token und bewahren Sie es sicher auf. Wenn Sie diesen Token verlieren, müssen Sie ein neues generieren.

3. Führen Sie den Befehl az grafana service-account token list aus, um eine Liste aller Token abzurufen, die zu einem bestimmten Dienstkonto gehören. Ersetzen Sie die Platzhalter <azure-managed-grafana-name> und <service-account-name> durch Ihre eigenen Informationen.

   az grafana service-account token list --name <azure-managed-grafana-name> --service-account <service-account-name> --output table
   

   Beispiel für die Ausgabe:

   Created               Expiration            HasExpired    Name    SecondsUntilExpiration
   --------------------  --------------------  ------------  ------  ------------------------
   2024-11-05T15:09:24Z  2024-11-06T14:48:51Z  False         token1  84388.80530215
   

Bearbeiten eines Dienstkontos

In diesem Abschnitt erfahren Sie, wie Sie ein Grafana-Dienstkonto aktualisieren.

Grafana-Benutzeroberfläche

Aktionen:

• Wählen Sie zum Bearbeiten des Namens das Dienstkonto und unter Informationen die Option Bearbeiten aus.
• Wählen Sie zum Bearbeiten der Rolle das Dienstkonto und unter Informationen die Rolle aus, und wählen Sie einen anderen Rollennamen aus.
• Wählen Sie zum Deaktivieren eines Dienstkontos ein Dienstkonto und oben auf der Seite Dienstkonto deaktivieren aus. Wählen Sie dann Dienstkonto deaktivieren aus, um den Vorgang zu bestätigen. Deaktivierte Dienstkonten können durch Auswählen von Dienstkonto aktivieren erneut aktiviert werden.

Die Benachrichtigung Dienstkonto aktualisiert wird sofort angezeigt.

Azure-Befehlszeilenschnittstelle

Bearbeiten Sie ein Dienstkonto mit az grafana service-account update. Ersetzen Sie die Platzhalter <azure-managed-grafana-name>und <service-account-name> durch Ihre eigenen Informationen, und verwenden Sie einen oder mehrere der folgenden Parameter:

Parameter	Beschreibung
--is-disabled	Geben Sie --is-disabled true ein, um ein Dienstkonto zu deaktivieren, oder --is-disabled false, um ein Dienstkonto zu aktivieren.
--name	Geben Sie einen anderen Namen für Ihr Dienstkonto ein.
--role	Geben Sie eine andere Rolle für Ihr Dienstkonto ein. Verfügbare Rollen: Admin, Editor, Viewer.

az grafana service-account update --name <azure-managed-grafana-name> --service-account <service-account-name> --role <role> --enabled false

Führen Sie zum Deaktivieren eines Dienstkontos den Befehl az grafana update aus, und verwenden Sie die Option --is-disabled true. Verwenden Sie zum Aktivieren eines Dienstkontos --is-disabled false.

az grafana update --service-account Disabled --name <service-account-name>

Löschen eines Dienstkontos

Grafana-Benutzeroberfläche

Wählen Sie zum Löschen eines Grafana-Dienstkontos ein Dienstkonto und oben auf der Seite Dienstkonto löschen aus. Wählen Sie dann Dienstkonto löschen aus, um den Vorgang zu bestätigen. Das Löschen eines Dienstkontos ist endgültig, und ein Dienstkonto kann nach dem Löschen nicht wiederhergestellt werden.

Azure-Befehlszeilenschnittstelle

Um ein Dienstkonto zu löschen, führen Sie den Befehl az grafana service-account delete aus. Ersetzen Sie die Platzhalter <azure-managed-grafana-name> und <service-account-name> durch Ihre eigenen Informationen.

az grafana service-account delete --name <azure-managed-grafana-name> --service-account <service-account-name>

Löschen eines Dienstkontotokens

Grafana-Benutzeroberfläche

Wenn Sie ein Dienstkontotoken löschen möchten, wählen Sie ein Dienstkonto und unter Token die Option Löschen (x) aus. Wählen Sie zur Bestätigung Löschen aus.

Azure-Befehlszeilenschnittstelle

Um ein Dienstkonto zu löschen, führen Sie den Befehl az grafana service-account token delete aus. Ersetzen Sie die Platzhalter <azure-managed-grafana-name>, <service-account-name> und <token-name> durch Ihre eigenen Informationen.

az grafana service-account token delete --name <azure-managed-grafana-name> --service-account <service-account-name> --token <token-name>

Nächste Schritte

In dieser Schrittanleitung haben Sie erfahren, wie Sie Dienstkonten und Token erstellen und verwalten, um automatisierte Vorgänge in Azure Managed Grafana auszuführen. Wenn Sie fertig sind, sehen Sie sich weitere Artikel an:

Aktivieren der Zonenredundanz