Uso de cuentas de servicio en Azure Managed Grafana

En esta guía, aprenderá a usar las cuentas de servicio. Las cuentas de servicio se usan para ejecutar operaciones automatizadas y autenticar aplicaciones en Grafana con la API de Grafana.

Entre los casos de uso comunes se incluye:

• Aprovisionar o configurar paneles
• Programar informes
• Definir alertas
• Configurar un proveedor de autenticación SAML externo
• Interactuar con Grafana sin iniciar sesión como usuario

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
• Una instancia de Azure Managed Grafana. Si aún no tiene una, cree una instancia de Azure Managed Grafana.

Proteger las cuentas de servicio

Si el área de trabajo de Grafana existente no tiene habilitadas las cuentas de servicio, habilítelas actualizando la configuración de preferencias de la instancia de Grafana mediante Azure Portal o la CLI de Azure.

Portal

1. En Azure Portal, en Configuración, seleccione Configuración y, a continuación, en Claves de API y cuentas de servicio, seleccione Habilitar.

   

2. Seleccione Guardar para confirmar que desea habilitar las claves de API y las cuentas de servicio en Azure Managed Grafana.

CLI de Azure

1. Se requiere la extensión 0.3.0 o posterior de la CLI de Azure Managed Grafana. Para actualizar la extensión, ejecute az extension update --name amg.

2. Ejecute el comando az grafana update para habilitar la creación de claves de API y cuentas de servicio en una instancia existente de Azure Managed Grafana. En el comando siguiente, reemplace <azure-managed-grafana-name> por el nombre de la instancia de Azure Managed Grafana que se va a actualizar.

   az grafana update --name <azure-managed-grafana-name> ---service-account Enabled
   

Crear una cuenta de servicio

Realice los pasos siguientes para crear una nueva cuenta de servicio de Grafana y enumerar las cuentas de servicio existentes:

IU de Grafana

1. Vaya al punto de conexión de la instancia de Grafana y seleccione Usuarios y acceso>Cuentas de servicio en el menú izquierdo y Agregar cuenta de servicio.

   

2. Escriba un nombre para mostrar y un rol para la nueva cuenta de servicio de Grafana en las opciones Sin rol básico, Visor, Editor o Administrador y seleccione Crear. No se asigna ningún rol de forma predeterminada.

3. Una vez creada la cuenta de servicio, Grafana muestra información sobre la nueva cuenta de servicio, incluida su fecha de creación, los tokens existentes y los permisos asociados. Creará un primer token en un paso siguiente.

4. Opcionalmente, seleccione Cuentas de servicio en el menú izquierdo para ver una lista de todas las cuentas de servicio de la instancia de Grafana.

CLI de Azure

1. Ejecute el comando az grafana service-account create para crear una cuenta de servicio. Reemplace los marcadores de posición <azure-managed-grafana-name>, <service-account-name> y <role> con su propia información.

   Roles disponibles: Admin, Editor, Viewer.

   az grafana service-account create --name <azure-managed-grafana-name> --service-account <service-account-name> --role <role>
   

2. Ejecute el comando az grafana service-account list para obtener una lista de todas las cuentas de servicio que pertenecen a una instancia de Azure Managed Grafana determinada. Reemplace <azure-managed-grafana-name> por el nombre de su área de trabajo de Azure Managed Grafana.

   az grafana service-account list --name <azure-managed-grafana-name> --output table
   

   Ejemplo de salida:

   AvatarUrl             IsDisabled    Login        Name        OrgId    Role    Tokens
   --------------------  ------------  -----------  ----------  -------  ------  --------
   /avatar/abc12345678   False         sa-account1  account1    1        Viewer  0
   

   1. Ejecute el comando az grafana service-account show para obtener los detalles de una cuenta de servicio. Reemplace <azure-managed-grafana-name> y <service-account-name> por su propia información.

   az grafana service-account show --name <azure-managed-grafana-name> --service-account <service-account-name>
   

Adición de un token de cuenta de servicio

Una vez que haya creado una cuenta de servicio, agregue uno o varios tokens de acceso. Los tokens de acceso son cadenas generadas que se usan para autenticarse con la API de Grafana sin usar un nombre de usuario y una contraseña. Cada token está asociado a permisos específicos, lo que le permite controlar el nivel de acceso concedido a diferentes usuarios o aplicaciones. Los tokens se pueden crear, administrar y revocar según sea necesario.

IU de Grafana

En la interfaz de usuario de Grafana:

1. Para crear un token de cuenta de servicio, seleccione Agregar token de cuenta de servicio.

2. Use el Nombre para mostrar generado automáticamente o escriba un nombre de su elección. De forma predeterminada, la fecha de expiración se establece en un día después de su fecha de creación. Opcionalmente, actualice la Fecha de expiración sugerida o seleccione Sin expiración.

   

3. Seleccione Generar token. El token solo se muestra una vez, por lo que asegúrese de copiarlo y guardarlo de forma segura. Si pierde este token, deberá generar uno nuevo.

4. El token ahora aparece en los detalles de la cuenta de servicio.

CLI de Azure

En la CLI de Azure:

1. Cree un token de cuenta de servicio de Grafana con az grafana service-account token create. Reemplace los marcadores de posición <azure-managed-grafana-name>, <service-account-name> y <token-name> con su propia información.

   Opcionalmente, establezca una fecha de expiración:

   Parámetro	Descripción	Ejemplo
   --time-to-live	Los tokens tienen una hora de expiración de un día de forma predeterminada. Opcionalmente, deshabilite o edite la hora de expiración para deshabilitar el token después de un tiempo determinado. Use s para los segundos, m para los minutos, h para las horas, d para los días, w para las semanas, M para los meses o y para los años.	15d

   az grafana service-account token create --name <azure-managed-grafana-name> --service-account <service-account-name> --token <token-name> --time-to-live 15d
   

2. Anote el token generado y guárdelo de forma segura. Si pierde este token, deberá generar uno nuevo.

3. Ejecute el comando az grafana service-account token list para obtener una lista de todos los tokens que pertenecen a una cuenta de servicio determinada. Reemplace los marcadores de posición <azure-managed-grafana-name> y <service-account-name> con su propia información.

   az grafana service-account token list --name <azure-managed-grafana-name> --service-account <service-account-name> --output table
   

   Ejemplo de salida:

   Created               Expiration            HasExpired    Name    SecondsUntilExpiration
   --------------------  --------------------  ------------  ------  ------------------------
   2024-11-05T15:09:24Z  2024-11-06T14:48:51Z  False         token1  84388.80530215
   

Editar una cuenta de servicio

En esta sección, aprenderá a actualizar una cuenta de servicio de Grafana.

IU de Grafana

Acciones:

• Para editar el nombre, seleccione la cuenta de servicio y, en Información, seleccione Editar.
• Para editar el rol, seleccione la cuenta de servicio y, en Información, seleccione el rol y elija otro nombre de rol.
• Para deshabilitar una cuenta de servicio, seleccione una cuenta de servicio y, en la parte superior de la página, seleccione Deshabilitar cuenta de servicio; a continuación, seleccione Deshabilitar cuenta de servicio para confirmar. Las cuentas de servicio deshabilitadas se pueden volver a habilitar seleccionando Habilitar cuenta de servicio.

La notificación Cuenta de servicio actualizada se muestra al instante.

CLI de Azure

Edite una cuenta de servicio con az grafana service-account update. Reemplace los marcadores de posición <azure-managed-grafana-name> y <service-account-name> con su propia información y use uno o varios de los parámetros siguientes:

Parámetro	Descripción
--is-disabled	Ingrese --is-disabled true para deshabilitar una cuenta de servicio o --is-disabled false para habilitar una cuenta de servicio.
--name	Escriba otro nombre para su cuenta de servicio.
--role	Escriba otro rol para su cuenta de servicio. Roles disponibles: Admin, Editor, Viewer.

az grafana service-account update --name <azure-managed-grafana-name> --service-account <service-account-name> --role <role> --enabled false

Para deshabilitar una cuenta de servicio, ejecute el comando az grafana update y use la opción --is-disabled true. Para habilitar una cuenta de servicio, use --is-disabled false.

az grafana update --service-account Disabled --name <service-account-name>

Eliminación de una cuenta de servicio

IU de Grafana

Para eliminar una cuenta de servicio de Grafana, seleccione una cuenta de servicio y, en la parte superior de la página, seleccione Eliminar cuenta de servicio; a continuación, seleccione Eliminar cuenta de servicio para confirmar. La eliminación de una cuenta de servicio es definitiva y esta no se puede recuperar una vez eliminada.

CLI de Azure

Para eliminar una cuenta de servicio, ejecute el comando az grafana service-account delete. Reemplace los marcadores de posición <azure-managed-grafana-name> y <service-account-name> con su propia información.

az grafana service-account delete --name <azure-managed-grafana-name> --service-account <service-account-name>

Eliminar un token de cuenta de servicio

IU de Grafana

Para eliminar un token de cuenta de servicio, seleccione una cuenta de servicio y, en Tokens, seleccione Eliminar (x). Seleccione Eliminar para confirmar.

CLI de Azure

Para eliminar una cuenta de servicio, ejecute el comando az grafana service-account token delete. Reemplace los marcadores de posición <azure-managed-grafana-name>, <service-account-name> y <token-name> con su propia información.

az grafana service-account token delete --name <azure-managed-grafana-name> --service-account <service-account-name> --token <token-name>

Pasos siguientes

En esta guía paso a paso, ha aprendido a crear y administrar cuentas de servicio y tokens para ejecutar operaciones automatizadas en Azure Managed Grafana. Cuando esté listo, explore más artículos:

Habilitación de la redundancia de zona