Uso de cuentas de servicio en Azure Managed Grafana

En esta guía, aprenderá a usar las cuentas de servicio. Las cuentas de servicio se usan para ejecutar operaciones automatizadas y autenticar aplicaciones en Grafana con la API de Grafana.

Entre los casos de uso comunes se incluye:

• Aprovisionar o configurar paneles
• Programar informes
• Definir alertas
• Configurar un proveedor de autenticación SAML externo
• Interactuar con Grafana sin iniciar sesión como usuario

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
• Una instancia de Azure Managed Grafana. Si aún no tiene una, cree una instancia de Azure Managed Grafana.

Proteger las cuentas de servicio

Si el área de trabajo de Grafana existente no tiene habilitadas las cuentas de servicio, puede habilitarlas actualizando las preferencias de configuración de su instancia de Grafana.

Portal

1. En Azure Portal, en Configuración, seleccione Configuración y, a continuación, en Claves de API y cuentas de servicio, seleccione Habilitar.

   

2. Seleccione Guardar para confirmar que desea habilitar las claves de API y las cuentas de servicio en Azure Managed Grafana.

CLI de Azure

1. Se requiere la extensión 0.3.0 o posterior de la CLI de Azure Managed Grafana. Para actualizar la extensión, ejecute az extension update --name amg.
2. Ejecute el comando az grafana update para habilitar la creación de claves de API y cuentas de servicio en una instancia existente de Azure Managed Grafana. En el comando siguiente, reemplace <azure-managed-grafana-name> por el nombre de la instancia de Azure Managed Grafana que se va a actualizar.

az grafana update --name <azure-managed-grafana-name> ---service-account Enabled

Crear una cuenta de servicio

Realice los pasos siguientes para crear una nueva cuenta de servicio de Grafana y enumerar las cuentas de servicio existentes:

Portal

1. Vaya al punto de conexión de la instancia de Grafana y, en Configuración, seleccione Cuentas de servicio.

2. Seleccione Agregar cuenta de servicio y escriba un Nombre para mostrar y un Rol para su nueva cuenta de servicio de Grafana: Visor, Editor o Administrador y seleccione Crear.

   

3. La página muestra la notificación Cuenta de servicio creada correctamente e información sobre la nueva cuenta de servicio.

4. Seleccione el signo de flecha atrás para ver una lista de todas las cuentas de servicio de la instancia de Grafana.

CLI de Azure

Ejecute el comando az grafana service-account create para crear una cuenta de servicio. Reemplace los marcadores de posición <azure-managed-grafana-name>, <service-account-name> y <role> con su propia información.

Roles disponibles: Admin, Editor, Viewer.

az grafana service-account create --name <azure-managed-grafana-name> --service-account <service-account-name> --role <role>

Enumerar las cuentas de servicio

Ejecute el comando az grafana service-account list para obtener una lista de todas las cuentas de servicio que pertenecen a una instancia de Azure Managed Grafana determinada. Reemplace <azure-managed-grafana-name> por el nombre de su área de trabajo de Azure Managed Grafana.

az grafana service-account list --name <azure-managed-grafana-name> --output table

Ejemplo de salida:

AvatarUrl             IsDisabled    Login        Name        OrgId    Role    Tokens
--------------------  ------------  -----------  ----------  -------  ------  --------
/avatar/abc12345678   False         sa-account1  account1    1        Viewer  0

Mostrar los detalles de la cuenta de servicio

Ejecute el comando az grafana service-account show para obtener los detalles de una cuenta de servicio. Reemplace <azure-managed-grafana-name> y <service-account-name> por su propia información.

az grafana service-account show --name <azure-managed-grafana-name> --service-account <service-account-name>

Agregar un token de cuenta de servicio y revisar los tokens

Una vez que haya creado una cuenta de servicio, agregue uno o varios tokens de acceso. Los tokens de acceso son cadenas generadas que se usan para autenticarse en la API de Grafana.

Portal

1. Para crear un token de cuenta de servicio, seleccione Agregar token.

2. Use el Nombre para mostrar generado automáticamente o escriba un nombre de su elección y, opcionalmente, seleccione una Fecha de expiración o mantenga la opción predeterminada para no establecer ninguna fecha de expiración.

   

3. Seleccione Generar token y tome nota del token generado. Este token solo se mostrará una vez, por lo que debe asegurarse de guardarlo, ya que perder un token requiere la creación de uno nuevo.

4. Seleccione la cuenta de servicio para acceder a la información sobre su cuenta de servicio, incluida una lista de todos los tokens asociados.

CLI de Azure

Crear un nuevo token

1. Cree un token de cuenta de servicio de Grafana con az grafana service-account token create. Reemplace los marcadores de posición <azure-managed-grafana-name>, <service-account-name> y <token-name> con su propia información.

   Opcionalmente, establezca una fecha de expiración:

   Parámetro	Descripción	Ejemplo
   --time-to-live	Los tokens tienen una fecha de expiración ilimitada de forma predeterminada. Establezca una fecha de expiración para deshabilitar el token después de un tiempo determinado. Use s para los segundos, m para los minutos, h para las horas, d para los días, w para las semanas, M para los meses o y para los años.	15d

   az grafana service-account token create --name <azure-managed-grafana-name> --service-account <service-account-name> --token <token-name> --time-to-live 15d
   

2. Tome nota del token generado. Este token solo se mostrará una vez, por lo que debe asegurarse de guardarlo, ya que perder un token requiere la creación de uno nuevo.

Enumerar tokens de cuenta de servicio

Ejecute el comando az grafana service-account token list para obtener una lista de todos los tokens que pertenecen a una cuenta de servicio determinada. Reemplace los marcadores de posición <azure-managed-grafana-name> y <service-account-name> con su propia información.

az grafana service-account token list --name <azure-managed-grafana-name> --service-account <service-account-name> --output table

Ejemplo de salida:

Created               Expiration            HasExpired    Name    SecondsUntilExpiration
--------------------  --------------------  ------------  ------  ------------------------
2022-12-07T11:40:45Z  2022-12-08T11:40:45Z  False         token1  85890.870731556
2022-12-07T11:42:35Z  2022-12-22T11:42:35Z  False         token2  0

Editar una cuenta de servicio

En esta sección, aprenderá a actualizar una cuenta de servicio de Grafana de las siguientes maneras:

• Editar el nombre de una cuenta de servicio
• Editar el rol de una cuenta de servicio
• Deshabilitar una cuenta de servicio
• Habilitar una cuenta de servicio

Portal

Acciones:

• Para editar el nombre, seleccione la cuenta de servicio y, en Información, seleccione Editar.
• Para editar el rol, seleccione la cuenta de servicio y, en Información, seleccione el rol y elija otro nombre de rol.
• Para deshabilitar una cuenta de servicio, seleccione una cuenta de servicio y, en la parte superior de la página, seleccione Deshabilitar cuenta de servicio; a continuación, seleccione Deshabilitar cuenta de servicio para confirmar. Las cuentas de servicio deshabilitadas se pueden volver a habilitar seleccionando Habilitar cuenta de servicio.

La notificación Cuenta de servicio actualizada se muestra al instante.

CLI de Azure

Edite una cuenta de servicio con az grafana service-account update. Reemplace los marcadores de posición <azure-managed-grafana-name> y <service-account-name> con su propia información y use uno o varios de los parámetros siguientes:

Parámetro	Descripción
--is-disabled	Ingrese --is-disabled true para deshabilitar una cuenta de servicio o --is-disabled false para habilitar una cuenta de servicio.
--name	Escriba otro nombre para su cuenta de servicio.
--role	Escriba otro rol para su cuenta de servicio. Roles disponibles: Admin, Editor, Viewer.

az grafana service-account update --name <azure-managed-grafana-name> --service-account <service-account-name> --role <role> --enabled false

Para deshabilitar una cuenta de servicio, ejecute el comando az grafana update y use la opción --is-disabled true. Para habilitar una cuenta de servicio, use --is-disabled false.

az grafana update --service-account Disabled --name <service-account-name>

Eliminación de una cuenta de servicio

Portal

Para eliminar una cuenta de servicio de Grafana, seleccione una cuenta de servicio y, en la parte superior de la página, seleccione Eliminar cuenta de servicio; a continuación, seleccione Eliminar cuenta de servicio para confirmar. La eliminación de una cuenta de servicio es definitiva y esta no se puede recuperar una vez eliminada.

CLI de Azure

Para eliminar una cuenta de servicio, ejecute el comando az grafana service-account delete. Reemplace los marcadores de posición <azure-managed-grafana-name> y <service-account-name> con su propia información.

az grafana service-account delete --name <azure-managed-grafana-name> --service-account <service-account-name>

Eliminar un token de cuenta de servicio

Portal

Para eliminar un token de cuenta de servicio, seleccione una cuenta de servicio y, en Tokens, seleccione Eliminar (x). Seleccione Eliminar para confirmar.

CLI de Azure

Para eliminar una cuenta de servicio, ejecute el comando az grafana service-account token delete. Reemplace los marcadores de posición <azure-managed-grafana-name>, <service-account-name> y <token-name> con su propia información.

az grafana service-account token delete --name <azure-managed-grafana-name> --service-account <service-account-name> --token <token-name>

Pasos siguientes

En esta guía paso a paso, ha aprendido a crear y administrar cuentas de servicio y tokens para ejecutar operaciones automatizadas en Azure Managed Grafana. Cuando esté listo, explore más artículos:

Habilitación de la redundancia de zona