Azure Managed Grafana でサービス アカウントを使用する方法
- [アーティクル]
-
-
このガイドでは、サービス アカウントを使う方法について説明します。 サービス アカウントは、自動化された操作を実行する場合、Grafana API を使って Grafana でアプリケーションを認証する場合に使われます。
一般的な使用用途は次のとおりです。
- ダッシュボードをプロビジョニングまたは構成する
- レポートをスケジュールする
- アラートを定義する
- 外部 SAML 認証プロバイダーを設定する
- ユーザーとしてサインインせずに Grafana と対話する
前提条件
サービス アカウントを有効にする
既存の Grafana ワークスペースでサービス アカウントが有効になっていない場合は、Grafana インスタンスの基本設定を更新してサービス アカウントを有効にすることができます。
Azure portal の [設定] で [構成] を選び、次に [API keys and service accounts] (API キーとサービス アカウント) で [有効にする] を選びます。
[保存] を選び、Azure Managed Grafana で API キーとサービス アカウントを有効にすることを確定します。
- Azure Managed Grafana CLI 拡張機能 0.3.0 以降が必要です。 拡張機能を更新するには、
az extension update --name amg を実行します。
- az grafana update コマンドを実行して、既存の Azure Managed Grafana インスタンスでの API キーとサービス アカウントの作成を有効にします。 次のコマンドでは、
<azure-managed-grafana-name> は、更新する Azure Managed Grafana インスタンスの名前に置き換えます。
az grafana update --name <azure-managed-grafana-name> ---service-account Enabled
サービス アカウントの作成
以下の手順に従って新しい Grafana サービス アカウントを作成し、既存のサービス アカウントを一覧表示します。
Grafana インスタンスのエンドポイントに移動し、[構成] で [サービス アカウント] を選びます。
[サービス アカウントを追加] を選び、新しい Grafana サービス アカウントの [表示名] と [ロール] ([閲覧者]、[編集者]、または [管理者]) を入力し、[作成] を選びます。
![Grafana のスクリーンショット。[サービス アカウントの追加] ページ。](media/service-accounts/service-accounts.png)
このページには、"Service account successfully created" (サービス アカウントが正常に作成されました) という通知と、新しいサービス アカウントに関する情報が表示されます。
戻る矢印記号を選ぶと、Grafana インスタンスのすべてのサービス アカウントの一覧が表示されます。
az grafana service-account create コマンドを実行してサービス アカウントを作成します。 プレースホルダー <azure-managed-grafana-name>、<service-account-name>、<role> を独自の情報に置き換えます。
使用可能なロール: Admin、Editor、Viewer。
az grafana service-account create --name <azure-managed-grafana-name> --service-account <service-account-name> --role <role>
サービス アカウントを一覧表示する
コマンドを az grafana service-account list 実行して、特定の Azure Managed Grafana インスタンスに属するすべてのサービス アカウントの一覧を取得します。 <azure-managed-grafana-name> は Azure Managed Grafana ワークスペースインスタンスの名前に置き換えます。
az grafana service-account list --name <azure-managed-grafana-name> --output table
出力の例:
AvatarUrl IsDisabled Login Name OrgId Role Tokens
-------------------- ------------ ----------- ---------- ------- ------ --------
/avatar/abc12345678 False sa-account1 account1 1 Viewer 0
サービス アカウントの詳細を表示する
az grafana service-account show コマンドを実行して、サービス アカウントの詳細を取得します。 <azure-managed-grafana-name> と <service-account-name> は、実際の情報に置き換えてください。
az grafana service-account show --name <azure-managed-grafana-name> --service-account <service-account-name>
サービス アカウント トークンを追加してトークンを確認する
サービス アカウントを作成したら、1 つ以上のアクセス トークンを追加します。 アクセス トークンは、Grafana API に対する認証に使われる生成された文字列です。
サービス アカウント トークンを作成するには、[トークンの追加] を選びます。
自動的に生成された [表示名] を使うか、任意の名前を入力し、必要に応じて [有効期限] を選ぶか、有効期限を設定しない既定のオプションをそのまま使います。
![Azure プラットフォームのスクリーンショット。[サービス アカウント トークンの追加] ページ。](media/service-accounts/add-service-account-token.png)
[トークンの生成] を選び、生成されたトークンをメモします。 このトークンは 1 回だけ表示されます。トークンを失うと新規作成する必要があるため、必ず保存してください。
サービス アカウントを選ぶと、関連付けられたすべてのトークンの一覧など、サービス アカウントに関する情報にアクセスできます。
新しいトークンを作成する
az grafana service-account token create を使って Grafana サービス アカウント トークンを作成します。 プレースホルダー <azure-managed-grafana-name>、<service-account-name>、<token-name> を独自の情報に置き換えます。
必要に応じて、有効期限を設定します。
| パラメーター |
説明 |
例 |
--time-to-live |
既定でトークンの有効期限は無制限です。 指定した時間が経過した後にトークンを無効にするように有効期限を設定します。 秒には s、分には m、時間には h、日には d、週には w、月には M、年には y を使用します。 |
15d |
az grafana service-account token create --name <azure-managed-grafana-name> --service-account <service-account-name> --token <token-name> --time-to-live 15d
生成されたトークンをメモします。 このトークンは 1 回だけ表示されます。トークンを失うと新規作成する必要があるため、必ず保存してください。
サービス アカウント トークンを一覧表示する
az grafana service-account token list コマンドを実行し、特定のサービス アカウントに属するすべてのトークンの一覧を取得します。 プレースホルダー <azure-managed-grafana-name> と <service-account-name> を独自の情報に置き換えます。
az grafana service-account token list --name <azure-managed-grafana-name> --service-account <service-account-name> --output table
出力の例:
Created Expiration HasExpired Name SecondsUntilExpiration
-------------------- -------------------- ------------ ------ ------------------------
2022-12-07T11:40:45Z 2022-12-08T11:40:45Z False token1 85890.870731556
2022-12-07T11:42:35Z 2022-12-22T11:42:35Z False token2 0
サービス アカウントを編集する
このセクションでは、次の方法で Grafana サービス アカウントを更新する方法について説明します。
- サービス アカウントの名前を編集する
- サービス アカウントのロールを編集する
- サービス アカウントを無効にする
- サービス アカウントを有効にする
アクション:
- 名前を編集するには、サービス アカウントを選び、[情報] で [編集] を選びます。
- ロールを編集するには、サービス アカウントを選び、[情報] でロールを選び、別のロール名を選びます。
- サービス アカウントを無効にするには、サービス アカウントを選び、ページの上部にある [サービス アカウントを無効にする] を選んでから [サービス アカウントを無効にする] を選んで確定します。 無効になったサービス アカウントは、[サービス アカウントを有効にする] を選んで再び有効にすることができます。
![Azure プラットフォームのスクリーンショット。[サービス アカウントの編集] ページ。](media/service-accounts/edit-service-account.png)
"Service account updated" (サービス アカウントが更新されました) という通知がすぐに表示されます。
az grafana service-account update を使ってサービス アカウントを編集します。 プレースホルダー <azure-managed-grafana-name> と <service-account-name> を実際の情報に置き換え、次のパラメーターのいずれかまたは複数を使います。
| パラメーター |
説明 |
--is-disabled |
サービス アカウントを無効にする場合は「--is-disabled true」、サービス アカウントを有効にする場合は「--is-disabled false」と入力します。 |
--name |
サービス アカウントに別の名前を入力します。 |
--role |
サービス アカウントに別のロールを入力します。 使用可能なロール: Admin、Editor、Viewer。 |
az grafana service-account update --name <azure-managed-grafana-name> --service-account <service-account-name> --role <role> --enabled false
サービス アカウントを無効にするには、az grafana update コマンドを実行し、オプション --is-disabled true を使います。 サービス アカウントを有効にするには、--is-disabled false を使います。
az grafana update --service-account Disabled --name <service-account-name>
サービス アカウントを削除する
Grafana サービス アカウントを削除にするには、サービス アカウントを選び、ページの上部にある [サービス アカウントの削除] を選んでから [サービス アカウントの削除] を選んで確定します。 サービス アカウントの削除は最終的なものであり、削除後にサービス アカウントを復旧することはできません。
![Azure プラットフォームのスクリーンショット。[サービス アカウントの削除] ページ。](media/service-accounts/delete.png)
サービス アカウントを削除するには、az grafana service-account delete コマンドを実行します。 プレースホルダー <azure-managed-grafana-name> と <service-account-name> を独自の情報に置き換えます。
az grafana service-account delete --name <azure-managed-grafana-name> --service-account <service-account-name>
サービス アカウント トークンを削除する
サービス アカウント トークンを削除するには、サービス アカウントを選び、[トークン] で [削除 (x)] を選びます。 [削除] を選択して確定します。
![Azure プラットフォームのスクリーンショット。[サービス アカウント トークンの削除] ページ。](media/service-accounts/delete-token.png)
サービス アカウントを削除するには、az grafana service-account token delete コマンドを実行します。 プレースホルダー <azure-managed-grafana-name>、<service-account-name>、<token-name> を独自の情報に置き換えます。
az grafana service-account token delete --name <azure-managed-grafana-name> --service-account <service-account-name> --token <token-name>
次のステップ
この攻略ガイドでは、Azure Managed Grafana で自動操作を実行するためのサービス アカウントとトークンの作成および管理方法を学習しました。 準備ができたら、その他の記事を参照してください。