本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 API 金鑰來驗證 Grafana HTTP APIs 存取 Grafana APIs的一種方法是使用 *API 金鑰*,也稱為 *API 字符*。若要建立 API 金鑰,請使用下列其中一個程序。API 金鑰在您建立 API 金鑰時指定的有限時間內有效,最長可達 30 天。 **Topics** + [建立要在工作區中與 Grafana API 搭配使用的 Grafana APIs 金鑰 (主控台)](#v10-API_key_console) + [使用 建立 Amazon Managed Grafana 工作區 API 金鑰 AWS CLI](#v10-API_key_CLI) **重要** API 金鑰已棄用,並已在 Amazon Managed Grafana 第 12 版中移除。請改用 服務帳戶。如需詳細資訊,請參閱[使用服務帳戶向 Grafana HTTP APIs進行身分驗證](v10-service-accounts.md)。 當您建立 API 金鑰時,您可以指定金鑰*的角色*。角色會決定金鑰使用者擁有的管理能力層級。 下表顯示授予管理員、編輯器和檢視器角色的許可。第一個資料表顯示一般組織許可。在此資料表中,**完整**表示能夠檢視、編輯、新增許可和刪除許可。**探索**欄顯示角色是否可以使用*探索*檢視。** 其他**許可欄顯示角色是否具有管理使用者、團隊、外掛程式和組織設定的許可。 | Role | 儀表板 | 播放清單 | 資料夾 | 探索 | 資料來源 | 其他許可 | | --- | --- | --- | --- | --- | --- | --- | | **Viewer (檢視者)** | 檢視 | 檢視 | 否 | 否 | 否 | 否 | | **Editor (編輯器)** | 完整 | 完整 | 完整 | 是 | 否 | 否 | | **管理員** | 完整 | 完整 | 完整 | 是 | 完整 | 完整 | 下表顯示您可以設定的其他儀表板和資料夾層級許可。這些與管理員、編輯器和檢視器角色不同。 | Role | 儀表板 | 資料夾 | 變更許可 | | --- | --- | --- | --- | | **檢視** | 檢視 | 檢視 | 否 | | **編輯** | 建立、編輯 | 檢視 | 否 | | **管理員** | 建立、編輯、刪除 | 建立、編輯、刪除 | 是 | **注意** 如果具有更多許可的更一般規則存在,則具有較低許可層級的更範圍許可不會生效。例如,如果您為使用者提供組織**編輯器**角色,然後只為該使用者指派儀表板的**檢視**許可,則更嚴格的**檢視**許可不會生效,因為使用者因為其**編輯器**角色而具有完整的**編輯**存取權。 ## 建立要在工作區中與 Grafana API 搭配使用的 Grafana APIs 金鑰 (主控台) **注意** 在與 Grafana 第 10 版及更高版本相容的 Amazon Managed Grafana 工作區中,已移除在工作區中建立 API 金鑰的功能。如果您的工作區是 Grafana 第 10 版工作區,您只能透過 AWS CLI 或 API 建立 API 金鑰。 API 金鑰已棄用,並已在 Amazon Managed Grafana 第 12 版中移除。請改用 服務帳戶。如需詳細資訊,請參閱[使用服務帳戶向 Grafana HTTP APIs進行身分驗證](v10-service-accounts.md)。 **在工作區主控台中建立要與 Grafana API 搭配使用的 Grafana APIs 金鑰** 1. 開啟位於 https://[https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/home/) 的 Amazon Managed Grafana 主控台。 1. 選擇頁面左上角的功能表圖示,然後選擇**所有工作區**。 1. 選擇 Amazon Managed Grafana 工作區的名稱。 1. 在工作區詳細資訊頁面中,選擇顯示在 **Grafana 工作區 URL 下的 URL**。 1. 在 Grafana 主控台側邊選單中,暫停**組態** (齒輪) 圖示,然後選擇 **API 金鑰**。 1. 選擇**新的 API 金鑰**。 1. 輸入金鑰的唯一名稱。 1. 針對**角色**,選取要授予金鑰的存取層級。選取**管理員**,以允許具有此金鑰的使用者在最廣泛、最強大的管理層級使用 APIs。選取**編輯器**或**檢視器**,將金鑰的使用者限制在這些層級。如需詳細資訊,請參閱先前的資料表。 1. 針對**存留時間**,指定您希望金鑰有效的時間長度。上限為 30 天 (一個月)。您輸入一個數字和一個字母。有效字母為秒 **s**、分鐘 **m**、小時 **h**、天 **d**、週 **w** 和月 **M**。例如,**12h** 為 12 小時,**1M** 為 1 個月 (30 天)。 我們強烈建議您將金鑰的存留時間設定為較短的時間,例如幾個小時或更少。相較於擁有長時間有效的 API 金鑰,這產生的風險更低。 1. 選擇**新增**。 1. (選用) 您可以使用使用 Terraform 建立 API 金鑰 API 來自動[建立 API 金鑰](v10-Grafana-API-Authentication.md)。如需使用 Terraform 自動化 API 金鑰建立的詳細資訊,請參閱[使用 Terraform 建立 Grafana API 金鑰](https://aws-observability.github.io/observability-best-practices/recipes/recipes/amg-automation-tf/)。 ## 使用 建立 Amazon Managed Grafana 工作區 API 金鑰 AWS CLI **使用 建立 Amazon Managed Grafana 工作區 API 金鑰 AWS CLI** 在下列範例中,將 {{key\_name}}、{{key\_role}}、{{secs\_to\_live}} 和 {{workspace\_id}} 取代為您自己的資訊。若要了解 key-name、key-role 和 seconds-to-live 的格式,請參閱 API 指南[https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceApiKey.html](https://docs.aws.amazon.com/grafana/latest/APIReference/API_CreateWorkspaceApiKey.html)中的 。 ``` aws grafana create-workspace-api-key --key-name "{{key_name}}" --key-role "{{key_role}}" --seconds-to-live {{seconds_to_live}} --workspace-id "{{workspace_id}}" ``` 以下是範例 CLI 回應: ![create-workspace-api-key 輸出範例](http://docs.aws.amazon.com/zh_tw/grafana/latest/userguide/images/APICLI.png) 您可以執行下列命令來尋找工作區的 {{workspace\_id}}: ``` aws grafana list-workspaces ```