签署插件

所有 Grafana Labs 编写的后端插件（包括企业插件）都已签署，以便我们能够使用签名验证验证其真实性。默认情况下，Grafana 要求所有插件都必须签署才能加载。

信息

在开发过程中或首次提交插件以供审查时，无需签署插件。使用 @grafana/create-plugin 搭建的 Docker 开发环境将在没有签名的情况下加载插件。这是因为它默认配置为在开发模式下运行。

公共或私有插件

根据插件的作者、相关技术和预期用途，插件可以具有不同的签名级别。

插件可以是公共的，签署为社区或商业，并在 Grafana 插件目录中分发，以便其他人可以安装。或者您可以将其设为私有，仅供组织内部使用。

在签署插件之前，请查看插件策略以确定适合您插件的签名。

生成访问策略令牌

要验证您对插件的所有权，请生成一个访问策略令牌，您每次需要签署新版本的插件时都会使用它。

创建 Grafana Cloud 帐户.
登录您的帐户，然后转到我的帐户 > 安全 > 访问策略。
点击创建访问策略。

领域：必须为your-org-name（all-stacks）
范围：plugins:write

创建访问策略。
点击创建令牌以创建新令牌。

过期日期是可选的，但出于安全考虑，您应该定期更改令牌。

创建访问策略令牌。
点击创建，然后将令牌的副本保存到安全的地方以备将来参考。
继续签署您的公共插件或私有插件。

签署公共插件

在您可以签署公共插件之前，需要由 Grafana 团队进行审查。

提交您的插件以供审查。
如果我们批准您的插件，您将获得插件签名级别。您需要此签名级别才能继续。
在您的插件目录中，使用您刚刚创建的访问策略令牌签署插件。Grafana sign-plugin 工具会在插件的 dist 目录中创建一个 MANIFEST.txt 文件
```
export GRAFANA_ACCESS_POLICY_TOKEN=<YOUR_ACCESS_POLICY_TOKEN>
npx @grafana/sign-plugin@latest
```

签署私有插件

在您的插件目录中，使用您刚刚创建的访问策略令牌签署插件。Grafana sign-plugin 工具会在插件的 dist 目录中创建一个 MANIFEST.txt 文件。
```
export GRAFANA_ACCESS_POLICY_TOKEN=<YOUR_ACCESS_POLICY_TOKEN>
npx @grafana/sign-plugin@latest --rootUrls https://example.com/grafana
```
在 rootUrls 标志之后，输入您打算在其中安装插件的 Grafana 实例的 URL 列表（用逗号分隔）。

插件清单

为了让 Grafana 验证插件的数字签名，插件必须包含一个已签名的清单文件，即 MANIFEST.txt。已签名的清单文件包含两个部分

已签名消息 - 包含插件元数据和插件文件及其相应的校验和 (SHA256)。
数字签名 - 通过使用私钥加密已签名消息来创建。Grafana 内置了一个公钥，可用于验证数字签名是否已使用预期的私钥加密。

示例

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

{
  "manifestVersion": "2.0.0",
  "signatureType": "community",
  "signedByOrg": "myorgid",
  "signedByOrgName": "My Org",
  "plugin": "myorgid-simple-panel",
  "version": "1.0.0",
  "time": 1602753404133,
  "keyId": "7e4d0c6a708866e7",
  "files": {
    "LICENSE": "12ab7a0961275f5ce7a428e662279cf49bab887d12b2ff7bfde738346178c28c",
    "module.js.LICENSE.txt": "0d8f66cd4afb566cb5b7e1540c68f43b939d3eba12ace290f18abc4f4cb53ed0",
    "module.js.map": "8a4ede5b5847dec1c6c30008d07bef8a049408d2b1e862841e30357f82e0fa19",
    "plugin.json": "13be5f2fd55bee787c5413b5ba6a1fae2dfe8d2df6c867dadc4657b98f821f90",
    "README.md": "2d90145b28f22348d4f50a81695e888c68ebd4f8baec731fdf2d79c8b187a27f",
    "module.js": "b4b6945bbf3332b08e5e1cb214a5b85c82557b292577eb58c8eb1703bc8e4577"
  }
}
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v4.10.1
Comment: https://openpgpjs.org

wqEEARMKAAYFAl+IE3wACgkQfk0ManCIZudpdwIHTCqjVzfm7DechTa7BTbd
+dNIQtwh8Tv2Q9HksgN6c6M9nbQTP0xNHwxSxHOI8EL3euz/OagzWoiIWulG
7AQo7FYCCQGucaLPPK3tsWaeFqVKy+JtQhrJJui23DAZLSYQYZlKQ+nFqc9x
T6scfmuhWC/TOcm83EVoCzIV3R5dOTKHqkjIUg==
=GdNq
-----END PGP SIGNATURE-----

故障排除

为什么我收到“已修改签名”错误？

在某些情况下，由于在 Windows 上签署插件时出现问题，因此会生成无效的 MANIFEST.txt。您可以通过将 MANIFEST.txt 文件中的所有双反斜杠 \\ 替换为正斜杠 / 来解决此问题。每次签署插件时都需要执行此操作。

为什么我收到针对公共插件的“字段必填：`rootUrls`”错误？

对于公共插件，您的插件尚未分配插件签名级别。Grafana 团队成员将在插件经过审查和批准后为您的插件分配签名级别。有关更多信息，请参阅签署公共插件。

为什么我收到针对私有插件的“字段必填：`rootUrls`”错误？

对于私有插件，您需要向 plugin:sign 命令添加 rootUrls 标志。rootUrls 必须与 root_url 配置相匹配。有关更多信息，请参阅签署私有插件。

如果您仍然收到此错误，请确保访问策略令牌是由与插件 ID 的第一部分匹配的 Grafana Cloud 帐户生成的。

公共或私有插件​

生成访问策略令牌​

签署公共插件​

签署私有插件​

插件清单​

故障排除​

为什么我收到“已修改签名”错误？​

为什么我收到针对公共插件的“字段必填：rootUrls”错误？​

为什么我收到针对私有插件的“字段必填：rootUrls”错误？​