Grafana Enterprise 8.0的新功能:用于报告和用户管理的细粒度访问控制

•2021年6月23日•4分钟

从很早开始，Grafana就使用三个组织权限级别(查看者、编辑器和管理员)和一个特殊的全局权限级别Grafana Admin来管理访问控制。还有一些配置文件选项可以全局地应用到实例中组织中的所有用户，以及数据源权限和仪表板权限。

这些年来，我们收到了许多来自Grafana企业客户需要更专门的访问控制配置。例如，具有集中用户管理的组织可能希望为所有管理员关闭Grafana的内部用户管理api。其他人可能希望让他们的编辑器修改报告，添加自己的数据源和报告，或者构建团队空间。

我们已经能够适应其中的一些请求，但有时我们不得不说这是一个我们不支持的边缘情况。为Grafana的每个方面定制解决方案是不可能涵盖所有不同的可能性的，所以我们必须提出一个通用的解决方案。bob彩票中奖计划

引入细粒度访问控制

在Grafana 8版本，我们为Grafana Enterprise引入了细粒度访问控制。beta特性使您能够微调用户在Grafana中可以访问和修改的内容。在这篇博文中，我们将告诉你你现在可以做什么。

允许更多的用户使用报告

报告是Grafana Enterprise最有用的部分之一。也就是说，它不能很好地处理仪表板权限，而且它是资源密集型的，所以到目前为止，它一直是一个只对组织管理员可用的功能。通过细粒度的访问控制，我们可以让您自己决定是否让用户可以使用报告。

如果您希望确保编辑器可以编辑报表，查看者可以查看报表，您可以创建一组提供必要权限的角色。您可以设置一个配置文件并将其保存为reporting.yml在访问控制供应目录中，它会自动被Grafana接收:

apiVersion: 1个角色:—name:“reports:edit”描述:“为报表授予编辑权限的角色”版本:1个权限:—action:“reports. edit”管理员:创建“- action:”报表。admin:write" scope: "reports:*" - action: "reports:delete" scope: "reports:*" builtInRoles: - name: "Editor" - name: "reports:view" description: "Role to grant view rights for reports" version: 1 permissions: - action: "reports:read" scope: "reports:*" - action: "reports:send" scope: "reports:*" builtInRoles: - name: "Viewer" - name: "Editor"

有了这组新的权限，当您以编辑器的身份登录时，您可以创建、删除和编辑所有报告(但是您不能更改实例范围的首选项)。

作为查看者，您可以查看和手动发送报告，但不能编辑任何内容。

防止在Grafana内部进行用户管理

我们的许多客户使用OAuth、SAML或LDAP对用户进行身份验证，并希望禁用从Grafana内部创建或修改用户的功能。

通过引入细粒度访问控制，这可以通过删除管理员手动管理用户的方法来实现。

通过使用访问控制配置的默认赋值固定:用户管理:编辑而且固定:用户:org:编辑．

apiVersion: 1 removeDefaultAssignments: - builtInRole: "Grafana Admin" fixedRole: "fixed:users: Admin:edit" - builtInRole: "Admin" fixedRole: "fixed:users:org:edit"

在你把这个加到配置/访问控制目录和重新启动Grafana，管理员谁访问用户管理试图编辑一个用户将看到所有的选项灰色。他们不能再修改或创建用户。