博客/工程

Grafana 9的新功能:基于角色的访问控制(RBAC)现在是GA

Ieva Vasiļjeva
2022年6月27日6分钟

基于角色的访问控制(RBAC),以前称为细粒度访问控制(FGAC),是Grafana的新授权系统。它是作为beta特性引入的Grafana 8.0版本一年前,我们现在很兴奋地将它推广到一般可用状态。随着Grafana 9.0GrafanaCONline 2022在美国,RBAC默认为所有实例启用。(开始使用Grafana 9最简单的方法是什么?注册一个免费Grafana云帐户今天。)

为什么RBAC ?

如果您将Grafana作为大量团队和用户的监视服务的一部分运行,那么您可能希望对Grafana的访问设置有更多的控制。例如,您可能希望允许所有组织编辑器创建报告,或者允许特定团队的所有成员管理警报。或者,当您只要求一个API密钥访问管理功能的一个子集时,您可能会不放心授予它Organization Admin权限。

我们已经听取了你们的反馈,今年一直在努力工作,为你们提供一个更灵活和安全的访问控制系统,让你们可以放心地知道,正确的人和应用程序可以做他们需要做的一切,没有他们不应该做的事情。

Grafana RBAC特性如何为用户带来好处

如果您正在使用Grafana的开源版本,从遗留访问控制到RBAC的转换是无缝的,您应该不会注意到访问设置中的任何差异。您仍然可以将查看器、编辑器和管理角色分配给用户和服务帐户,自定义仪表板和文件夹权限,并使用团队。

作为一个Grafana企业Grafana云用户,您还将体验到无缝过渡到RBAC,所有遗留权限都将自动迁移。

此外,Grafana Enterprise和Grafana Cloud Advanced用户还可以使用额外的RBAC功能,这些功能允许您完全定制每个用户对RBAC目前覆盖的每个Grafana资源的访问级别。你可以分配RBAC角色如仪表盘编写器、团队创建器或数据源读取器,以用于用户、团队和服务帐户。你也可以创建自定义角色通过以适合您的方式组合操作和作用域。例如,自定义角色包含团队:创建许可和org.users:阅读许可的范围用户:id: 10用户:id: 11将允许将一部分用户分组。

为了进一步管理他们的RBAC设置,Grafana Enterprise和Grafana Cloud Advanced用户还可以通过它提供角色和角色分配Grafana供应(参见下面的例子)或Terraform;在Grafana UI中使用RBAC角色选择器;并使用RBAC API

使用Grafana Enterprise和Grafana Cloud Advanced在Grafana 9中提供的示例。

看看我们的指南计划您的RBAC推出策略了解更多关于如何充分利用RBAC的信息。

对Grafana 9.0中RBAC的改进

  • 扩展资源覆盖率-所有主要的Grafana资源现在都被RBAC覆盖了,包括仪表板、文件夹、用户、团队和数据源。我们为这些资源创建了方便的读取器和写入器角色,您还可以定义自己的自定义角色。我们的文档包含一个完整的列表RBAC所涵盖的资源而且RBAC角色定义
  • 角色分配给用户、团队和服务帐户—您现在可以直接为用户、团队和服务帐户分配角色。这使您可以完全控制每个用户被授权做什么,同时提供一种简单的方法来管理一组用户或集成应用程序(如terrform)的权限。
  • 对RBAC进行日志审计-对RBAC端点的任何调用现在都在审计日志中注册,因此您有权限更改和执行权限更改的人员的记录。
  • 彻底测试-全年在Grafana的大型装置上使用RBAC,以确保这种过渡尽可能安全和方便。
  • 角色选择器-你现在可以直接从Grafana的UI中查看和管理用户、团队和服务帐户角色分配,如下面的截图所示。跟随我们的指南学习如何使用角色选择器分配角色
在Grafana 9中可用的RBAC特性中的角色选择器。

突发的变化

Grafana 9.0发布版本包含了RBAC的几个突破性更改:

  • 内置角色现在称为基本角色,它们现在由权限而不是角色组成。
  • 在起程拓殖builtin_role_assignment资源正在消失。
  • 基本角色不再支持权限继承。以前,当Viewer基本角色的权限被修改时,它会被传播到Editor和Admin基本角色。现在情况不同了。例如,如果希望在仪表板上授予viewer和editor编辑权限,则需要将此权限分配给两个基本角色,而不仅仅是查看者角色。
  • Grafana供应有一个新的模式,请参考Grafana文档为更多的信息。
  • 几个RBAC操作已经被重命名,以增加操作名称的一致性。我们已经为所有使用遗留操作名称的数据库条目提供了迁移,但是配置文件和脚本必须由用户更新。这个变化还意味着如果Grafana从9.0降级到更低的版本,一些RBAC权限将无法正确解析。

RBAC在Grafana的下一步计划是什么?

我们在Grafana有一个充满RBAC改进的令人兴奋的路线图。以下是新产品的预览:

  • RBAC用于应用程序插件-我们的下一步是方便控制对Grafana云插件的访问,比如Grafana OnCall而且综合监测RBAC。
  • 简化用户、团队和服务帐户的创建流程—当前的资源创建流程是一个多步骤的过程:首先需要创建资源,然后为其分配角色。我们希望通过在创建用户时显示角色选择器,使此工作流程更加流畅。
  • 简化范围-我们希望更容易地将权限限定到一组实体,如数据源、服务帐户和报表。这将涉及到对实体进行分组的方法,类似于当前文件夹为仪表板提供的方法和团队为用户提供的方法,然后扩展作用域的实现。
  • RBAC角色同步-我们希望允许Grafana Enterprise和Grafana Cloud Advanced用户将角色从外部认证提供者映射到RBAC角色,类似于当前的角色映射对于Grafana的查看者、编辑器和管理角色。

您可以在Grafana 9中发现更多关于RBAC的信息Grafana文档.我们希望您喜欢探索RBAC并发现它很有用!如有任何与RBAC相关的问题,请与我们联系bob电竞频道Grafana实验室社区Slack或通过GitHub

Grafana云是开始使用Grafana 9最简单的方法。我们对每个用例都有一个慷慨的免费永久层bob体育手机二维码和计划。现在就免费注册

bob体育手机二维码计划:

10000系列标准10000系列标准

14天保留14天保留

50 GB的日志和跟踪50 GB的日志和跟踪

3团队成员3团队成员

创建免费账户→

下一个