基于角色的访问控制(RBAC),以前称为细粒度访问控制(FGAC),是Grafana的新授权系统。它是作为beta特性引入的Grafana 8.0版本一年前,我们现在很兴奋地将它推广到一般可用状态。随着Grafana 9.0在GrafanaCONline 2022在美国,RBAC默认为所有实例启用。(开始使用Grafana 9最简单的方法是什么?注册一个免费Grafana云帐户今天。)
为什么RBAC ?
如果您将Grafana作为大量团队和用户的监视服务的一部分运行,那么您可能希望对Grafana的访问设置有更多的控制。例如,您可能希望允许所有组织编辑器创建报告,或者允许特定团队的所有成员管理警报。或者,当您只要求一个API密钥访问管理功能的一个子集时,您可能会不放心授予它Organization Admin权限。
我们已经听取了你们的反馈,今年一直在努力工作,为你们提供一个更灵活和安全的访问控制系统,让你们可以放心地知道,正确的人和应用程序可以做他们需要做的一切,没有他们不应该做的事情。
Grafana RBAC特性如何为用户带来好处
如果您正在使用Grafana的开源版本,从遗留访问控制到RBAC的转换是无缝的,您应该不会注意到访问设置中的任何差异。您仍然可以将查看器、编辑器和管理角色分配给用户和服务帐户,自定义仪表板和文件夹权限,并使用团队。
作为一个Grafana企业或Grafana云用户,您还将体验到无缝过渡到RBAC,所有遗留权限都将自动迁移。
此外,Grafana Enterprise和Grafana Cloud Advanced用户还可以使用额外的RBAC功能,这些功能允许您完全定制每个用户对RBAC目前覆盖的每个Grafana资源的访问级别。你可以分配RBAC角色如仪表盘编写器、团队创建器或数据源读取器,以用于用户、团队和服务帐户。你也可以创建自定义角色通过以适合您的方式组合操作和作用域。例如,自定义角色包含团队:创建许可和org.users:阅读许可的范围用户:id: 10,用户:id: 11将允许将一部分用户分组。
为了进一步管理他们的RBAC设置,Grafana Enterprise和Grafana Cloud Advanced用户还可以通过它提供角色和角色分配Grafana供应(参见下面的例子)或Terraform;在Grafana UI中使用RBAC角色选择器;并使用RBAC API.
看看我们的指南计划您的RBAC推出策略了解更多关于如何充分利用RBAC的信息。
对Grafana 9.0中RBAC的改进
- 扩展资源覆盖率-所有主要的Grafana资源现在都被RBAC覆盖了,包括仪表板、文件夹、用户、团队和数据源。我们为这些资源创建了方便的读取器和写入器角色,您还可以定义自己的自定义角色。我们的文档包含一个完整的列表RBAC所涵盖的资源而且RBAC角色定义.
- 角色分配给用户、团队和服务帐户—您现在可以直接为用户、团队和服务帐户分配角色。这使您可以完全控制每个用户被授权做什么,同时提供一种简单的方法来管理一组用户或集成应用程序(如terrform)的权限。
- 对RBAC进行日志审计-对RBAC端点的任何调用现在都在审计日志中注册,因此您有权限更改和执行权限更改的人员的记录。
- 彻底测试-全年在Grafana的大型装置上使用RBAC,以确保这种过渡尽可能安全和方便。
- 角色选择器-你现在可以直接从Grafana的UI中查看和管理用户、团队和服务帐户角色分配,如下面的截图所示。跟随我们的指南学习如何使用角色选择器分配角色.
突发的变化
的Grafana 9.0发布版本包含了RBAC的几个突破性更改:
- 内置角色现在称为基本角色,它们现在由权限而不是角色组成。
- 在起程拓殖builtin_role_assignment资源正在消失。
- 基本角色不再支持权限继承。以前,当Viewer基本角色的权限被修改时,它会被传播到Editor和Admin基本角色。现在情况不同了。例如,如果希望在仪表板上授予viewer和editor编辑权限,则需要将此权限分配给两个基本角色,而不仅仅是查看者角色。
- Grafana供应有一个新的模式,请参考Grafana文档为更多的信息。
- 几个RBAC操作已经被重命名,以增加操作名称的一致性。我们已经为所有使用遗留操作名称的数据库条目提供了迁移,但是配置文件和脚本必须由用户更新。这个变化还意味着如果Grafana从9.0降级到更低的版本,一些RBAC权限将无法正确解析。
RBAC在Grafana的下一步计划是什么?
我们在Grafana有一个充满RBAC改进的令人兴奋的路线图。以下是新产品的预览:
- RBAC用于应用程序插件-我们的下一步是方便控制对Grafana云插件的访问,比如Grafana OnCall而且综合监测RBAC。
- 简化用户、团队和服务帐户的创建流程—当前的资源创建流程是一个多步骤的过程:首先需要创建资源,然后为其分配角色。我们希望通过在创建用户时显示角色选择器,使此工作流程更加流畅。
- 简化范围-我们希望更容易地将权限限定到一组实体,如数据源、服务帐户和报表。这将涉及到对实体进行分组的方法,类似于当前文件夹为仪表板提供的方法和团队为用户提供的方法,然后扩展作用域的实现。
- RBAC角色同步-我们希望允许Grafana Enterprise和Grafana Cloud Advanced用户将角色从外部认证提供者映射到RBAC角色,类似于当前的角色映射对于Grafana的查看者、编辑器和管理角色。
您可以在Grafana 9中发现更多关于RBAC的信息Grafana文档.我们希望您喜欢探索RBAC并发现它很有用!如有任何与RBAC相关的问题,请与我们联系bob电竞频道Grafana实验室社区Slack或通过GitHub.
Grafana云是开始使用Grafana 9最简单的方法。我们对每个用例都有一个慷慨的免费永久层bob体育手机二维码和计划。现在就免费注册!