基于角色的访问控制(RBAC)

注意:可以在Grafana企业和Grafana云先进。

RBAC提供了一个标准化的授予方式,改变和撤销访问时查看和修改Grafana资源,如仪表板、报告和管理设置。

对RBAC

基于角色的访问控制(RBAC)提供了一个标准化的授予方式,改变和撤销访问,以便用户可以查看和修改Grafana资源,如用户和报告。RBAC延伸Grafana基本角色中包含Grafana OSS,并允许您更细粒度的控制用户的行为。

通过使用RBAC可以为用户提供权限扩展可用的基本角色的权限。例如,您可以使用RBAC:

RBAC角色包含多个权限,每一个动作和一个范围:

基本角色中可用的标准角色Grafana OSS。如果你已经购买了Grafana企业许可证,你仍然可以使用基本的角色。

Grafana基本包括以下角色:

每个是由一系列的基本作用权限。例如,观众基本角色中包含以下权限:

注意:你不能有一个Grafana用户没有一个基本的角色分配。

您可以使用RBAC修改权限与任何基本的角色相关联,从而改变观众,编辑或管理员可以做。你不能删除基本的角色。

注意,任何修改这些基本的角色不是传播到其他基本的角色。举个例子,如果你修改查看器基本作用和授予额外的许可,编辑或管理员不会有额外的拨款。

关于权限的更多信息与每个基本角色有关,请参考基本角色定义。与API进行交互并查看或修改基本角色权限,请参考表地图基本角色名称相关的UID。

Grafana企业包括能力将离散的固定角色分配给用户,对你的团队,和服务帐户。这给您细粒度的控制用户的权限与基本的角色。这些角色被称为“固定”,因为你无法改变或删除固定的角色。您还可以创建自定义自己的角色;看到更多的信息自定义角色的部分在下面。

分配固定的角色当基本角色不满足您的许可要求。例如,您可能想要一个用户基本观众角色也编辑仪表板。或者,您可能希望任何editor角色也添加和管理用户。固定的角色提供更细粒度的用户访问创建、观点,并更新以下Grafana资源:

更多地了解您可以为每个资源授予的权限,请参考RBAC角色定义。

如果你是一个Grafana企业客户,您可以创建自定义角色来管理用户权限的方式满足您的安全需求。

自定义角色包含权限的独特组合行动和作用域。一个动作定义了行动上的使用可以执行Grafana资源。例如,teams.roles:阅读操作允许用户看到的角色列表与每个团队联系在一起。

一个范围描述可以执行一个动作。例如,团队:id: 1范围限制用户的行动团队ID1。当搭配teams.roles:阅读行动,这个许可禁止用户查看团队除了团队的角色1。

考虑创建一个自定义的角色当固定角色不符合你的权限要求。

您可以使用下面的方法来创建、分配、和管理自定义角色:

Grafana供应:您可以使用YAML文件配置角色。关于使用配置来创建自定义角色的更多信息,请参考管理RBAC角色。关于使用配置的更多信息将RBAC角色分配给用户或团队,请参考分配RBAC角色。
RBAC API:作为一种替代方法,您可以使用Grafana HTTP API来创建和管理角色。有关HTTP API的更多信息,请参考RBAC API。