RBAC权限、操作和范围
注意:可以在Grafana企业和Grafana云先进。
一个许可由一个动作和一个范围。当创建一个自定义的角色,考虑用户可以执行的行动和资源(s)他们可以执行这些操作。
了解更多关于Grafana资源可以应用RBAC,请参考资源与RBAC的权限。
- 行动:一个动作描述用户可以执行哪些任务的资源。
- 范围:一个可以执行一个动作的范围描述,比如阅读一个特定的用户配置文件。在这个例子中,许可范围
用户:<用户名>
相关的角色。
行动的定义
下面的列表包含了基于角色的访问控制的行为。
行动 | 适用范围 | 描述 |
---|---|---|
alert.instances.external:阅读 |
数据源:* 数据源:uid: * |
阅读警告和沉默的数据源支持报警。 |
alert.instances.external:写 |
数据源:* 数据源:uid: * |
在数据源管理警报和沉默,支持报警。 |
alert.instances:创建 |
n /一个 | 在当前组织创建沉默。 |
alert.instances:阅读 |
n /一个 | 阅读警告和沉默在当前的组织。 |
alert.instances:写 |
n /一个 | 更新和到期沉默在当前的组织。 |
alert.notifications.external:阅读 |
数据源:* 数据源:uid: * |
读取模板、接触点通知政策和沉默的时间在数据源支持报警。 |
alert.notifications.external:写 |
数据源:* 数据源:uid: * |
管理模板,接触点,通知政策和静音计时数据源支持报警。 |
alert.notifications:写 |
n /一个 | 管理模板,接触点,通知政策和沉默的时间在目前的组织。 |
alert.notifications:阅读 |
n /一个 | 阅读所有模板、接触点通知政策和沉默的时间在目前的组织。 |
alert.rules.external:阅读 |
数据源:* 数据源:uid: * |
读取数据源支持报警提醒规则(普罗米修斯、米密尔和洛基) |
alert.rules.external:写 |
数据源:* 数据源:uid: * |
创建、更新和删除警报规则数据源支持报警(米密尔和洛基)。 |
alert.rules:创建 |
文件夹:* 文件夹:uid: * |
在一个文件夹创建Grafana预警规则。结合这个许可文件夹:读 在一个包括文件夹和范围数据源:查询 在数据源的范围内,用户可以查询。 |
alert.rules:删除 |
文件夹:* 文件夹:uid: * |
在一个文件夹删除Grafana预警规则。结合这个许可文件夹:读 在一个包括文件夹和范围数据源:查询 在数据源的范围内,用户可以查询。 |
alert.rules:阅读 |
文件夹:* 文件夹:uid: * |
阅读Grafana预警规则在一个文件夹中。结合这个许可文件夹:读 在一个包括文件夹和范围数据源:查询 在数据源的范围内,用户可以查询。 |
alert.rules:写 |
文件夹:* 文件夹:uid: * |
更新Grafana预警规则在一个文件夹中。结合这个许可文件夹:读 在一个包括文件夹和范围数据源:查询 在数据源的范围内,用户可以查询。 |
alert.provisioning:阅读 |
n /一个 | 阅读所有Grafana预警规则、政策通知等通过配置API。不需要权限文件夹和数据源。 |
alert.provisioning:写 |
n /一个 | 更新所有Grafana预警规则、政策通知等通过配置API。不需要权限文件夹和数据源。 |
注释:创建 |
注释:* 注释:类型:* |
创建注释。 |
注释:删除 |
注释:* 注释:类型:* |
删除注释。 |
注释:阅读 |
注释:* 注释:类型:* |
阅读注释,注释标记。 |
注释:写 |
注释:* 注释:类型:* |
更新注释。 |
apikey:创建 |
n /一个 | 创建API密钥。 |
apikey:阅读 |
apikey: * apikey: id: * |
阅读API密钥。 |
apikey:删除 |
apikey: * apikey: id: * |
删除的API密钥。 |
仪表板:创建 |
文件夹:* 文件夹:uid: * |
在一个或多个文件夹创建仪表板。 |
仪表板:删除 |
仪表板:* 仪表板:uid: * 文件夹:* 文件夹:uid: * |
删除一个或多个仪表盘。 |
dashboards.insights:阅读 |
n /一个 | 读取仪表板见解数据,看看存在指标。 |
dashboards.permissions:阅读 |
仪表板:* 仪表板:uid: * 文件夹:* 文件夹:uid: * |
为一个或多个仪表盘读权限。 |
dashboards.permissions:写 |
仪表板:* 仪表板:uid: * 文件夹:* 文件夹:uid: * |
为一个或多个仪表盘更新权限。 |
仪表板:阅读 |
仪表板:* 仪表板:uid: * 文件夹:* 文件夹:uid: * |
读取一个或多个仪表盘。 |
仪表板:写 |
仪表板:* 仪表板:uid: * 文件夹:* 文件夹:uid: * |
更新一个或多个仪表盘。 |
datasources.caching:阅读 |
数据源:* 数据源:uid: * |
读取数据源查询缓存设置。 |
datasources.caching:写 |
数据源:* 数据源:uid: * |
更新数据源查询缓存设置。 |
数据源:创建 |
n /一个 | 创建数据源。 |
数据源:删除 |
数据源:* 数据源:uid: * |
删除数据源。 |
数据源:探索 |
n /一个 | 允许访问探索选项卡。 |
datasources.id:阅读 |
数据源:* 数据源:uid: * |
读取数据源id。 |
datasources.insights:阅读 |
n /一个 | 读取数据源见解数据。 |
datasources.permissions:阅读 |
数据源:* 数据源:uid: * |
数据源的权限列表。 |
datasources.permissions:写 |
数据源:* 数据源:uid: * |
更新数据源权限。 |
数据源:查询 |
数据源:* 数据源:uid: * |
查询的数据源。 |
数据源:阅读 |
数据源:* 数据源:uid: * |
数据源列表。 |
数据源:写 |
数据源:* 数据源:uid: * |
更新数据源。 |
folders.permissions:阅读 |
文件夹:* 文件夹:uid: * |
阅读权限为一个或多个文件夹。 |
folders.permissions:写 |
文件夹:* 文件夹:uid: * |
更新一个或多个文件夹的权限。 |
文件夹:创建 |
n /一个 | 创建文件夹。 |
文件夹:删除 |
文件夹:* 文件夹:uid: * |
删除一个或多个文件夹。 |
文件夹:读 |
文件夹:* 文件夹:uid: * |
读取一个或多个文件夹。 |
文件夹:写 |
文件夹:* 文件夹:uid: * |
更新一个或多个文件夹。 |
ldap.config:重载 |
n /一个 | 重载LDAP配置。 |
ldap.status:阅读 |
n /一个 | 检查LDAP服务器或服务器的可用性。 |
ldap.user:阅读 |
n /一个 | 读通过LDAP用户。 |
ldap.user:同步 |
n /一个 | 用户通过LDAP同步。 |
licensing.reports:阅读 |
n /一个 | 得到自定义权限的报告。 |
许可:删除 |
n /一个 | 删除许可令牌。 |
许可:阅读 |
n /一个 | 阅读许可信息。 |
许可:写 |
n /一个 | 更新许可令牌。 |
org.users:写 |
用户:* 用户:id: * |
更新组织角色(查看器 ,编辑器 ,或管理 )的用户。 |
org.users:添加 |
用户:* |
添加一个用户一个组织或一个组织邀请一个新用户。 |
org.users:阅读 |
用户:* 用户:id: * |
在一个组织中得到用户配置文件。 |
org.users:删除 |
用户:* 用户:id: * |
删除一个用户从一个组织。 |
org:创建 |
n /一个 | 创建一个组织。 |
orgs.preferences:阅读 |
组织:* 组织:id: * |
阅读组织偏好。 |
orgs.preferences:写 |
组织:* 组织:id: * |
更新组织偏好。 |
orgs.quotas:阅读 |
组织:* 组织:id: * |
阅读组织配额。 |
orgs.quotas:写 |
组织:* 组织:id: * |
更新组织配额。 |
组织:删除 |
组织:* 组织:id: * |
删除一个或多个组织。 |
组织:阅读 |
组织:* 组织:id: * |
读取一个或多个组织。 |
组织:写 |
组织:* 组织:id: * |
更新一个或多个组织。 |
plugins.app:访问 |
插件:* 插件:id: * |
访问一个或多个应用程序插件(仍然执行组织的作用) |
供应:重载 |
粮食供应者:* |
重新加载配置文件。为特定的供应者,找到确切的范围范围定义。 |
报告:创建 |
n /一个 | 创建报告。 |
报告:写 |
报告:* 报告:id: * |
更新报告。 |
reports.settings:阅读 |
n /一个 | 阅读报告的设置。 |
reports.settings:写 |
n /一个 | 设置更新报告。 |
报告:删除 |
报告:* 报告:id: * |
删除报告。 |
报告:读 |
报告:* |
列出所有可用的报告或得到一个具体的报告。 |
报告:发送 |
报告:* |
发送一个电子邮件报告。 |
角色:删除 |
权限:类型:委托 |
删除一个自定义的角色。 |
角色:读 |
角色:* 角色:uid: * |
角色和阅读特定的权限列表。 |
角色:写 |
权限:类型:委托 |
创建或更新一个自定义的角色。 |
角色:写 |
权限:类型:升级 |
重置默认权限的基本角色。 |
server.stats:阅读 |
n /一个 | 读Grafana实例数据。 |
serviceaccounts:写 |
serviceaccounts: * |
创建Grafana服务帐户。 |
serviceaccounts:创建 |
n /一个 | 更新Grafana服务帐户。 |
serviceaccounts:删除 |
serviceaccounts: * |
删除Grafana服务帐户。 |
serviceaccounts:阅读 |
serviceaccounts: * |
读Grafana服务帐户。 |
serviceaccounts.permissions:写 |
serviceaccounts: * |
更新Grafana服务帐户的权限控制谁可以做服务帐户。 |
serviceaccounts.permissions:阅读 |
serviceaccounts: * |
读Grafana服务帐户权限,看谁能做什么与服务帐户。 |
设置:读 |
设置:* 设置:auth.saml: * 设置:auth.saml:启用 (属性) |
读了Grafana配置设置 |
设置:写 |
设置:* 设置:auth.saml: * 设置:auth.saml:启用 (属性) |
可以更新任何Grafana配置设置在运行时更新。 |
状态:accesscontrol |
服务:accesscontrol |
访问控制启用状态。 |
teams.permissions:阅读 |
团队:* 团队:id: * |
读团队成员和外部组同步设置。 |
teams.permissions:写 |
团队:* 团队:id: * |
添加、删除和更新成员和管理团队的外部组同步设置。 |
teams.roles:添加 |
权限:类型:委托 |
将角色分配给一个团队。 |
teams.roles:阅读 |
团队:* |
一个团队角色分配直接列表。 |
teams.roles:删除 |
权限:类型:委托 |
Unassign角色从一个团队。 |
团队:创建 |
n /一个 | 创建团队。 |
团队:删除 |
团队:* 团队:id: * |
删除一个或多个团队。 |
团队:阅读 |
团队:* 团队:id: * |
读取一个或多个团队和团队的偏好。 |
团队:写 |
团队:* 团队:id: * |
更新一个或多个团队和团队的偏好。 |
users.authtoken:阅读 |
global.users: * global.users: id: * |
身份验证令牌分配给一个用户列表。 |
users.authtoken:写 |
global.users: * global.users: id: * |
更新认证令牌分配给一个用户。 |
users.password:写 |
global.users: * global.users: id: * |
更新用户的密码。 |
users.permissions:阅读 |
用户:* |
一个用户的权限列表。 |
users.permissions:写 |
global.users: * global.users: id: * |
更新用户的企业级的权限。 |
users.quotas:阅读 |
global.users: * global.users: id: * |
列出用户的配额。 |
users.quotas:写 |
global.users: * global.users: id: * |
更新用户的配额。 |
users.roles:添加 |
权限:类型:委托 |
将角色分配给一个用户或一个服务帐户。 |
users.roles:阅读 |
用户:* |
角色列表直接分配给一个用户或一个服务帐户。 |
users.roles:删除 |
权限:类型:委托 |
Unassign角色从一个用户或一个服务帐户。 |
用户:创建 |
n /一个 | 创建一个用户。 |
用户:删除 |
global.users: * global.users: id: * |
删除一个用户。 |
用户:禁用 |
global.users: * global.users: id: * |
禁用用户。 |
用户:启用 |
global.users: * global.users: id: * |
使一个用户。 |
用户:注销 |
global.users: * global.users: id: * |
签署了一个用户。 |
用户:读 |
global.users: * |
读或搜索用户配置文件。 |
用户:写 |
global.users: * global.users: id: * |
更新用户的概要文件。 |
范围定义
下面的列表包含了基于角色的访问控制范围。
作用域 | 描述 |
---|---|
注释:* 注释:类型:* |
限制一个动作一组注释。例如,注释:* 匹配任何注释,注释:类型:仪表板 注释与仪表板和匹配注释:类型:组织 比赛组织注释。 |
apikey: * apikey: id: * |
限制一个动作一组API密钥。例如,apikey: * 匹配任何API键,apikey: id: 1 匹配的API key id1 。 |
仪表板:* 仪表板:uid: * |
限制一个动作一组指示板。例如,仪表板:* 匹配任何仪表板仪表板:uid: 1 匹配仪表板的UID1 。 |
数据源:* 数据源:uid: * |
限制一个动作一组数据源。例如,数据源:* 匹配任何数据源数据源:uid: 1 匹配的数据源的UID1 。 |
文件夹:* 文件夹:uid: * |
限制一个动作一组文件夹。例如,文件夹:* 匹配任何文件夹文件夹:uid: 1 匹配的文件夹的UID1 。 |
global.users: * global.users: id: * |
限制一个动作一组全球用户。例如,global.users: * 匹配任何用户和global.users: id: 1 匹配的用户ID1 。 |
组织:* 组织:id: * |
限制行动的组织。例如,组织:* 匹配任何组织和组织:id: 1 匹配ID的组织1 。 |
权限:类型:委托 |
范围仅适用于与访问控制相关的角色本身,只表明你可以委托你的权限,或它的一个子集,通过创建一个新的角色或做作业。 |
权限:类型:升级 |
基本的范围需要触发复位角色权限。它表明,用户可能收购之前他们没有额外的权限。 |
粮食供应者:* |
限制一个动作一组粮食供应者。例如,粮食供应者:* 匹配任何粮食供应者粮食供应者:accesscontrol 匹配的基于角色的访问控制粮食供应者。 |
报告:* 报告:id: * |
限制一个动作一组报告。例如,报告:* 匹配任何报告和报告:id: 1 报告其ID相匹配1 。 |
角色:* 角色:uid: * |
限制一个动作一组角色。例如,角色:* 匹配任何角色和角色:uid: randomuid 比赛只有角色的UIDrandomuid 。 |
服务:accesscontrol |
限制一个行动目标的基于角色的访问控制服务。您可以使用此结合状态:accesscontrol 行动。 |
serviceaccounts: * serviceaccounts: id: * |
限制一个行动从一个组织的一组服务帐户。例如,serviceaccounts: * 匹配任何服务帐户serviceaccount: id: 1 匹配的服务帐户ID1 。 |
设置:* |
限制一个动作设置的一个子集。例如,设置:* 匹配所有设置,设置:auth.saml: * 匹配所有SAML设置设置:auth.saml:启用 与SAML上启用属性设置。 |
团队:* 团队:id: * |
限制一个动作一组团队从一个组织。例如,团队:* 匹配任何球队,团队:id: 1 匹配ID的团队1 。 |
用户:* 用户:id: * |
限制一个动作一组用户从一个组织。例如,用户:* 匹配任何用户和用户:id: 1 匹配的用户ID1 。 |