这是存档文档v9.0.去最新版本.
角色和权限
一个用户是任何能登录到Grafana的人。每个用户都与角色包括权限.权限决定了用户在系统中可以执行的任务。例如,管理角色包括管理员创建和删除用户的权限。
您可以为用户分配以下三种类型的权限:
- Grafana服务器管理员权限:管理Grafana服务器范围的设置和资源
- 组织权限:管理整个组织对仪表板、警报、插件、团队、播放列表和其他资源的访问。可选角色包括查看者、编辑者和管理员。
- 仪表板和文件夹权限:管理对仪表板和文件夹的访问
请注意:如果您正在运行Grafana Enterprise,您还可以控制对数据源的访问,并使用基于角色的访问控制授予用户对特定的Grafana资源的读写权限。有关Grafana Enterprise中可用的访问控制选项的更多信息,请参阅Grafana企业用户权限功能.
Grafana服务器管理员
Grafana服务器管理员管理服务器范围的设置和对资源(如组织、用户和许可证)的访问。Grafana包括一个默认的服务器管理员,您可以使用它来管理所有的Grafana,或者您可以将该责任分配给您所创建的其他服务器管理员。
注意:服务器管理员角色并不意味着用户也是Grafana组织管理员.
服务器管理员可以执行以下任务:
- 管理用户和权限
- 创建、编辑和删除组织
- 属性中定义的服务器范围设置配置文件
- 查看Grafana服务器统计信息,包括用户总数和活动会话
- 将服务器升级为Grafana Enterprise。
注意:Grafana Cloud中不存在服务器管理员角色。
要分配或删除服务器管理员权限,请参见服务器用户管理.
组织用户和权限
所有Grafana用户至少属于一个组织。组织是存在于您的Grafana实例中的实体。
在组织内分配给用户的权限控制用户对以下组织资源的访问和更新程度:
- 仪表板和文件夹
- 警报
- 播放列表
- 组织内的用户
- 数据源
- 团队
- 组织和团队设置
- 插件
- 注释
- 库板
- API密钥
有关管理组织用户的详细信息,请参见用户管理.
组织角色
基于组织角色的权限是全局的,这意味着每个权限级别适用于给定组织中的所有Grafana资源。例如,编辑器可以查看和更新所有组织中的仪表板,除非这些仪表板被特别限制使用仪表板的权限.
Grafana通过以下角色来控制用户访问:
- 组织管理员:可以访问所有组织资源,包括仪表板、用户和团队。
- 编辑器:可以查看和编辑仪表板,文件夹和播放列表。
- 查看器:可以查看仪表板和播放列表。
下表列出了每个角色的权限。
许可 | 组织管理员 | 编辑器 | 查看器 |
---|---|---|---|
仪表板视图 | x | x | x |
添加、编辑、删除仪表板 | x | x | |
添加、编辑、删除文件夹 | x | x | |
查看播放列表 | x | x | x |
添加,编辑,删除播放列表 | x | x | |
创建库面板 | x | x | |
看注释 | x | x | x |
添加、编辑、删除注释 | x | x | |
访问研究 | x | x | |
添加、编辑、删除数据源 | x | ||
添加和编辑用户 | x | ||
添加和编辑团队 | x | ||
更改组织设置 | x | ||
更改团队设置 | x | ||
配置应用程序插件 | x |
仪表板的权限
当您希望扩展查看器编辑和保存仪表板更改的能力或限制编辑器修改仪表板的权限时,可以为仪表板和仪表板文件夹分配权限。例如,您可能希望某个查看器能够编辑仪表板。而用户可以看到所有的仪表盘,你可以授予他们访问权限更新只有一个。
重要:您指定的指示板权限将覆盖为所选实体分配给用户的组织权限。
您可以为仪表板和文件夹指定以下权限。
- 管理:可以创建、编辑或删除仪表板或文件夹。管理员还可以更改仪表板和文件夹权限。
- 编辑:可以创建和编辑仪表板。编辑器不能更改文件夹或仪表板权限,或添加、编辑或删除文件夹。
- 视图:只能查看仪表盘和文件夹。
有关分配仪表板文件夹权限的详细信息,请参见授予仪表板文件夹权限.
有关分配指示板权限的详细信息,请参见授予仪表板权限.
具有管理员权限的编辑器
如果您可以访问Grafana服务器,您可以修改默认的编辑器角色,以便编辑器可以使用管理员权限来管理他们创建的仪表板文件夹、仪表板和团队。
请注意:此权限不允许编辑器管理他们没有创建的文件夹、仪表板和团队。
此设置可用于支持自组织团队管理自己的仪表板。
有关为编辑器分配管理员权限的详细信息,请参见授予编辑器管理员权限.
具有仪表板预览和探索权限的查看器
如果您可以访问Grafana服务器,您可以修改默认的查看器角色,以便查看器可以:
- 编辑和预览仪表板,但不能保存其更改或创建新的仪表板。
- 获取和使用探索.
扩展查看器角色对于公共Grafana安装非常有用,您希望匿名用户能够编辑面板和查询,但不能保存或创建新的仪表板。
有关为查看器分配仪表板预览权限的详细信息,请参阅允许查看者预览仪表板并使用Explore.
团队和权限
团队是组织中具有公共仪表板和数据源权限需求的一组用户。例如,您可以创建一个由这些用户组成的团队,并将仪表板权限分配给该团队,而不是为五个用户分配对同一个仪表板的访问权限。一个用户可以属于多个团队。
您可以为团队成员分配以下权限之一:
- 成员:包括作为团队成员的用户。成员不具有团队管理员特权。
- 管理:管理员可以管理团队的各个方面,包括团队成员、权限和设置。
由于组织内部存在团队,组织管理员可以管理所有团队。当editors_can_admin
启用时,编辑器可以创建团队并管理他们所创建的团队。有关的更多信息editors_can_admin
设置,请参考授予编辑器管理员权限.
有关管理团队的详细信息,请参见团队管理.
Grafana企业用户权限功能
虽然Grafana OSS包括一组强大的权限和设置,您可以使用这些权限和设置来管理用户对服务器和组织资源的访问,但您可能会发现需要额外的功能。
Grafana企业提供以下权限相关特性:
- 数据源权限
- 基于角色的访问控制
数据源权限
默认情况下,用户可以查询组织中的任何数据源,即使数据源没有链接到用户的仪表板。
数据源权限使您能够将数据源查询权限限制为特定的用户而且团队.有关分配数据源权限的详细信息,请参见数据源权限.
基于角色的访问控制
RBAC提供了一种授予、更改和撤销用户对Grafana资源(如用户、报告和身份验证)的读写访问权限的方法。
有关RBAC的更多信息,请参见基于角色的访问控制.
了解更多
想知道更多吗?完成创建用户和团队教程,学习如何设置用户和团队。
相关Grafana资源
开幕主题演讲:《Grafana 9》有什么新内容?
Raj Dutt, Myrle Krantz和Torkel Ödegaard揭开了Grafana 9的新内容。观看2022年GrafanaCONline开幕式主题演讲。随需应变。
使用Grafana插件统一您的数据:Datadog, Splunk, MongoDB等
在本次网络研讨会中,学习如何利用Grafana的插件生态系统访问80多个数据源,包括Datadog、Splunk、MongoDB等的插件。
从Grafana Enterprise和可观察性开始
加入Grafanabob电竞频道实验室团队,进行30分钟的演示,演示如何开始使用Grafana堆栈,这样您就可以在短短几分钟内从零到可观察性。