角色和权限
一个用户是Grafana任何个人可以登录。每个用户有关联角色包括权限。权限确定系统中用户可以执行的任务。例如,管理角色包括管理员的权限来创建和删除用户。
您可以指定一个用户三种类型的权限:
- Grafana服务器管理员权限:管理Grafana服务器范围的设置和资源
- 组织权限:管理访问仪表盘、警报、插件,团队,播放列表,为整个组织和其他资源。可用的角色被观众、编辑和管理。
- 仪表板和文件夹权限:管理仪表板和文件夹的访问
注意:如果您正在运行Grafana企业,还可以控制访问数据源,并使用基于角色的访问控制授权用户访问特定Grafana资源的读写权限。关于访问控制选项的更多信息与Grafana企业参考Grafana企业用户权限功能。
Grafana服务器管理员
Grafana服务器管理员管理服务器范围的设置和访问资源,如组织、用户和许可证。Grafana包含一个默认的服务器管理员,您可以使用它们来管理所有Grafana,或者可以将您创建的其他服务器管理员的责任。
注意:服务器管理员角色并不意味着用户也是Grafana组织管理员。
服务器管理员可以执行以下任务:
- 管理用户和权限
- 创建、编辑和删除组织
- 视图中定义的服务器范围的设置配置文件
- 视图Grafana服务器统计数据,包括总用户和活跃的会话
- 升级服务器Grafana企业。
注意:服务器管理员角色不存在Grafana云。
分配或删除服务器管理员权限,请参阅服务器用户管理。
组织用户和权限
所有Grafana用户至少属于一个组织。一个组织是一个实体,存在在你Grafana的实例。
权限分配给一个用户在一个组织中控制用户访问和在多大程度上可以更新以下组织资源:
- 仪表板和文件夹
- 警报
- 播放列表
- 用户在这个组织
- 数据源
- 团队
- 组织和团队的设置
- 插件
- 注释
- 库板
- API密钥
关于管理组织用户的更多信息,请参阅用户管理。
组织角色
全球组织基于角色的权限,这意味着每个权限级别适用于所有Grafana资源在一个给定的组织。例如,一个编辑和更新所有指示板在一个组织中,除非那些仪表板已经专门限制使用仪表板的权限。
Grafana使用以下角色控制用户访问:
- 组织管理员组织:访问所有资源,包括仪表板、用户和团队。
- 编辑器:可以查看和编辑仪表板、文件夹和播放列表。
- 查看器:可以查看仪表板和播放列表。
下表列出了每个角色的权限。
| 许可 | 组织管理员 | 编辑器 | 查看器 |
|---|---|---|---|
| 仪表板视图 | x | x | x |
| 添加、编辑、删除仪表板 | x | x | |
| 添加、编辑、删除文件夹 | x | x | |
| 查看播放列表 | x | x | x |
| 添加、编辑、删除播放列表 | x | x | |
| 创建库面板 | x | x | |
| 看注释 | x | x | x |
| 添加、编辑、删除注释 | x | x | |
| 访问研究 | x | x | |
| 添加、编辑、删除数据源 | x | ||
| 添加和编辑用户 | x | ||
| 添加和编辑团队 | x | ||
| 改变组织设置 | x | ||
| 改变团队设置 | x | ||
| 配置应用程序插件 | x |
仪表板的权限
当您想要扩展一个查看器编辑和保存仪表板的更改的能力或限制一个编辑器允许修改一个仪表板,您可以将权限分配给仪表板和文件夹。例如,您可能想要一个特定的观众能够编辑一个仪表板。同时,用户可以看到所有的指示板,可以授予访问权更新只有其中的一个。
重要:仪表板权限指定覆盖组织权限分配给用户选择的实体。
您可以指定以下权限仪表板和文件夹。
- 管理:可以创建、编辑或删除一个仪表板。可以编辑或删除一个文件夹,文件夹创建仪表板和子文件夹。管理员也可以改变仪表板和文件夹权限。
- 编辑:可以创建、编辑或删除一个仪表板。可以编辑或删除一个文件夹,文件夹创建仪表板和子文件夹。编辑器不能改变文件夹或仪表板权限。
- 视图:只能查看仪表板和文件夹。
重要的是:当一个用户创建一个仪表板或一个文件夹,设置为管理它。
关于分配仪表板文件夹权限的更多信息,请参考格兰特仪表板文件夹权限。
关于分配仪表板权限的更多信息,请参考格兰特仪表板权限。
用管理员权限编辑
如果你有访问Grafana服务器,您可以修改默认编辑器的作用,使编辑器可以使用管理员权限来管理仪表板文件夹,仪表板,团队,他们创建。
注意:这个许可不允许编辑管理文件夹,仪表板,和团队,他们并不创造价值。
这个设置可以用来使自组织团队来管理自己的仪表板。
分配管理员权限来编辑器的更多信息,参阅格兰特编辑管理员权限。
观众与仪表板预览和探索权限
如果你有访问Grafana服务器,您可以修改默认的观众角色,这样观众就可以:
- 编辑和预览仪表板,但不能拯救他们的更改或创建新的仪表板。
- 访问和使用探索。
延长查看者角色是有用的对于公共Grafana安装位置匿名用户能够编辑面板和查询,但不能挽救或创造新的仪表板。
关于仪表板预览权限分配给观众的更多信息,请参考使观众能够预览仪表板和使用探索。
团队和权限
一个团队是一个组织内的用户组,有共同的仪表板和数据源需要许可。例如,而不是分配五个用户访问相同的仪表板,您可以创建一个团队,由用户和仪表板的权限分配给团队。一个用户可以属于多个团队。
你可以分配一个团队成员之一以下权限:
- 成员:包括用户作为团队的一员。没有团队成员管理员特权。
- 管理:管理员有权限管理的各个方面团队,包括团队成员、权限和设置。
因为团队内部存在一个组织,该组织管理员可以管理所有团队。当editors_can_admin设置启用,编辑器可以创建团队和管理团队,他们创建。更多的信息editors_can_admin设置,请参考格兰特编辑管理员权限。
管理团队的详细信息,请参见团队管理。
Grafana企业用户权限功能
虽然Grafana OSS包括一组健壮的权限和设置,您可以使用它们来管理用户访问服务器和组织资源,你可能会发现,您需要额外的功能。
Grafana企业提供了以下permissions-related特点:
- 数据源的权限
- 基于角色的访问控制(RBAC)
数据源的权限
默认情况下,用户可以查询任何数据源的一个组织,即使不是数据源与用户的仪表板。
数据源权限允许您限制到特定的数据源查询权限用户和团队。有关数据源分配权限的更多信息,请参考数据源的权限。
基于角色的访问控制
RBAC提供你授予的一种方式,改变,和撤销用户读和写访问Grafana资源,如用户、报告和认证。
关于RBAC的更多信息,请参考基于角色的访问控制。
了解更多
想知道更多吗?完成创建用户和团队教程学习如何设置用户和团队。
