这是关于下一个《Grafana》的版本。有关最新的稳定版本，请转到最新版本．

基于角色的访问控制

注意:可以在Grafana企业而且Grafana云高级．

当涉及到查看和修改Grafana资源(如仪表板、报告和管理设置)时，RBAC提供了一种授予、更改和撤销访问权限的标准化方法。

对RBAC

基于角色的访问控制(RBAC)提供了一种授予、更改和撤销访问权限的标准化方法，这样用户就可以查看和修改Grafana资源，比如用户和报告。RBAC扩展了Grafana OSS中包含的Grafana基本角色，使您能够更细粒度地控制用户的操作。

通过使用RBAC，您可以为用户提供扩展基本角色可用权限的权限。例如，您可以使用RBAC来:

RBAC角色包含多个权限，每个权限都有一个动作和一个范围:

基本角色是在Grafana OSS中可用的标准角色。如果您已经购买了Grafana Enterprise许可证，您仍然可以使用基本角色。

Grafana包括以下基本角色:

每个基本角色都由许多角色组成权限．例如，查看器基本角色包含以下权限:

注意:如果没有分配基本角色，就不能拥有Grafana用户。

您可以使用RBAC修改与任何基本角色相关的权限，这将改变查看器、编辑器或管理员可以执行的操作。不能删除基本角色。

请注意，对这些基本角色的任何修改都不会传播到其他基本角色。例如，如果修改查看器基本角色并授予额外权限，编辑器或管理员将没有额外权限。

有关与每个基本角色关联的权限的详细信息，请参阅基本角色定义．若要与API交互、查看或修改基本角色权限，请参见表将基本角色名映射到关联的UID。

Grafana Enterprise包括为用户、团队和服务帐户分配离散固定角色的能力。与仅使用基本角色相比，这为您提供了对用户权限的细粒度控制。这些角色被称为“固定”角色，因为您不能更改或删除固定角色。你也可以创建自定义你自己的角色;参见自定义角色部分在下面。

当基本角色不满足权限要求时，可以分配固定角色。例如，您可能希望具有基本查看器角色的用户也可以编辑仪表板。或者，您可能希望具有编辑器角色的任何人也可以添加和管理用户。固定角色为用户提供更细粒度的访问，以创建、查看和更新以下Grafana资源:

要详细了解可以为每个资源授予的权限，请参阅RBAC角色定义．

如果您是Grafana企业客户，您可以创建自定义角色来管理用户权限，以满足您的安全需求。

自定义角色包含权限的唯一组合行动而且作用域．action定义了用户可以对Grafana资源执行的操作。例如，teams.roles:阅读Action允许用户查看与每个团队关联的角色列表。

作用域描述可以在何处执行操作。例如，团队:id: 1scope将用户的行动限制到具有ID的团队1．当与teams.roles:阅读操作时，此权限禁止用户查看团队以外的团队的角色1．

当固定角色不满足您的权限需求时，请考虑创建自定义角色。

自定义角色的创建、分配和管理包括以下两种方式:

Grafana配置:您可以使用YAML文件配置角色。有关使用供应创建自定义角色的更多信息，请参见管理RBAC角色．有关使用配置将RBAC角色分配给用户或团队的更多信息，请参见分配RBAC角色．
RBAC API:作为一种替代方案，您可以使用Grafana HTTP API来创建和管理角色。有关HTTP API的更多信息，请参阅RBAC API．