这是关于下一个《Grafana》的版本。有关最新的稳定版本,请转到最新版本.
基于角色的访问控制
注意:可以在Grafana企业而且Grafana云高级.
当涉及到查看和修改Grafana资源(如仪表板、报告和管理设置)时,RBAC提供了一种授予、更改和撤销访问权限的标准化方法。
- 计划您的Grafana RBAC推出策略
- 在Grafana中配置RBAC
- 分配Grafana RBAC角色
- 管理Grafana RBAC角色
- 使用Grafana提供RBAC
- 使用Terraform提供RBAC
- Grafana RBAC角色定义
- Grafana RBAC权限、操作和范围
对RBAC
基于角色的访问控制(RBAC)提供了一种授予、更改和撤销访问权限的标准化方法,这样用户就可以查看和修改Grafana资源,比如用户和报告。RBAC扩展了Grafana OSS中包含的Grafana基本角色,使您能够更细粒度地控制用户的操作。
通过使用RBAC,您可以为用户提供扩展基本角色可用权限的权限。例如,您可以使用RBAC来:
- 修改现有的基本角色:例如,允许编辑器创建报表
- 为用户和团队分配固定的角色:例如,授予工程团队创建数据源的能力
- 创建自定义角色:例如,允许用户创建和编辑仪表板,但不能删除仪表板的角色
RBAC角色包含多个权限,每个权限都有一个动作和一个范围:
- 角色:
固定:数据源:读者
- 许可:
- 行动:
数据源:阅读
- 范围:
数据源:*
- 行动:
- 许可:
基本角色
基本角色是在Grafana OSS中可用的标准角色。如果您已经购买了Grafana Enterprise许可证,您仍然可以使用基本角色。
Grafana包括以下基本角色:
- Grafana管理员
- 组织管理员
- 编辑器
- 查看器
每个基本角色都由许多角色组成权限.例如,查看器基本角色包含以下权限:
行动:数据源。id:read, Scope: datasoures:*
:使查看器可以看到数据源的ID。行动:组织:阅读
:使查看者能够查看其组织的详细信息动作:标注:读,范围:标注:*
:使查看器能够看到其他用户添加到仪表板中的注释。操作:注释:创建,范围:注释:类型:仪表板
:允许查看器向仪表板添加注释。动作:标注:写,范围:标注:类型:仪表板
:允许查看器修改仪表板的注释。动作:标注:删除,作用域:标注:类型:仪表板
:允许查看器从仪表板中删除注释。
注意:如果没有分配基本角色,就不能拥有Grafana用户。
基本角色修改
您可以使用RBAC修改与任何基本角色相关的权限,这将改变查看器、编辑器或管理员可以执行的操作。不能删除基本角色。
请注意,对这些基本角色的任何修改都不会传播到其他基本角色。例如,如果修改查看器基本角色并授予额外权限,编辑器或管理员将没有额外权限。
有关与每个基本角色关联的权限的详细信息,请参阅基本角色定义.若要与API交互、查看或修改基本角色权限,请参见表将基本角色名映射到关联的UID。
固定的角色
Grafana Enterprise包括为用户、团队和服务帐户分配离散固定角色的能力。与仅使用基本角色相比,这为您提供了对用户权限的细粒度控制。这些角色被称为“固定”角色,因为您不能更改或删除固定角色。你也可以创建自定义你自己的角色;参见自定义角色部分在下面。
当基本角色不满足权限要求时,可以分配固定角色。例如,您可能希望具有基本查看器角色的用户也可以编辑仪表板。或者,您可能希望具有编辑器角色的任何人也可以添加和管理用户。固定角色为用户提供更细粒度的访问,以创建、查看和更新以下Grafana资源:
要详细了解可以为每个资源授予的权限,请参阅RBAC角色定义.
自定义角色
如果您是Grafana企业客户,您可以创建自定义角色来管理用户权限,以满足您的安全需求。
自定义角色包含权限的唯一组合行动而且作用域.action定义了用户可以对Grafana资源执行的操作。例如,teams.roles:阅读
Action允许用户查看与每个团队关联的角色列表。
作用域描述可以在何处执行操作。例如,团队:id: 1
scope将用户的行动限制到具有ID的团队1
.当与teams.roles:阅读
操作时,此权限禁止用户查看团队以外的团队的角色1
.
当固定角色不满足您的权限需求时,请考虑创建自定义角色。
自定义角色创建
自定义角色的创建、分配和管理包括以下两种方式:
- Grafana配置:您可以使用YAML文件配置角色。有关使用供应创建自定义角色的更多信息,请参见管理RBAC角色.有关使用配置将RBAC角色分配给用户或团队的更多信息,请参见分配RBAC角色.
- RBAC API:作为一种替代方案,您可以使用Grafana HTTP API来创建和管理角色。有关HTTP API的更多信息,请参阅RBAC API.
限制
如果您已经创建了一个名称为一般
或一般
,则无法通过RBAC管理其权限。
如果你设置文件夹权限对于名为一般
或一般
,当启用RBAC时,系统将忽略该文件夹。
相关Grafana资源
开幕主题演讲:《Grafana 9》有什么新内容?
Raj Dutt, Myrle Krantz和Torkel Ödegaard揭开了Grafana 9的新内容。观看2022年GrafanaCONline开幕式主题演讲。随需应变。
使用Grafana插件统一您的数据:Datadog, Splunk, MongoDB等
在本次网络研讨会中,学习如何利用Grafana的插件生态系统访问80多个数据源,包括Datadog、Splunk、MongoDB等的插件。
从Grafana Enterprise和可观察性开始
加入Grafanabob电竞频道实验室团队,进行30分钟的演示,演示如何开始使用Grafana堆栈,这样您就可以在短短几分钟内从零到可观察性。