这是文档下一个版本的Grafana。最新的稳定版本,去最新版本。
计划你的RBAC实现策略
注意:可以在Grafana企业和Grafana云先进。
RBAC实现策略可以帮助您确定如何你想实现RBAC之前将RBAC角色分配给用户和团队。
你的推广策略应该帮助你回答下列问题:
- 我应该基本角色分配给用户,或者我应该分配固定的角色或用户自定义角色?
- 当我应该创建自定义角色吗?
- 我应该运用哪些实体固定和自定义角色?我应该将它们应用于用户、团队吗?我应该修改的基本角色权限呢?
- 我怎么推出的权限,使他们容易管理吗?
- 分配角色时我应该使用哪种方法?我应该使用Grafana UI、供应或API ?
回顾基本作用和固定的角色定义
作为第一步在决定你的权限实现策略,我们建议您熟悉基本的角色和固定的角色定义。除了将固定的角色分配给任何用户和团队,您也可以修改基本角色权限,从而改变观众,编辑或管理员可以做。这种灵活性意味着有许多角色分配的组合为你考虑。如果你有大量的Grafana用户和团队,我们建议您列出您可能希望使用固定的角色。
了解更多关于基本角色和固定的角色,请参考以下文档:
用户和团队的考虑
RBAC是一个灵活和强大的特性与许多可能的权限分配组合。时考虑下指导方针将权限分配给用户和团队。
为用户分配角色当你有一个一次性的场景:一个小数量的用户需要访问资源或当你想分配临时访问。如果你有大量的用户来说,这种方法可以作为你规模难以管理Grafana的使用。例如,您的IT部门可能需要的成员
固定:许可:读者
和固定:许可:作家
角色,这样他们就可以管理你的Grafana企业许可证。将角色分配给团队当你有用户的一个子集,使你的组织结构,和你想要的所有成员的团队有相同级别的访问。例如,一个特定的工程团队的所有成员可能需要
固定:报告:读者
和固定:报告:作家
角色能够管理报告。当你将其他用户分配给一个团队,系统自动向用户分配权限。
身份验证提供者考虑
你可以利用你目前的身份验证提供者来管理用户和团队在Grafana权限。当你地图用户和团队SAML和LDAP组,你可以同步与Grafana作业。
例如:
SAML地图、LDAP或Oauth角色Grafana基本角色(观众、编辑或管理员)。
使用Grafana企业团队同步功能同步团队从SAML, LDAP或Oauth Grafana提供者。关于团队同步的更多信息,请参考团队同步。
在Grafana,将RBAC的权限分配给用户和团队。
当修改或创建自定义角色的基本角色
考虑以下指南,当你确定你应该修改或创建自定义角色的基本角色。
修改基本角色当Grafana观众的定义、编辑和管理员可以不匹配你的这些角色的定义。您可以添加或删除权限从任何基本的角色。
注意:改变你做基本的角色定义角色的影响组织在Grafana实例。例如,当你添加
固定:用户:作家
角色的权限查看器的基本作用,观众在任何组织在Grafana实例可以创建用户组织内。创建自定义角色当固定角色定义不见到你的权限要求。例如,
固定:仪表板:作家
允许用户删除角色仪表板。如果你想要一些用户或团队能够创建和更新但不删除仪表板,您可以创建一个自定义角色的名字自定义仪表板:创造者
缺乏的仪表板:删除
许可。
如何分配RBAC角色
使用下列方法将RBAC角色分配给用户和团队。
- Grafana界面:使用Grafana UI当您想要将有限数量的RBAC角色分配给用户和团队。UI包含一个角色选择器,您可以使用选择的角色。
- Grafana HTTP API:使用Grafana HTTP API如果你想自动化角色分配。
- 起程拓殖:使用起程拓殖分配和管理用户和团队角色分配起程拓殖供应。如果你使用
- Grafana配置:Grafana供应提供了一个健壮的分配方法,删除,删除角色。在单个YAML文件可以包括多个角色分配和删除条目。
权限的场景
我们编译以下权限推出场景基于当前Grafana实现。
注意:如果你有一个用例,你想要和我们分享,导致这个文档页面。我们很想听到你的声音!
观众提供内部员工能够使用探索,但阻止外部观众承包商使用探索
- 在Grafana,创建一个团队的名字
内部员工
。 - 分配
固定:数据源:查询器
角色内部员工
团队。 - 添加内部员工
内部员工
队,或者将它们映射从SAML, LDAP或Oauth团队使用团队同步。 - 查看者角色分配给内部员工和承包商。
限制查看器、编辑或管理员权限
- 审查与基本角色关联的权限列表。
- 改变的基本角色的权限。
只允许一个团队的成员来管理警报
- 创建一个
提醒经理
团队,团队所有适用的提醒固定角色的分配。 - 将用户添加到
提醒经理
团队。 - 删除所有权限与行动前缀
警报。
从观众、编辑和管理基本的角色。
为用户提供指示板在两个或两个以上的地区
- 为每个地理位置创建一个文件夹,例如,创建一个
我们
文件夹和一个欧盟
文件夹中。 - 仪表板添加到每个文件夹。
- 使用文件夹权限添加美国用户编辑的
我们
文件夹和分配的欧洲用户编辑的欧盟
文件夹中。
创建一个自定义的角色在一个特定的文件夹访问警报
看到警报在Grafana规则,用户必须具有读访问权的文件夹存储报警规则,读警报的文件夹的权限,权限查询所有数据源使用的规则。
API命令在这个例子中是基于以下几点:
- 一个
测试文件夹
与ID92年
- 两个数据来源:
DS1的
在UID_oAfGYUnk
,DS2
在UIDYYcBGYUnk
- 规则存储在警报
测试文件夹
和查询两个数据源。
以下请求创建一个自定义角色,包括权限访问警报规则:
curl——位置请求后的< grafana_url > / api /访问控制/角色/ ' \——头的授权:基本YWRtaW46cGFzc3dvcmQ = ' \——头的application / json内容类型:\——data-raw '{“版本”:1、“名称”:“自定义:alerts.reader.in.folder。”:“123”、“displayName只读访问警报测试文件夹在文件夹”、“描述”:“让用户查询DS1和DS2、和阅读警报测试文件夹在文件夹”、“集团”:“自定义”、“全球”:真的,“权限”:[{“行动”:“文件夹:阅读”、“范围”:“文件夹:uid: YEcBGYU22 "},{"行动”:“alert.rules:阅读”,“范围”:“文件夹:uid: YEcBGYU22”},{“行动”:“数据源:查询”、“范围”:“数据源:uid: _oAfGYUnk "},{"行动”:“数据源:查询”、“范围”:“数据源:uid: YYcBGYUnk”}]}’
使一个编辑器来创建自定义角色
默认情况下,只有Grafana服务器管理员可以创建和管理自定义角色。如果你想让你的编辑器
做同样的事情,更新编辑器
基本角色权限。有两种方法可以实现:
- 添加
固定:角色:作家
角色的权限基本的:编辑器
角色使用角色>从
您的配置文件列表:
apiVersion: 2角色:名字:“基本的:编辑器”全球:真正的版本:3:-名称:“基本的:编辑器”全球:真的——名字:“固定:角色:作家”全球:真的
- 或添加以下权限
基本的:编辑器
角色,使用配置或RBAC HTTP API:
行动 | 范围 |
---|---|
角色:读 |
角色:* |
角色:写 |
权限:类型:委托 |
角色:删除 |
权限:类型:委托 |
注意:任何用户或服务帐户修改角色的能力只能创建、更新或删除角色与权限授予。例如,一个用户的
编辑器
角色能够创建和管理角色的权限或其中一个子集。
使观众能够创建报告
如果你想让你的观众
创建报告,更新查看器
基本角色权限。有两种方法可以实现:
- 添加
固定:报告:作家
角色的权限基本:查看器
角色使用角色>从
您的配置文件列表:
apiVersion: 2角色:名字:“基本:查看器”全球:真正的版本:3:-名称:“基本:查看器”全球:真的——名字:“固定:报告:作家”全球:真的
注意:的
固定:报告:作家
角色权限分配比仅仅创建报告。关于固定角色权限分配的更多信息,请参考固定的角色定义。
- 添加以下权限
基本:查看器
角色,使用配置或RBAC HTTP API:
行动 | 范围 |
---|---|
报告:创建 |
n /一个 |
报告:写 |
报告:* 报告:id: * |
报告:读 |
报告:* |
报告:发送 |
报告:* |
防止Grafana Admin用户创建和邀请
防止Grafana管理员创建用户,并邀请他们加入一个组织,你必须更新一个基本的角色权限。删除的权限是:
行动 | 范围 |
---|---|
用户:创建 |
|
org.users:添加 |
用户:* |
有两种方法可以实现:
- 使用
角色>从
列表和许可>状态
选择你的配置文件:
apiVersion: 2角色:名字:“基本的:编辑器”全球:真正的版本:3:-名称:“基本的:编辑器”全球:真正的权限:-行动:“用户:创建”状态:“缺席”——行动:“org。用户:添加的范围:用户:*”状态:“缺席”
- 或使用RBAC HTTP API。
阻止观众访问应用程序插件
默认情况下,观众,编辑和管理员可以访问所有应用程序插件,允许他们访问他们的组织的作用。改变这种默认行为,防止观众访问应用程序插件,你必须更新一个基本角色的权限。
在这个例子中,三个应用程序插件已经安装并启用:
的名字 | ID | 需要组织的作用 |
---|---|---|
随叫随到 | grafana-oncall-app | 查看器 |
Kentik连接支持 | kentik-connect-app | 查看器 |
企业日志 | grafana-enterprise-logs-app | 管理 |
默认情况下,观众将因此能够看到,调用和Kentik连接专业应用插件。如果你想撤销他们的访问调用应用程序插件,您需要:
- 删除权限访问所有应用程序的插件:
行动 范围 plugins.app:访问
插件:*
- 授予许可访问Kentik连接专业应用插件只有:
行动 范围 plugins.app:访问
插件:id: kentik-connect-app
这里有两种方法可以实现:
- 使用
角色>从
列表和许可>状态
选择你的配置文件:
- - - apiVersion: 2角色:名称:基本:查看器的版本:8全球:真正的从:-名称:“基本:查看器”全球:真正的权限:——行动:“插件。应用:访问的范围:插件:*”状态:“缺席”——行动:“插件。应用:访问的范围:插件:id: kentik-connect-app”状态:“礼物”
- 或使用RBAC HTTP API。
相关Grafana资源
开幕式主题:新Grafana 9吗?
Raj达特Myrle“将军”,Torkel突袭推出什么新Grafana 9。从2022年GrafanaCONline观看开幕式主题演讲。随需应变。