这是文档下一个版本的Grafana。最新的稳定版本,去最新版本

;政府;角色和权限;Grafana基于角色的访问控制(RBAC);计划你的Grafana RBAC实现策略

计划你的RBAC实现策略

注意:可以在Grafana企业Grafana云先进

RBAC实现策略可以帮助您确定如何你想实现RBAC之前将RBAC角色分配给用户和团队。

你的推广策略应该帮助你回答下列问题:

  • 我应该基本角色分配给用户,或者我应该分配固定的角色或用户自定义角色?
  • 当我应该创建自定义角色吗?
  • 我应该运用哪些实体固定和自定义角色?我应该将它们应用于用户、团队吗?我应该修改的基本角色权限呢?
  • 我怎么推出的权限,使他们容易管理吗?
  • 分配角色时我应该使用哪种方法?我应该使用Grafana UI、供应或API ?

回顾基本作用和固定的角色定义

作为第一步在决定你的权限实现策略,我们建议您熟悉基本的角色和固定的角色定义。除了将固定的角色分配给任何用户和团队,您也可以修改基本角色权限,从而改变观众,编辑或管理员可以做。这种灵活性意味着有许多角色分配的组合为你考虑。如果你有大量的Grafana用户和团队,我们建议您列出您可能希望使用固定的角色。

了解更多关于基本角色和固定的角色,请参考以下文档:

用户和团队的考虑

RBAC是一个灵活和强大的特性与许多可能的权限分配组合。时考虑下指导方针将权限分配给用户和团队。

  • 为用户分配角色当你有一个一次性的场景:一个小数量的用户需要访问资源或当你想分配临时访问。如果你有大量的用户来说,这种方法可以作为你规模难以管理Grafana的使用。例如,您的IT部门可能需要的成员固定:许可:读者固定:许可:作家角色,这样他们就可以管理你的Grafana企业许可证。

  • 将角色分配给团队当你有用户的一个子集,使你的组织结构,和你想要的所有成员的团队有相同级别的访问。例如,一个特定的工程团队的所有成员可能需要固定:报告:读者固定:报告:作家角色能够管理报告。

    当你将其他用户分配给一个团队,系统自动向用户分配权限。

身份验证提供者考虑

你可以利用你目前的身份验证提供者来管理用户和团队在Grafana权限。当你地图用户和团队SAML和LDAP组,你可以同步与Grafana作业。

例如:

  1. SAML地图、LDAP或Oauth角色Grafana基本角色(观众、编辑或管理员)。

  2. 使用Grafana企业团队同步功能同步团队从SAML, LDAP或Oauth Grafana提供者。关于团队同步的更多信息,请参考团队同步

  3. 在Grafana,将RBAC的权限分配给用户和团队。

当修改或创建自定义角色的基本角色

考虑以下指南,当你确定你应该修改或创建自定义角色的基本角色。

  • 修改基本角色当Grafana观众的定义、编辑和管理员可以不匹配你的这些角色的定义。您可以添加或删除权限从任何基本的角色。

    注意:改变你做基本的角色定义角色的影响组织在Grafana实例。例如,当你添加固定:用户:作家角色的权限查看器的基本作用,观众在任何组织在Grafana实例可以创建用户组织内。

  • 创建自定义角色当固定角色定义不见到你的权限要求。例如,固定:仪表板:作家允许用户删除角色仪表板。如果你想要一些用户或团队能够创建和更新但不删除仪表板,您可以创建一个自定义角色的名字自定义仪表板:创造者缺乏的仪表板:删除许可。

如何分配RBAC角色

使用下列方法将RBAC角色分配给用户和团队。

  • Grafana界面:使用Grafana UI当您想要将有限数量的RBAC角色分配给用户和团队。UI包含一个角色选择器,您可以使用选择的角色。
  • Grafana HTTP API:使用Grafana HTTP API如果你想自动化角色分配。
  • 起程拓殖:使用起程拓殖分配和管理用户和团队角色分配起程拓殖供应。如果你使用
  • Grafana配置:Grafana供应提供了一个健壮的分配方法,删除,删除角色。在单个YAML文件可以包括多个角色分配和删除条目。

权限的场景

我们编译以下权限推出场景基于当前Grafana实现。

注意:如果你有一个用例,你想要和我们分享,导致这个文档页面。我们很想听到你的声音!

观众提供内部员工能够使用探索,但阻止外部观众承包商使用探索

  1. 在Grafana,创建一个团队的名字内部员工
  2. 分配固定:数据源:查询器角色内部员工团队。
  3. 添加内部员工内部员工队,或者将它们映射从SAML, LDAP或Oauth团队使用团队同步
  4. 查看者角色分配给内部员工和承包商。

限制查看器、编辑或管理员权限

  1. 审查与基本角色关联的权限列表。
  2. 改变的基本角色的权限

只允许一个团队的成员来管理警报

  1. 创建一个提醒经理团队,团队所有适用的提醒固定角色的分配。
  2. 将用户添加到提醒经理团队。
  3. 删除所有权限与行动前缀警报。从观众、编辑和管理基本的角色。

为用户提供指示板在两个或两个以上的地区

  1. 为每个地理位置创建一个文件夹,例如,创建一个我们文件夹和一个欧盟文件夹中。
  2. 仪表板添加到每个文件夹。
  3. 使用文件夹权限添加美国用户编辑的我们文件夹和分配的欧洲用户编辑的欧盟文件夹中。

创建一个自定义的角色在一个特定的文件夹访问警报

看到警报在Grafana规则,用户必须具有读访问权的文件夹存储报警规则,读警报的文件夹的权限,权限查询所有数据源使用的规则。

API命令在这个例子中是基于以下几点:

  • 一个测试文件夹与ID92年
  • 两个数据来源:DS1的在UID_oAfGYUnk,DS2在UIDYYcBGYUnk
  • 规则存储在警报测试文件夹和查询两个数据源。

以下请求创建一个自定义角色,包括权限访问警报规则:

curl——位置请求后的< grafana_url > / api /访问控制/角色/ ' \——头的授权:基本YWRtaW46cGFzc3dvcmQ = ' \——头的application / json内容类型:\——data-raw '{“版本”:1、“名称”:“自定义:alerts.reader.in.folder。”:“123”、“displayName只读访问警报测试文件夹在文件夹”、“描述”:“让用户查询DS1和DS2、和阅读警报测试文件夹在文件夹”、“集团”:“自定义”、“全球”:真的,“权限”:[{“行动”:“文件夹:阅读”、“范围”:“文件夹:uid: YEcBGYU22 "},{"行动”:“alert.rules:阅读”,“范围”:“文件夹:uid: YEcBGYU22”},{“行动”:“数据源:查询”、“范围”:“数据源:uid: _oAfGYUnk "},{"行动”:“数据源:查询”、“范围”:“数据源:uid: YYcBGYUnk”}]}’

使一个编辑器来创建自定义角色

默认情况下,只有Grafana服务器管理员可以创建和管理自定义角色。如果你想让你的编辑器做同样的事情,更新编辑器基本角色权限。有两种方法可以实现:

  • 添加固定:角色:作家角色的权限基本的:编辑器角色使用角色>从您的配置文件列表:
apiVersion: 2角色:名字:“基本的:编辑器”全球:真正的版本:3:-名称:“基本的:编辑器”全球:真的——名字:“固定:角色:作家”全球:真的
  • 或添加以下权限基本的:编辑器角色,使用配置或RBAC HTTP API:
行动 范围
角色:读 角色:*
角色:写 权限:类型:委托
角色:删除 权限:类型:委托

注意:任何用户或服务帐户修改角色的能力只能创建、更新或删除角色与权限授予。例如,一个用户的编辑器角色能够创建和管理角色的权限或其中一个子集。

使观众能够创建报告

如果你想让你的观众创建报告,更新查看器基本角色权限。有两种方法可以实现:

  • 添加固定:报告:作家角色的权限基本:查看器角色使用角色>从您的配置文件列表:
apiVersion: 2角色:名字:“基本:查看器”全球:真正的版本:3:-名称:“基本:查看器”全球:真的——名字:“固定:报告:作家”全球:真的

注意:固定:报告:作家角色权限分配比仅仅创建报告。关于固定角色权限分配的更多信息,请参考固定的角色定义

  • 添加以下权限基本:查看器角色,使用配置或RBAC HTTP API:
行动 范围
报告:创建 n /一个
报告:写 报告:*
报告:id: *
报告:读 报告:*
报告:发送 报告:*

防止Grafana Admin用户创建和邀请

防止Grafana管理员创建用户,并邀请他们加入一个组织,你必须更新一个基本的角色权限。删除的权限是:

行动 范围
用户:创建
org.users:添加 用户:*

有两种方法可以实现:

  • 使用角色>从列表和许可>状态选择你的配置文件:
apiVersion: 2角色:名字:“基本的:编辑器”全球:真正的版本:3:-名称:“基本的:编辑器”全球:真正的权限:-行动:“用户:创建”状态:“缺席”——行动:“org。用户:添加的范围:用户:*”状态:“缺席”

阻止观众访问应用程序插件

默认情况下,观众,编辑和管理员可以访问所有应用程序插件,允许他们访问他们的组织的作用。改变这种默认行为,防止观众访问应用程序插件,你必须更新一个基本角色的权限

在这个例子中,三个应用程序插件已经安装并启用:

的名字 ID 需要组织的作用
随叫随到 grafana-oncall-app 查看器
Kentik连接支持 kentik-connect-app 查看器
企业日志 grafana-enterprise-logs-app 管理

默认情况下,观众将因此能够看到,调用和Kentik连接专业应用插件。如果你想撤销他们的访问调用应用程序插件,您需要:

  1. 删除权限访问所有应用程序的插件:
    行动 范围
    plugins.app:访问 插件:*
  2. 授予许可访问Kentik连接专业应用插件只有:
    行动 范围
    plugins.app:访问 插件:id: kentik-connect-app

这里有两种方法可以实现:

  • 使用角色>从列表和许可>状态选择你的配置文件:
- - - apiVersion: 2角色:名称:基本:查看器的版本:8全球:真正的从:-名称:“基本:查看器”全球:真正的权限:——行动:“插件。应用:访问的范围:插件:*”状态:“缺席”——行动:“插件。应用:访问的范围:插件:id: kentik-connect-app”状态:“礼物”
相关Grafana资源
开幕式主题:新Grafana 9吗?

Raj达特Myrle“将军”,Torkel突袭推出什么新Grafana 9。从2022年GrafanaCONline观看开幕式主题演讲。随需应变。