这是文档下一个格拉夫娜的版本。有关最新的稳定版本,请转到最新版本.
RBAC角色定义
注意:可以在Grafana企业而且Grafana云高级版.
下表列出了与基本角色和固定角色相关联的权限。
基本角色分配
| 基本角色 | 关联固定角色 | 描述 |
|---|---|---|
| Grafana管理 | 固定:角色:读者固定:角色:作家固定:用户:读者固定:用户:作家固定:org.users:读者固定:org.users:作家固定:ldap:读者固定:ldap:作家固定:统计数据:读者固定:设置:读者固定:设置:作家固定:供应:作家固定:组织:读者固定:组织:维护者固定:许可:读者固定:许可:作家固定:datasources.caching:读者固定:datasources.caching:作家固定:dashboards.insights:读者固定:datasources.insights:读者 |
默认的Grafana服务器管理员作业。 |
| 管理 | 固定:报告:读者固定:报告:作家固定:数据源:读者固定:数据源:作家固定:组织:作家固定:datasources.permissions:读者固定:datasources.permissions:作家固定:团队:作家固定:仪表板:读者固定:仪表板:作家固定:dashboards.permissions:读者固定:dashboards.permissions:作家固定:文件夹:读者修复:文件夹:作家固定:folders.permissions:读者固定:folders.permissions:作家固定:提醒:作家固定:apikey:读者固定:apikey:作家固定:alerting.provisioning:作家固定:datasources.caching:读者固定:datasources.caching:作家固定:dashboards.insights:读者固定:datasources.insights:读者 |
默认的Grafana组织管理员作业。 |
| 编辑器 | 固定:数据源:探险家固定:仪表板:创造者固定:文件夹:创造者固定:注释:作家固定:团队:创造者如果editors_can_admin已启用配置标志固定:提醒:作家固定:dashboards.insights:读者固定:datasources.insights:读者 |
默认的编辑器作业。 |
| 查看器 | 固定:数据源:id:读者固定:组织:读者固定:注释:读者固定:annotations.dashboard:作家固定:提醒:读者固定:plugins.app:读者固定:dashboards.insights:读者固定:datasources.insights:读者 |
默认的查看器作业。 |
固定的角色定义
| 固定的作用 | 权限 | 描述 |
|---|---|---|
固定:alerting.instances:作家 |
的所有权限固定:alerting.instances:读者而且alert.instances:创建alert.instances:写对于组织范围alert.instances.external:写的范围数据源:* |
创建、更新并终止组织中由Grafana、Mimir和Loki产生的所有沉默。* |
固定:alerting.instances:读者 |
alert.instances:阅读对于组织范围alert.instances.external:阅读的范围数据源:* |
阅读组织中由Grafana alerts和Mimir和Loki alerts和silence生成的所有警报和静默。* |
固定:alerting.notifications:作家 |
的所有权限固定:alerting.notifications:读者而且alert.notifications:写对于组织范围alert.notifications.external:阅读的范围数据源:* |
为Grafana和外部Alertmanager创建、更新和删除联系人点、模板、静音定时和通知策略。* |
固定:alerting.notifications:读者 |
alert.notifications:阅读对于组织范围alert.notifications.external:阅读的范围数据源:* |
阅读所有Grafana和Alertmanager联系点、模板和通知策略。* |
固定:alerting.rules:作家 |
的所有权限固定:alerting.rules:读者而且alert.rule:创建alert.rule:写alert.rule:删除的范围文件夹:*alert.rules.external:写的范围数据源:* |
创建、更新和删除所有* Grafana、Mimir和Loki警报规则。* |
固定:alerting.rules:读者 |
alert.rule:阅读的范围文件夹:*alert.rules.external:阅读的范围数据源:* |
阅读所有*格拉夫娜,米米尔和洛基警报规则。* |
固定:提醒:作家 |
的所有权限固定:alerting.rules:作家固定:alerting.instances:作家固定:alerting.notifications:作家 |
创建、更新和删除Grafana、Mimir、Loki和Alertmanager警报规则*、静默、联系点、模板、静音定时和通知策略。* |
固定:提醒:读者 |
的所有权限固定:alerting.rules:读者固定:alerting.instances:读者固定:alerting.notifications:读者 |
所有Grafana、Mimir、Loki和Alertmanager警报规则*、警报、联系点和通知策略的只读权限。* |
固定:alerting.provisioning:作家 |
alert.provisioning:阅读而且alert.provisioning:写 |
通过配置API创建、更新和删除Grafana警报规则、通知策略、联系点、模板等。* |
固定:annotations.dashboard:作家 |
注释:写annotations.create注释:删除的范围注释:类型:仪表板 |
创建、更新和删除仪表板注释和注释标签。 |
固定:注释:读者 |
注释:阅读的范围注释:类型:* |
阅读所有注释和注释标记。 |
固定:注释:作家 |
的所有权限固定:注释:读者注释:写annotations.create注释:删除的范围注释:类型:* |
读取、创建、更新和删除所有注释和注释标签。 |
固定:apikey:读者 |
apikey:阅读的范围apikey: * |
读取所有api键。 |
固定:apikey:作家 |
的所有权限固定:apikey:读者而且apikey:创建apikey:删除的范围apikey: * |
读取,创建,删除所有api键。 |
固定:仪表板:创造者 |
仪表板:创建文件夹:读 |
创建仪表板。 |
固定:dashboards.insights:读者 |
dashboards.insights:阅读 |
阅读仪表板洞察数据并查看存在指示器。 |
固定:dashboards.permissions:读者 |
dashboards.permissions:阅读 |
读取所有仪表板权限。 |
固定:dashboards.permissions:作家 |
的所有权限固定:dashboards.permissions:读者而且dashboards.permissions:写 |
读取并更新所有仪表板权限。 |
固定:仪表板:读者 |
仪表板:阅读 |
阅读所有仪表盘。 |
固定:仪表板:作家 |
的所有权限固定:仪表板:读者而且仪表板:写仪表板:编辑仪表板:删除仪表板:创建dashboards.permissions:阅读dashboards.permissions:写 |
读取、创建、更新和删除所有仪表板。 |
固定:datasources.caching:读者 |
datasources.caching:阅读 |
读取数据源查询缓存设置。 |
固定:datasources.caching:作家 |
datasources.caching:阅读datasources.caching:写 |
启用、禁用或更新查询缓存设置。 |
固定:数据源:探险家 |
数据源:探索 |
启用Explore特性。数据源权限仍然适用,只能查询具有查询权限的数据源。 |
固定:数据源:id:读者 |
datasources.id:阅读 |
根据数据源的名称读取数据源的ID。 |
固定:datasources.insights:读者 |
datasources.insights:阅读 |
读取数据源洞察数据。 |
固定:datasources.permissions:读者 |
datasources.permissions:阅读 |
读取数据源权限。 |
固定:datasources.permissions:作家 |
的所有权限固定:datasources.permissions:读者而且datasources.permissions:写 |
创建、读取或删除数据源的权限。 |
固定:数据源:读者 |
数据源:阅读数据源:查询 |
读取和查询数据源。 |
固定:数据源:作家 |
的所有权限固定:数据源:读者而且数据源:创建数据源:写数据源:删除 |
读取、查询、创建、删除或更新数据源。 |
固定:folders.permissions:读者 |
folders.permissions:阅读 |
读取所有文件夹权限。 |
固定:folders.permissions:作家 |
的所有权限固定:folders.permissions:读者而且folders.permissions:写 |
读取并更新所有文件夹权限。 |
固定:文件夹:创造者 |
文件夹:创建 |
创建文件夹。 |
固定:文件夹:读者 |
文件夹:读仪表板:阅读 |
读取所有文件夹和仪表板。 |
固定:文件夹:作家 |
的所有权限固定:仪表板:作家而且文件夹:读文件夹:写文件夹:创建文件夹:删除folders.permissions:阅读folders.permissions:写 |
读取、创建、更新和删除所有文件夹和仪表板。 |
固定:ldap:读者 |
ldap.user:阅读ldap.status:阅读 |
查看LDAP的配置和LDAP的状态信息。 |
固定:ldap:作家 |
的所有权限固定:ldap:读者而且ldap.user:同步ldap.config:重载 |
读取并更新LDAP配置,读取LDAP状态信息。 |
固定:许可:读者 |
许可:阅读licensing.reports:阅读 |
阅读许可信息和许可报告。 |
固定:许可:作家 |
的所有权限固定:许可:查看器而且许可:写许可:删除 |
阅读许可信息和许可报告,更新和删除许可令牌。 |
固定:org.users:读者 |
org.users:阅读 |
读取单个组织中的用户。 |
固定:org.users:作家 |
的所有权限固定:org.users:读者而且org.users:添加org.users:删除org.users:写 |
在单个组织中,添加用户、邀请新用户、读取关于用户及其角色的信息、从该组织中删除用户或更改用户的角色。 |
固定:组织:维护者 |
的所有权限固定:组织:读者而且组织:写组织:创建组织:删除orgs.quotas:写 |
创建、读、写、删除组织。读写其配额。这个角色需要全局分配。 |
固定:组织:读者 |
组织:阅读orgs.quotas:阅读 |
阅读一个组织及其配额。 |
固定:组织:作家 |
的所有权限固定:组织:读者而且组织:写orgs.preferences:阅读orgs.preferences:写 |
阅读一个组织,它的配额,或者它的偏好。更新组织属性或其首选项。 |
固定:plugins.app:读者 |
plugins.app:访问 |
访问应用程序插件(仍然强制执行组织角色)。 |
固定:供应:作家 |
供应:重载 |
重新加载配置。 |
固定:报告:读者 |
报告:读报告:发送reports.settings:阅读 |
读取所有报表和共享报表设置。 |
固定:报告:作家 |
的所有权限固定:报告:读者而且报告:创建报告:写报告:删除reports.settings:写 |
创建、读取、更新或删除所有报表和共享报表设置。 |
固定:角色:读者 |
角色:读teams.roles:阅读users.roles:阅读users.permissions:阅读 |
读取分配给用户、团队的所有访问控制角色、角色和权限。 |
固定:角色:作家 |
的所有权限固定:角色:读者而且角色:写角色:删除teams.roles:添加teams.roles:删除users.roles:添加users.roles:删除 |
创建、读取、更新或删除所有角色,为用户、团队分配或取消分配角色。 |
固定:角色:恢复元件 |
角色:写与范围权限:类型:升级 |
将基本角色重置为默认值。 |
固定:serviceaccounts:读者 |
serviceaccounts:阅读 |
阅读Grafana服务帐户。 |
固定:serviceaccounts:创造者 |
serviceaccounts:创建 |
创建Grafana服务帐户。 |
固定:serviceaccounts:作家 |
serviceaccounts:阅读serviceaccounts:创建serviceaccounts:写serviceaccounts:删除serviceaccounts.permissions:阅读serviceaccounts.permissions:写 |
创建、更新、读取和删除所有Grafana业务帐户,管理业务帐户权限。 |
固定:设置:读者 |
设置:读 |
阅读Grafana实例设置。 |
固定:设置:作家 |
的所有权限固定:设置:读者而且设置:写 |
读取并更新Grafana实例设置。 |
固定:统计数据:读者 |
server.stats:阅读 |
读取Grafana实例统计信息。 |
固定:团队:创造者 |
团队:创建org.users:阅读 |
创建一个团队并列出组织用户(管理创建的团队所需)。 |
固定:团队:作家 |
团队:创建团队:删除团队:阅读团队:写teams.permissions:阅读teams.permissions:写 |
创建、读取、更新和删除团队,并管理团队成员。 |
固定:用户:读者 |
用户:读users.quotas:阅读users.authtoken:阅读` |
读取所有用户及其信息,例如团队成员、身份验证令牌和配额。 |
固定:用户:作家 |
的所有权限固定:用户:读者而且用户:写用户:创建用户:删除用户:启用用户:禁用users.password:写users.permissions:写用户:注销users.authtoken:写users.quotas:写 |
读取和更新Grafana中所有用户的所有属性和设置:更新用户信息、读取用户信息、创建或启用或禁用用户、使用户成为Grafana管理员、签出用户、更新用户的身份验证令牌或更新所有用户的配额。 |
报警的角色
如果报警是启用,您可以使用预定义角色来管理用户对警报规则、警报实例和警报通知设置的访问,并创建自定义角色来限制用户对文件夹中的警报规则的访问。
对Grafana警报规则的访问是多种权限的交集:
- 读取文件夹的权限。例如,固定角色
固定:文件夹:读者包括动作文件夹:读还有文件夹作用域文件夹:id:. - 查询权限所有给定警报规则使用的数据源。如果用户无法查询给定的数据源,则无法看到查询该数据源的任何警报规则。
目前只有一个例外。角色固定:alerting.provisioning:作家不需要用户拥有任何额外的权限,并通过特殊的配置API提供对警报配置的所有方面的访问。
有关访问警报规则所需权限的更多信息,请参见创建自定义角色以访问文件夹中的警报.
相关Grafana资源
开幕主题:Grafana 9有什么新内容?
Raj Dutt, Myrle Krantz和Torkel Ödegaard揭开了《Grafana 9》的新内容。观看2022年GrafanaCONline开幕式主题演讲。随需应变。
用Grafana插件统一数据:datdog, Splunk, MongoDB等等
在本次网络研讨会中,学习如何利用Grafana的插件生态系统访问80多个数据源,包括datdog、Splunk、MongoDB等插件。
从Grafana Enterprise和可观察性开始
加入Grafanabob电竞频道 Labs团队进行一个30分钟的演示,演示如何开始使用Grafana Stack,这样您就可以在短短几分钟内从零到可观察性。
