这是文档下一个格拉夫娜的版本。有关最新的稳定版本,请转到最新版本.
RBAC角色定义
注意:可以在Grafana企业而且Grafana云高级版.
下表列出了与基本角色和固定角色相关联的权限。
基本角色分配
基本角色 | 关联固定角色 | 描述 |
---|---|---|
Grafana管理 | 固定:角色:读者 固定:角色:作家 固定:用户:读者 固定:用户:作家 固定:org.users:读者 固定:org.users:作家 固定:ldap:读者 固定:ldap:作家 固定:统计数据:读者 固定:设置:读者 固定:设置:作家 固定:供应:作家 固定:组织:读者 固定:组织:维护者 固定:许可:读者 固定:许可:作家 固定:datasources.caching:读者 固定:datasources.caching:作家 固定:dashboards.insights:读者 固定:datasources.insights:读者 |
默认的Grafana服务器管理员作业。 |
管理 | 固定:报告:读者 固定:报告:作家 固定:数据源:读者 固定:数据源:作家 固定:组织:作家 固定:datasources.permissions:读者 固定:datasources.permissions:作家 固定:团队:作家 固定:仪表板:读者 固定:仪表板:作家 固定:dashboards.permissions:读者 固定:dashboards.permissions:作家 固定:文件夹:读者 修复:文件夹:作家 固定:folders.permissions:读者 固定:folders.permissions:作家 固定:提醒:作家 固定:apikey:读者 固定:apikey:作家 固定:alerting.provisioning:作家 固定:datasources.caching:读者 固定:datasources.caching:作家 固定:dashboards.insights:读者 固定:datasources.insights:读者 |
默认的Grafana组织管理员作业。 |
编辑器 | 固定:数据源:探险家 固定:仪表板:创造者 固定:文件夹:创造者 固定:注释:作家 固定:团队:创造者 如果editors_can_admin 已启用配置标志固定:提醒:作家 固定:dashboards.insights:读者 固定:datasources.insights:读者 |
默认的编辑器作业。 |
查看器 | 固定:数据源:id:读者 固定:组织:读者 固定:注释:读者 固定:annotations.dashboard:作家 固定:提醒:读者 固定:plugins.app:读者 固定:dashboards.insights:读者 固定:datasources.insights:读者 |
默认的查看器作业。 |
固定的角色定义
固定的作用 | 权限 | 描述 |
---|---|---|
固定:alerting.instances:作家 |
的所有权限固定:alerting.instances:读者 而且alert.instances:创建 alert.instances:写 对于组织范围alert.instances.external:写 的范围数据源:* |
创建、更新并终止组织中由Grafana、Mimir和Loki产生的所有沉默。* |
固定:alerting.instances:读者 |
alert.instances:阅读 对于组织范围alert.instances.external:阅读 的范围数据源:* |
阅读组织中由Grafana alerts和Mimir和Loki alerts和silence生成的所有警报和静默。* |
固定:alerting.notifications:作家 |
的所有权限固定:alerting.notifications:读者 而且alert.notifications:写 对于组织范围alert.notifications.external:阅读 的范围数据源:* |
为Grafana和外部Alertmanager创建、更新和删除联系人点、模板、静音定时和通知策略。* |
固定:alerting.notifications:读者 |
alert.notifications:阅读 对于组织范围alert.notifications.external:阅读 的范围数据源:* |
阅读所有Grafana和Alertmanager联系点、模板和通知策略。* |
固定:alerting.rules:作家 |
的所有权限固定:alerting.rules:读者 而且alert.rule:创建 alert.rule:写 alert.rule:删除 的范围文件夹:* alert.rules.external:写 的范围数据源:* |
创建、更新和删除所有* Grafana、Mimir和Loki警报规则。* |
固定:alerting.rules:读者 |
alert.rule:阅读 的范围文件夹:* alert.rules.external:阅读 的范围数据源:* |
阅读所有*格拉夫娜,米米尔和洛基警报规则。* |
固定:提醒:作家 |
的所有权限固定:alerting.rules:作家 固定:alerting.instances:作家 固定:alerting.notifications:作家 |
创建、更新和删除Grafana、Mimir、Loki和Alertmanager警报规则*、静默、联系点、模板、静音定时和通知策略。* |
固定:提醒:读者 |
的所有权限固定:alerting.rules:读者 固定:alerting.instances:读者 固定:alerting.notifications:读者 |
所有Grafana、Mimir、Loki和Alertmanager警报规则*、警报、联系点和通知策略的只读权限。* |
固定:alerting.provisioning:作家 |
alert.provisioning:阅读 而且alert.provisioning:写 |
通过配置API创建、更新和删除Grafana警报规则、通知策略、联系点、模板等。* |
固定:annotations.dashboard:作家 |
注释:写 annotations.create 注释:删除 的范围注释:类型:仪表板 |
创建、更新和删除仪表板注释和注释标签。 |
固定:注释:读者 |
注释:阅读 的范围注释:类型:* |
阅读所有注释和注释标记。 |
固定:注释:作家 |
的所有权限固定:注释:读者 注释:写 annotations.create 注释:删除 的范围注释:类型:* |
读取、创建、更新和删除所有注释和注释标签。 |
固定:apikey:读者 |
apikey:阅读 的范围apikey: * |
读取所有api键。 |
固定:apikey:作家 |
的所有权限固定:apikey:读者 而且apikey:创建 apikey:删除 的范围apikey: * |
读取,创建,删除所有api键。 |
固定:仪表板:创造者 |
仪表板:创建 文件夹:读 |
创建仪表板。 |
固定:dashboards.insights:读者 |
dashboards.insights:阅读 |
阅读仪表板洞察数据并查看存在指示器。 |
固定:dashboards.permissions:读者 |
dashboards.permissions:阅读 |
读取所有仪表板权限。 |
固定:dashboards.permissions:作家 |
的所有权限固定:dashboards.permissions:读者 而且dashboards.permissions:写 |
读取并更新所有仪表板权限。 |
固定:仪表板:读者 |
仪表板:阅读 |
阅读所有仪表盘。 |
固定:仪表板:作家 |
的所有权限固定:仪表板:读者 而且仪表板:写 仪表板:编辑 仪表板:删除 仪表板:创建 dashboards.permissions:阅读 dashboards.permissions:写 |
读取、创建、更新和删除所有仪表板。 |
固定:datasources.caching:读者 |
datasources.caching:阅读 |
读取数据源查询缓存设置。 |
固定:datasources.caching:作家 |
datasources.caching:阅读 datasources.caching:写 |
启用、禁用或更新查询缓存设置。 |
固定:数据源:探险家 |
数据源:探索 |
启用Explore特性。数据源权限仍然适用,只能查询具有查询权限的数据源。 |
固定:数据源:id:读者 |
datasources.id:阅读 |
根据数据源的名称读取数据源的ID。 |
固定:datasources.insights:读者 |
datasources.insights:阅读 |
读取数据源洞察数据。 |
固定:datasources.permissions:读者 |
datasources.permissions:阅读 |
读取数据源权限。 |
固定:datasources.permissions:作家 |
的所有权限固定:datasources.permissions:读者 而且datasources.permissions:写 |
创建、读取或删除数据源的权限。 |
固定:数据源:读者 |
数据源:阅读 数据源:查询 |
读取和查询数据源。 |
固定:数据源:作家 |
的所有权限固定:数据源:读者 而且数据源:创建 数据源:写 数据源:删除 |
读取、查询、创建、删除或更新数据源。 |
固定:folders.permissions:读者 |
folders.permissions:阅读 |
读取所有文件夹权限。 |
固定:folders.permissions:作家 |
的所有权限固定:folders.permissions:读者 而且folders.permissions:写 |
读取并更新所有文件夹权限。 |
固定:文件夹:创造者 |
文件夹:创建 |
创建文件夹。 |
固定:文件夹:读者 |
文件夹:读 仪表板:阅读 |
读取所有文件夹和仪表板。 |
固定:文件夹:作家 |
的所有权限固定:仪表板:作家 而且文件夹:读 文件夹:写 文件夹:创建 文件夹:删除 folders.permissions:阅读 folders.permissions:写 |
读取、创建、更新和删除所有文件夹和仪表板。 |
固定:ldap:读者 |
ldap.user:阅读 ldap.status:阅读 |
查看LDAP的配置和LDAP的状态信息。 |
固定:ldap:作家 |
的所有权限固定:ldap:读者 而且ldap.user:同步 ldap.config:重载 |
读取并更新LDAP配置,读取LDAP状态信息。 |
固定:许可:读者 |
许可:阅读 licensing.reports:阅读 |
阅读许可信息和许可报告。 |
固定:许可:作家 |
的所有权限固定:许可:查看器 而且许可:写 许可:删除 |
阅读许可信息和许可报告,更新和删除许可令牌。 |
固定:org.users:读者 |
org.users:阅读 |
读取单个组织中的用户。 |
固定:org.users:作家 |
的所有权限固定:org.users:读者 而且org.users:添加 org.users:删除 org.users:写 |
在单个组织中,添加用户、邀请新用户、读取关于用户及其角色的信息、从该组织中删除用户或更改用户的角色。 |
固定:组织:维护者 |
的所有权限固定:组织:读者 而且组织:写 组织:创建 组织:删除 orgs.quotas:写 |
创建、读、写、删除组织。读写其配额。这个角色需要全局分配。 |
固定:组织:读者 |
组织:阅读 orgs.quotas:阅读 |
阅读一个组织及其配额。 |
固定:组织:作家 |
的所有权限固定:组织:读者 而且组织:写 orgs.preferences:阅读 orgs.preferences:写 |
阅读一个组织,它的配额,或者它的偏好。更新组织属性或其首选项。 |
固定:plugins.app:读者 |
plugins.app:访问 |
访问应用程序插件(仍然强制执行组织角色)。 |
固定:供应:作家 |
供应:重载 |
重新加载配置。 |
固定:报告:读者 |
报告:读 报告:发送 reports.settings:阅读 |
读取所有报表和共享报表设置。 |
固定:报告:作家 |
的所有权限固定:报告:读者 而且报告:创建 报告:写 报告:删除 reports.settings:写 |
创建、读取、更新或删除所有报表和共享报表设置。 |
固定:角色:读者 |
角色:读 teams.roles:阅读 users.roles:阅读 users.permissions:阅读 |
读取分配给用户、团队的所有访问控制角色、角色和权限。 |
固定:角色:作家 |
的所有权限固定:角色:读者 而且角色:写 角色:删除 teams.roles:添加 teams.roles:删除 users.roles:添加 users.roles:删除 |
创建、读取、更新或删除所有角色,为用户、团队分配或取消分配角色。 |
固定:角色:恢复元件 |
角色:写 与范围权限:类型:升级 |
将基本角色重置为默认值。 |
固定:serviceaccounts:读者 |
serviceaccounts:阅读 |
阅读Grafana服务帐户。 |
固定:serviceaccounts:创造者 |
serviceaccounts:创建 |
创建Grafana服务帐户。 |
固定:serviceaccounts:作家 |
serviceaccounts:阅读 serviceaccounts:创建 serviceaccounts:写 serviceaccounts:删除 serviceaccounts.permissions:阅读 serviceaccounts.permissions:写 |
创建、更新、读取和删除所有Grafana业务帐户,管理业务帐户权限。 |
固定:设置:读者 |
设置:读 |
阅读Grafana实例设置。 |
固定:设置:作家 |
的所有权限固定:设置:读者 而且设置:写 |
读取并更新Grafana实例设置。 |
固定:统计数据:读者 |
server.stats:阅读 |
读取Grafana实例统计信息。 |
固定:团队:创造者 |
团队:创建 org.users:阅读 |
创建一个团队并列出组织用户(管理创建的团队所需)。 |
固定:团队:作家 |
团队:创建 团队:删除 团队:阅读 团队:写 teams.permissions:阅读 teams.permissions:写 |
创建、读取、更新和删除团队,并管理团队成员。 |
固定:用户:读者 |
用户:读 users.quotas:阅读 users.authtoken:阅读 ` |
读取所有用户及其信息,例如团队成员、身份验证令牌和配额。 |
固定:用户:作家 |
的所有权限固定:用户:读者 而且用户:写 用户:创建 用户:删除 用户:启用 用户:禁用 users.password:写 users.permissions:写 用户:注销 users.authtoken:写 users.quotas:写 |
读取和更新Grafana中所有用户的所有属性和设置:更新用户信息、读取用户信息、创建或启用或禁用用户、使用户成为Grafana管理员、签出用户、更新用户的身份验证令牌或更新所有用户的配额。 |
报警的角色
如果报警是启用,您可以使用预定义角色来管理用户对警报规则、警报实例和警报通知设置的访问,并创建自定义角色来限制用户对文件夹中的警报规则的访问。
对Grafana警报规则的访问是多种权限的交集:
- 读取文件夹的权限。例如,固定角色
固定:文件夹:读者
包括动作文件夹:读
还有文件夹作用域文件夹:id:
. - 查询权限所有给定警报规则使用的数据源。如果用户无法查询给定的数据源,则无法看到查询该数据源的任何警报规则。
目前只有一个例外。角色固定:alerting.provisioning:作家
不需要用户拥有任何额外的权限,并通过特殊的配置API提供对警报配置的所有方面的访问。
有关访问警报规则所需权限的更多信息,请参见创建自定义角色以访问文件夹中的警报.
相关Grafana资源
开幕主题:Grafana 9有什么新内容?
Raj Dutt, Myrle Krantz和Torkel Ödegaard揭开了《Grafana 9》的新内容。观看2022年GrafanaCONline开幕式主题演讲。随需应变。
用Grafana插件统一数据:datdog, Splunk, MongoDB等等
在本次网络研讨会中,学习如何利用Grafana的插件生态系统访问80多个数据源,包括datdog、Splunk、MongoDB等插件。
从Grafana Enterprise和可观察性开始
加入Grafanabob电竞频道 Labs团队进行一个30分钟的演示,演示如何开始使用Grafana Stack,这样您就可以在短短几分钟内从零到可观察性。