重要提示:本文档是关于较旧版本的。它只与所提到的版本相关,许多特性和功能已经更新或替换。请查看当前版本.
基于角色的访问控制
当涉及到查看和修改Grafana资源(如仪表板、报告和管理设置)时,RBAC提供了一种授予、更改和撤销访问权限的标准化方法。
- 计划您的Grafana RBAC推出策略
- 在Grafana中配置RBAC
- 分配Grafana RBAC角色
- 管理Grafana RBAC角色
- Grafana RBAC供应
- Grafana RBAC角色定义
- Grafana RBAC权限、操作和范围
对RBAC
基于角色的访问控制(RBAC)提供了一种授予、更改和撤销访问权限的标准化方法,这样用户就可以查看和修改Grafana资源,比如用户和报告。RBAC扩展了Grafana OSS中包含的Grafana基本角色,使您能够更细粒度地控制用户的操作。
通过使用RBAC,您可以为用户提供扩展基本角色可用权限的权限。例如,您可以使用RBAC来:
- 修改现有的基本角色:例如,允许编辑器创建报表
- 为用户和团队分配固定的角色:例如,授予工程团队创建数据源的能力
- 创建自定义角色:例如,允许用户创建和编辑仪表板,但不能删除仪表板的角色
RBAC角色包含多个权限,每个权限都有一个动作和一个范围:
- 角色:
固定:数据源:读者
- 许可:
- 行动:
数据源:阅读
- 范围:
数据源:*
- 行动:
- 许可:
基本角色
基本角色是在Grafana OSS中可用的标准角色。如果您已经购买了Grafana Enterprise许可证,您仍然可以使用基本角色。
Grafana包括以下基本角色:
- Grafana管理员
- 组织管理员
- 编辑器
- 查看器
每个基本角色都由许多角色组成权限.例如,查看器基本角色包含以下权限:
行动:数据源。id:read, Scope: datasoures:*
:使查看器可以看到数据源的ID。行动:组织:阅读
:使查看者能够查看其组织的详细信息动作:标注:读,范围:标注:*
:使查看器能够看到其他用户添加到仪表板中的注释。操作:注释:创建,范围:注释:类型:仪表板
:允许查看器向仪表板添加注释。动作:标注:写,范围:标注:类型:仪表板
:允许查看器修改仪表板的注释。动作:标注:删除,作用域:标注:类型:仪表板
:允许查看器从仪表板中删除注释。
注意:如果没有分配基本角色,就不能拥有Grafana用户。
基本角色修改
您可以使用RBAC修改与任何基本角色相关的权限,这将改变查看器、编辑器或管理员可以执行的操作。不能删除基本角色。
请注意,对这些基本角色的任何修改都不会传播到其他基本角色。例如,如果修改查看器基本角色并授予额外权限,编辑器或管理员将没有额外权限。
有关与每个基本角色关联的权限的详细信息,请参阅基本角色定义.若要与API交互、查看或修改基本角色权限,请参见表将基本角色名映射到关联的UID。
固定的角色
Grafana Enterprise包括为用户、团队和服务帐户分配离散固定角色的能力。与仅使用基本角色相比,这为您提供了对用户权限的细粒度控制。这些角色被称为“固定”角色,因为您不能更改或删除固定角色。你也可以创建自定义你自己的角色;参见自定义角色部分在下面。
当基本角色不满足权限要求时,可以分配固定角色。例如,您可能希望具有基本查看器角色的用户也可以编辑仪表板。或者,您可能希望具有编辑器角色的任何人也可以添加和管理用户。固定角色为用户提供更细粒度的访问,以创建、查看和更新以下Grafana资源:
要详细了解可以为每个资源授予的权限,请参阅RBAC角色定义.
自定义角色
如果您是Grafana企业客户,您可以创建自定义角色来管理用户权限,以满足您的安全需求。
自定义角色包含权限的唯一组合行动而且作用域.action定义了用户可以对Grafana资源执行的操作。例如,teams.roles:阅读
Action允许用户查看与每个团队关联的角色列表。
作用域描述可以在何处执行操作。例如,团队:id: 1
scope将用户的行动限制到具有ID的团队1
.当与teams.roles:阅读
操作时,此权限禁止用户查看团队以外的团队的角色1
.
当固定角色不满足您的权限需求时,请考虑创建自定义角色。
自定义角色创建
自定义角色的创建、分配和管理包括以下两种方式:
- Grafana配置:您可以使用YAML文件配置角色。有关使用供应创建自定义角色的更多信息,请参见管理RBAC角色.有关使用配置将RBAC角色分配给用户或团队的更多信息,请参见分配RBAC角色.
- RBAC API:作为一种替代方案,您可以使用Grafana HTTP API来创建和管理角色。有关HTTP API的更多信息,请参阅RBAC API.
限制
如果您已经创建了一个名称为一般
或一般
,则无法通过RBAC管理其权限。
如果你设置文件夹权限对于名为一般
或一般
,当启用RBAC时,系统将忽略该文件夹。