在当今的协作工作环境中,多个团队通常需要访问和管理相同的监视仪表板。 无论是 DevOps 团队监视应用程序性能还是支持团队对客户问题进行故障排除,拥有适当的访问权限都至关重要。 Azure 托管 Grafana 允许为团队成员和标识设置不同级别的权限,从而可简化此过程。
本指南将指导你完成支持的 Grafana 角色,并演示如何使用角色和权限设置来与团队成员和标识共享相关访问权限。
先决条件
- 具有活动订阅的 Azure 帐户。 免费创建帐户。
- Azure 托管 Grafana 工作区。 如果还没有,请创建一个 Azure 托管 Grafana 工作区。
- 你必须在该工作区上拥有 Grafana 管理员权限。
了解 Grafana 角色
Azure 托管 Grafana 支持 Azure 基于角色的访问控制 (RBAC),这是用于管理对 Azure 资源的个人访问权限的授权系统。
使用 Azure RBAC,可以向用户、组、服务主体或托管标识分配不同的权限级别来管理 Azure 托管 Grafana 资源。
Azure 托管 Grafana 中提供了以下内置角色,每个角色可提供不同的访问权限级别:
| 内置角色 | 说明 | ID |
|---|---|---|
| Grafana 管理员 | 执行所有 Grafana 操作,包括在 Grafana 中管理数据源、创建仪表板和管理角色分配。 | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Grafana 编辑者 | 查看和编辑 Grafana 实例,包括其仪表板和警报。 | a79a5197-3a5c-4973-a920-486035ffd60f |
| Grafana 受限查看者 | 查看 Grafana 主页。 默认情况下,此角色不包含任何分配的权限,并且不适用于 Grafana v9 工作区。 | 41e04612-9dac-4699-a02b-c82ff2cc3fb5 |
| Grafana 查看者 | 查看 Grafana 工作区,包括其仪表板和警报。 | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
若要访问 Grafana 用户界面,用户必须拥有上述角色之一。 可以从 Grafana 文档查找有关 Grafana 角色的详细信息。 Azure 中的 Grafana 受限查看者角色映射到 Grafana 文档中的“无基本角色”。
分配 Grafana 角色
Grafana 用户角色和分配已在 Microsoft Entra ID 中完全集成。 你可以将 Grafana 角色分配给任何 Microsoft Entra 用户、组、服务主体或托管标识,并为其授予与该角色关联的访问权限。 可以通过 Azure 门户或命令行管理这些权限。 本部分介绍如何在 Azure 门户中将 Grafana 角色分配给用户。
打开 Azure 托管 Grafana 工作区。
在左侧菜单中选择“访问控制(IAM)”。
选择“添加角色分配”。
从“Grafana 管理员”、“Grafana 编辑者”、“Grafana 受限查看者”或“Grafana 查看者”中选择要分配的 Grafana 角色,然后选择“下一步”。
选择是要将访问权限分配给“用户、组或服务主体”,还是分配给“托管标识”。
单击“选择成员”,选择要为其分配 Grafana 角色的成员,然后单击“选择”以确认。
选择“下一步”,然后选择“查看 + 分配”完成角色分配。
提示
将新用户加入 Azure 托管 Grafana 工作区时,向他们授予“Grafana 受限查看者”角色后,他们只能访问 Grafana 工作区。
然后,可以使用其管理设置向用户授予对每个相关仪表板和数据源的访问权限。 此方法可确保具有“Grafana 受限查看者”角色的用户仅访问所需的特定组件,从而增强安全性和数据隐私。
编辑特定组件元素的权限
按照以下步骤从 Grafana 用户界面编辑特定组件(例如仪表板、文件夹和数据源)的权限:
- 打开 Grafana 门户并导航到要管理其权限的组件。
- 转到“设置”>“权限”>“添加权限”。
- 在“添加权限”下,选择用户、服务帐户、团队或角色,并为其分配所需的权限级别:查看、编辑或管理员。