菜单
文档breadcrumb arrow Grafana 文档breadcrumb arrow 管理breadcrumb arrow 数据源管理breadcrumb arrow 基于标签的数据源访问控制 (LBAC)breadcrumb arrow 为 Prometheus 数据源配置数据源 LBAC
Grafana Cloud 企业版

为 Prometheus 数据源配置数据源 LBAC

Grafana Cloud

数据源 LBAC 目前在 Grafana Cloud 的私有预览版中可用,适用于使用基本身份验证创建的 Prometheus。数据源 LBAC 的 Prometheus 数据源只能创建,目前不支持配置。

您无法通过 UI 为 Grafana 配置的数据源配置 LBAC 规则。作为替代方案,您可以在新数据源中复制已配置数据源的设置,如新 Prometheus 数据源的 LBAC 配置中所述,然后将 LBAC 配置添加到新数据源中。

开始之前

要使用 Prometheus 数据源的 LBAC,您需要在 Grafana 实例上启用特性开关 teamHttpHeadersMimir。转到设置中的特性开关页面启用该功能。

  • 确保您拥有在 Grafana Cloud 中创建 Prometheus 租户的权限设置
  • 确保您拥有 Grafana 的数据源管理员权限。

Grafana Cloud

数据源 LBAC 目前在 Grafana Cloud 的私有预览版中可用,适用于使用基本身份验证创建的 Prometheus。数据源 LBAC 的 Prometheus 数据源只能创建,目前不支持配置。

您无法通过 UI 为 Grafana 配置的数据源配置 LBAC 规则。我们建议您在新数据源中复制已配置数据源的设置,如新 Prometheus 数据源的 LBAC 配置中所述,然后将 LBAC 配置添加到新数据源中。

权限

我们建议您移除所有不需要访问数据源的角色和团队的权限。这将有助于确保只有需要的团队能够访问数据源。推荐的权限是 Admin 权限,并且仅为您想要添加数据源 LBAC 规则的团队添加 Query 权限。

任务 1:新 Prometheus 数据源的 LBAC 配置

  1. 通过 grafana.com 访问您的 Stack 的 Prometheus 数据源详情
  2. 复制 Prometheus 详情并创建 CAP
    • 复制您的 Prometheus 设置详情。
    • 在 grafana.com 中为 Prometheus 数据源创建云访问策略 (CAP)。
    • 确保 CAP 包含 metrics:read 权限。
    • 确保 CAP 不包含 labels 规则。
  3. 创建新的 Prometheus 数据源
    • 在 Grafana 中,继续添加新的数据源并选择 Prometheus 作为类型。
  4. 返回 Prometheus 数据源
    • 使用基本身份验证设置 Prometheus 数据源。使用 userID 作为用户名。使用生成的 CAP token 作为密码。
    • 保存并连接。
  5. 导航到数据源权限
    • 转到新创建的 Prometheus 数据源的权限选项卡。在这里,您会找到数据源 LBAC 规则部分。

有关如何为 Prometheus 数据源设置数据源 LBAC 规则的更多信息,请参阅为 Prometheus 数据源创建数据源 LBAC 规则

Grafana Enterprise

数据源 LBAC 在 Grafana Enterprise 中可用,适用于使用基本身份验证连接到 GEM 的 Prometheus。

您无法通过 UI 为 Grafana 配置的数据源配置 LBAC 规则。作为替代方案,您可以在新数据源中复制已配置数据源的设置,如新 Prometheus 数据源的 LBAC 配置中所述,然后将 LBAC 配置添加到新数据源中。

开始之前

要使用 Prometheus 数据源的 LBAC,您需要在 Grafana 实例上启用特性开关 teamHttpHeadersMimir。请联系支持人员为您启用此特性开关。

  • 确保您拥有在 Grafana 中创建集群的权限设置
  • 确保您拥有 Grafana 的插件管理员权限。
  • 确保您拥有 Grafana 的数据源管理员权限。

权限

我们建议您移除所有不需要访问数据源的角色和团队的权限。这将有助于确保只有需要的团队能够访问数据源。推荐的权限是 Admin 权限,并且仅为您想要添加数据源 LBAC 规则的团队添加 Query 权限。

任务 0:设置 Grafana Enterprise Metrics 租户和访问策略

  1. 访问插件页面并安装 Grafana Enterprise Metrics 插件
  2. 连接您的插件并使用 app 作为集群
  3. 访问应用程序 Grafana Enterprise Metrics 并配置租户
  4. 存储租户的 uid,用作基本身份验证的用户名
  5. 访问应用程序内部的策略页面并创建 AP
    • 为 Prometheus 数据源创建访问策略 (CAP)。
    • 确保 CAP 包含 metrics:read 权限。
    • 确保 CAP 不包含 labels 规则。
    • 存储 token,用作身份验证的密码。

任务 1:新 Prometheus 数据源的 LBAC 配置

  1. 创建新的 Prometheus 数据源
    • 在 Grafana 中,继续添加新的数据源并选择 Prometheus 作为类型。
  2. 返回 Prometheus 数据源
    • 使用基本身份验证设置 Prometheus 数据源。使用 uid 作为用户名。使用生成的 token 作为密码。
    • 保存并连接。
  3. 导航到数据源权限
    • 转到新创建的 Prometheus 数据源的权限选项卡。在这里,您会找到数据源 LBAC 规则部分。

有关如何为 Prometheus 数据源设置数据源 LBAC 规则的更多信息,请参阅为 Prometheus 数据源创建数据源 LBAC 规则