角色和权限
用户是任何可以登录 Grafana 的个人。每个用户都与一个包含权限的角色关联。权限决定了用户可以在系统中执行的任务。例如,Admin 角色包含管理员创建和删除用户的权限。
您可以为一个用户分配以下三种权限类型之一
- Grafana 服务器管理员权限:管理 Grafana 服务器范围的设置和资源
- 组织权限:管理整个组织的仪表盘、告警、插件、团队、播放列表及其他资源的访问权限。可用角色包括 Viewer、Editor 和 Admin。
- 仪表盘和文件夹权限:管理对仪表盘和文件夹的访问权限
注意
如果您正在运行 Grafana Enterprise,您还可以控制对数据源的访问,并使用基于角色的访问控制为用户授予特定 Grafana 资源的读写权限。有关 Grafana Enterprise 可用的访问控制选项的更多信息,请参阅Grafana Enterprise 用户权限功能。
注意
对于 Grafana Cloud 用户,Grafana 支持无权更改组织角色。请联系您的组织管理员。
Grafana 服务器管理员
Grafana 服务器管理员管理服务器范围的设置以及组织、用户和许可证等资源的访问。Grafana 包含一个默认的服务器管理员,您可以使用它来管理整个 Grafana,或者您可以将该职责分配给您创建的其他服务器管理员。
注意
服务器管理员角色不意味着该用户也是 Grafana 的组织管理员。
服务器管理员可以执行以下任务
- 管理用户和权限
- 创建、编辑和删除组织
- 查看配置文件中定义的服务器范围设置
- 查看 Grafana 服务器统计信息,包括总用户数和活动会话数
- 将服务器升级到 Grafana Enterprise。
注意
Grafana Cloud 中不存在服务器管理员角色。
要分配或移除服务器管理员权限,请参阅服务器用户管理。
组织用户和权限
所有 Grafana 用户至少属于一个组织。组织是存在于您的 Grafana 实例中的一个实体。
分配给组织内用户的权限控制着用户对以下组织资源的访问和更新程度
- 仪表盘和文件夹
- 告警
- 播放列表
- 该组织内的用户
- 数据源
- 团队
- 组织和团队设置
- 插件
- 注解
- 库面板
- API 密钥
有关管理组织用户的更多信息,请参阅用户管理。
组织角色
基于组织角色的权限是全局性的,这意味着每个权限级别适用于给定组织内的所有 Grafana 资源。例如,Editor 可以查看和更新组织中的*所有*仪表盘,除非使用仪表盘权限对这些仪表盘进行了特定限制。
Grafana 使用以下角色控制用户访问
- 组织管理员:拥有对所有组织资源的访问权限,包括仪表盘、用户和团队。
- Editor:可以查看和编辑仪表盘、文件夹和播放列表。
- Viewer:可以查看仪表盘、播放列表和查询数据源。
- 无基本角色:没有权限。将根据需要使用 RBAC 添加权限。
下表列出了每个角色的权限。
| 权限 | 组织管理员 | Editor | Viewer | 无基本角色 |
|---|---|---|---|---|
| 查看仪表盘 | 是 | 是 | 是 | |
| 添加、编辑、删除仪表盘 | 是 | 是 | ||
| 添加、编辑、删除文件夹 | 是 | 是 | ||
| 查看播放列表 | 是 | 是 | 是 | |
| 添加、编辑、删除播放列表 | 是 | 是 | ||
| 创建库面板 | 是 | 是 | ||
| 查看注解 | 是 | 是 | 是 | |
| 添加、编辑、删除注解 | 是 | 是 | ||
| 访问 Explore | 是 | 是 | ||
| 直接查询数据源 | 是 | 是 | 是 | |
| 添加、编辑、删除数据源 | 是 | |||
| 添加和编辑用户 | 是 | |||
| 添加和编辑团队 | 是 | |||
| 更改组织设置 | 是 | |||
| 更改团队设置 | 是 | |||
| 配置应用插件 | 是 |
仪表盘权限
当您希望扩展 Viewer 编辑和保存仪表盘更改的能力,或限制 Editor 修改仪表盘的权限时,您可以为仪表盘和文件夹分配权限。例如,您可能希望某个特定的 Viewer 能够编辑仪表盘。虽然该用户可以查看所有仪表盘,但您可以只授予他们更新其中一个的权限。
重要提示:您指定的仪表盘权限将覆盖您为所选实体分配给用户的组织权限。
您可以为仪表盘和文件夹指定以下权限。
- Admin:可以创建、编辑或删除仪表盘。可以编辑或删除文件夹,并在文件夹中创建仪表盘和子文件夹。管理员还可以更改仪表盘和文件夹权限。
- Edit:可以创建、编辑或删除仪表盘。可以编辑或删除文件夹,并在文件夹中创建仪表盘和子文件夹。Editor无法更改文件夹或仪表盘权限。
- View:只能查看仪表盘和文件夹。
重要提示:当用户创建仪表盘或文件夹时,他们会自动获得该项的Admin权限。
有关分配仪表盘文件夹权限的更多信息,请参阅授予仪表盘文件夹权限。
有关分配仪表盘权限的更多信息,请参阅授予仪表盘权限。
团队和权限
团队是组织内的一组用户,他们拥有共同的仪表盘和数据源权限需求。例如,您可以创建一个由需要访问同一仪表盘的五名用户组成的团队,并将仪表盘权限分配给该团队,而不是为这五名用户分别分配。一个用户可以属于多个团队。
您可以为团队成员分配以下权限之一
- Member:将用户包含为团队成员。Member 不拥有团队管理员权限。
- Admin:管理员拥有管理团队各个方面的权限,包括团队成员资格、权限和设置。
由于团队存在于组织内部,组织管理员可以管理所有团队。
有关管理团队的详细信息,请参阅团队管理。
Grafana Enterprise 用户权限功能
虽然 Grafana OSS 包含一套强大的权限和设置,可用于管理用户对服务器和组织资源的访问,但您可能需要额外的功能。
Grafana Enterprise 提供以下与权限相关的功能
- 数据源权限
- 基于角色的访问控制 (RBAC)
数据源权限
默认情况下,用户可以查询组织中的任何数据源,即使该数据源未链接到用户的仪表盘。
数据源权限使您可以将数据源查询权限限制给特定的用户、服务账户和团队。有关分配数据源权限的更多信息,请参阅数据源权限。
基于角色的访问控制
RBAC 为您提供了一种授予、更改和撤销用户对 Grafana 资源(如用户、报告和身份验证)的读写访问权限的方式。
有关 RBAC 的更多信息,请参阅基于角色的访问控制。
了解更多
想了解更多?完成创建用户和团队教程,学习如何设置用户和团队。
