菜单
文档breadcrumb arrow Grafana文档breadcrumb arrow 管理breadcrumb arrow 角色和权限
企业版 开源版 Grafana Cloud RSS

角色和权限

用户是指任何可以登录Grafana的个人。每个用户都与一个包含权限角色相关联。权限决定了用户可以在系统中执行的任务。例如,管理员角色包括管理员创建和删除用户的权限。

您可以分配以下三种类型的权限给用户

  • Grafana服务器管理员权限:管理Grafana服务器全局设置和资源
  • 组织权限:管理整个组织对仪表板、警报、插件、团队、播放列表和其他资源的访问。可用的角色有查看者、编辑器和管理员。
  • 仪表板和文件夹权限:管理对仪表板和文件夹的访问

注意

如果您运行的是Grafana企业版,您还可以控制对数据源的访问,并使用基于角色的访问控制来授予用户对特定Grafana资源的读写权限。有关Grafana企业版中可用的访问控制选项的更多信息,请参阅Grafana企业版用户权限功能

Grafana服务器管理员

一个Grafana服务器管理员负责管理服务器全局设置和资源(如组织、用户和许可证)的访问。Grafana包括一个默认的服务器管理员,您可以使用它来管理Grafana的所有功能,或者您可以将此责任分配给其他您创建的服务器管理员。

注意

服务器管理员角色并不意味着用户也是 Grafana 组织管理员

服务器管理员可以执行以下任务:

  • 管理用户和权限
  • 创建、编辑和删除组织
  • 查看在 配置 文件中定义的全局设置
  • 查看 Grafana 服务器统计信息,包括总用户和活跃会话
  • 将服务器升级到 Grafana 企业版。

注意

Grafana 云服务中不存在服务器管理员角色。

要分配或移除服务器管理员权限,请参阅 服务器用户管理

组织用户和权限

所有 Grafana 用户至少属于一个组织。组织是在您的 Grafana 实例中存在的实体。

组织内分配给用户的权限控制用户对以下组织资源的访问和更新程度

  • 仪表板和文件夹
  • 警报
  • 播放列表
  • 该组织内的用户
  • 数据源
  • 团队
  • 组织和团队设置
  • 插件
  • 注释
  • 库面板
  • API 密钥

有关管理组织用户的更多信息,请参阅 用户管理

组织角色

基于角色的组织权限是全局的,这意味着每个权限级别适用于给定组织内的所有 Grafana 资源。例如,编辑者可以查看和更新组织中的所有仪表板,除非这些仪表板已经使用 仪表板权限 被特别限制。

Grafana 使用以下角色来控制用户访问:

  • 组织管理员:可以访问所有组织资源,包括仪表板、用户和团队。
  • 编辑者:可以查看和编辑仪表板、文件夹和播放列表。
  • 查看者:可以查看仪表板、播放列表和查询数据源。
  • 无基本角色:没有权限。需要时将使用 RBAC 添加权限。

下表列出了每个角色的权限。

权限组织管理员编辑者查看者无基本角色
查看仪表板
添加、编辑、删除仪表板
添加、编辑、删除文件夹
查看播放列表
添加、编辑、删除播放列表
创建库面板
查看注释
添加、编辑、删除注释
访问探索
直接查询数据源
添加、编辑、删除数据源
添加和编辑用户
添加和编辑团队
更改组织设置
更改团队设置
配置应用程序插件

仪表板权限

当您想扩展查看者的编辑和保存仪表板更改的能力,或限制编辑者的修改仪表板权限时,您可以为仪表板和文件夹分配权限。例如,您可能希望某些查看者能够编辑仪表板。尽管该用户可以 查看 所有仪表板,但您可以授予他们仅更新其中之一的能力。

重要:您指定的仪表板权限将覆盖您为所选实体分配给用户的组织权限。

您可以为仪表板和文件夹指定以下权限。

  • 管理员:可以创建、编辑或删除仪表板。可以编辑或删除文件夹,并在文件夹中创建仪表板和子文件夹。管理员还可以更改仪表板和文件夹权限。
  • 编辑:可以创建、编辑或删除仪表板。可以编辑或删除文件夹,并在文件夹中创建仪表板和子文件夹。编辑者 不能 修改文件夹或仪表板权限。
  • 查看:只能查看仪表板和文件夹。

重要:当用户创建仪表板或文件夹时,他们自动获得对该仪表板或文件夹的 管理员 权限。

有关分配仪表板文件夹权限的更多信息,请参阅授予仪表板文件夹权限

有关分配仪表板权限的更多信息,请参阅授予仪表板权限

具有管理员权限的编辑者

如果您有权访问Grafana服务器,您可以将默认编辑者角色修改为允许编辑者使用管理员权限来管理他们创建的仪表板文件夹、仪表板和团队。

注意

此权限不允许编辑者管理他们未创建的文件夹、仪表板和团队。

此设置可以用于启用自组织的团队管理他们自己的仪表板。

有关将管理员权限授予编辑者的更多信息,请参阅授予编辑者管理员权限

具有仪表板预览和探索权限的查看者

如果您有权访问Grafana服务器,您可以将默认查看者角色修改为允许查看者:

  • 编辑和预览仪表板,但不能保存更改或创建新的仪表板。
  • 访问和使用探索

扩展查看者角色对于希望匿名用户能够编辑面板和查询,但不能保存或创建新仪表板的公共Grafana安装非常有用。

有关将仪表板预览权限分配给查看者的更多信息,请参阅允许查看者预览仪表板和使用探索

团队和权限

团队是组织内具有共同仪表板和数据源权限需求的用户组。例如,您可以为五个用户创建一个团队,并将仪表板权限分配给该团队,而不是将访问权限分配给同一仪表板的五个用户。用户可以属于多个团队。

您可以为团队成员分配以下权限之一

  • 成员:包括用户作为团队成员。成员不具有团队管理员权限。
  • 管理员:管理员有权管理团队的各个方面,包括团队成员、权限和设置。

因为团队存在于组织中,组织管理员可以管理所有团队。当启用editors_can_admin设置时,编辑者可以创建团队并管理他们创建的团队。有关editors_can_admin设置的更多信息,请参阅授予编辑者管理员权限

有关管理团队的详细信息,请参阅团队管理

Grafana企业版用户权限功能

虽然Grafana OSS包含了一套强大的权限和设置,可用于管理对服务器和组织资源的用户访问,但您可能需要额外的功能。

Grafana企业版提供了以下与权限相关的功能

  • 数据源权限
  • 基于角色的访问控制(RBAC)

数据源权限

默认情况下,用户可以查询组织中的任何数据源,即使数据源未与用户的仪表板链接。

数据源权限允许您将数据源查询权限限制到特定的 用户服务帐户团队。有关分配数据源权限的更多信息,请参阅数据源权限

基于角色的访问控制

RBAC为您提供一种方法来授予、更改和撤销用户对Grafana资源的读取和写入访问权限,例如用户、报告和身份验证。

有关RBAC的更多信息,请参阅基于角色的访问控制

了解更多

想了解更多吗?完成创建用户和团队教程,了解如何设置用户和团队。