菜单
Grafana Cloud Enterprise
RBAC 角色定义
注意
适用版本
下表列出了与基本角色和固定角色相关的权限。这不包括插件或应用添加的基本角色分配。
基本角色分配
| 基本角色 | UID | 相关联的固定角色 | 描述 |
|---|---|---|---|
| Grafana 管理员 | basic_grafana_admin | fixed:roles:readerfixed:roles:writerfixed:users:readerfixed:users:writerfixed:org.users:readerfixed:org.users:writerfixed:ldap:readerfixed:ldap:writerfixed:stats:readerfixed:settings:readerfixed:settings:writerfixed:provisioning:writerfixed:organization:readerfixed:organization:maintainerfixed:licensing:readerfixed:licensing:writerfixed:datasources.caching:readerfixed:datasources.caching:writerfixed:dashboards.insights:readerfixed:datasources.insights:readerfixed:plugins:maintainerfixed:authentication.config:writerfixed:library.panels:creatorfixed:library.panels:readerfixed:library.panels:general.readerfixed:library.panels:writerfixed:library.panels:general.writerfixed:migrationassistant:migrator | 默认 Grafana 服务器管理员 分配。 |
| 管理员 | basic_admin | fixed:reports:readerfixed:reports:writerfixed:datasources:readerfixed:datasources:writerfixed:organization:writerfixed:datasources.permissions:readerfixed:datasources.permissions:writerfixed:teams:writerfixed:dashboards:readerfixed:dashboards:writerfixed:dashboards.permissions:readerfixed:dashboards.permissions:writerfixed:dashboards.public:writerfixed:folders:readerfixed:folders:writerfixed:folders.permissions:readerfixed:folders.permissions:writerfixed:alerting:writerfixed:apikeys:readerfixed:apikeys:writerfixed:alerting.provisioning.secrets:readerfixed:alerting.provisioning:writerfixed:datasources.caching:readerfixed:datasources.caching:writerfixed:dashboards.insights:readerfixed:datasources.insights:readerfixed:plugins:writerfixed:library.panels:creatorfixed:library.panels:readerfixed:library.panels:general.readerfixed:library.panels:writerfixed:library.panels:general.writerfixed:alerting.provisioning.status:writer | 默认 Grafana 组织管理员 分配。 |
| 编辑者 | basic_editor | fixed:datasources:explorerfixed:dashboards:creatorfixed:folders:creatorfixed:annotations:writerfixed:alerting:writerfixed:dashboards.insights:readerfixed:datasources.insights:readerfixed:library.panels:creatorfixed:library.panels:general.readerfixed:library.panels:general.writerfixed:alerting.provisioning.status:writer | 默认编辑者 分配。 |
| 观察者 | basic_viewer | fixed:datasources.id:readerfixed:organization:readerfixed:annotations:readerfixed:annotations.dashboard:writerfixed:alerting:readerfixed:plugins.app:readerfixed:dashboards.insights:readerfixed:datasources.insights:readerfixed:library.panels:general.reader | 默认观察者 分配。 |
| 无基本角色 | 不适用 | 默认无基本角色 |
固定角色定义
下表包含现有的内置固定角色定义。Grafana 中安装的插件可能会添加其他固定角色。此处显示的 UUID 可用作 Terraform 置备 的标识符。
注意
如果您的实例是在 Grafana v10.2.0 之前创建的,这些 UUID 将不可用。
要了解如何使用角色 API 确定角色 UUID,请参阅管理 RBAC 角色。
| 固定角色 | UUID | 权限 | 描述 |
|---|---|---|---|
fixed:alerting:reader | fixed_O2oP1_uBFozI2i93klAkcvEWR30 | 包含 fixed:alerting.rules:reader 的所有权限fixed:alerting.instances:readerfixed:alerting.notifications:reader | 对所有 Grafana、Mimir、Loki 和 Alertmanager 告警规则*、告警、联系点和通知策略拥有只读权限。* |
fixed:alerting:writer | fixed_-PAZgSJsDlRD8NUg-PFSeH_BkJY | 包含 fixed:alerting.rules:writer 的所有权限fixed:alerting.instances:writerfixed:alerting.notifications:writer | 创建、更新和删除所有 Grafana、Mimir、Loki 和 Alertmanager 告警规则*、静默、联系点、模板、静默时间和通知策略。* |
fixed:alerting.instances:reader | fixed_ut5fVS-Ulh_ejFoskFhJT_rYg0Y | 组织范围的 alert.instances:readdatasources:* 范围的 alert.instances.external:read | 读取由 Grafana 告警以及 Mimir 和 Loki 告警和静默生成的所有组织内告警和静默。* |
fixed:alerting.instances:writer | fixed_pKOBJE346uyqMLdgWbk1NsQfEl0 | 包含 fixed:alerting.instances:reader 的所有权限以及alert.instances:create组织范围的 alert.instances:writedatasources:* 范围的 alert.instances.external:write | 创建、更新和使由 Grafana、Mimir 和 Loki 生成的所有组织内静默过期。* |
fixed:alerting.notifications:reader | fixed_hmBn0lX5h1RZXB9Vaot420EEdA0 | 组织范围的 alert.notifications:readdatasources:* 范围的 alert.notifications.external:read | 读取所有 Grafana 和 Alertmanager 联系点、模板和通知策略。* |
fixed:alerting.notifications:writer | fixed_XplK6HPNxf9AP5IGTdB5Iun4tJc | 包含 fixed:alerting.notifications:reader 的所有权限以及组织范围的 alert.notifications:writedatasources:* 范围的 alert.notifications.external:read | 为 Grafana 和外部 Alertmanager 创建、更新和删除联系点、模板、静默时间和通知策略。* |
fixed:alerting.provisioning:writer | fixed_y7pFjdEkxpx5ETdcxPvp0AgRuUo | alert.provisioning:read 和 alert.provisioning:write | 通过置备 API 创建、更新和删除 Grafana 告警规则、通知策略、联系点、模板等。* |
fixed:alerting.provisioning.secrets:reader | fixed_9fmzXXZZG-Od0Amy2ofEG8Uk--c | alert.provisioning:read 和 alert.provisioning.secrets:read | 对置备 API 具有只读权限,并允许导出包含解密密钥的资源。* |
fixed:alerting.provisioning.status:writer | fixed_eAxlzfkTuobvKEgXHveFMBZrOj8 | alert.provisioning.provenance:write | 为告警规则、通知策略、联系点等设置溯源状态。应与常规写入者角色一起使用。* |
fixed:alerting.rules:reader | fixed_fRGKL_vAqUsmUWq5EYKnOha9DcA | alert.rule:read, alert.silences:read for scope folders:*datasources:* 范围的 alert.rules.external:readalert.notifications.time-intervals:readalert.notifications.receivers:list | 读取所有* Grafana、Mimir 和 Loki 告警规则。* 并读取特定规则的静默 |
fixed:alerting.rules:writer | fixed_YJJGwAalUwDZPrXSyFH8GfYBXAc | 包含 fixed:alerting.rules:reader 的所有权限以及alert.rule:createalert.rule:writealert.rule:deletealert.silences:createfolders:* 范围的 alert.silences:writedatasources:* 范围的 alert.rules.external:write | 创建、更新和删除所有* Grafana、Mimir 和 Loki 告警规则。* 并管理特定规则的静默 |
fixed:annotations:reader | fixed_hpZnoizrfAJsrceNcNQqWYV-xNU | annotations:type:* 范围的 annotations:read | 读取所有注释和注释标签。 |
fixed:annotations:writer | fixed_ZVW-Aa9Tzle6J4s2aUFcq1StKWE | 包含 fixed:annotations:reader 的所有权限annotations:writeannotations.createannotations:type:* 范围的 annotations:delete | 读取、创建、更新和删除所有注释和注释标签。 |
fixed:annotations.dashboard:writer | fixed_8A775xenXeKaJk4Cr7bchP9yXOA | annotations:writeannotations.createannotations:type:dashboard 范围的 annotations:delete | 创建、更新和删除仪表盘注释和注释标签。 |
fixed:apikeys:reader | fixed_kYZ7UEkwEvGmCCjTrq07cFAVFws | apikeys:* 范围的 apikeys:read | 读取所有 API 密钥。 |
fixed:apikeys:writer | fixed_anTrcpRkm21NBO1Q2CsX8y0fiCQ | 包含 fixed:apikeys:reader 的所有权限以及apikeys:createapikeys:* 范围的 apikeys:delete | 读取、创建、删除所有 API 密钥。 |
fixed:authentication.config:writer | fixed_0rYhZ2Qnzs8AdB1nX7gexk3fHDw | settings:auth.saml:* 范围的 settings:readsettings:auth.saml:* 范围的 settings:write | 读取和更新身份验证和 SAML 设置。 |
fixed:dashboards:creator | fixed_ZorKUcEPCM01A1fPakEzGBUyU64 | dashboards:createfolders:read | 创建仪表盘。 |
fixed:dashboards:reader | fixed_Sgr67JTOhjQGFlzYRahOe45TdWM | dashboards:read | 读取所有仪表盘。 |
fixed:dashboards:writer | fixed_OK2YOQGIoI1G031hVzJB6rAJQAs | 包含 fixed:dashboards:reader 的所有权限以及dashboards:writedashboards:deletedashboards:createdashboards.permissions:readdashboards.permissions:write | 读取、创建、更新和删除所有仪表盘。 |
fixed:dashboards.insights:reader | fixed_JlBJ2_gizP8zhgaeGE2rjyZe2Rs | dashboards.insights:read | 读取仪表盘洞察数据并查看在线指示器。 |
fixed:dashboards.permissions:reader | fixed_f17oxuXW_58LL8mYJsm4T_mCeIw | dashboards.permissions:read | 读取所有仪表盘权限。 |
fixed:dashboards.permissions:writer | fixed_CcznxhWX_Yqn8uWMXMQ-b5iFW9k | 包含 fixed:dashboards.permissions:reader 的所有权限以及dashboards.permissions:write | 读取和更新所有仪表盘权限。 |
fixed:dashboards.public:writer | fixed_f_GHHRBciaqESXfGz2oCcooqHxs | dashboards.public:write | 创建、更新、删除或暂停共享仪表盘。 |
fixed:datasources:creator | fixed_XX8jHREgUt-wo1A-rPXIiFlX6Zw | datasources:create | 创建数据源。 |
fixed:datasources:explorer | fixed_qDzW9mzx9yM91T5Bi8dHUM2muTw | datasources:explore | 启用 Explore 功能。数据源权限仍然适用,您只能查询您有查询权限的数据源。 |
fixed:datasources:reader | fixed_C2x8IxkiBc1KZVjyYH775T9jNMQ | datasources:readdatasources:query | 读取和查询数据源。 |
fixed:datasources:writer | fixed_q8HXq8kjjA5IlHHgBJlKlUyaNik | 包含 fixed:datasources:reader 的所有权限以及datasources:createdatasources:writedatasources:delete | 读取、查询、创建、删除或更新数据源。 |
fixed:datasources.caching:reader | fixed_D2ddpGxJYlw0mbsTS1ek9fj0kj4 | datasources.caching:read | 读取数据源查询缓存设置。 |
fixed:datasources.caching:writer | fixed_JtFjHr7jd7hSqUYcktKvRvIOGRE | datasources.caching:readdatasources.caching:write | 启用、禁用或更新查询缓存设置。 |
fixed:datasources.id:reader | fixed_entg--fHmDqWY2-69N0ocawK0Os | datasources.id:read | 根据数据源名称读取其 ID。 |
fixed:datasources.insights:reader | fixed_EBZ3NwlfecNPp2p0XcZRC1nfEYk | datasources.insights:read | 读取数据源洞察数据。 |
fixed:datasources.permissions:reader | fixed_ErYA-cTN3yn4h4GxaVPcawRhiOY | datasources.permissions:read | 读取数据源权限。 |
fixed:datasources.permissions:writer | fixed_aiQh9YDfLOKjQhYasF9_SFUjQiw | 包含 fixed:datasources.permissions:reader 的所有权限以及datasources.permissions:write | 创建、读取或删除数据源的权限。 |
fixed:folders:creator | fixed_gGLRbZGAGB6n9uECqSh_W382RlQ | folders:create | 在根级别创建文件夹。 |
fixed:folders:reader | fixed_yeW-5QPeo-i5PZUIUXMlAA97GnQ | folders:readdashboards:read | 读取所有文件夹和仪表盘。 |
fixed:folders:writer | fixed_wJXLoTzgE7jVuz90dryYoiogL0o | 包含 fixed:dashboards:writer 的所有权限以及folders:readfolders:writefolders:createfolders:deletefolders.permissions:readfolders.permissions:write | 读取、更新和删除所有文件夹和仪表盘。创建文件夹和子文件夹。 |
fixed:folders.permissions:reader | fixed_E06l4cx0JFm47EeLBE4nmv3pnSo | folders.permissions:read | 读取所有文件夹权限。 |
fixed:folders.permissions:writer | fixed_3GAgpQ_hWG8o7-lwNb86_VB37eI | 包含 fixed:folders.permissions:reader 的所有权限以及folders.permissions:write | 读取和更新所有文件夹权限。 |
fixed:ldap:reader | fixed_lMcOPwSkxKY-qCK8NMJc5k6izLE | ldap.user:readldap.status:read | 读取 LDAP 配置和 LDAP 状态信息。 |
fixed:ldap:writer | fixed_p6AvnU4GCQyIh7-hbwI-bk3GYnU | 包含 fixed:ldap:reader 的所有权限以及ldap.user:syncldap.config:reload | 读取和更新 LDAP 配置,并读取 LDAP 状态信息。 |
fixed:library.panels:creator | fixed_6eX6ItfegCIY5zLmPqTDW8ZV7KY | library.panels:createfolders:read | 在根级别创建库面板。 |
fixed:library.panels:general.reader | fixed_ct0DghiBWR_2BiQm3EvNPDVmpio | library.panels:read | 读取根级别所有库面板。 |
fixed:library.panels:general.writer | fixed_DgprkmqfN_1EhZ2v1_d1fYG8LzI | 包含 fixed:library.panels:general.reader 的所有权限以及library.panels:createlibrary.panels:deletelibrary.panels:write | 在根级别创建、读取、写入或删除所有库面板及其权限。 |
fixed:library.panels:reader | fixed_tvTr9CnZ6La5vvUO_U_X1LPnhUs | library.panels:read | 读取所有库面板。 |
fixed:library.panels:writer | fixed_JTljAr21LWLTXCkgfBC4H0lhBC8 | 包含 fixed:library.panels:reader 的所有权限以及library.panels:createlibrary.panels:deletelibrary.panels:write | 创建、读取、写入或删除所有库面板及其权限。 |
fixed:licensing:reader | fixed_OADpuXvNEylO2Kelu3GIuBXEAYE | licensing:readlicensing.reports:read | 读取许可证信息和许可证报告。 |
fixed:licensing:writer | fixed_gzbz3rJpQMdaKHt-E4q0PVaKMoE | 包含 fixed:licensing:viewer 的所有权限以及licensing:writelicensing:delete | 读取许可证信息和许可证报告,更新和删除许可证令牌。 |
fixed:migrationassistant:migrator | fixed_LLk2p7TRuBztOAksTQb1Klc8YTk | migrationassistant:migrate | 通过迁移助手执行本地到云端的迁移。 |
fixed:org.users:reader | fixed_oCqNwlVHLOpw7-jAlwp4HzYqwGY | org.users:read | 读取单个组织内的用户。 |
fixed:org.users:writer | fixed_VERj5nayasjgf_Yh0sWqqCkxWlw | 包含 fixed:org.users:reader 的所有权限以及org.users:addorg.users:removeorg.users:write | 在单个组织内,添加用户、邀请新用户、读取用户信息及其角色、将用户从该组织中移除或更改用户的角色。 |
fixed:organization:maintainer | fixed_CMm-uuBaPUBf4r8XG3jIvxo55bg | 包含 fixed:organization:reader 的所有权限以及orgs:writeorgs:createorgs:deleteorgs.quotas:write | 创建、读取、写入或删除组织。读取或写入其配额。此角色需要全局分配。 |
fixed:organization:reader | fixed_0SZPJlTHdNEe8zO91zv7Zwiwa2w | orgs:readorgs.quotas:read | 读取组织及其配额。 |
fixed:organization:writer | fixed_Y4jGqDd8w1yCrPwlik8z5Iu8-3M | 包含 fixed:organization:reader 的所有权限以及orgs:writeorgs.preferences:readorgs.preferences:write | 读取组织、其配额或其偏好设置。更新组织属性或其偏好设置。 |
fixed:plugins:maintainer | fixed_yEOKidBcWgbm74x-nTa3lW5lOyY | plugins:install | 安装和卸载插件。需要全局分配。 |
fixed:plugins:writer | fixed_MRYpGk7kpNNwt2VoVOXFiPnQziE | plugins:write | 启用和禁用插件并编辑插件设置。 |
fixed:plugins.app:reader | fixed_AcZRiNYx7NueYkUqzw1o2OGGUAA | plugins.app:access | 访问应用插件(仍然强制执行组织角色)。 |
fixed:provisioning:writer | fixed_bgk1FCyR6OEDwhgirZlQgu5LlCA | provisioning:reload | 重新加载置备。 |
fixed:reports:reader | fixed_72_8LU_0ukfm6BdblOw8Z9q-GQ8 | reports:readreports:sendreports.settings:read | 读取所有报告和共享报告设置。 |
fixed:reports:writer | fixed_jBW3_7g1EWOjGVBYeVRwtFxhUNw | 包含 fixed:reports:reader 的所有权限以及reports:createreports:writereports:deletereports.settings:write | 创建、读取、更新或删除所有报告和共享报告设置。 |
fixed:roles:reader | fixed_GkfG-1NSwEGb4hpK3-E3qHyNltc | roles:readteams.roles:readusers.roles:readusers.permissions:read | 读取所有访问控制角色、分配给用户和团队的角色和权限。 |
fixed:roles:resetter | fixed_WgPpC3qJRmVpVTJavFNwfS5RuzQ | 具有 permissions:type:escalate 范围的 roles:write | 将基本角色重置为其默认设置。 |
fixed:roles:writer | fixed_W5aFaw8isAM27x_eWfElBhZ0iOc | 包含 fixed:roles:reader 的所有权限以及roles:writeroles:deleteteams.roles:addteams.roles:removeusers.roles:addusers.roles:remove | 创建、读取、更新或删除所有角色,为用户、团队分配或移除角色。 |
fixed:serviceaccounts:creator | fixed_Ikw60fckA0MyiiZ73BawSfOULy4 | serviceaccounts:create | 创建 Grafana 服务账号。 |
fixed:serviceaccounts:reader | fixed_QFjJAZ88iawMLInYOxPA1DB1w6I | serviceaccounts:read | 读取 Grafana 服务账号。 |
fixed:serviceaccounts:writer | fixed_iBvUNUEZBZ7PUW0vdkN5iojc2sk | serviceaccounts:readserviceaccounts:createserviceaccounts:writeserviceaccounts:deleteserviceaccounts.permissions:readserviceaccounts.permissions:write | 创建、更新、读取和删除所有 Grafana 服务账号并管理服务账号权限。 |
fixed:settings:reader | fixed_0LaUt1x6PP8hsZzEBhqPQZFUd8Q | settings:read | 读取 Grafana 实例设置。 |
fixed:settings:writer | fixed_joIHDgMrGg790hMhUufVzcU4j44 | 包含 fixed:settings:reader 的所有权限以及settings:write | 读取和更新 Grafana 实例设置。 |
fixed:stats:reader | fixed_OnRCXxZVINWpcKvTF5A1gecJ7pA | server.stats:read | 读取 Grafana 实例统计信息。 |
fixed:teams:creator | fixed_nzVQoNSDSn0fg1MDgO6XnZX2RZI | teams:createorg.users:read | 创建团队并列出组织用户(管理创建的团队所需)。 |
fixed:teams:read | fixed_Z8pB0GQlrqRt8IZBCJQxPWvJPgQ | teams:read | 列出所有团队。 |
fixed:teams:writer | fixed_xw1T0579h620MOYi4L96GUs7fZY | teams:createteams:deleteteams:readteams:writeteams.permissions:readteams.permissions:write | 创建、读取、更新和删除团队并管理团队成员资格。 |
fixed:users:reader | fixed_buZastUG3reWyQpPemcWjGqPAd0 | users:readusers.quotas:readusers.authtoken:read` | 读取所有用户及其信息,例如团队成员资格、身份验证令牌和配额。 |
fixed:users:writer | fixed_wjzgHHo_Ux25DJuELn_oiAdB_yM | 包含 fixed:users:reader 的所有权限以及users:writeusers:createusers:deleteusers:enableusers:disableusers.password:writeusers.permissions:writeusers:logoutusers.authtoken:writeusers.quotas:write | 读取和更新 Grafana 中所有用户的所有属性和设置:更新用户信息、读取用户信息、创建或启用/禁用用户、将用户设为 Grafana 管理员、退出用户、更新用户的身份验证令牌或更新所有用户的配额。 |
告警角色
您可以使用预定义角色来管理用户对告警规则、告警实例和告警通知设置的访问,并创建自定义角色来限制用户对文件夹中告警规则的访问。
对 Grafana 告警规则的访问是许多权限的交集
- 读取文件夹的权限。例如,固定角色
fixed:folders:reader包含动作folders:read和文件夹作用域folders:id:。 - 查询给定告警规则使用的所有数据源的权限。如果用户无法查询某个数据源,他们将无法看到查询该数据源的任何告警规则。
目前只有一个例外。角色 fixed:alerting.provisioning:writer 不需要用户拥有任何额外权限,并且可以通过特殊的置备 API 访问告警配置的所有方面。
有关访问告警规则所需权限的更多信息,请参阅创建自定义角色以访问文件夹中的告警。
Grafana OnCall 角色
如果您正在使用 Grafana OnCall,您可以尝试 Grafana OnCall 和 RBAC 之间的集成。有关可用的 OnCall RBAC 角色的详细列表,请参阅 可用的 Grafana OnCall RBAC 角色和授予的操作 中的表格。
下表列出了默认的 OnCall RBAC 角色对基本角色的分配
| 基本角色 | 相关联的固定角色 | 描述 |
|---|---|---|
| Grafana 管理员 | plugins:grafana-oncall-app:admin | 默认 Grafana 服务器管理员 分配。 |
| 管理员 | plugins:grafana-oncall-app:admin | 默认 Grafana 组织管理员 分配。 |
| 编辑者 | plugins:grafana-oncall-app:editor | 默认编辑者 分配。 |
| 观察者 | plugins:grafana-oncall-app:reader | 默认观察者 分配。 |
