应用插件的 RBAC
注意
在 Grafana Cloud 中可用。
RBAC 可用于管理对应用插件的访问。每个应用插件都会授予基础的 Viewer、Editor 和 Admin 组织角色一组默认的插件权限。您可以使用 RBAC 来限制基础组织角色可以访问哪些应用插件。一些应用插件支持细粒度的 RBAC,允许您为这些应用插件的团队和用户授予额外访问权限,无论其基础组织角色如何。
限制对应用插件的访问
默认情况下,Viewer、Editor 和 Admin 可以访问其组织角色允许访问的所有应用插件。要更改此默认行为并阻止基础组织角色访问应用插件,您必须更新基础角色的权限。要了解更多信息,请参阅阻止 Viewer 访问应用插件的示例。要授予对有限的应用插件集的访问权限,您需要插件 ID。您可以在 plugin.json 文件中或在 Grafana Cloud UI 中打开应用插件时的 URL 中找到它们。
请注意,除非应用插件支持细粒度的 RBAC,否则无法为组织角色无权访问该应用插件的用户授予该应用插件的访问权限。
对应用插件的细粒度访问
支持细粒度 RBAC 的插件允许您更精细地管理插件功能的访问权限。例如,您可以为具有 Viewer 组织角色的用户授予应用插件的管理员访问权限,或者限制 Editor 组织角色编辑插件资源的权限。
请参阅插件文档以了解插件具有哪些 RBAC 权限以及插件授予 Viewer、Editor 和 Admin 组织角色的默认访问权限。
以下列表包含支持细粒度 RBAC 的应用插件。
| 应用插件 | 应用插件 ID | 应用插件权限文档 |
|---|---|---|
| 访问策略 | grafana-auth-app | 访问策略的 RBAC 操作 |
| 自适应指标 | grafana-adaptive-metrics-app | 自适应指标的 RBAC 操作 |
| 事件 | grafana-incident-app | 不适用 |
| OnCall | grafana-oncall-app | 配置 OnCall 的 RBAC |
| 性能测试 (K6) | k6-app | 配置 K6 的 RBAC |
| 私有数据源连接 (PDC) | grafana-pdc-app | 不适用 |
| 服务等级目标 (SLO) | grafana-slo-app | 配置 SLO 的 RBAC |
撤销对应用插件的细粒度访问
要列出授予基础角色的所有权限,请使用HTTP API 端点查询角色。基础角色的 UID 列在RBAC 角色定义列表中。要从基础角色中移除不需要的插件权限,您必须更新基础角色的权限。
授予对应用插件的额外访问权限
要授予对应用插件的访问权限,您可以使用预定义的固定插件角色或创建具有特定插件权限的自定义角色。要了解如何分配 RBAC 角色,请参阅分配 RBAC 角色的文档。
