菜单
配置 RBAC
Grafana Enterprise 和 Grafana Cloud 的基于角色的访问控制 (RBAC) 提供了一种标准化方式来授予、更改和撤销访问权限,以便用户可以查看和修改 Grafana 资源。
用户是指可以登录 Grafana 的任何个人。每个用户都与一个包含权限的角色相关联。权限决定了用户可以在系统中执行的任务。
每个权限包含一个或多个操作以及一个范围。
权限
Grafana 告警具有以下权限。
| 操作 | 适用范围 | 描述 |
|---|---|---|
alert.instances.external:read | datasources:*datasources:uid:* | 读取支持告警的数据源中的告警和静默。 |
alert.instances.external:write | datasources:*datasources:uid:* | 管理支持告警的数据源中的告警和静默。 |
alert.instances:create | n/a | 在当前组织中创建静默。 |
alert.instances:read | n/a | 在当前组织中读取告警和静默。 |
alert.instances:write | n/a | 在当前组织中更新和使静默过期。 |
alert.notifications.external:read | datasources:*datasources:uid:* | 读取支持告警的数据源中的模板、联系点、通知策略和静默时间。 |
alert.notifications.external:write | datasources:*datasources:uid:* | 管理支持告警的数据源中的模板、联系点、通知策略和静默时间。 |
alert.notifications:write | n/a | 在当前组织中管理模板、联系点、通知策略和静默时间。 |
alert.notifications:read | n/a | 在当前组织中读取所有模板、联系点、通知策略和静默时间。 |
alert.rules.external:read | datasources:*datasources:uid:* | 读取支持告警的数据源(Prometheus、Mimir 和 Loki)中的告警规则 |
alert.rules.external:write | datasources:*datasources:uid:* | 创建、更新和删除支持告警的数据源(Mimir 和 Loki)中的告警规则。 |
alert.rules:create | folders:*folders:uid:* | 在文件夹及其子文件夹中创建 Grafana 告警规则。将此权限与包含该文件夹范围内的 folders:read 权限以及用户可以查询的数据源范围内的 datasources:query 权限结合使用。 |
alert.rules:delete | folders:*folders:uid:* | 在文件夹及其子文件夹中删除 Grafana 告警规则。将此权限与包含该文件夹范围内的 folders:read 权限以及用户可以查询的数据源范围内的 datasources:query 权限结合使用。 |
alert.rules:read | folders:*folders:uid:* | 在文件夹及其子文件夹中读取 Grafana 告警规则。将此权限与包含该文件夹范围内的 folders:read 权限结合使用。 |
alert.rules:write | folders:*folders:uid:* | 在文件夹及其子文件夹中更新 Grafana 告警规则。将此权限与包含该文件夹范围内的 folders:read 权限以及用户可以查询的数据源范围内的 datasources:query 权限结合使用。 |
alert.silences:create | folders:*folders:uid:* | 在文件夹及其子文件夹中创建特定规则的静默。 |
alert.silences:read | folders:*folders:uid:* | 在文件夹及其子文件夹中读取所有通用静默和特定规则的静默。 |
alert.silences:write | folders:*folders:uid:* | 在文件夹及其子文件夹中更新和使特定规则的静默过期。 |
alert.provisioning:read | n/a | 通过自动配置 API 读取所有 Grafana 告警规则、通知策略等。无需文件夹和数据源权限。 |
alert.provisioning.secrets:read | n/a | 与 alert.provisioning:read 相同,外加导出包含解密 Secret 的资源的能力。 |
alert.provisioning:write | n/a | 通过自动配置 API 更新所有 Grafana 告警规则、通知策略等。无需文件夹和数据源权限。 |
alert.provisioning.provenance:write | n/a | 设置告警资源的自动配置状态。不能单独使用。要求用户拥有访问资源的权限 |
alert.notifications.receivers:read | receivers:*receivers:uid:* | 读取联系点。 |
alert.notifications.receivers.secrets:read | receivers:*receivers:uid:* | 导出包含解密 Secret 的联系点。 |
alert.notifications.receivers:create | n/a | 创建新的联系点。创建者将自动获得对所创建联系点的完全访问权限。 |
alert.notifications.receivers:write | receivers:*receivers:uid:* | 更新现有联系点。 |
alert.notifications.receivers:delete | receivers:*receivers:uid:* | 更新和删除现有联系点。 |
receivers.permissions:read | receivers:*receivers:uid:* | 读取联系点的权限。 |
receivers.permissions:write | receivers:*receivers:uid:* | 管理联系点的权限。 |
alert.notifications.time-intervals:read | n/a | 读取静默时间间隔。 |
alert.notifications.time-intervals:write | n/a | 创建新的或更新现有的静默时间间隔。 |
alert.notifications.time-intervals:delete | n/a | 删除现有时间间隔。 |
alert.notifications.templates:read | n/a | 读取模板。 |
alert.notifications.templates:write | n/a | 创建新的或更新现有的模板。 |
alert.notifications.templates:delete | n/a | 删除现有模板。 |
alert.notifications.routes:read | n/a | 读取通知策略。 |
alert.notifications.routes:write | n/a | 创建新的、更新通知策略。 |
要帮助规划您的 RBAC 推行策略,请参阅规划您的 RBAC 推行策略。
