角色和权限
用户是指任何可以登录 Grafana 的个人。每个用户都与包含权限的角色相关联。权限决定用户可以在系统中执行哪些任务。例如,**管理员**角色包括允许管理员创建和删除用户的权限。
您可以为用户分配三种类型的权限
- Grafana 服务器管理员权限:管理 Grafana 服务器范围内的设置和资源
- 组织权限:管理对整个组织的仪表盘、警报、插件、团队、播放列表和其他资源的访问。可用的角色包括查看者、编辑者和管理员。
- 仪表盘和文件夹权限:管理对仪表盘和文件夹的访问
注意
如果您正在运行 Grafana Enterprise,您还可以控制对数据源的访问,并使用基于角色的访问控制来授予用户对特定 Grafana 资源的读写权限。有关 Grafana Enterprise 提供的访问控制选项的更多信息,请参阅Grafana Enterprise 用户权限功能。
Grafana 服务器管理员
Grafana 服务器管理员管理服务器范围内的设置以及对组织、用户和许可证等资源的访问。Grafana 包含一个默认的服务器管理员,您可以使用它来管理所有 Grafana,或者您可以将此责任分配给您创建的其他服务器管理员。
注意
服务器管理员角色并不意味着该用户也是 Grafana 的组织管理员。
服务器管理员可以执行以下任务
- 管理用户和权限
- 创建、编辑和删除组织
- 查看在配置文件中定义的服务器范围内的设置
- 查看 Grafana 服务器统计信息,包括用户总数和活动会话
- 将服务器升级到 Grafana Enterprise。
注意
服务器管理员角色在 Grafana Cloud 中不存在。
要分配或删除服务器管理员权限,请参阅服务器用户管理。
组织用户和权限
所有 Grafana 用户至少属于一个组织。组织是存在于您的 Grafana 实例中的一个实体。
分配给用户在组织内的权限控制用户访问和更新以下组织资源的程度
- 仪表盘和文件夹
- 警报
- 播放列表
- 该组织内的用户
- 数据源
- 团队
- 组织和团队设置
- 插件
- 注释
- 库面板
- API 密钥
有关管理组织用户的更多信息,请参阅用户管理。
组织角色
基于组织的角色的权限是全局的,这意味着每个权限级别都应用于给定组织内的所有 Grafana 资源。例如,编辑者可以查看和更新组织中的所有仪表盘,除非这些仪表盘已使用仪表盘权限专门限制。
Grafana 使用以下角色来控制用户访问
- **组织管理员**: 具有访问所有组织资源的权限,包括仪表盘、用户和团队。
- **编辑者**: 可以查看和编辑仪表盘、文件夹和播放列表。
- **查看者**: 可以查看仪表盘、播放列表和查询数据源。
- **无基本角色**: 没有权限。权限将根据需要使用 RBAC 添加。
下表列出了每个角色的权限。
| 权限 | 组织管理员 | 编辑者 | 查看者 | 无基本角色 |
|---|---|---|---|---|
| 查看仪表盘 | 是 | 是 | 是 | |
| 添加、编辑、删除仪表盘 | 是 | 是 | ||
| 添加、编辑、删除文件夹 | 是 | 是 | ||
| 查看播放列表 | 是 | 是 | 是 | |
| 添加、编辑、删除播放列表 | 是 | 是 | ||
| 创建库面板 | 是 | 是 | ||
| 查看注释 | 是 | 是 | 是 | |
| 添加、编辑、删除注释 | 是 | 是 | ||
| 访问探索 | 是 | 是 | ||
| 直接查询数据源 | 是 | 是 | 是 | |
| 添加、编辑、删除数据源 | 是 | |||
| 添加和编辑用户 | 是 | |||
| 添加和编辑团队 | 是 | |||
| 更改组织设置 | 是 | |||
| 更改团队设置 | 是 | |||
| 配置应用程序插件 | 是 |
仪表盘权限
当您希望扩展查看者编辑和保存仪表盘更改的能力或限制编辑者修改仪表盘的权限时,您可以为仪表盘和文件夹分配权限。例如,您可能希望某个特定的查看者能够编辑仪表盘。虽然该用户可以查看所有仪表盘,但您可以授予他们仅更新其中一个的权限。
重要提示:您指定的仪表盘权限会覆盖您为所选实体分配给用户的组织权限。
您可以为仪表盘和文件夹指定以下权限。
- **管理员**: 可以创建、编辑或删除仪表盘。可以编辑或删除文件夹,并在文件夹中创建仪表盘和子文件夹。管理员还可以更改仪表盘和文件夹权限。
- **编辑**: 可以创建、编辑或删除仪表盘。可以编辑或删除文件夹,并在文件夹中创建仪表盘和子文件夹。编辑者无法更改文件夹或仪表盘权限。
- **查看**: 只能查看仪表盘和文件夹。
重要提示:当用户创建仪表盘或文件夹时,他们会自动获得对其的**管理员**权限。
有关分配仪表盘文件夹权限的更多信息,请参阅授予仪表盘文件夹权限。
有关分配仪表盘权限的更多信息,请参阅授予仪表盘权限。
具有管理员权限的编辑器
如果您有权访问 Grafana 服务器,则可以修改默认的编辑器角色,以便编辑器可以使用管理员权限管理其创建的仪表盘文件夹、仪表盘和团队。
注意
此权限不允许编辑器管理他们未创建的文件夹、仪表盘和团队。
此设置可用于启用自组织团队管理其自己的仪表盘。
有关将管理员权限分配给编辑器的更多信息,请参阅授予编辑器管理员权限。
具有仪表盘预览和 Explore 权限的查看者
如果您有权访问 Grafana 服务器,则可以修改默认的查看者角色,以便查看者可以
- 编辑和预览仪表盘,但不能保存其更改或创建新的仪表盘。
- 访问并使用Explore。
扩展查看者角色对于公共 Grafana 安装非常有用,在这些安装中,您希望匿名用户能够编辑面板和查询,但不能保存或创建新的仪表盘。
有关将仪表盘预览权限分配给查看者的更多信息,请参阅启用查看者预览仪表盘并使用 Explore。
团队和权限
团队是组织内的一组用户,他们具有共同的仪表盘和数据源权限需求。例如,与其为五个用户分配对同一仪表盘的访问权限,不如创建一个由这些用户组成的团队,并将仪表盘权限分配给该团队。一个用户可以属于多个团队。
您可以为团队成员分配以下权限之一
- 成员:将用户包含为团队成员。成员没有团队管理员权限。
- 管理员:管理员有权管理团队的各个方面,包括团队成员、权限和设置。
由于团队存在于组织内部,因此组织管理员可以管理所有团队。当启用editors_can_admin设置时,编辑器可以创建团队并管理其创建的团队。有关editors_can_admin设置的更多信息,请参阅授予编辑器管理员权限。
有关管理团队的详细信息,请参阅团队管理。
Grafana Enterprise 用户权限功能
虽然 Grafana OSS 包含一套强大的权限和设置,您可以使用这些权限和设置来管理用户对服务器和组织资源的访问权限,但您可能会发现您需要其他功能。
Grafana Enterprise 提供以下与权限相关的功能
- 数据源权限
- 基于角色的访问控制 (RBAC)
数据源权限
默认情况下,用户可以查询组织中的任何数据源,即使该数据源未链接到用户的仪表盘。
数据源权限使您可以将数据源查询权限限制为特定的用户、服务帐户和团队。有关分配数据源权限的更多信息,请参阅数据源权限。
基于角色的访问控制
RBAC 为您提供了一种授予、更改和撤销用户对 Grafana 资源(如用户、报表和身份验证)的读写访问权限的方法。
有关 RBAC 的更多信息,请参阅基于角色的访问控制。
了解更多
想了解更多?完成创建用户和团队教程,了解如何设置用户和团队。
