Správa přístupu a oprávnění pro uživatele a identity

V dnešních pracovních prostředích pro spolupráci často potřebuje více týmů přístup ke stejným řídicím panelům monitorování a spravovat je. Ať už jde o tým DevOps, který monitoruje výkon aplikace, nebo tým podpory, který řeší problémy zákazníků, je zásadní mít správná přístupová oprávnění. Azure Managed Grafana tento proces zjednodušuje tím, že umožňuje nastavit různé úrovně oprávnění pro členy týmu a identity.

Tato příručka vás provede podporovanými rolemi Grafany a ukáže vám, jak používat role a nastavení oprávnění ke sdílení příslušných přístupových oprávnění s členy a identitami týmu.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Pracovní prostor Grafana spravovaný v Azure Pokud ho ještě nemáte, vytvořte pracovní prostor Grafana spravovaný službou Azure.
• V pracovním prostoru musíte mít oprávnění správce Grafana.

Informace o rolích Grafana

Azure Managed Grafana podporuje řízení přístupu na základě role (RBAC) Azure, autorizační systém, který umožňuje spravovat individuální přístup k vašim prostředkům Azure.

Azure RBAC umožňuje přidělovat uživatelům, skupinám, instančním objektům nebo spravovaným identitám různé úrovně oprávnění ke správě prostředků Grafana spravovaných v Azure.

V Azure Managed Grafana jsou k dispozici následující předdefinované role, z nichž každá poskytuje různé úrovně přístupu:

Předdefinovaná role	Popis	ID
Správce Grafany	Proveďte všechny operace Grafana, včetně možnosti spravovat zdroje dat, vytvářet řídicí panely a spravovat přiřazení rolí v rámci Grafany.	22926164-76b3-42b3-bc55-97df8dab3e41
Grafana Editor	Zobrazte a upravte instanci Grafany, včetně jejích řídicích panelů a upozornění.	a79a5197-3a5c-4973-a920-486035ffd60f
Grafana Limited Viewer	Zobrazit domovskou stránku Grafany Tato role neobsahuje žádná oprávnění přiřazená ve výchozím nastavení a není k dispozici pro pracovní prostory Grafana v9.	41e04612-9dac-4699-a02b-c82ff2cc3fb5
Grafana Viewer	Zobrazení pracovního prostoru Grafana, včetně řídicích panelů a upozornění	60921a7e-fef1-4a43-9b16-a26c52ad4769

Pokud chcete získat přístup k uživatelskému rozhraní Grafana, musí mít uživatelé jednu z výše uvedených rolí. Další informace orolích Role Grafana Limited Viewer v Azure se v dokumentaci k Grafana mapuje na roli Bez základní role.

Přiřazení role Grafana

Role a přiřazení uživatelů Grafana jsou plně integrované v rámci Microsoft Entra ID. Roli Grafana můžete přiřadit libovolnému uživateli, skupině, instančnímu objektu nebo spravované identitě Microsoft Entra a udělit jim přístupová oprávnění přidružená k této roli. Tato oprávnění můžete spravovat z webu Azure Portal nebo z příkazového řádku. Tato část vysvětluje, jak přiřadit role Grafana uživatelům na webu Azure Portal.

Azure Portal

1. Otevřete pracovní prostor Grafana spravovaný v Azure.

2. V nabídce vlevo vyberte Řízení přístupu (IAM ).

3. Vyberte Přidat přiřazení role.

   

4. Vyberte roli Grafana, která se přiřadí mezi Správce Grafana, Grafana Editor, Grafana Limited Viewer nebo Grafana Viewer a pak vyberte Další.

   

5. Zvolte, jestli chcete přiřadit přístup k uživateli, skupině nebo instančnímu objektu nebo spravované identitě.

6. Klikněte na Vybrat členy, vyberte členy, které chcete přiřadit k roli Grafana, a potvrďte výběr.

7. Vyberte Další a pak zkontrolujte a přiřaďte přiřazení role.

Azure CLI

Přiřaďte roli pomocí příkazu az role assignment create .

V následujícím kódu nahraďte následující zástupné symboly:

• <assignee>:
  • Pro uživatele Microsoft Entra zadejte svoji e-mailovou adresu nebo ID objektu uživatele.
  • Jako skupinu zadejte ID objektu skupiny.
  • Jako instanční objekt zadejte ID instančního objektu.
  • Jako spravovanou identitu zadejte ID objektu.
• <roleNameOrId>:
  • Pro správce Grafany zadejte Grafana Admin nebo 22926164-76b3-42b3-bc55-97df8dab3e41.
  • V editoru Grafana zadejte Grafana Editor nebo a79a5197-3a5c-4973-a920-486035ffd60f.
  • Pro Grafana Limited Viewer zadejte Grafana Limited Viewer nebo 41e04612-9dac-4699-a02b-c82ff2cc3fb5.
  • V prohlížeči Grafana zadejte Grafana Viewer nebo 60921a7e-fef1-4a43-9b16-a26c52ad4769.
• <scope>: Zadejte úplné ID instance Azure Managed Grafana.

az role assignment create --assignee "<assignee>" \
--role "<roleNameOrId>" \
--scope "<scope>"

Příklad:

az role assignment create --assignee "name@contoso.com" \
--role "Grafana Admin" \
--scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-rg/providers/Microsoft.Dashboard/grafana/my-grafana"

Další informace o přiřazování rolí Azure pomocí Azure CLI najdete v dokumentaci k řízení přístupu na základě role.

Tip

Při onboardingu nového uživatele do pracovního prostoru Azure Managed Grafana mu udělíte roli Grafana Limited Viewer, která jim umožní omezený přístup k pracovnímu prostoru Grafana.

Potom můžete uživateli udělit přístup ke každému relevantnímu řídicímu panelu a zdroji dat pomocí nastavení správy. Tato metoda zajišťuje, aby uživatelé s rolí Grafana Limited Viewer měli přístup pouze ke konkrétním komponentám, které potřebují, a zvýšili zabezpečení a ochranu osobních údajů dat.

Úprava oprávnění pro konkrétní elementy komponent

Pomocí následujících kroků upravte oprávnění pro konkrétní komponenty, jako jsou řídicí panely, složky a zdroje dat z uživatelského rozhraní Grafana:

1. Otevřete portál Grafana a přejděte do komponenty, pro kterou chcete spravovat oprávnění.
2. Přejděte na Nastavení>Oprávnění>Přidat oprávnění.
3. V části Přidat oprávnění vyberte uživatele, účet služby, tým nebo roli a přiřaďte mu požadovanou úroveň oprávnění: zobrazení, úpravy nebo správce.

Související obsah

• Sdílení řídicího panelu nebo panelu Grafana
• Konfigurace zdrojů dat
• Konfigurace týmů Grafana