Управление доступом и разрешениями для пользователей и удостоверений
В современных рабочих средах для совместной работы несколько команд часто должны получать доступ к одной панели мониторинга мониторинга и управлять ими. Независимо от того, является ли это производительность приложений devOps для мониторинга или группа поддержки, устраняющая проблемы с клиентами, наличие правильных разрешений на доступ имеет решающее значение. Управляемый Grafana Azure упрощает этот процесс, позволяя задать различные уровни разрешений для участников и удостоверений вашей команды.
В этом руководстве описаны поддерживаемые роли Grafana и вы узнаете, как использовать роли и параметры разрешений для совместного использования соответствующих разрешений доступа с участниками и удостоверениями команды.
Необходимые компоненты
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
- Рабочая область Azure Managed Grafana. Если у вас еще нет одного, создайте рабочую область Azure Managed Grafana.
- У вас должны быть разрешения администратора Grafana в рабочей области.
Сведения о ролях Grafana
Управляемый Grafana Azure поддерживает управление доступом на основе ролей Azure (RBAC) — систему авторизации, которая позволяет управлять отдельным доступом к ресурсам Azure.
Azure RBAC позволяет выделять различные уровни разрешений пользователям, группам, субъектам-службам или управляемым удостоверениям для управления ресурсами Управляемой Grafana Azure.
Следующие встроенные роли доступны в Управляемой Grafana Azure, каждый из которых предоставляет различные уровни доступа:
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Администратор Grafana | Выполняйте все операции Grafana, включая возможность управлять источниками данных, создавать панели мониторинга и управлять назначениями ролей в Grafana. | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Редактор Grafana | Просмотр и изменение экземпляра Grafana, в том числе панелей мониторинга и оповещений. | a79a5197-3a5c-4973-a920-486035ffd60f |
| Grafana Limited Viewer | Просмотр домашней страницы Grafana. Эта роль не содержит разрешений, назначенных по умолчанию, и она недоступна для рабочих областей Grafana версии 9. | 41e04612-9dac-4699-a02b-c82ff2cc3fb5 |
| Средство просмотра Grafana | Просмотр рабочей области Grafana, включая панели мониторинга и оповещения. | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
Чтобы получить доступ к пользовательскому интерфейсу Grafana, пользователи должны иметь одну из указанных выше ролей. Дополнительные сведения о ролях Grafana см. в документации по Grafana. Роль Grafana Limited Viewer в Azure сопоставляется с "Нет базовой роли" в документации Grafana.
Назначение роли Grafana
Роли и назначения grafana полностью интегрированы в идентификатор Microsoft Entra. Роль Grafana можно назначить любому пользователю Microsoft Entra, группе, субъекту-службе или управляемому удостоверению, а также предоставить им разрешения на доступ, связанные с этой ролью. Вы можете управлять этими разрешениями из портал Azure или командной строки. В этом разделе объясняется, как назначать роли Grafana пользователям в портал Azure.
Откройте рабочую область Azure Managed Grafana.
Выберите элемент управления доступом (IAM) в меню слева.
выберите Добавить назначение ролей.
Выберите роль Grafana для назначения среди администраторов Grafana, редактора Grafana, Grafana Limited Viewer или Grafana Viewer, а затем нажмите кнопку "Далее".
Выберите, нужно ли назначить доступ пользователю , группе или субъекту-службе или управляемому удостоверению.
Щелкните "Выбрать участников", выберите участников, которые вы хотите назначить роли Grafana, а затем подтвердите с помощью select.
Нажмите кнопку "Далее", а затем проверьте и назначьте ее, чтобы завершить назначение роли.
Совет
При подключении нового пользователя к рабочей области Azure Managed Grafana предоставление им роли Grafana Limited Viewer позволяет им ограниченный доступ к рабочей области Grafana.
Затем вы можете предоставить пользователю доступ к каждой соответствующей панели мониторинга и источнику данных с помощью параметров управления. Этот метод гарантирует, что пользователи с ролью Grafana Limited Viewer получают доступ только к определенным компонентам, которые им нужны, повышая безопасность и конфиденциальность данных.
Изменение разрешений для определенных элементов компонента
Измените разрешения для определенных компонентов, таких как панели мониторинга, папки и источники данных из пользовательского интерфейса Grafana, выполнив следующие действия.
- Откройте портал Grafana и перейдите к компоненту, для которого требуется управлять разрешениями.
- Перейдите к разделу "Разрешения параметров>",>чтобы добавить разрешение.
- В разделе "Добавление разрешений" выберите пользователя, учетную запись службы, команду или роль и назначьте им нужный уровень разрешений: просмотр, изменение или администратор.