Hantera åtkomst och behörigheter för användare och identiteter

I dagens samarbetsmiljöer behöver flera team ofta komma åt och hantera samma övervakningsinstrumentpaneler. Oavsett om det är ett DevOps-team som övervakar programprestanda eller ett supportteam som felsöker kundproblem är det viktigt att ha rätt åtkomstbehörigheter. Azure Managed Grafana förenklar den här processen genom att du kan ange olika behörighetsnivåer för dina teammedlemmar och identiteter.

Den här guiden beskriver de Grafana-roller som stöds och visar hur du använder roller och behörighetsinställningar för att dela relevanta åtkomstbehörigheter med dina teammedlemmar och identiteter.

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
• En Azure Managed Grafana-arbetsyta. Om du inte har någon ännu skapar du en Azure Managed Grafana-arbetsyta.
• Du måste ha behörighet som Grafana-administratör på arbetsytan.

Läs mer om Grafana-roller

Azure Managed Grafana har stöd för rollbaserad åtkomstkontroll i Azure (RBAC), ett auktoriseringssystem som gör att du kan hantera individuell åtkomst till dina Azure-resurser.

Med Azure RBAC kan du allokera olika behörighetsnivåer till användare, grupper, tjänstens huvudnamn eller hanterade identiteter för att hantera dina Azure Managed Grafana-resurser.

Följande inbyggda roller är tillgängliga i Azure Managed Grafana, där var och en ger olika åtkomstnivåer:

Inbyggd roll	beskrivning	ID
Grafana-administratör	Utför alla Grafana-åtgärder, inklusive möjligheten att hantera datakällor, skapa instrumentpaneler och hantera rolltilldelningar i Grafana.	22926164-76b3-42b3-bc55-97df8dab3e41
Grafana-redigerare	Visa och redigera en Grafana-instans, inklusive dess instrumentpaneler och aviseringar.	a79a5197-3a5c-4973-a920-486035ffd60f
Grafana Limited Viewer	Visa en Grafana-startsida. Den här rollen innehåller inga behörigheter som har tilldelats som standard och är inte tillgänglig för Grafana v9-arbetsytor.	41e04612-9dac-4699-a02b-c82ff2cc3fb5
Grafana Viewer	Visa en Grafana-arbetsyta, inklusive dess instrumentpaneler och aviseringar.	60921a7e-fef1-4a43-9b16-a26c52ad4769

För att få åtkomst till Grafana-användargränssnittet måste användarna ha någon av rollerna ovan. Mer information om Grafana-rollerna finns i Grafana-dokumentationen. Grafana Limited Viewer-rollen i Azure mappar till "Ingen grundläggande roll" i Grafana-dokumenten.

Tilldela en Grafana-roll

Grafana-användarroller och -tilldelningar är helt integrerade i Microsoft Entra ID. Du kan tilldela en Grafana-roll till alla Microsoft Entra-användare, grupper, tjänstens huvudnamn eller hanterade identiteter och ge dem åtkomstbehörigheter som är associerade med den rollen. Du kan hantera dessa behörigheter från Azure Portal eller kommandoraden. Det här avsnittet beskriver hur du tilldelar Grafana-roller till användare i Azure Portal.

Portal

1. Öppna din Azure Managed Grafana-arbetsyta.

2. Välj Åtkomstkontroll (IAM) på den vänstra menyn.

3. Välj Lägg till rolltilldelning.

   

4. Välj en Grafana-roll att tilldela mellan Grafana Admin, Grafana Editor, Grafana Limited Viewer eller Grafana Viewer och välj sedan Nästa.

   

5. Välj om du vill tilldela åtkomst till en användare, grupp eller tjänstens huvudnamn eller till en hanterad identitet.

6. Klicka på Välj medlemmar, välj de medlemmar som du vill tilldela till Grafana-rollen och bekräfta sedan med Välj.

7. Välj Nästa och sedan Granska + tilldela för att slutföra rolltilldelningen.

Azure CLI

Tilldela en roll med kommandot az role assignment create .

Ersätt följande platshållare i koden nedan:

• <assignee>:
  • För en Microsoft Entra-användare anger du deras e-postadress eller användarobjekt-ID.
  • För en grupp anger du gruppobjektets ID.
  • För tjänstens huvudnamn anger du objekt-ID:t för tjänstens huvudnamn.
  • Ange objekt-ID för en hanterad identitet.
• <roleNameOrId>:
  • För Grafana Admin anger du Grafana Admin eller 22926164-76b3-42b3-bc55-97df8dab3e41.
  • För Grafana-redigeraren anger du Grafana Editor eller a79a5197-3a5c-4973-a920-486035ffd60f.
  • För Grafana Limited Viewer anger du Grafana Limited Viewer eller 41e04612-9dac-4699-a02b-c82ff2cc3fb5.
  • För Grafana Viewer anger du Grafana Viewer eller 60921a7e-fef1-4a43-9b16-a26c52ad4769.
• <scope>: Ange det fullständiga ID:t för Azure Managed Grafana-instansen.

az role assignment create --assignee "<assignee>" \
--role "<roleNameOrId>" \
--scope "<scope>"

Exempel:

az role assignment create --assignee "name@contoso.com" \
--role "Grafana Admin" \
--scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-rg/providers/Microsoft.Dashboard/grafana/my-grafana"

Mer information om hur du tilldelar Azure-roller med hjälp av Azure CLI finns i dokumentationen om rollbaserad åtkomstkontroll.

Dricks

När du registrerar en ny användare på din Azure Managed Grafana-arbetsyta kan de få begränsad åtkomst till Grafana-arbetsytan genom att ge dem rollen Grafana Limited Viewer.

Du kan sedan ge användaren åtkomst till varje relevant instrumentpanel och datakälla med hjälp av deras hanteringsinställningar. Den här metoden säkerställer att användare med rollen Grafana Limited Viewer endast får åtkomst till de specifika komponenter som de behöver, vilket förbättrar säkerheten och datasekretessen.

Redigera behörigheter för specifika komponentelement

Redigera behörigheter för specifika komponenter som instrumentpaneler, mappar och datakällor från Grafana-användargränssnittet genom att följa dessa steg:

1. Öppna Grafana-portalen och gå till komponenten som du vill hantera behörigheter för.
2. Gå till Inställningar>Behörigheter>Lägg till en behörighet.
3. Under Lägg till behörighet för väljer du en användare, ett tjänstkonto, ett team eller en roll och tilldelar dem önskad behörighetsnivå: visa, redigera eller administratör.

Relaterat innehåll

• Dela en Grafana-instrumentpanel eller panel.
• Konfigurera datakällor
• Konfigurera Grafana-team