管理使用者和身分識別的訪問許可權
在現今的共同作業環境中,多個小組通常需要存取和管理相同的監視儀錶板。 無論是 DevOps 小組監視應用程式效能,還是支援小組針對客戶問題進行疑難解答,擁有正確的訪問許可權都很重要。 Azure 受控 Grafana 可讓您為小組成員和身分識別設定不同層級的許可權,藉此簡化此程式。
本指南會逐步引導您完成支援的 Grafana 角色,並示範如何使用角色和許可權設定,與您的小組成員和身分識別共用相關的訪問許可權。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- 一個 Azure 受控 Grafana 工作區。 如果您還沒有 Azure 受控 Grafana 工作區,請建立。
- 您必須擁有工作區的 Grafana 系統管理員許可權。
瞭解 Grafana 角色
Azure 受控 Grafana 支援 Azure 角色型存取控制 (RBAC),這是授權系統,允許您管理對 Azure 資源的個人存取。
Azure RBAC 使您能够為使用者、群組、服務主體或受控識別指派不同的權限等級,以管理您的 Azure 受控 Grafana 資源。
AAzure 受控 Grafana 中提供了以下內建角色,每個角色都提供不同存取層級:
| 內建角色 | 描述 | 識別碼 |
|---|---|---|
| Grafana 管理員 | 執行所有 Grafana 作業,包括管理資料來源、建立儀表板和管理 Grafana 中的角色分配。 | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Grafana 編輯器 | 檢視和編輯 Grafana 執行個體,包括其儀表板和警示。 | a79a5197-3a5c-4973-a920-486035ffd60f |
| Grafana 受限檢視人員 | 檢視 Grafana 首頁。 此角色預設沒有指派的權限,且不適用於 Grafana v9 工作區。 | 41e04612-9dac-4699-a02b-c82ff2cc3fb5 |
| Grafana 檢視人員 | 檢視 Grafana 工作區,包括其儀錶板和警示。 | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
若要存取 Grafana 使用者介面,用戶必須擁有上述其中一個角色。 您可以從 Grafana 文件找到 Grafana 角色的詳細資訊。 Azure 中的 Grafana 受限檢視人員角色會對應至 Grafana 文件中的「無基本角色」。
指派 Grafana 角色
Grafana 使用者角色和指派已完全整合在 Microsoft Entra ID 內。 您可以將 Grafana 角色指派給任何Microsoft Entra 使用者、群組、服務主體或受控識別,並授與他們與該角色相關聯的訪問許可權。 您可以從 Azure 入口網站或命令列管理這些權限。 本節說明如何在 Azure 入口網站中將 Grafana 角色指派給使用者。
開啟 Azure 受控 Grafana 工作區。
在左側功能表中,選取 [存取控制 (IAM)]。
選取 [新增角色指派]。
![Azure 平台中 [新增角色指派] 的螢幕擷取畫面。](media/share/iam-page.png)
選取 Grafana 角色,以在 Grafana 管理員、Grafana 編輯器、Grafana 限制查看器或 Grafana Viewer 之間指派,然後選取 [下一步]。
選擇您想要將存取權指派給 [使用者、群組或服務主體],還是指派給 [受控識別]。
按一下 [選取成員],並挑選您想要指派給 Grafana 角色的成員,然後確認 [選取]。
選取 [下一步],然後選取 [檢閱 + 指派] 以完成角色指派。
提示
將新用戶上線至您的 Azure 受控 Grafana 工作區時,授與他們 Grafana 限制查看器角色,讓他們只能存取 Grafana 工作區。
然後,您可以使用其管理設定,將每個相關儀錶板和數據源的存取權授與使用者。 此方法可確保具有 Grafana 有限查看器角色的使用者只能存取所需的特定元件,增強安全性和數據隱私權。
編輯特定元件項目的許可權
從 Grafana 使用者介面編輯特定元件的許可權,例如儀錶板、資料夾和數據源,請遵循下列步驟:
- 開啟 Grafana 入口網站,並流覽至您想要管理許可權的元件。
- 移至 [設定>許可權>] [新增許可權]。
- 在 [新增許可權] 下,選取使用者、服務帳戶、小組或角色,並指派所需的許可權等級:檢視、編輯或系統管理員。