设置 Azure 托管 Grafana 身份验证和权限(预览版)

为了处理数据,Azure 托管 Grafana 需要有权访问数据源。 本指南介绍如何在 Azure 托管 Grafana 实例中设置身份验证,以便 Grafana 可以使用托管标识或服务主体访问数据源。 本指南还介绍了在目标订阅上添加监视读取者角色分配的操作,以提供对订阅中所有资源的监视数据的只读访问权限。

先决条件

使用系统分配的托管标识

系统分配的托管标识是 Azure 托管 Grafana 中提供的默认身份验证方法。 托管标识通过 Microsoft Entra ID 进行身份验证,因此无需在代码中存储任何凭据。 尽管可以选择退出,但只要你拥有订阅的“所有者”或“用户访问管理员”角色,它就会在你创建新工作区时默认启用。 如果工作区中禁用了系统分配的托管标识,并且你具有必要的权限,则可以稍后启用它。

启用系统分配的托管标识:

  1. 转到“设置”>“标识(预览版)”。

  2. 在“系统分配(预览版)”选项卡中,将“系统分配”的状态设为“开”。

    注意

    无法将多个托管标识分配到单个 Azure 托管 Grafana 资源。 如果用户分配的托管标识已分配给 Azure 托管 Grafana 资源,则必须先从“用户分配(预览版)”选项卡中移除分配,然后才能启用系统分配的托管标识。

    注意

    禁用系统分配的托管标识是不可逆的。 每次启用系统分配的托管标识时,Azure 都会创建一个新的标识。

    Azure 门户的屏幕截图。启用系统分配的托管标识。

  3. 在权限下,选择“Azure 角色分配”,并将“监视读取者”角色分配给目标订阅上的此托管标识。

  4. 完成后,选择“保存”

使用用户分配的托管标识

用户分配的托管标识让 Azure 资源可以向云服务进行身份验证,而无需在代码中存储凭据。 这种类型的托管标识创建为独立的 Azure 资源,并具有其自己的生命周期。 单个用户分配的托管标识可以跨多个资源共享。

若要将用户分配的托管标识分配给工作区,你必须对资源拥有所有者或用户访问管理员权限。

若要分配用户分配的托管标识:

  1. 转到“设置”>“标识(预览版)”。

  2. 在“用户分配(预览版)”选项卡中,选择“添加”。

    注意

    无法将多个托管标识分配到单个 Azure 托管 Grafana 资源。 每个资源只能使用一个托管标识。 如果启用了系统分配的标识,则必须先从“系统分配(预览版)”选项卡中禁用它,然后才能启用用户分配的标识。

  3. 在侧面板中,选择订阅和标识,然后选择“添加”。

  4. 成功添加标识后,通过选择其名称将其打开,然后转到“Azure 角色分配”,以在目标订阅上为其分配“监视读取者”角色。

  5. 完成后,选择“保存”

    Azure 门户的屏幕截图。启用用户分配的托管标识。

    注意

    每个 Azure 托管 Grafana 实例只能分配一个用户分配的托管标识。

使用服务主体

Azure 托管 Grafana 还可以使用客户端 ID 和机密,通过服务主体访问数据以进行身份验证。

通过在 Azure 门户中打开订阅并转到“访问控制(IAM)”>“添加”>“添加角色分配”,为此服务主体分配目标订阅的“监视读取者”角色。

后续步骤