设置 Azure 托管 Grafana 身份验证和权限

为了处理数据,Azure 托管 Grafana 需要有权访问数据源。 本指南介绍如何在创建 Azure 托管 Grafana 实例期间设置身份验证,以便 Grafana 可以使用系统分配的托管标识或服务主体访问数据源。 本指南还介绍了用于在目标订阅上添加“监视读取者”角色分配的选项。

先决条件

具有活动订阅的 Azure 帐户。 创建帐户

登录 Azure

使用 Azure 门户或 Azure CLI 登录到 Azure。

使用 Azure 帐户登录到 Azure 门户

在创建实例期间设置身份验证和权限

使用 Azure 门户 或 CLI 创建工作区。

配置基本设置

  1. 在主页的左上角,选择“创建资源” 。 在“搜索资源、服务和文档(G+/)”框中,输入“Azure 托管 Grafana”并选择“Azure 托管 Grafana”。

    Azure 平台的屏幕截图。在市场中查找 Azure 托管 Grafana。

  2. 选择“创建” 。

  3. 在“基本信息”窗格中,输入以下设置。

    设置 说明 示例
    订阅 ID 选择要使用的 Azure 订阅。 my-subscription
    资源组名称 为 Azure 托管 Grafana 资源创建资源组。 my-resource-group
    位置 使用“位置”指定要在其中托管资源的地理位置。 请选择最靠近你的位置。 中国北部 3
    名称 输入唯一的资源名称。 它将用作托管 Grafana 实例 URL 中的域名。 my-grafana
    定价计划 在 Essential(预览版)和标准计划之间进行选择。 标准层提供了其他功能。 有关定价计划的详细信息 Essential(预览版)
  4. 保留所有其他默认值,然后选择选项卡“权限”,以控制对 Grafana 实例和数据源的访问权限:

配置权限设置

查看以下用于管理 Azure 托管 Grafana 中的数据源访问权限的不同方法。

在启用了托管标识的情况下

系统分配的托管标识是提供给拥有订阅“所有者”或“用户访问管理员”角色的所有用户的默认身份验证方法。

注意

在“权限”选项卡中,如果 Azure 显示消息“必须是订阅‘所有者’或‘用户访问管理员’才能使用此功能。”,请转到本文档的下一部分,了解如何在系统分配的托管标识已禁用的情况下设置 Azure 托管 Grafana。

  1. 默认情况下,“系统分配的托管标识”框设置为“启用”。

  2. “在目标订阅上使用‘监视读取者’角色向此标识添加角色分配”框默认已选中。 如果取消选中此框,则需要在以后为 Azure 托管 Grafana 手动添加角色分配。 有关参考内容,请访问修改对 Azure Monitor 的访问权限

  3. “Grafana 管理员角色”下的“包括自己”框默认已选中。 (可选)选择“添加”以向更多成员授予 Grafana 管理员角色。

    Azure 门户的屏幕截图。创建工作区表单。权限。

在禁用了托管标识的情况下

Azure 托管 Grafana 还可以在禁用了托管标识的情况下访问数据源。 你可以使用客户端 ID 和机密,利用服务主体进行身份验证。

  1. 在“权限”选项卡中,将“系统分配的托管标识”框设置为“关”。 “在目标订阅上使用‘监视读取者’角色向此标识添加角色分配”行自动灰显。

  2. 在“Grafana 管理员角色”下,如果你有该订阅的“所有者”或“用户访问管理员”角色,则“包括自己”框默认已选中。 (可选)选择“添加”以向更多成员授予 Grafana 管理员角色。 如果你没有必要的角色,则无法自行管理 Grafana 访问权限。

    Azure 门户的屏幕截图。创建工作区表单。禁用了托管标识的“权限”选项卡。

注意

禁用系统分配的托管标识会对 Azure 托管 Grafana 实例禁用 Azure Monitor 数据源插件。 在这种情况下,请使用服务主体(而不是 Azure Monitor)访问数据源。

查看并创建新实例

选择“查看 + 创建”选项卡。验证运行后,选择“创建”。 Azure 托管 Grafana 资源正在部署。

Azure 门户的屏幕截图。创建工作区表单。验证。

更新身份验证和权限

创建工作区后,可为 Azure 托管 Grafana 启用或禁用系统分配的托管标识并更新 Azure 角色分配。

  1. 在Azure 门户的左侧菜单中的“设置”下,选择“标识”。

  2. 将“系统分配”状态设置为“禁用”以停用系统分配的托管标识,或将其设置为“启用”以激活此身份验证方法。

  3. 在“权限”下,选择“Azure 角色分配”以设置 Azure 角色。

  4. 完成后,选择“保存”

    Azure 门户的屏幕截图。更新系统分配的托管标识。基本信息。

注意

禁用系统分配的托管标识是不可逆的。 如果将来重新启用该标识,Azure 将创建一个新的标识。

后续步骤