在本指南中,您将学习如何使用 Microsoft Entra 组与 Grafana 团队同步来管理“Azure 托管 Grafana”中的仪表板权限。
在 Azure 托管 Grafana 中,你可以使用 Azure 的基于角色的访问控制 (RBAC) 角色来定义 Grafana 的访问权限。 默认情况下,这些权限适用于 Grafana 工作区中的所有资源,而不是某个文件夹或仪表板。 如果将用户分配到 Grafana 编辑者角色,该用户将可以编辑 Grafana 工作区中的任何仪表板。 但是,借助 Grafana 的精细权限模型,你可以调整用户针对特定仪表板或仪表板文件夹的默认权限级别。
Microsoft Entra 组同步可帮助你做到这一点。 借助该功能,你可以在 Grafana 工作区中创建 Grafana 团队,将其链接到 Microsoft Entra 组,然后为该团队配置仪表板权限。 例如,你可以允许 Grafana 查看者修改仪表板,或阻止 Grafana 编辑者进行更改。
在开始之前,请确保已做好以下准备:
- 具有活动订阅的 Azure 帐户。 创建帐户。
- Azure 托管 Grafana 工作区。 如果需要,请创建新的工作区。
- Microsoft Entra 组。 如果需要,请创建一个基本组并添加成员。
- 使用 Grafana 团队同步需要 Grafana 管理员角色。
Microsoft Entra 组必须具有 Grafana 角色才能访问 Grafana 工作区。
在 Grafana 工作区中,打开“访问控制(IAM)”菜单,选择“添加”“添加新角色分配”>。
将角色(如 Grafana 审阅者)分配给 Microsoft Entra 组。 有关分配角色的详细信息,请转到授予访问权限。
设置 Microsoft Entra ID 支持的 Grafana 团队。
在 Azure 门户中,打开 Grafana 工作区,然后在“设置”下选择“配置”。
选择“Microsoft Entra 团队同步设置”选项卡。
选择“创建新 Grafana 团队”。
输入 Grafana 团队的名称,然后选择“添加”。
在“分配访问权限给”中,选择新创建的 Grafana 团队。
选择“+ 添加 Microsoft Entra 组”。
在搜索框中输入 Microsoft Entra 组名称,然后在结果中选择该组名称。 单击“选择”以确认。
(可选)重复上述三个步骤,向 Grafana 团队添加更多 Microsoft Entra 组。
在 Grafana UI 中,打开某个文件夹或仪表板。
在“权限”选项卡中,选择“添加权限”。
在“为以下对象添加权限”下,选择“团队”,选择团队名称,然后选择“查看”、“编辑”或“管理”权限,然后进行保存。 你可以为用户、团队或角色添加权限。
提示
若要检查仪表板的现有访问权限,请打开仪表板并转到“权限”选项卡。此页面显示针对此仪表板分配的所有权限以及所有继承的权限。
你可以通过移除访问一个或多个文件夹的权限来限制访问权限。
例如,若要禁用在 Grafana 工作区上具有 Grafana 查看者角色的用户的访问权限,请按照以下步骤移除其对 Grafana 文件夹的访问权限:
在 Grafana UI 中,转到要向用户隐藏的文件夹。
在“权限”选项卡中,选择“查看者”权限右侧的 X 按钮,以从此文件夹中移除此权限。
对要向用户隐藏的所有文件夹重复此步骤。
如果不再需要 Grafana 团队,请按照以下步骤将其删除。 删除 Grafana 团队还会删除与 Microsoft Entra 组的链接。
在 Azure 门户中,打开 Azure 托管 Grafana 工作区。
选择“管理”>“团队”。
选择要删除的团队右侧的“X”按钮。
选择“删除”以确认。
在本操作指南中,你了解了怎样设置由 Microsoft Entra 组支持的 Grafana 小组。 要了解如何使用团队控制对工作区中仪表板的访问,请参阅管理仪表板权限。