Freigeben des Zugriffs auf Azure Managed Grafana

Ein DevOps Team kann Dashboards erstellen, um eine verwaltete Anwendung oder Infrastruktur zu überwachen und zu diagnostizieren. Ebenso kann ein Supportteam eine Grafana-Überwachungslösung für die Problembehandlung von Kundenproblemen verwenden. In diesen Szenarien greifen mehrere Benutzer auf eine einzelne Grafana-Instanz zu.

Azure Managed Grafana ermöglicht es Ihnen, benutzerdefinierte Berechtigungen für eine Instanz festzulegen, deren Besitzer Sie sind, um eine solche Zusammenarbeit zu ermöglichen. In diesem Artikel erfahren Sie, welche Berechtigungen unterstützt werden und wie Sie Berechtigungen erteilen, um eine Azure Managed Grafana-Instanz für Ihre Projektbeteiligten freizugeben.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
• Eine Azure Managed Grafana-Instanz. Wenn Sie noch nicht über eine Instanz verfügen, erstellen Sie eine Managed Grafana-Instanz.
• Sie müssen über Grafana-Administratorberechtigungen für die Instanz verfügen.

Unterstützte Grafana-Rollen

Azure Managed Grafana unterstützt die folgenden Grafana-Rollen:

• Grafana-Administrator: bietet Vollzugriff auf die Instanz. Dies schließt die Verwaltung von Rollenzuweisungen sowie die Anzeige, Bearbeitung und Konfiguration von Datenquellen ein.
• Grafana-Editor: bietet Lese-/Schreibzugriff auf die Dashboards in der Instanz.
• Grafana Limited Viewer: bietet schreibgeschützten Zugriff auf die Grafana-Startseite. Diese Rolle enthält keine standardmäßig zugewiesenen Berechtigungen und ist für Grafana v9-Arbeitsbereiche nicht verfügbar.
• Grafana-Viewer: bietet schreibgeschützten Zugriff auf Dashboards in der Instanz.

Weitere Informationen zu diesen Rollen in Azure erhalten Sie unter Rollenbasierte Zugriffssteuerung in Azure Managed Grafana, und Informationen zu Grafana-Rollen von der Grafana-Website erhalten Sie unter Rollen der Organisation. Die Rolle „Grafana Limited Viewer“ in Azure wird „No Basic Role“ in der Grafana-Dokumentation zugeordnet.

Hinzufügen einer Grafana-Rollenzuweisung

Grafana-Benutzerrollen und -zuweisungen sind vollständig in Microsoft Entra ID integriert. Sie können beliebigen Microsoft Entra-Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten eine Grafana-Rolle zuweisen und ihnen Zugriffsberechtigungen erteilen, die mit dieser Rolle einhergehen. Sie können diese Berechtigungen über das Azure-Portal oder die Befehlszeile verwalten. In diesem Abschnitt erfahren Sie, wie Sie Benutzern Grafana-Rollen über das Azure-Portal zuweisen.

Portal

1. Öffnen Sie Ihre Azure Managed Grafana-Instanz.

2. Wählen Sie im linken Menü die Option Zugriffssteuerung (IAM) aus.

3. Wählen Sie Rollenzuweisung hinzufügen aus.

   

4. Wählen Sie die zuzuweisende Grafana-Rolle (Grafana-Administrator, Grafana-Editor oder Grafana Limited Viewer oder Grafana-Viewer) und anschließend Weiter aus.

   

5. Wählen Sie aus, wem Sie Zugriff zuweisen möchten. Zur Auswahl stehen die Optionen Benutzer, Gruppe oder Dienstprinzipal und Verwaltete Identität.

6. Klicken Sie auf Mitglieder auswählen, wählen Sie die Mitglieder aus, die Sie der Grafana-Rolle zuweisen möchten, und wählen Sie anschließend zur Bestätigung Auswählen aus.

7. Wählen Sie Weiter und dann Überprüfen + zuweisen aus, um die Rollenzuweisung abzuschließen.

Hinweis

Die Freigabe auf Dashboard- und Datenquellenebene wird innerhalb der Grafana-Anwendung durchgeführt. Weitere Informationen finden Sie unter Freigeben eines Grafana-Dashboards oder -Bereichs sowie unter Datenquellenberechtigungen.

Azure-Befehlszeilenschnittstelle

Weisen Sie mithilfe des Befehls az role assignment create eine Rolle zu.

Ersetzen Sie im hier angegebenen Code die folgenden Platzhalter:

• <assignee>:
  • Geben Sie für einen Microsoft Entra-Benutzer dessen E-Mail-Adresse oder die Benutzerobjekt-ID ein.
  • Geben Sie für eine Gruppe die Gruppenobjekt-ID ein.
  • Geben Sie für einen Dienstprinzipal die Dienstprinzipalobjekt-ID ein.
  • Geben Sie für eine verwaltete Identität die Objekt-ID ein.
• <roleNameOrId>:
  • Geben Sie für „Grafana-Administrator“ entweder Grafana Admin oder 22926164-76b3-42b3-bc55-97df8dab3e41 ein.
  • Geben Sie für „Grafana-Editor“ entweder Grafana Editor oder a79a5197-3a5c-4973-a920-486035ffd60f ein.
  • Geben Sie für „Grafana Limited Viewer“ Grafana Limited Viewer oder 41e04612-9dac-4699-a02b-c82ff2cc3fb5 ein.
  • Geben Sie für „Grafana-Viewer“ entweder Grafana Viewer oder 60921a7e-fef1-4a43-9b16-a26c52ad4769 ein.
• <scope>: Geben Sie die vollständige ID der Azure Managed Grafana-Instanz ein.

az role assignment create --assignee "<assignee>" \
--role "<roleNameOrId>" \
--scope "<scope>"

Beispiel:

az role assignment create --assignee "name@contoso.com" \
--role "Grafana Admin" \
--scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-rg/providers/Microsoft.Dashboard/grafana/my-grafana"

Weitere Informationen zum Zuweisen von Azure-Rollen mithilfe der Azure CLI finden Sie in der Dokumentation zur rollenbasierten Zugriffssteuerung.

Nächste Schritte

Konfigurieren von Datenquellen

Ändern von Zugriffsberechtigungen für Azure Monitor

Freigeben eines Grafana-Dashboards oder -Bereichs