如何修改對 Azure 監視器的存取權限
根據預設,Grafana 執行個體在建立時,會隨附授與訂用帳戶內所有 Azure 監視器資料和 Log Analytics 資源的監視讀取器角色。
這表示新的 Grafana 執行個體可以存取和搜尋訂用帳戶中的所有監視資料。 這可檢視所有資源的 Azure 監視器計量和記錄,以及訂用帳戶內 Log Analytics 工作區中所儲存的任何記錄。
在本文中,了解如何手動授與 Azure 受控 Grafana 的權限,以使用受控識別來存取 Azure 資源。
必要條件
登入 Azure
請使用您的 Azure 帳戶登入 Azure 入口網站 (https://portal.azure.com/)。
編輯 Azure 監視器權限
若要編輯特定資源的權限,請遵循下列步驟。
開啟包含您要擷取監視資料的資源。 在此範例中,我們會設定 Application Insights 資源。
選取存取控制 (IAM)。
在授與此資源的存取權下方,選取新增角色指派。
入口網站會列出您可以提供給 Azure 受控 Grafana 資源的所有角色。 選取角色。 例如,[監視讀取器],然後選取 [下一步]。
![螢幕擷取畫面顯示 Azure 平台及選擇 [監視讀取器]。](media/permissions/permissions-role.png)
針對 [存取權指派對象為],選取 [受控識別]。
按一下 [選取成員]。
選取包含受控 Grafana 執行個體的 [訂用帳戶]。
針對 [受控識別],選取 [Azure 受控 Grafana]。
選取一或數個受控 Grafana 執行個體。
按一下 [選取] 以確認
選取 [下一步],然後選取 [檢閱 + 指派] 以確認新權限的指派。
如需如何使用受控 Grafana 搭配 Azure 監視器的詳細資訊,請移至在 Grafana 中監視您的 Azure 服務。
使用 az role assignment create 命令來指派角色指派。
在下面的程式碼中,取代下列預留位置:
<assignee>:如果是 --assignee 參數,則請輸入受託人的物件識別碼或使用者登入名稱或服務主體名稱。 如果是 --assignee-object-id 參數,則請輸入使用者或群組或服務主體或受控識別的物件識別碼。 對於受控識別,使用主體識別碼。 對於服務主體,使用物件識別碼,而不是應用程式識別碼。 如需詳細資訊,請參閱 az role assignment create 命令。<roleNameOrId>:輸入角色的名稱或識別碼。 對於 [監視讀取器],輸入 Monitoring Reader 或 43d0d8ad-25c7-4714-9337-8ba259a9fe05。<scope>:輸入 Azure 受控 Grafana 所需存取資源的完整識別碼。
az role assignment create --assignee "<assignee>" \
--role "<roleNameOrId>" \
--scope "<scope>"
或
az role assignment create --assignee-object-id "<assignee>" --assignee-principal-type "<ForeignGroup / Group / ServicePrincipal / User>" \
--role "<roleNameOrId>" \
--scope "<scope>"
範例:指派 Azure 受控 Grafana 執行個體的權限,以使用受控識別來存取 Application Insights 資源。
az role assignment create --assignee-object-id "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" --assignee-principal-type "ServicePrincipal" \
--role "Monitoring Reader" \
--scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-rg/providers/microsoft.insights/components/myappinsights/"
如需使用 Azure CLI 來指派 Azure 角色的詳細資訊,請參閱角色型存取控制文件。
下一步