RBAC
Тема дорожной карты · Grafana
Система ролевого управления доступом (RBAC) в Grafana регулирует, какие действия каждый пользователь может выполнять с ресурсами Grafana, используя комбинацию встроенных ролей и, в редакции Enterprise, детализированных пользовательских ролей. Три встроенные роли Grafana: Viewer (может просматривать дашборды и исследовать данные), Editor (может создавать и редактировать дашборды, панели и правила алертинга) и Admin (может управлять пользователями, командами, источниками данных и всеми другими настройками Grafana). В Grafana OSS RBAC применяется на уровне организации: каждый пользователь имеет роль в организации, а разрешения на папки и дашборды могут дополнительно ограничивать доступ viewer или editor к конкретным ресурсам. Grafana Enterprise расширяет RBAC пользовательскими определениями ролей, где детализированные разрешения — такие как dashboards:create, datasources:read или alerting:rules:write — можно объединять в именованные роли и назначать пользователям или командам, реализуя паттерны минимально необходимых прав в крупных организациях. Назначения ролей можно управлять в интерфейсе Grafana через Administration > Users and access, через HTTP API Grafana или с помощью Terraform посредством ресурсов grafana_role и grafana_role_assignment для автоматизированного провизионирования RBAC.
Как это работает
RBAC: смените дефолтный admin-пароль (/etc/grafana/grafana.ini [security].admin_password), задайте secret_key (для подписи), отключите signup ([users].allow_sign_up=false), используйте auth-провайдеры (LDAP, OAuth, OIDC, SAML для enterprise), HTTPS на reverse proxy, folder-level permissions для ограничения, кто что видит. Service accounts (API-токены) — для программного доступа; никогда личные API-ключи.
Когда применять
SSO (OIDC через Yandex ID, Keycloak, Authentik) — до того как > 5 юзеров; ручное управление юзерами устаревает. Folder-level permissions — для компартментализации команд. Аудит, у кого admin (раз в квартал). Ротация API-токенов. Никогда не выставляйте /api/datasources публично — там хранятся datasource-credentials.
Типичные ошибки
Ловушки RBAC: общий admin-аккаунт "для удобства" (нет audit trail); SSO group-claims не маппятся на Grafana-orgs (все получают дефолтную роль); credentials datasource в plaintext-конфиге (используйте шифрование Grafana или secrets-менеджер).