Gestión de roles y permisos en Grafana

By | March 9, 2019

Grafana hace muy sencilla la gestión de roles para los distintos grupos que necesiten acceder a los dashboards de métricas. Estos grupos pueden ser desde departamentos dentro de una empresa, organizaciones o distintos clientes a los que ofrecemos servicios de monitorización con Grafana.

No todos deben tener acceso a las distintas métricas que monitorizamos ni mucho menos a la administración o edición de dashboards. Para ello existen 3 tipos de roles: administrador, editor y visualizador (viewer). El primero es quien gestiona la plataforma al completo, el segundo puede modificar dashboards/alarmas y el tercero sólo visualizar dashboards.

Estos roles se aplican a los usuarios a la hora crearlos.

Estos usuarios a su vez se pueden agrupan en equipos, lo que facilita la gestión posterior de permisos en cada dashboard:

Cuando creamos un dashboard, por defecto en la sección de permisos vemos que se da permisos a los 3 roles mencionados anteriormente, cada rol claro está con sus limitaciones:

Existen distintas maneras de organizar esto, pero una de las cosas que suelo hacer es quitar los dos roles de editor y viewer para asignar permisos sobre un dashboard a equipos en concreto:

Retirando esos dos roles nos aseguramos de que sólo puedan acceder a este dashboard personas de un equipo en concreto. Llegado el caso, podemos ser más específicos y asignar permisos a usuarios específicos.