我的书签
添加书签
移除书签5 用户角色
概述
在 管理→ 用户角色 部分中,可以分配给系统用户的角色和每个角色的特定权限得到维护。
默认用户角色
默认情况下,Zabbix 配置了四个用户角色,它们具有一组预定义的权限:
- · 管理员角色
- · 嘉宾角色
- · 超级管理员角色
- · 用户角色
默认 超级管理员角色 不能修改或删除,因为 Zabbix 中必须至少存在一个具有无限权限的超级管理员。
具有超级管理员类型和适当权限的 Zabbix 用户可以修改或删除现有角色或创建新的自定义角色。
要创建新角色,请单击右上角的创建用户角色按钮。要更新现有角色,请按角色名称以打开配置表单。
Zabbix 中预先存在的用户角色的可用权限选项以及默认权限集如下所述。
| 参数 | 说明 | 默认用户角色 | |||
|---|---|---|---|---|---|
| 超级管理员角色 | 管理员角色 | 用户角色 | 访客角色 | ||
| 名称 | 角色可见名称。 | 超级管理员角色 | 管理员角色 | 用户角色 | 访客角色 |
| 用户类型 | 选定的用户类型决定了可用权限的列表。 选择用户类型后,默认情况下会授予此用户类型的所有可用权限。 取消选中该复选框可撤消该用户的某些权限用户角色。 此用户类型不可用的权限复选框呈灰色显示。 | 超级管理员 | 管理员 | 用户 | 用户 |
| 访问 UI 元素 | |||||
| 监控 | |||||
| 仪表板 | 启用/禁用对特定监控菜单部分和基础页面的访问。 | 是 | 是 | 是 | 是 |
| 问题 | |||||
| 主机 | |||||
| 最新数据 | |||||
| 地图 | |||||
| 发现 | 否 | 否 | |||
| 服务 | |||||
| 服务 | 启用/禁用对特定服务菜单部分和基础页面的访问。 | 是 | 是 | 是 | 是 |
| 服务行动 | |||||
| SLA | |||||
| SLA 报告 | |||||
| 资产管理 | |||||
| 概览 | 启用/禁用对特定库存菜单部分和基础页面的访问。 | 是 | 是 | 是 | 是 |
| 主机 | |||||
| 报告 | |||||
| 系统信息 | 启用/禁用对特定报告菜单部分和基础页面的访问。 | 是 | 否 | 否 | 否 |
| 可用性报告 | 是 | 是 | 是 | ||
| 触发前 100 名 | |||||
| 审核 | 否 | 否 | 否 | ||
| 动作日志 | |||||
| 通知 | 是 | ||||
| 预定报告 | |||||
| 配置 | |||||
| 主机组 | 启用/禁用对特定配置菜单部分和基础页面的访问。 | 是 | 是 | 否 | 否 |
| 模板 | |||||
| 主机 | |||||
| 维护 | |||||
| 动作 | |||||
| 事件关联 | 否 | ||||
| 发现 | 是 | ||||
| 管理 | |||||
| 常规 | 启用/禁用对特定管理菜单部分和基础页面的访问。 | 是 | 否 | 否 | 否 |
| proxies | |||||
| 认证 | |||||
| 用户组 | |||||
| 用户角色 | |||||
| 用户 | |||||
| 媒介类型 | |||||
| 脚本 | |||||
| 队列 | |||||
| 对新 UI 元素的默认访问 | 启用/禁用对自定义 UI 元素的访问。模块,如果存在,将在下面列出。 | 是 | 是 | 是 | 是 |
| 访问服务 | |||||
| 对服务的读写访问权限 | 选择对服务的读写访问权限: 无 - 完全没有访问权限 全部 - 对所有服务的访问权限为读写权限 服务列表 - 为读写访问选择服务 读写访问优先于只读访问,并由子服务动态继承。 | 是 | 是 | 否 | 否 |
| 使用标签对服务进行读写访问 | 指定标签名称和可选的值,以额外授予对匹配标签的服务的读写访问权限。 如果在 Read- 中选择了“服务列表”,则此选项可用对 services 参数的写访问。 读写访问优先于只读访问,并由子服务动态继承。 | ||||
| 对服务的只读访问权限 | 选择对服务的只读访问权限: 无 - 根本没有访问权限 全部 - 对所有服务的访问权限都是只读的 服务列表 - 选择服务进行只读访问 只读访问不优先于读写访问,由子服务动态继承。 | ||||
| 对带有标签的服务的只读访问权限 | 指定标签名称和(可选)值以额外授予对匹配标签的服务的只读访问权限。 如果在 Read- 中选择了“服务列表”,则此选项可用仅访问 services 参数。 只读访问不优先于读写访问,由子服务动态继承。 | ||||
| 访问模块 | |||||
| <模块名称> | 允许/拒绝对特定模块的访问。本节仅显示启用的模块。无法授予或限制对当前禁用的模块的访问权限。 | 是 | 是 | 是 | 是 |
| 对新模块的默认访问 | 启用/禁用对将来可能添加的模块的访问。 | ||||
| 访问API | |||||
| 启用 | 启用/禁用对 API 的访问。 | 是 | 是 | 是 | 否 |
| API 方法 | 选择允许列表 仅允许指定的 API 方法或选择拒绝列表 仅限制指定的 API 方法。 在搜索字段中,开始输入方法名称,然后选择方法从自动完成列表中。 您还可以按“选择”按钮并从可用于此用户类型的完整列表中选择方法。请注意,如果未选中“访问操作”块中的某些操作,用户将无法使用与该操作相关的 API 方法。 支持通配符。示例: dashboard.(’dashboard.’ API 服务的所有方法)*.export(来自所有 API 服务的具有 ‘.export’ 名称的方法)。<br >如果没有指定方法,允许/拒绝列表规则将被忽略。 | ||||
| 访问操作 | |||||
| 创建和编辑仪表板 | 清除此复选框还将撤销对相应元素使用 .create、.update 和 .delete API 方法的权限。 | 是 | 是 | 是 | 否 |
| 创建和编辑地图 | |||||
| 创建和编辑维护 | 否 | ||||
| 添加问题评论 | 清除此复选框还将撤销通过event.acknowledge API方法执行相应操作的权限。 | 是 | |||
| 更改严重性 | |||||
| 确认问题 | |||||
| 关闭问题 | |||||
| 执行脚本 | 清除此复选框也将撤销使用 script.execute API 方法的权限。 | ||||
| 管理 API 令牌 | 清除此复选框还将撤销使用所有 token. API 方法的权利。 | ||||
| 管理预定报告 | 清除此复选框还将撤销使用所有“报告”API 方法的权利。 | 否 | |||
| 管理 SLA | 启用/禁用管理 SLA 的权限。 | ||||
| 默认访问新操作 | 启用/禁用访问新操作。 | 是 | |||
备注:
- · 每个用户只能分配一个角色。
- · 如果某个元素受到限制,即使在浏览器中输入指向该元素的直接 URL,用户也无法访问它。
- · User 或Admin 类型的用户不能更改他们自己的角色设置。
- · 超级管理员类型的用户可以修改他们自己角色的设置(不适用于默认的超级管理员角色),但不能修改用户类型。
- · 各级用户不能更改自己的用户类型。
参阅:
- · 配置用户
Configuration
To create a new role, click on the Create user role button at the top right corner. To update an existing role, click on the role name to open the configuration form.
Available permissions are displayed. To revoke a certain permission, unmark its checkbox.
Available permissions along with the defaults for each pre-configured user role in Zabbix are described below.
Default permissions
Access to UI elements
The default access to menu sections depends on the user type. See the Permissions page for details.
Access to other options
| Parameter | Description | Default user roles | ||||
| Super admin role | Admin role | User role | Guest role | |||
| Default access to new UI elements | Enable/disable access to the custom UI elements. Modules, if present, will be listed below. | Yes | Yes | Yes | Yes | |
| Access to services | ||||||
| Read-write access to services | Select read-write access to services: None - no access at all All - access to all services is read-write Service list - select services for read-write access The read-write access, if granted, takes precedence over the read-only access settings and is dynamically inherited by the child services. | All | All | None | None | |
| Read-write access to services with tag | Specify tag name and, optionally, value to additionally grant read-write access to services matching the tag. This option is available if ‘Service list’ is selected in the Read-write access to services parameter. The read-write access, if granted, takes precedence over the read-only access settings and is dynamically inherited by the child services. | |||||
| Read-only access to services | Select read-only access to services: None - no access at all All - access to all services is read-only Service list - select services for read-only access The read-only access does not take precedence over the read-write access and is dynamically inherited by the child services. | All | All | |||
| Read-only access to services with tag | Specify tag name and, optionally, value to additionally grant read-only access to services matching the tag. This option is available if ‘Service list’ is selected in the Read-only access to services parameter. The read-only access does not take precedence over the read-write access and is dynamically inherited by the child services. | |||||
| Access to modules | ||||||
| <Module name> | Allow/deny access to a specific module. Only enabled modules are shown in this section. It is not possible to grant or restrict access to a module that is currently disabled. | Yes | Yes | Yes | Yes | |
| Default access to new modules | Enable/disable access to modules that may be added in the future. | |||||
| Access to API | ||||||
| Enabled | Enable/disable access to API. | Yes | Yes | Yes | No | |
| API methods | Select Allow list to allow only specified API methods or Deny list to restrict only specified API methods. In the search field, start typing the method name, then select the method from the auto-complete list. You can also press the Select button and select methods from the full list available for this user type. Note, that if certain action from the Access to actions block is unchecked, users will not be able to use API methods related to this action. Wildcards are supported. Examples: dashboard. (all methods of ‘dashboard.’ API service) *.export (methods with ‘.export’ name from all API services).If no methods have been specified the Allow/Deny list rule will be ignored. | |||||
| Access to actions | ||||||
| Create and edit dashboards | Clearing this checkbox will also revoke the rights to use .create, .update and .delete API methods for the corresponding elements. | Yes | Yes | Yes | No | |
| Create and edit maps | ||||||
| Create and edit maintenance | No | |||||
| Add problem comments | Clearing this checkbox will also revoke the rights to perform corresponding action via event.acknowledge API method. | Yes | ||||
| Change severity | ||||||
| Acknowledge problems | ||||||
| Suppress problems | ||||||
| Close problems | ||||||
| Execute scripts | Clearing this checkbox will also revoke the rights to use the script.execute API method. | |||||
| Manage API tokens | Clearing this checkbox will also revoke the rights to use all token. API methods. | |||||
| Manage scheduled reports | Clearing this checkbox will also revoke the rights to use all report. API methods. | No | ||||
| Manage SLA | Enable/disable the rights to manage SLA. | |||||
| Invoke “Execute now” on read-only hosts | Allow to use the “Execute now” option in latest data for items of read-only hosts. | Yes | ||||
| Default access to new actions | Enable/disable access to new actions. | |||||
See also:
