5 用户角色

概述

管理→ 用户角色 部分中,可以分配给系统用户的角色和每个角色的特定权限得到维护。

默认用户角色

默认情况下,Zabbix 配置了四个用户角色,它们具有一组预定义的权限:

  • · 管理员角色
  • · 嘉宾角色
  • · 超级管理员角色
  • · 用户角色

5 用户角色 - 图1

默认 超级管理员角色 不能修改或删除,因为 Zabbix 中必须至少存在一个具有无限权限的超级管理员。

具有超级管理员类型和适当权限的 Zabbix 用户可以修改或删除现有角色或创建新的自定义角色。

要创建新角色,请单击右上角的创建用户角色按钮。要更新现有角色,请按角色名称以打开配置表单。

5 用户角色 - 图2

Zabbix 中预先存在的用户角色的可用权限选项以及默认权限集如下所述。

参数说明默认用户角色
超级管理员角色管理员角色用户角色访客角色
名称角色可见名称。超级管理员角色管理员角色用户角色访客角色
用户类型选定的用户类型决定了可用权限的列表。
选择用户类型后,默认情况下会授予此用户类型的所有可用权限。
取消选中该复选框可撤消该用户的某些权限用户角色。
此用户类型不可用的权限复选框呈灰色显示。
超级管理员管理员用户用户
访问 UI 元素
监控
仪表板启用/禁用对特定监控菜单部分和基础页面的访问。
问题
主机
最新数据
地图
发现
服务
服务启用/禁用对特定服务菜单部分和基础页面的访问。
服务行动
SLA
SLA 报告
资产管理
概览启用/禁用对特定库存菜单部分和基础页面的访问。
主机
报告
系统信息启用/禁用对特定报告菜单部分和基础页面的访问。
可用性报告
触发前 100 名
审核
动作日志
通知
预定报告
配置
主机组启用/禁用对特定配置菜单部分和基础页面的访问。
模板
主机
维护
动作
事件关联
发现
管理
常规启用/禁用对特定管理菜单部分和基础页面的访问。
proxies
认证
用户组
用户角色
用户
媒介类型
脚本
队列
对新 UI 元素的默认访问启用/禁用对自定义 UI 元素的访问。模块,如果存在,将在下面列出。
访问服务
对服务的读写访问权限选择对服务的读写访问权限:
- 完全没有访问权限
全部 - 对所有服务的访问权限为读写权限
服务列表 - 为读写访问选择服务

读写访问优先于只读访问,并由子服务动态继承。
使用标签对服务进行读写访问指定标签名称和可选的值,以额外授予对匹配标签的服务的读写访问权限。
如果在 Read- 中选择了“服务列表”,则此选项可用对 services 参数的写访问。
读写访问优先于只读访问,并由子服务动态继承。
对服务的只读访问权限选择对服务的只读访问权限:
- 根本没有访问权限
全部 - 对所有服务的访问权限都是只读的
服务列表 - 选择服务进行只读访问

只读访问不优先于读写访问,由子服务动态继承。
对带有标签的服务的只读访问权限指定标签名称和(可选)值以额外授予对匹配标签的服务的只读访问权限。
如果在 Read- 中选择了“服务列表”,则此选项可用仅访问 services 参数。
只读访问不优先于读写访问,由子服务动态继承。
访问模块
<模块名称>允许/拒绝对特定模块的访问。本节仅显示启用的模块。无法授予或限制对当前禁用的模块的访问权限。
对新模块的默认访问启用/禁用对将来可能添加的模块的访问。
访问API
启用启用/禁用对 API 的访问。
API 方法选择允许列表 仅允许指定的 API 方法或选择拒绝列表 仅限制指定的 API 方法。

在搜索字段中,开始输入方法名称,然后选择方法从自动完成列表中。
您还可以按“选择”按钮并从可用于此用户类型的完整列表中选择方法。请注意,如果未选中“访问操作”块中的某些操作,用户将无法使用与该操作相关的 API 方法。

支持通配符。示例:dashboard.(’dashboard.’ API 服务的所有方法)(任何方法)、*.export(来自所有 API 服务的具有 ‘.export’ 名称的方法)。
<br >如果没有指定方法,允许/拒绝列表规则将被忽略。
访问操作
创建和编辑仪表板清除此复选框还将撤销对相应元素使用 .create.update.delete API 方法的权限。
创建和编辑地图
创建和编辑维护
添加问题评论清除此复选框还将撤销通过event.acknowledge API方法执行相应操作的权限。
更改严重性
确认问题
关闭问题
执行脚本清除此复选框也将撤销使用 script.execute API 方法的权限。
管理 API 令牌清除此复选框还将撤销使用所有 token. API 方法的权利。
管理预定报告清除此复选框还将撤销使用所有“报告”API 方法的权利。
管理 SLA启用/禁用管理 SLA 的权限。
默认访问新操作启用/禁用访问新操作。

备注:

  • · 每个用户只能分配一个角色。
  • · 如果某个元素受到限制,即使在浏览器中输入指向该元素的直接 URL,用户也无法访问它。
  • · UserAdmin 类型的用户不能更改他们自己的角色设置。
  • · 超级管理员类型的用户可以修改他们自己角色的设置(不适用于默认的超级管理员角色),但不能修改用户类型。
  • · 各级用户不能更改自己的用户类型。

参阅:

Configuration

To create a new role, click on the Create user role button at the top right corner. To update an existing role, click on the role name to open the configuration form.

5 用户角色 - 图3

Available permissions are displayed. To revoke a certain permission, unmark its checkbox.

Available permissions along with the defaults for each pre-configured user role in Zabbix are described below.

Default permissions

Access to UI elements

The default access to menu sections depends on the user type. See the Permissions page for details.

Access to other options

ParameterDescriptionDefault user roles
Super admin roleAdmin roleUser roleGuest role
Default access to new UI elementsEnable/disable access to the custom UI elements. Modules, if present, will be listed below.YesYesYesYes
Access to services
Read-write access to servicesSelect read-write access to services:
None - no access at all
All - access to all services is read-write
Service list - select services for read-write access

The read-write access, if granted, takes precedence over the read-only access settings and is dynamically inherited by the child services.
AllAllNoneNone
Read-write access to services with tagSpecify tag name and, optionally, value to additionally grant read-write access to services matching the tag.
This option is available if ‘Service list’ is selected in the Read-write access to services parameter.
The read-write access, if granted, takes precedence over the read-only access settings and is dynamically inherited by the child services.
Read-only access to servicesSelect read-only access to services:
None - no access at all
All - access to all services is read-only
Service list - select services for read-only access

The read-only access does not take precedence over the read-write access and is dynamically inherited by the child services.
AllAll
Read-only access to services with tagSpecify tag name and, optionally, value to additionally grant read-only access to services matching the tag.
This option is available if ‘Service list’ is selected in the Read-only access to services parameter.
The read-only access does not take precedence over the read-write access and is dynamically inherited by the child services.
Access to modules
<Module name>Allow/deny access to a specific module. Only enabled modules are shown in this section. It is not possible to grant or restrict access to a module that is currently disabled.YesYesYesYes
Default access to new modulesEnable/disable access to modules that may be added in the future.
Access to API
EnabledEnable/disable access to API.YesYesYesNo
API methodsSelect Allow list to allow only specified API methods or Deny list to restrict only specified API methods.

In the search field, start typing the method name, then select the method from the auto-complete list.
You can also press the Select button and select methods from the full list available for this user type. Note, that if certain action from the Access to actions block is unchecked, users will not be able to use API methods related to this action.

Wildcards are supported. Examples: dashboard. (all methods of ‘dashboard.’ API service) (any method), *.export (methods with ‘.export’ name from all API services).

If no methods have been specified the Allow/Deny list rule will be ignored.
Access to actions
Create and edit dashboardsClearing this checkbox will also revoke the rights to use .create, .update and .delete API methods for the corresponding elements.YesYesYesNo
Create and edit maps
Create and edit maintenanceNo
Add problem commentsClearing this checkbox will also revoke the rights to perform corresponding action via event.acknowledge API method.Yes
Change severity
Acknowledge problems
Suppress problems
Close problems
Execute scriptsClearing this checkbox will also revoke the rights to use the script.execute API method.
Manage API tokensClearing this checkbox will also revoke the rights to use all token. API methods.
Manage scheduled reportsClearing this checkbox will also revoke the rights to use all report. API methods.No
Manage SLAEnable/disable the rights to manage SLA.
Invoke “Execute now” on read-only hostsAllow to use the “Execute now” option in latest data for items of read-only hosts.Yes
Default access to new actionsEnable/disable access to new actions.

See also: