Это перевод страницы документации с английского языка. Помогите нам сделать его лучше.

5 Роли пользователя

Обзор

В разделе Администрирование → Роли пользователя настраиваются роли, которые могут быть назначены пользователям системы и прописываются разрешения для каждой роли.

A new user cannot be created without assigning a user role to them in 6.4.4 and later Zabbix versions. Previously created users may still be edited without assigning a user role to them, but when a user role is assigned, the field becomes mandatory, and a user role cannot be deleted anymore. You can always change the user role, though.

6.4.3 and earlier versions still provide the opportunity to create a user with an empty user role.

Роли пользователя по умолчанию

По умолчанию, Zabbix настроен с четырьмя ролями пользователей, которые имеют заранее определенный набор прав:

  • Роль Администратор
  • Роль Гость
  • Роль Супер-администратор
  • Роль Пользователь

Заданная по умолчанию роль Супер-администратора не может быть изменена или удалена, потому что в Zabbix должен существовать хотя бы один Супер-администратор с неограниченными привилегиями.

Пользователи Zabbix с типом роли Супер-администратор и соответствующими правами могут изменять или удалять существующие роли или создавать новые пользовательские роли.

Чтобы создать новую роль, нажмите кнопку Создать роль пользователя в правом верхнем углу. Чтобы обновить существующую роль, нажмите на название роли, чтобы открыть форму конфигурации.

Доступные права вместе с наборами прав для преднастроенных ролей пользователя в Zabbix описаны ниже.

Параметр Описание Роли пользователя по умолчанию
Роль Супер-администратор Роль Администратор Роль Пользователь Роль Гость
Название Видимое название роли. роль Супер-администратор роль Администратор роль Пользователь роль Гость
Тип пользователя Выбранный тип пользователя определяет список доступных разрешений.
После выбора типа пользователя все доступные разрешения для этого типа пользователя предоставляются по умолчанию.
Снимите нужные флажки, чтобы отозвать определенные разрешения для роли пользователя.
Флажки для разрешений, недоступных для этого типа пользователей, неактивны.
Супер-администратор Администратор Пользователь Пользователь
Доступ к элементам веб-интерфейса
Мониторинг
Панель Разрешение/запрет доступа к определенным подразделам раздела меню Мониторинг и содержащихся в них страницам. Да Да Да Да
Проблемы
Узлы сети
Обзор
Последние данные
Экраны
Карты
Обнаружение Нет Нет
Услуги Да Да
Инвентаризация
Обзор Разрешение/запрет доступа к определенным подразделам раздела меню Инвентаризация и содержащихся в них страницам. Да Да Да Да
Узлы сети
Отчеты
Информация о системе Разрешение/запрет доступа к определенным подразделам раздела меню Отчеты и содержащихся в них страницам. Да Нет Нет Нет
Отчет о доступности Да Да Да
100 наиболее активных триггеров
Аудит Нет Нет Нет
Журнал действий
Уведомления Да
Настройка
Группы узлов сети Разрешение/запрет доступа к определенным подразделам раздела меню Настройка и содержащихся в них страницам. Да Да Нет Нет
Шаблоны
Узлы сети
Обслуживание
Действия
Корреляция событий Нет
Обнаружение Да
Услуги
Администрирование
Общие Разрешение/запрет доступа к определенным подразделам раздела меню Администрирование и содержащихся в них страницам. Да Нет Нет Нет
Прокси
Аутентификация
Группы пользователей
Роли пользователей
Пользователи
Способы оповещений
Скрпиты
Очередь
Доступ по умолчанию к новым элементам веб-интерфейса Разрешение/запрет доступа к пользовательским элементам веб-интерфейса. Модули, если они присутствуют, будут перечислены ниже. Да Да Да Да
Доступ к модулям
<Название модуля> Разрешение/запрет доступа к конкретному модулю. В этом разделе показаны только включенные модули. Невозможно предоставить или ограничить доступ к модулю, который в настоящее время отключен. Да Да Да Да
Доступ по умолчанию к новым модулям Разрешение/запрет доступа к модулям, которые могут быть добавлены в будущем.
Доступ к API
Enabled Разрешение/запрет доступа к API. Да Да Да Нет
API методы Выберите Разрешенный список чтобы разрешить только перечисленные API методы или Запрещенный список чтобы запретить только перечисленные API методы.

В поле поиска начните вводить имя метода, затем выберите метод из списка автозаполнения.
Вы также можете нажать кнопку «Выбрать» и выбрать методы из полного списка, доступного для этого типа пользователей. Обратите внимание, что если определенное действие из блока Доступ к действиям не отмечено флажком, пользователи не смогут использовать методы API, связанные с этим действием.

Поддерживаются подстановочные знаки. Примеры: dashboard.* (все API методы 'dashboard.') * (любой метод), *.export (методы с именем '.export' из всех служб API).

Если никакие методы не указаны, правило Разрешенного/запрещенного списка игнорируется.
Доступ к действиям
Создавать и редактировать панели и комплексные экраны Снятие этого флажка также аннулирует права на использование API методов .create, .update и .delete для соответствующих элементов. Да Да Да Нет
Создавать и редактировать карты
Создавать и редактировать периоды обслуживания Нет
Добавлять комментарии к проблемам Снятие этого флажка также лишает права выполнять соответствующее действие через API метод event.acknowledge. Да
Изменять важность
Подтверждать проблемы
Закрывать проблемы
Выполнять скрипты Снятие этого флажка также лишает права выполнять соответствующее действие через API метод script.execute.
Доступ по умолчанию к новым действиям Разрешение/запрет доступа к новым действиям.

Примечания:

  • Каждому пользователю может быть назначена только одна роль.
  • Если элемент ограничен, пользователи не смогут получить к нему доступ даже при вводе прямого URL-адреса этого элемента в браузере.
  • Пользователи с типом Пользователь или Администратор не могут изменять настройки своей роли.
  • Пользователи с типом Супер-администратор могут изменять настройки своей собственной роли (недоступно для роли Супер-администратора по умолчанию), но не могут изменить тип пользователя.
  • Пользователи всех уровней не могут изменять свой собственный тип пользователя.

Смотрите также:

Configuration

To create a new role, click on the Create user role button at the top right corner. To update an existing role, click on the role name to open the configuration form.

Available permissions are displayed. To revoke a certain permission, unmark its checkbox.

Available permissions along with the defaults for each pre-configured user role in Zabbix are described below.

Default permissions

Access to UI elements

The default access to menu sections depends on the user type. See the Permissions page for details.

Access to other options

Parameter Description Default user roles
Super admin role Admin role User role Guest role
Default access to new UI elements Enable/disable access to the custom UI elements. Modules, if present, will be listed below. Yes Yes Yes Yes
Access to services
Read-write access to services Select read-write access to services:
None - no access at all
All - access to all services is read-write
Service list - select services for read-write access

The read-write access, if granted, takes precedence over the read-only access settings and is dynamically inherited by the child services.
All All None None
Read-write access to services with tag Specify tag name and, optionally, value to additionally grant read-write access to services matching the tag.
This option is available if 'Service list' is selected in the Read-write access to services parameter.
The read-write access, if granted, takes precedence over the read-only access settings and is dynamically inherited by the child services.
Read-only access to services Select read-only access to services:
None - no access at all
All - access to all services is read-only
Service list - select services for read-only access

The read-only access does not take precedence over the read-write access and is dynamically inherited by the child services.
All All
Read-only access to services with tag Specify tag name and, optionally, value to additionally grant read-only access to services matching the tag.
This option is available if 'Service list' is selected in the Read-only access to services parameter.
The read-only access does not take precedence over the read-write access and is dynamically inherited by the child services.
Access to modules
<Module name> Allow/deny access to a specific module. Only enabled modules are shown in this section. It is not possible to grant or restrict access to a module that is currently disabled. Yes Yes Yes Yes
Default access to new modules Enable/disable access to modules that may be added in the future.
Access to API
Enabled Enable/disable access to API. Yes Yes Yes No
API methods Select Allow list to allow only specified API methods or Deny list to restrict only specified API methods.

In the search field, start typing the method name, then select the method from the auto-complete list.
You can also press the Select button and select methods from the full list available for this user type. Note, that if certain action from the Access to actions block is unchecked, users will not be able to use API methods related to this action.

Wildcards are supported. Examples: dashboard.* (all methods of 'dashboard.' API service) * (any method), *.export (methods with '.export' name from all API services).

If no methods have been specified the Allow/Deny list rule will be ignored.
Access to actions
Create and edit dashboards Clearing this checkbox will also revoke the rights to use .create, .update and .delete API methods for the corresponding elements. Yes Yes Yes No
Create and edit maps
Create and edit maintenance No
Add problem comments Clearing this checkbox will also revoke the rights to perform corresponding action via event.acknowledge API method. Yes
Change severity
Acknowledge problems
Suppress problems
Close problems
Execute scripts Clearing this checkbox will also revoke the rights to use the script.execute API method.
Manage API tokens Clearing this checkbox will also revoke the rights to use all token. API methods.
Manage scheduled reports Clearing this checkbox will also revoke the rights to use all report. API methods. No
Manage SLA Enable/disable the rights to manage SLA.
Invoke "Execute now" on read-only hosts Allow to use the "Execute now" option in latest data for items of read-only hosts. Yes
Default access to new actions Enable/disable access to new actions.

See also: