AiHummer
Azərbaycanca
Daxil ol
v1.0.x
{ }Swagger

RBAC və əhatəli API açarları

v1.0.x · yeniləndi 2026-07-07

AiHummer admin səthini rol əsaslı giriş nəzarətiəhatəli API açarları ilə qoruyur. Rollar bir şəxsin kim olmasına icazə verildiyini qərarlaşdırır; əhatəli açarlar isə hər şeyi edə bilən bir açar əvəzinə, avtomatlaşdırmanın bir parçasına yalnız əslində ehtiyac duyduğu imtiyazları verməyə imkan verir.

Rollar

Admin API-yə və admin UI-yə giriş rollarla idarə olunur. Rol bir prinsipalın hansı resurs qruplarına baxa biləcəyini və hansını dəyişə biləcəyini müəyyən edir.

Rollar admin UI-nin «Rollar» səhifəsində idarə olunur. Qutudan çıxan kimi daxili rollar var — owner (hər şey), admin, operatormember — onlar yalnız oxumaq üçündür («Daxili» nişanı ilə işarələnib, dəyişdirilə və ya silinə bilməz). Bunlardan əlavə öz rollarınızı yarada bilərsiniz: rol formasında ad, təsvir və icazələr şəbəkəsi təyin olunur — ~19 resurs domeninin hər biri üzrə oxuma/yazma checkbox-ları (agentlər, dialoqlar, alətlər, sirlər, plaginlər, parametrlər, təsdiqlər, API açarları və s.; «yazma» avtomatik olaraq «oxuma»nı da aktivləşdirir). Hər rolun yanında onu neçə subyektin istifadə etdiyi göstərilir; kiməsə təyin edilmiş rol təyinatlar götürülməyənə qədər silinə bilməz.

Rolları bu saytdakı digər nəzarətlərlə — IP icazə siyahısı, korporativ SSOaudit logu — birləşdirin ki, hər admin əməliyyatı həm avtorizə edilsin, həm də qeyd olunsun.

Əhatəli admin API açarları

Admin API açarları açarın nə edə biləcəyini məhdudlaşdıran əhatələr daşıyır. Üç əhatə var:

Əhatə Verir
admin:read Admin resurslarına yalnız oxuma girişi (parametrlərə, söhbətlərə, analitikaya və s. baxış).
admin:write Admin resurslarına oxuma yazma girişi.
admin:* Tam admin girişi (bütün admin əhatələrinə bərabər).

Əhatələr migrasiya 0073 ilə təqdim edildi. Mövcud açarlar işləməyə davam edir; yeni açarlar dar əhatə ilə yaradıla bilər ki, məsələn, yalnız metrikləri oxuyan panel heç vaxt parametrləri dəyişdirə bilən açar saxlamasın.

[!TIP] Ən-az-imtiyaz tətbiq edin: monitorinq və ya hesabat inteqrasiyası admin:write və ya admin:* deyil, admin:read açarı almalıdır. admin:*-ı həqiqətən hər resurs qrupunu dəyişdirməyə ehtiyacı olan açarlar üçün saxlayın.

Düzgün əhatəni seçmək

  • Yalnız oxuma inteqrasiyaları (panellər, eksportçular, status yoxlamaları) → admin:read.
  • Resurs yaradan və ya redaktə edən avtomatlaşdırma (təminat agentləri, bilik idxalı, cədvəllərin idarə edilməsi) → admin:write.
  • Qəza-açma / tam idarəetməadmin:*, mümkün qədər az açar tərəfindən saxlanılır və müntəzəm olaraq rotasiya edilir.

[!WARNING] Əhatəli açar yenə də admin API-yə bir etibarnamədir. Onu sirlər seyfində və ya öz sir menecerinizdə saxlayın, heç vaxt mənbə nəzarətində deyil, və ifşa olunmuş ola biləcəyini düşünürsünüzsə onu rotasiya edin.

Açarlar necə idarə olunur

Admin API açarları admin API (/v1/admin/apikeys) və admin UI vasitəsilə idarə olunur, burada açar yaradır, onun əhatəsini təyin edir və artıq lazım olmadıqda onu ləğv edirsiniz. Admin API-nin özü OIDC və IP icazə siyahısı ilə qorunduğu üçün, açar yaratmaq autentifikasiya olunmuş, audit edilmiş əməliyyatdır.

Sonra hara

  • Korporativ SSO — rolların arxasındakı insanları SAML, LDAP, SCIM və ya OIDC vasitəsilə autentifikasiya edin.
  • Şəbəkə, audit və hava-boşluqlu — admin API-nin haradan çatıla biləcəyini məhdudlaşdırın və audit izini saxlayın.
  • Sirlər seyfi — yaratdığınız açarları saxlamaq üçün yer.