Гэтая старонка ахоплівае сродкі кантролю, якія вызначаюць, куды можна звярнуцца да AiHummer і
куды ён можа звяртацца, што ён запісвае і з чаго ён пабудаваны: спіс дазволеных IP для адміністратара,
рэжым air-gapped, журнал аўдыту і паставу ланцуга пастаўкі.
Спіс дазволеных IP (IP-гейтынг адміністратара)
Вы можаце абмежаваць адміністратарскую паверхню вядомымі сеткамі з дапамогай спісу дазволеных IP,
які кіруецца праз /v1/admin/security/ip-allowlist. Калі ён наладжаны, адміністратарскі доступ
кантралюецца па зыходным IP, таму адміністратарскі API і UI адказваюць толькі на запыты з
адрасоў, якім вы давяраеце.
[!TIP]
Спалучайце спіс дазволеных IP з карпаратыўным SSO
і абмежаванымі API-ключамі: сеткавы гейтынг абмяжоўвае, адкуль,
SSO абмяжоўвае, хто, а скоупы абмяжоўваюць, што.
Рэжым air-gapped
Для суверэнных або ізаляваных разгортванняў усталюйце AIHUMMER_AIRGAPPED=1, каб блакаваць
кіраваны мадэллю публічны выходны трафік. У гэтым рэжыме інструменты агента не могуць звяртацца
да публічнага інтэрнэту ад імя мадэлі, што прыбірае цэлы клас
рызык эксфільтрацыі і SSRF.
[!WARNING]
Рэжым air-gapped адключае інструменты, якія залежаць ад публічнага выходнага трафіку (напрыклад,
запыты з адкрытага вэбу). Спалучайце яго з самахостынгавымі sidecar’амі і лакальнымі мадэлямі, каб
разгортванне заставалася цалкам функцыянальным без знешніх выклікаў. Для больш тонкага кантролю,
не даходзячы да поўнай ізаляцыі, выкарыстоўвайце спісы дазволенага выходнага трафіку, апісаныя ў
Guardrails.
Журнал аўдыту
Змены адміністратара запісваюцца ў журнал аўдыту з тэрмінам захоўвання і пагінацыяй,
які можна чытаць праз /v1/admin/audit. Тэрмін захоўвання кантралюецца праз
AIHUMMER_AUDIT_RETENTION_DAYS, таму вы можаце захоўваць журнал столькі, колькі патрабуе ваша
палітыка адпаведнасці, і дазваляць старэйшым запісам выводзіцца з ужытку.
Журнал аўдыту натуральна спалучаецца з RBAC і SSO: SSO і спіс дазволеных IP
вырашаюць, хто можа дзейнічаць, абмежаваныя ключы вырашаюць, што яны могуць рабіць, а журнал аўдыту
запісвае, што яны зрабілі.
Ланцуг пастаўкі і паства рантайму
Рантайм AiHummer наўмысна малы і прыдатны для інспекцыі:
Уласцівасць
Паства
Gateway
Адзіны бінарнік на Go (control-plane + turn engine).
Прамыя залежнасці
Прыкладна 25 прамых Go-модуляў — малая, прыдатная для аўдыту паверхня.
Упакоўка
Хост-натыўная: рэлізны tarball + systemd, без Docker.
Sidecar’ы
Асобныя HTTP-сэрвісы, дасягальныя па URL, усталёўваюцца толькі пры неабходнасці.
[!NOTE]
Хост-натыўная ўпакоўка азначае, што няма кантэйнернага рантайму, які трэба ўмацоўваць або патчыць у
дадатак да дадатку — вы запускаеце адзін бінарнік на Go пад systemd з
/home/.aihummer. Гэта правяральная ўласцівасць таго, як пастаўляецца прадукт, а
не сцвярджэнне аб абсалютнай бяспецы.
Гэтая старонка ахоплівае сродкі кантролю, якія вызначаюць, *куды* можна звярнуцца да AiHummer і
*куды* ён можа звяртацца, *што* ён запісвае і *з чаго* ён пабудаваны: спіс дазволеных IP для адміністратара,
рэжым air-gapped, журнал аўдыту і паставу ланцуга пастаўкі.
## Спіс дазволеных IP (IP-гейтынг адміністратара)
Вы можаце абмежаваць адміністратарскую паверхню вядомымі сеткамі з дапамогай **спісу дазволеных IP**,
які кіруецца праз `/v1/admin/security/ip-allowlist`. Калі ён наладжаны, адміністратарскі доступ
кантралюецца па зыходным IP, таму адміністратарскі API і UI адказваюць толькі на запыты з
адрасоў, якім вы давяраеце.
> [!TIP]
> Спалучайце спіс дазволеных IP з [карпаратыўным SSO](/en/v1.0/security/enterprise-sso)
> і [абмежаванымі API-ключамі](/en/v1.0/security/rbac): сеткавы гейтынг абмяжоўвае, *адкуль*,
> SSO абмяжоўвае, *хто*, а скоупы абмяжоўваюць, *што*.
## Рэжым air-gapped
Для суверэнных або ізаляваных разгортванняў усталюйце `AIHUMMER_AIRGAPPED=1`, каб блакаваць
**кіраваны мадэллю публічны выходны трафік**. У гэтым рэжыме інструменты агента не могуць звяртацца
да публічнага інтэрнэту ад імя мадэлі, што прыбірае цэлы клас
рызык эксфільтрацыі і SSRF.
```ini
# /home/.aihummer/etc/gateway.env
AIHUMMER_AIRGAPPED=1
```
> [!WARNING]
> Рэжым air-gapped адключае інструменты, якія залежаць ад публічнага выходнага трафіку (напрыклад,
> запыты з адкрытага вэбу). Спалучайце яго з самахостынгавымі sidecar'амі і лакальнымі мадэлямі, каб
> разгортванне заставалася цалкам функцыянальным без знешніх выклікаў. Для больш тонкага кантролю,
> не даходзячы да поўнай ізаляцыі, выкарыстоўвайце спісы дазволенага выходнага трафіку, апісаныя ў
> [Guardrails](/en/v1.0/security/guardrails).
## Журнал аўдыту
Змены адміністратара запісваюцца ў **журнал аўдыту** з тэрмінам захоўвання і пагінацыяй,
які можна чытаць праз `/v1/admin/audit`. Тэрмін захоўвання кантралюецца праз
`AIHUMMER_AUDIT_RETENTION_DAYS`, таму вы можаце захоўваць журнал столькі, колькі патрабуе ваша
палітыка адпаведнасці, і дазваляць старэйшым запісам выводзіцца з ужытку.
```ini
# /home/.aihummer/etc/gateway.env
AIHUMMER_AUDIT_RETENTION_DAYS=365
```
Журнал аўдыту натуральна спалучаецца з RBAC і SSO: SSO і спіс дазволеных IP
вырашаюць, хто можа дзейнічаць, абмежаваныя ключы вырашаюць, што яны могуць рабіць, а журнал аўдыту
запісвае, што яны зрабілі.
## Ланцуг пастаўкі і паства рантайму
Рантайм AiHummer наўмысна малы і прыдатны для інспекцыі:
| Уласцівасць | Паства |
|---|---|
| Gateway | Адзіны бінарнік на Go (control-plane + turn engine). |
| Прамыя залежнасці | Прыкладна 25 прамых Go-модуляў — малая, прыдатная для аўдыту паверхня. |
| Упакоўка | Хост-натыўная: рэлізны tarball + systemd, **без Docker**. |
| Sidecar'ы | Асобныя HTTP-сэрвісы, дасягальныя па URL, усталёўваюцца толькі пры неабходнасці. |
> [!NOTE]
> Хост-натыўная ўпакоўка азначае, што няма кантэйнернага рантайму, які трэба ўмацоўваць або патчыць у
> дадатак да дадатку — вы запускаеце адзін бінарнік на Go пад systemd з
> `/home/.aihummer`. Гэта правяральная ўласцівасць таго, як пастаўляецца прадукт, а
> не сцвярджэнне аб абсалютнай бяспецы.
## Куды далей
- [Карпаратыўнае SSO](/en/v1.0/security/enterprise-sso) — каму дазволены ўваход.
- [RBAC і абмежаваныя API-ключы](/en/v1.0/security/rbac) — што яны могуць рабіць, апынуўшыся ўнутры.
- [Guardrails і абарона ад prompt-injection](/en/v1.0/security/guardrails) — спісы дазволенага
выходнага трафіку і абарона ад SSRF для інструментаў, якія сапраўды звяртаюцца вонкі.