AiHummer
Հայերեն
Մուտք
v1.0.x
{ }Swagger

RBAC և շրջանակված API բանալիներ

v1.0.x · թարմացվել է 2026-07-07

AiHummer-ը պաշտպանում է իր ադմին մակերեսը դեր-հիմնված հասանելիության վերահսկողությամբ և շրջանակված API բանալիներով։ Դերերը որոշում են, թե ով ում թույլատրվում է լինել, շրջանակված բանալիները թույլ են տալիս ավտոմատացման մի կտորի հանձնել միայն այն արտոնությունները, որ իրականում անհրաժեշտ են, փոխանակ ամեն ինչ անող բանալու։

Դերեր

Ադմին API-ին և ադմին UI-ին հասանելիությունը կառավարվում է դերերով։ Դերը որոշում է, թե որ ռեսուրսների խմբերը կարող է դիտել պրինցիպալը և որոնք կարող է փոխել։

Դերերը կառավարվում են ադմին UI-ի «Դերեր» էջում։ Տուփից դուրս կան ներկառուցված դերերowner (ամեն ինչ), admin, operator և member — դրանք հասանելի են միայն կարդալու համար (նշված են «Ներկառուցված» կրծքանշանով, դրանք հնարավոր չէ փոխել կամ ջնջել)։ Դրանցից բացի կարելի է ստեղծել սեփական դերեր. դերի ձևում սահմանվում են անունը, նկարագրությունը և իրավունքների ցանցը — կարդալ/գրել վանդակներ ռեսուրսների ~19 դոմեններից յուրաքանչյուրի համար (գործակալներ, երկխոսություններ, գործիքներ, գաղտնիքներ, փլագիններ, կարգավորումներ, հաստատումներ, API բանալիներ և այլն; «գրելը» ավտոմատ միացնում է «կարդալը»)։ Յուրաքանչյուր դերի մոտ ցուցադրվում է, թե քանի սուբյեկտ է այն օգտագործում; որևէ մեկին նշանակված դերը հնարավոր չէ ջնջել, քանի դեռ նշանակումները չեն հանվել։

Համատեղեք դերերը այս կայքի մյուս վերահսկողությունների հետ — IP թույլատրման ցանկ, կորպորատիվ SSO և աուդիտի մատյան — որպեսզի յուրաքանչյուր ադմին գործողություն լինի և՛ իրավասու, և՛ գրանցված։

Շրջանակված ադմին API բանալիներ

Ադմին API բանալիները կրում են շրջանակներ, որ սահմանափակում են, թե ինչ կարող է անել բանալին։ Կան երեք շրջանակ.

Շրջանակ Շնորհում է
admin:read Միայն-կարդալու հասանելիություն ադմին ռեսուրսներին (դիտել կարգավորումներ, զրույցներ, անալիտիկա և այլն)։
admin:write Կարդալու և գրելու հասանելիություն ադմին ռեսուրսներին։
admin:* Լիարժեք ադմին հասանելիություն (համարժեք բոլոր ադմին շրջանակներին)։

Շրջանակները ներդրվել են migration 0073-ով։ Գոյություն ունեցող բանալիները շարունակում են աշխատել, նոր բանալիները կարող են ստեղծվել նեղ շրջանակով, որպեսզի, օրինակ, վահանակը, որ միայն կարդում է չափումներ, երբեք չպահի բանալի, որ կարող է փոխել կարգավորումներ։

[!TIP] Կիրառեք նվազագույն արտոնություն. մոնիթորինգի կամ հաշվետվության ինտեգրումը պետք է ստանա admin:read բանալի, ոչ թե admin:write կամ admin:*։ Պահեք admin:*-ը այն բանալիների համար, որոնք իսկապես պետք է փոխեն ամեն ռեսուրսի խումբ։

Ճիշտ շրջանակն ընտրելը

  • Միայն-կարդալու ինտեգրումներ (վահանակներ, արտահանողներ, կարգավիճակի ստուգումներ) → admin:read։
  • Ավտոմատացում, որ ստեղծում կամ խմբագրում է ռեսուրսներ (ապահովման գործակալներ, գիտելիքի ներմուծում, ժամանակացույցների կառավարում) → admin:write։
  • Արտակարգ-մուտք / լիարժեք ադմինիստրացումadmin:*, պահվող հնարավորինս քիչ բանալիների կողմից և պարբերաբար պտտվող։

[!WARNING] Շրջանակված բանալին դեռևս ադմին API-ի հավատարմագիր է։ Պահեք այն գաղտնիքների պահոցում կամ ձեր սեփական գաղտնիքների կառավարիչում, երբեք սկզբնական կոդի վերահսկողության մեջ, և պտտեք այն, եթե կարող էր բացահայտվել։

Ինչպես են կառավարվում բանալիները

Ադմին API բանալիները կառավարվում են ադմին API-ի (/v1/admin/apikeys) և ադմին UI-ի միջոցով, որտեղ դուք ստեղծում եք բանալի, նշանակում նրա շրջանակը և չեղարկում, երբ այն այլևս պետք չէ։ Քանի որ ադմին API-ն ինքնին պաշտպանված է OIDC-ով և IP թույլատրման ցանկով, բանալի ստեղծելը նույնականացված, աուդիտված գործողություն է։

Ուր հաջորդ