AiHummer-ը պաշտպանում է իր ադմին մակերեսը դեր-հիմնված հասանելիության
վերահսկողությամբ և շրջանակված API բանալիներով։ Դերերը որոշում են, թե ով
ում թույլատրվում է լինել, շրջանակված բանալիները թույլ են տալիս ավտոմատացման մի
կտորի հանձնել միայն այն արտոնությունները, որ իրականում անհրաժեշտ են, փոխանակ
ամեն ինչ անող բանալու։
Դերեր
Ադմին API-ին և ադմին UI-ին հասանելիությունը կառավարվում է դերերով։ Դերը որոշում
է, թե որ ռեսուրսների խմբերը կարող է դիտել պրինցիպալը և որոնք կարող է փոխել։
Դերերը կառավարվում են ադմին UI-ի «Դերեր» էջում։ Տուփից դուրս կան
ներկառուցված դերեր — owner (ամեն ինչ), admin, operator և member —
դրանք հասանելի են միայն կարդալու համար (նշված են «Ներկառուցված» կրծքանշանով,
դրանք հնարավոր չէ փոխել կամ ջնջել)։ Դրանցից բացի կարելի է ստեղծել սեփական
դերեր. դերի ձևում սահմանվում են անունը, նկարագրությունը և իրավունքների
ցանցը — կարդալ/գրել վանդակներ ռեսուրսների ~19 դոմեններից յուրաքանչյուրի
համար (գործակալներ, երկխոսություններ, գործիքներ, գաղտնիքներ, փլագիններ,
կարգավորումներ, հաստատումներ, API բանալիներ և այլն; «գրելը» ավտոմատ միացնում է
«կարդալը»)։ Յուրաքանչյուր դերի մոտ ցուցադրվում է, թե քանի սուբյեկտ է այն
օգտագործում; որևէ մեկին նշանակված դերը հնարավոր չէ ջնջել, քանի դեռ
նշանակումները չեն հանվել։
Ադմին API բանալիները կրում են շրջանակներ, որ սահմանափակում են, թե ինչ կարող է
անել բանալին։ Կան երեք շրջանակ.
Շրջանակ
Շնորհում է
admin:read
Միայն-կարդալու հասանելիություն ադմին ռեսուրսներին (դիտել կարգավորումներ, զրույցներ, անալիտիկա և այլն)։
admin:write
Կարդալու և գրելու հասանելիություն ադմին ռեսուրսներին։
admin:*
Լիարժեք ադմին հասանելիություն (համարժեք բոլոր ադմին շրջանակներին)։
Շրջանակները ներդրվել են migration 0073-ով։ Գոյություն ունեցող բանալիները
շարունակում են աշխատել, նոր բանալիները կարող են ստեղծվել նեղ շրջանակով, որպեսզի,
օրինակ, վահանակը, որ միայն կարդում է չափումներ, երբեք չպահի բանալի, որ կարող է
փոխել կարգավորումներ։
[!TIP]
Կիրառեք նվազագույն արտոնություն. մոնիթորինգի կամ հաշվետվության ինտեգրումը
պետք է ստանա admin:read բանալի, ոչ թե admin:write կամ admin:*։ Պահեք
admin:*-ը այն բանալիների համար, որոնք իսկապես պետք է փոխեն ամեն ռեսուրսի խումբ։
Ավտոմատացում, որ ստեղծում կամ խմբագրում է ռեսուրսներ (ապահովման գործակալներ,
գիտելիքի ներմուծում, ժամանակացույցների կառավարում) → admin:write։
Արտակարգ-մուտք / լիարժեք ադմինիստրացում → admin:*, պահվող հնարավորինս
քիչ բանալիների կողմից և պարբերաբար պտտվող։
[!WARNING]
Շրջանակված բանալին դեռևս ադմին API-ի հավատարմագիր է։ Պահեք այն
գաղտնիքների պահոցում կամ ձեր սեփական գաղտնիքների
կառավարիչում, երբեք սկզբնական կոդի վերահսկողության մեջ, և պտտեք այն, եթե կարող
էր բացահայտվել։
Ինչպես են կառավարվում բանալիները
Ադմին API բանալիները կառավարվում են ադմին API-ի (/v1/admin/apikeys) և ադմին
UI-ի միջոցով, որտեղ դուք ստեղծում եք բանալի, նշանակում նրա շրջանակը և չեղարկում,
երբ այն այլևս պետք չէ։ Քանի որ ադմին API-ն ինքնին պաշտպանված է
OIDC-ով և IP թույլատրման ցանկով, բանալի
ստեղծելը նույնականացված, աուդիտված գործողություն է։
Ուր հաջորդ
Կորպորատիվ SSO — նույնականացրեք դերերի
հետևում գտնվող մարդկանց SAML-ի, LDAP-ի, SCIM-ի կամ OIDC-ի միջոցով։
Ցանց, աուդիտ և օդանջատ —
սահմանափակեք, թե որտեղից կարող է հասանելի լինել ադմին API-ն և պահեք աուդիտի
հետք։
AiHummer-ը պաշտպանում է իր ադմին մակերեսը **դեր-հիմնված հասանելիության
վերահսկողությամբ** և **շրջանակված API բանալիներով**։ Դերերը որոշում են, թե ով
ում թույլատրվում է լինել, շրջանակված բանալիները թույլ են տալիս ավտոմատացման մի
կտորի հանձնել միայն այն արտոնությունները, որ իրականում անհրաժեշտ են, փոխանակ
ամեն ինչ անող բանալու։
## Դերեր
Ադմին API-ին և ադմին UI-ին հասանելիությունը կառավարվում է դերերով։ Դերը որոշում
է, թե որ ռեսուրսների խմբերը կարող է դիտել պրինցիպալը և որոնք կարող է փոխել։
Դերերը կառավարվում են ադմին UI-ի **«Դերեր»** էջում։ Տուփից դուրս կան
**ներկառուցված դերեր** — `owner` (ամեն ինչ), `admin`, `operator` և `member` —
դրանք հասանելի են միայն կարդալու համար (նշված են «Ներկառուցված» կրծքանշանով,
դրանք հնարավոր չէ փոխել կամ ջնջել)։ Դրանցից բացի կարելի է ստեղծել **սեփական
դերեր**. դերի ձևում սահմանվում են անունը, նկարագրությունը և իրավունքների
ցանցը — **կարդալ/գրել** վանդակներ ռեսուրսների ~19 դոմեններից յուրաքանչյուրի
համար (գործակալներ, երկխոսություններ, գործիքներ, գաղտնիքներ, փլագիններ,
կարգավորումներ, հաստատումներ, API բանալիներ և այլն; «գրելը» ավտոմատ միացնում է
«կարդալը»)։ Յուրաքանչյուր դերի մոտ ցուցադրվում է, թե քանի սուբյեկտ է այն
օգտագործում; որևէ մեկին նշանակված դերը հնարավոր չէ ջնջել, քանի դեռ
նշանակումները չեն հանվել։
Համատեղեք դերերը այս կայքի մյուս վերահսկողությունների հետ —
[IP թույլատրման ցանկ](/hy/v1.0/security/network-audit-airgapped),
[կորպորատիվ SSO](/hy/v1.0/security/enterprise-sso) և
[աուդիտի մատյան](/hy/v1.0/security/network-audit-airgapped) — որպեսզի
յուրաքանչյուր ադմին գործողություն լինի և՛ իրավասու, և՛ գրանցված։
## Շրջանակված ադմին API բանալիներ
Ադմին API բանալիները կրում են **շրջանակներ**, որ սահմանափակում են, թե ինչ կարող է
անել բանալին։ Կան երեք շրջանակ.
| Շրջանակ | Շնորհում է |
|---|---|
| `admin:read` | Միայն-կարդալու հասանելիություն ադմին ռեսուրսներին (դիտել կարգավորումներ, զրույցներ, անալիտիկա և այլն)։ |
| `admin:write` | Կարդալու **և** գրելու հասանելիություն ադմին ռեսուրսներին։ |
| `admin:*` | Լիարժեք ադմին հասանելիություն (համարժեք բոլոր ադմին շրջանակներին)։ |
Շրջանակները ներդրվել են **migration 0073**-ով։ Գոյություն ունեցող բանալիները
շարունակում են աշխատել, նոր բանալիները կարող են ստեղծվել նեղ շրջանակով, որպեսզի,
օրինակ, վահանակը, որ միայն կարդում է չափումներ, երբեք չպահի բանալի, որ կարող է
փոխել կարգավորումներ։
> [!TIP]
> Կիրառեք նվազագույն արտոնություն. մոնիթորինգի կամ հաշվետվության ինտեգրումը
> պետք է ստանա `admin:read` բանալի, ոչ թե `admin:write` կամ `admin:*`։ Պահեք
> `admin:*`-ը այն բանալիների համար, որոնք իսկապես պետք է փոխեն ամեն ռեսուրսի խումբ։
## Ճիշտ շրջանակն ընտրելը
- **Միայն-կարդալու ինտեգրումներ** (վահանակներ, արտահանողներ, կարգավիճակի
ստուգումներ) → `admin:read`։
- **Ավտոմատացում, որ ստեղծում կամ խմբագրում է ռեսուրսներ** (ապահովման գործակալներ,
գիտելիքի ներմուծում, ժամանակացույցների կառավարում) → `admin:write`։
- **Արտակարգ-մուտք / լիարժեք ադմինիստրացում** → `admin:*`, պահվող հնարավորինս
քիչ բանալիների կողմից և պարբերաբար պտտվող։
> [!WARNING]
> Շրջանակված բանալին դեռևս ադմին API-ի հավատարմագիր է։ Պահեք այն
> [գաղտնիքների պահոցում](/hy/v1.0/security/vault) կամ ձեր սեփական գաղտնիքների
> կառավարիչում, երբեք սկզբնական կոդի վերահսկողության մեջ, և պտտեք այն, եթե կարող
> էր բացահայտվել։
## Ինչպես են կառավարվում բանալիները
Ադմին API բանալիները կառավարվում են ադմին API-ի (`/v1/admin/apikeys`) և ադմին
UI-ի միջոցով, որտեղ դուք ստեղծում եք բանալի, նշանակում նրա շրջանակը և չեղարկում,
երբ այն այլևս պետք չէ։ Քանի որ ադմին API-ն ինքնին պաշտպանված է
[OIDC-ով և IP թույլատրման ցանկով](/hy/v1.0/security/enterprise-sso), բանալի
ստեղծելը նույնականացված, աուդիտված գործողություն է։
## Ուր հաջորդ
- [Կորպորատիվ SSO](/hy/v1.0/security/enterprise-sso) — նույնականացրեք դերերի
հետևում գտնվող մարդկանց SAML-ի, LDAP-ի, SCIM-ի կամ OIDC-ի միջոցով։
- [Ցանց, աուդիտ և օդանջատ](/hy/v1.0/security/network-audit-airgapped) —
սահմանափակեք, թե որտեղից կարող է հասանելի լինել ադմին API-ն և պահեք աուդիտի
հետք։
- [Գաղտնիքների պահոց](/hy/v1.0/security/vault) — որտեղ պահել ձեր ստեղծած բանալիները։