AiHummer
ქართული
შესვლა
v1.0.x
{ }Swagger

RBAC და არეალირებული API გასაღებები

v1.0.x · განახლდა 2026-07-07

AiHummer იცავს თავის ადმინ ზედაპირს როლზე-დაფუძნებული წვდომის კონტროლითა და არეალირებული API გასაღებებით. როლები წყვეტენ, ვინ შეიძლება იყოს ადამიანი; არეალირებული გასაღებები საშუალებას გაძლევენ მისცე ავტომატიზაციის ნაწილს მხოლოდ ის პრივილეგიები, რომლებიც მას ნამდვილად სჭირდება, ისეთი გასაღების ნაცვლად, რომელსაც ყველაფრის გაკეთება შეუძლია.

როლები

ადმინ API-სა და ადმინ UI-ზე წვდომა იმართება როლებით. როლი განსაზღვრავს, რომელი რესურსების ჯგუფების ნახვა შეუძლია პრინციპალს და რომელი შეუძლია შეცვალოს.

როლები იმართება ადმინ UI-ის გვერდზე «როლები». ყუთიდანვე არსებობს ჩაშენებული როლებიowner (ყველაფერი), admin, operator და member — ისინი მხოლოდ-კითხვადია (მონიშნულია ბეჯით «ჩაშენებული», მათი შეცვლა ან წაშლა შეუძლებელია). მათ გარდა შესაძლებელია საკუთარი როლების შექმნა: როლის ფორმაში ისაზღვრება სახელი, აღწერა და უფლებების ბადე — კითხვა/ჩაწერა ჩექბოქსები რესურსების ~19 დომენიდან თითოეულზე (აგენტები, დიალოგები, ხელსაწყოები, საიდუმლოები, დანამატები, პარამეტრები, დამტკიცებები, API გასაღებები და ა.შ.; «ჩაწერა» ავტომატურად რთავს «კითხვას»). თითოეულ როლთან ნაჩვენებია, რამდენი სუბიექტი იყენებს მას; ვინმეზე მინიჭებული როლი ვერ წაიშლება, ვიდრე მინიჭებები არ მოიხსნება.

დააწყვილე როლები ამ საიტზე არსებულ სხვა კონტროლებთან — IP allowlist, საწარმოო SSO და აუდიტის ლოგი — ისე, რომ ყველა ადმინ მოქმედება იყოს როგორც ავტორიზებული, ისე ჩაწერილი.

არეალირებული ადმინ API გასაღებები

ადმინ API გასაღებები ატარებენ არეალებს, რომლებიც ზღუდავენ, რა შეუძლია გასაღებს. არსებობს სამი არეალი:

არეალი რას ანიჭებს
admin:read მხოლოდ-კითხვის წვდომა ადმინ რესურსებზე (პარამეტრების, საუბრების, ანალიტიკის ნახვა და ა.შ.).
admin:write კითხვის და ჩაწერის წვდომა ადმინ რესურსებზე.
admin:* სრული ადმინ წვდომა (ექვივალენტურია ყველა ადმინ არეალის).

არეალები შემოღებულ იქნა მიგრაცია 0073-ით. არსებული გასაღებები აგრძელებენ მუშაობას; ახალი გასაღებები შეიძლება მოიჭრას ვიწრო არეალით ისე, რომ, მაგალითად, დაშბორდმა, რომელიც მხოლოდ კითხულობს მეტრიკებს, არასოდეს ეჭიროს გასაღები, რომელსაც პარამეტრების შეცვლა შეუძლია.

[!TIP] გამოიყენე უმცირესი პრივილეგია: მონიტორინგის ან ანგარიშგების ინტეგრაციამ უნდა მიიღოს admin:read გასაღები, და არა admin:write ან admin:*. დაიტოვე admin:* იმ გასაღებებისთვის, რომელთაც ნამდვილად სჭირდებათ ყველა რესურსის ჯგუფის შეცვლა.

სწორი არეალის არჩევა

  • მხოლოდ-კითხვის ინტეგრაციები (დაშბორდები, ექსპორტიორები, სტატუსის შემოწმებები) → admin:read.
  • ავტომატიზაცია, რომელიც ქმნის ან არედაქტირებს რესურსებს (პროვიჟენინგ აგენტები, ცოდნის იმპორტი, განრიგების მართვა) → admin:write.
  • გადაუდებელი / სრული ადმინისტრირებაadmin:*, რომელსაც იჭერს რაც შეიძლება ნაკლები გასაღები და რეგულარულად ხდება მისი როტაცია.

[!WARNING] არეალირებული გასაღები მაინც სარწმუნებელია ადმინ API-ზე. შეინახე იგი საიდუმლოების საცავში ან შენს საკუთარ საიდუმლოს მენეჯერში, არასოდეს კოდის კონტროლში, და მოახდინე მისი როტაცია, თუ ის შესაძლოა გამჟღავნდა.

როგორ იმართება გასაღებები

ადმინ API გასაღებები იმართება ადმინ API-ით (/v1/admin/apikeys) და ადმინ UI-ით, სადაც ჭრი გასაღებს, ანიჭებ მის არეალს და აუქმებ მას, როცა ის აღარ არის საჭირო. რადგან თავად ადმინ API დაცულია OIDC-ითა და IP allowlist-ით, გასაღების მოჭრა ავთენტიფიცირებული, აუდიტირებული ოპერაციაა.

სად შემდეგ