Zugriffskontrolle
Rebyte erzwingt Zugriffskontrolle auf mehreren Ebenen. Jede Ebene wird unabhängig konfiguriert und durchgesetzt.
Organisationsrollen
Section titled “Organisationsrollen”Zwei Rollen, die über Clerk verwaltet werden:
| Rolle | Umfang |
|---|---|
| Admin | Volle Organisationskontrolle – Netzwerkrichtlinien, Sicherheitsrichtlinien, Agentenrichtlinien, BYOK-Schlüssel, System-Prompt, API-Schlüssel, Kanäle |
| Member | Arbeitsbereiche erstellen, Aufgaben ausführen, konfigurierte Ressourcen nutzen. Kann keine organisationsweiten Einstellungen ändern. |
Agent Computer-Berechtigungen
Section titled “Agent Computer-Berechtigungen”Jeder Agent Computer (Arbeitsbereich) hat eine Sichtbarkeitsstufe und benutzerbezogene Zugriffsberechtigungen.
Sichtbarkeit
Section titled “Sichtbarkeit”| Stufe | Wer kann zugreifen |
|---|---|
private | Nur Ersteller und explizit berechtigte Benutzer |
shared (Standard) | Alle Organisationsmitglieder – Lese- und Schreibzugriff |
public | Jeder kann anzeigen. Organisationsmitglieder können bearbeiten. |
Zugriffsstufen
Section titled “Zugriffsstufen”| Stufe | Kann tun |
|---|---|
| Besitzer | Volle Kontrolle. Arbeitsbereich löschen. Wird automatisch dem Ersteller zugewiesen. |
| Bearbeiter | Dateien lesen/schreiben, Aufgaben ausführen, Einstellungen konfigurieren. Wird ACL-Mitgliedern und Organisationsmitgliedern gewährt (wenn geteilt/öffentlich). |
| Betrachter | Nur Lesezugriff. Gilt nur für öffentliche Arbeitsbereiche für Nicht-Organisationsbenutzer. |
Auswertungsreihenfolge
Section titled “Auswertungsreihenfolge”- Ist der Benutzer der Ersteller des Arbeitsbereichs? → Besitzer
- Ist der Benutzer in der Arbeitsbereichs-ACL? → Bearbeiter
- Ist der Benutzer in derselben Organisation UND die Sichtbarkeit ist
sharedoderpublic? → Bearbeiter - Ist die Sichtbarkeit
public? → Betrachter - Andernfalls → verweigert
Gewähren Sie benutzerbezogenen Zugriff über die Einstellungen für Arbeitsbereichsmitglieder/ACL.
Skills-Berechtigungen
Section titled “Skills-Berechtigungen”Team-Skills verwenden ein erstellerbasiertes Berechtigungsmodell.
| Aktion | Wer |
|---|---|
| Skill erstellen | Jedes Organisationsmitglied |
| Skill anzeigen/herunterladen | Öffentliche Sichtbarkeit: jeder in der Organisation. Privat: Ersteller oder ACL-berechtigte Benutzer. |
| Metadaten aktualisieren | Jedes Organisationsmitglied |
| Skill löschen | Jedes Organisationsmitglied |
| Sichtbarkeit ändern | Nur Ersteller |
| Skill-ACL verwalten | Nur Ersteller |
| Version zurücksetzen | Nur Ersteller |
| ACL anzeigen | Jedes Organisationsmitglied |
Skills unterstützen zwei Sichtbarkeitsstufen: private und public (innerhalb der Organisation). Der Ersteller kontrolliert die Sichtbarkeit, ACL-Berechtigungen und das Zurücksetzen von Versionen.
Agent Context-Berechtigungen
Section titled “Agent Context-Berechtigungen”Context Lake (Datenquellenverbindungen) verwendet eine durch Administratoren gesteuerte Erstellung mit vom Ersteller verwalteter ACL.
| Aktion | Wer |
|---|---|
| Datensatz/Ansicht erstellen | Nur Organisationsadministrator |
| Datensätze/Ansichten auflisten | Jedes Organisationsmitglied |
| Datensatz/Ansicht abfragen | Ersteller, ACL-berechtigte Benutzer, Organisationsadministrator oder jedes Organisationsmitglied, wenn die Sichtbarkeit shared oder public ist |
| Datensatz-/Ansichts-ACL verwalten | Nur Ersteller |
| ACL anzeigen | Ersteller oder Organisationsadministrator |
Jeder Datensatz und jede Ansicht hat ihre eigene ACL und Sichtbarkeitseinstellung. Geteilte/öffentliche Datensätze können von allen Organisationsmitgliedern abgefragt werden. Private Datensätze erfordern explizite ACL-Berechtigungen. ACL-Einträge enthalten einen granted_by-Audit-Trail.
Organisationsrichtlinien (nur Admin)
Section titled “Organisationsrichtlinien (nur Admin)”Administratoren steuern plattformweite Richtlinien über die Einstellungen.
Agentenrichtlinien
Section titled “Agentenrichtlinien”Steuerungen pro Executor:
| Einstellung | Effekt |
|---|---|
enabled | Einen Executor (Claude, Gemini, Codex, OpenCode) für die gesamte Organisation aktivieren/deaktivieren |
authMethod | Den Modus api_key (BYOK) oder credits pro Executor erzwingen |
disabledModels | Spezifische Modelle von der Nutzung ausschließen |
Netzwerkrichtlinie
Section titled “Netzwerkrichtlinie”Siehe Agent Shield für Details. Netzwerkrichtlinieneinstellungen können derzeit von jedem Organisationsmitglied geändert werden.
| Einstellung | Standard |
|---|---|
| Domain-Zulassungslistenmodus | package_managers_only |
| Zusätzliche erlaubte Domains | Keine |
Sicherheitsrichtlinie
Section titled “Sicherheitsrichtlinie”| Einstellung | Standard | Effekt |
|---|---|---|
| Shield-Überwachung | optional | required erzwingt Shield auf allen Computern; optional erlaubt die Aktivierung pro Arbeitsbereich |
Arbeitsbereichsbezogene Überschreibung: Arbeitsbereichs-Editoren können die Shield-Überwachung in einzelnen Arbeitsbereichen aktivieren/deaktivieren, wenn die Organisationsrichtlinie optional ist.
System-Prompt
Section titled “System-Prompt”Administratoren können einen benutzerdefinierten System-Prompt festlegen, der auf alle Agenten-Ausführungen in der Organisation angewendet wird. Erfordert ein Team-Abonnement.
API-Schlüssel-Scopes
Section titled “API-Schlüssel-Scopes”API-Schlüssel haben granulare Scopes, die steuern, welche Operationen sie ausführen können:
| Scope | Berechtigung |
|---|---|
tasks:read | Aufgaben auflisten und anzeigen |
tasks:write | Aufgaben erstellen, Follow-ups senden, löschen |
files:read | Dateimetadaten anzeigen |
files:write | Dateien hochladen |
webhooks:read | Webhooks auflisten, öffentlichen Schlüssel anzeigen |
webhooks:write | Webhooks erstellen und löschen |
Alle Scopes werden standardmäßig bei der Schlüsselerstellung gewährt. Eine granulare Scope-Auswahl ist geplant.
Zusammenfassung
Section titled “Zusammenfassung”| Ebene | Gesteuert durch | Granularität |
|---|---|---|
| Org-Einstellungen & Richtlinien | Org-Administrator | Organisationsweit |
| Agent Computer-Zugriff | Ersteller + ACL | Pro Arbeitsbereich, pro Benutzer |
| Skills-Zugriff | Ersteller + ACL | Pro Skill, pro Benutzer |
| Context Lake-Zugriff | Admin (erstellen) + Ersteller (ACL) | Pro Datensatz/Ansicht, pro Benutzer |
| API-Schlüssel-Scopes | Org-Administrator | Pro Schlüssel |
| Netzwerk-Egress | Org-Administrator | Organisationsweit (über Agent Shield) |