Control de Acceso
Rebyte aplica el control de acceso en múltiples capas. Cada capa se configura y aplica de forma independiente.
Roles de la organización
Section titled “Roles de la organización”Dos roles gestionados a través de Clerk:
| Rol | Alcance |
|---|---|
| Admin | Control total de la organización — políticas de red, políticas de seguridad, políticas de agente, claves BYOK, prompt del sistema, claves API, canales |
| Miembro | Crear espacios de trabajo, ejecutar tareas, usar recursos configurados. No puede modificar la configuración a nivel de organización. |
Permisos de Agent Computer
Section titled “Permisos de Agent Computer”Cada Agent Computer (espacio de trabajo) tiene un nivel de visibilidad y concesiones de acceso por usuario.
Visibilidad
Section titled “Visibilidad”| Nivel | Quién puede acceder |
|---|---|
private | Solo el creador y los usuarios explícitamente autorizados |
shared (predeterminado) | Todos los miembros de la organización — lectura y escritura |
public | Cualquiera puede ver. Los miembros de la organización pueden editar. |
Niveles de acceso
Section titled “Niveles de acceso”| Nivel | Puede hacer |
|---|---|
| Propietario | Control total. Eliminar espacio de trabajo. Asignado automáticamente al creador. |
| Editor | Leer/escribir archivos, ejecutar tareas, configurar ajustes. Concedido a miembros de ACL y miembros de la organización (si es compartido/público). |
| Espectador | Solo lectura. Solo se aplica a espacios de trabajo públicos para usuarios que no son de la organización. |
Orden de evaluación
Section titled “Orden de evaluación”- ¿Es el usuario el creador del espacio de trabajo? → propietario
- ¿Está el usuario en la ACL del espacio de trabajo? → editor
- ¿Está el usuario en la misma organización Y la visibilidad es
sharedopublic? → editor - ¿Es la visibilidad
public? → espectador - De lo contrario → denegado
Conceda acceso por usuario a través de la configuración de miembros/ACL del espacio de trabajo.
Permisos de habilidades
Section titled “Permisos de habilidades”Las habilidades de equipo utilizan un modelo de permisos basado en el creador.
| Acción | Quién |
|---|---|
| Crear habilidad | Cualquier miembro de la organización |
| Ver/descargar habilidad | Visibilidad pública: cualquiera en la organización. Privada: creador o usuarios con ACL concedida. |
| Actualizar metadatos | Cualquier miembro de la organización |
| Eliminar habilidad | Cualquier miembro de la organización |
| Cambiar visibilidad | Solo el creador |
| Gestionar ACL de habilidad | Solo el creador |
| Revertir versión | Solo el creador |
| Ver ACL | Cualquier miembro de la organización |
Las habilidades admiten dos niveles de visibilidad: private y public (dentro de la organización). El creador controla la visibilidad, las concesiones de ACL y la reversión de versiones.
Permisos de Agent Context
Section titled “Permisos de Agent Context”Context Lake (conexiones de fuentes de datos) utiliza la creación restringida por administrador con ACL gestionada por el creador.
| Acción | Quién |
|---|---|
| Crear conjunto de datos/vista | Solo el administrador de la organización |
| Listar conjuntos de datos/vistas | Cualquier miembro de la organización |
| Consultar conjunto de datos/vista | Creador, usuarios con ACL concedida, administrador de la organización, o cualquier miembro de la organización si la visibilidad es shared o public |
| Gestionar ACL de conjunto de datos/vista | Solo el creador |
| Ver ACL | Creador o administrador de la organización |
Cada conjunto de datos y vista tiene su propia configuración de ACL y visibilidad. Los conjuntos de datos compartidos/públicos pueden ser consultados por todos los miembros de la organización. Los conjuntos de datos privados requieren concesiones de ACL explícitas. Las entradas de ACL incluyen un registro de auditoría granted_by.
Políticas de la organización (solo para administradores)
Section titled “Políticas de la organización (solo para administradores)”Los administradores controlan las políticas de toda la plataforma a través de Configuración.
Políticas de agente
Section titled “Políticas de agente”Controles por ejecutor:
| Configuración | Efecto |
|---|---|
enabled | Habilitar/deshabilitar un ejecutor (Claude, Gemini, Codex, OpenCode) para toda la organización |
authMethod | Forzar el modo api_key (BYOK) o credits por ejecutor |
disabledModels | Bloquear el uso de modelos específicos |
Política de red
Section titled “Política de red”Consulte Agent Shield para obtener más detalles. La configuración de la política de red puede ser modificada actualmente por cualquier miembro de la organización.
| Configuración | Predeterminado |
|---|---|
| Modo de lista blanca de dominios | package_managers_only |
| Dominios adicionales permitidos | Ninguno |
Política de seguridad
Section titled “Política de seguridad”| Configuración | Predeterminado | Efecto |
|---|---|---|
| Monitoreo de Shield | optional | required aplica Shield en todos los equipos; optional permite la activación por espacio de trabajo |
Anulación por espacio de trabajo: los editores del espacio de trabajo pueden habilitar/deshabilitar el monitoreo de Shield en espacios de trabajo individuales cuando la política de la organización es optional.
Prompt del sistema
Section titled “Prompt del sistema”Los administradores pueden establecer un prompt del sistema personalizado aplicado a todas las ejecuciones de agentes en la organización. Requiere suscripción Team.
Alcances de clave API
Section titled “Alcances de clave API”Las claves API tienen alcances granulares que controlan qué operaciones pueden realizar:
| Alcance | Permiso |
|---|---|
tasks:read | Listar y ver tareas |
tasks:write | Crear tareas, enviar seguimientos, eliminar |
files:read | Ver metadatos de archivos |
files:write | Subir archivos |
webhooks:read | Listar webhooks, ver clave pública |
webhooks:write | Crear y eliminar webhooks |
Todos los alcances se conceden por defecto al crear la clave. La selección granular de alcances está planificada.
Resumen
Section titled “Resumen”| Capa | Controlado por | Granularidad |
|---|---|---|
| Configuración y políticas de la organización | Administrador de la organización | A nivel de organización |
| Acceso a Agent Computer | Creador + ACL | Por espacio de trabajo, por usuario |
| Acceso a habilidades | Creador + ACL | Por habilidad, por usuario |
| Acceso a Context Lake | Administrador (crear) + Creador (ACL) | Por conjunto de datos/vista, por usuario |
| Alcances de clave API | Administrador de la organización | Por clave |
| Salida de red | Administrador de la organización | A nivel de organización (a través de Agent Shield) |