アクセス制御
Rebyteは複数のレイヤーでアクセス制御を適用します。各レイヤーは独立して設定され、適用されます。
Clerk経由で管理される2つの役割:
| 役割 | 範囲 |
|---|---|
| Admin | 組織全体の完全な制御 — ネットワークポリシー、セキュリティポリシー、エージェントポリシー、BYOKキー、システムプロンプト、APIキー、チャネル |
| Member | ワークスペースの作成、タスクの実行、設定済みリソースの使用。組織レベルの設定は変更できません。 |
エージェントコンピューターの権限
Section titled “エージェントコンピューターの権限”各Agent Computer(ワークスペース)には、可視性レベルとユーザーごとのアクセス許可があります。
| レベル | アクセスできるユーザー |
|---|---|
private | 作成者および明示的に許可されたユーザーのみ |
shared (default) | すべての組織メンバー — 読み取りと書き込み |
public | 誰でも閲覧可能。組織メンバーは編集可能。 |
アクセスレベル
Section titled “アクセスレベル”| レベル | 実行可能な操作 |
|---|---|
| Owner | 完全な制御。ワークスペースの削除。作成者に自動的に割り当てられます。 |
| Editor | ファイルの読み書き、タスクの実行、設定の構成。ACLメンバーおよび組織メンバー(共有/公開の場合)に付与されます。 |
| Viewer | 読み取り専用。組織外のユーザー向けの公開ワークスペースにのみ適用されます。 |
- ユーザーはワークスペースの作成者ですか? → 所有者
- ユーザーはワークスペースACLにいますか? → 編集者
- ユーザーは同じ組織にいて、かつ可視性が
sharedまたはpublicですか? → 編集者 - 可視性は
publicですか? → 閲覧者 - それ以外の場合 → 拒否
ワークスペースのメンバー/ACL設定を通じて、ユーザーごとのアクセスを許可します。
スキルの権限
Section titled “スキルの権限”チームスキルは作成者ベースの権限モデルを使用します。
| アクション | 実行者 |
|---|---|
| スキルを作成 | 任意の組織メンバー |
| スキルを表示/ダウンロード | 公開可視性: 組織内の誰でも。プライベート: 作成者またはACLで許可されたユーザー。 |
| メタデータを更新 | 任意の組織メンバー |
| スキルを削除 | 任意の組織メンバー |
| 可視性を変更 | 作成者のみ |
| スキルACLを管理 | 作成者のみ |
| バージョンをロールバック | 作成者のみ |
| ACLを表示 | 任意の組織メンバー |
スキルは2つの可視性レベルをサポートします: privateとpublic(組織内)。作成者が可視性、ACL許可、およびバージョンロールバックを制御します。
エージェントコンテキストの権限
Section titled “エージェントコンテキストの権限”Context Lake(データソース接続)は、管理者によってゲートされた作成と、作成者によって管理されるACLを使用します。
| アクション | 実行者 |
|---|---|
| データセット/ビューを作成 | 組織管理者のみ |
| データセット/ビューを一覧表示 | 任意の組織メンバー |
| データセット/ビューをクエリ | 作成者、ACLで許可されたユーザー、組織管理者、または可視性がsharedまたはpublicの場合は任意の組織メンバー |
| データセット/ビューACLを管理 | 作成者のみ |
| ACLを表示 | 作成者または組織管理者 |
各データセットとビューには、独自のACLと可視性設定があります。共有/公開データセットは、すべての組織メンバーがクエリできます。プライベートデータセットには、明示的なACL許可が必要です。ACLエントリには、granted_by監査証跡が含まれます。
組織ポリシー(管理者のみ)
Section titled “組織ポリシー(管理者のみ)”管理者は、設定を通じてプラットフォーム全体のポリシーを制御します。
エージェントポリシー
Section titled “エージェントポリシー”エグゼキューターごとの制御:
| 設定 | 効果 |
|---|---|
enabled | 組織全体のエグゼキューター(Claude、Gemini、Codex、OpenCode)を有効/無効にする |
authMethod | エグゼキューターごとにapi_key(BYOK)またはcreditsモードを強制する |
disabledModels | 特定のモデルの使用をブロックする |
ネットワークポリシー
Section titled “ネットワークポリシー”詳細については、Agent Shieldを参照してください。ネットワークポリシー設定は現在、任意の組織メンバーが変更できます。
| 設定 | デフォルト |
|---|---|
| Domain allowlist mode | package_managers_only |
| Additional allowed domains | なし |
セキュリティポリシー
Section titled “セキュリティポリシー”| 設定 | デフォルト | 効果 |
|---|---|---|
| Shield monitoring | optional | requiredはすべてのコンピューターでShieldを強制します。optionalはワークスペースごとのオプトインを許可します。 |
ワークスペースごとの上書き: 組織ポリシーがoptionalの場合、ワークスペース編集者は個々のワークスペースでShield監視を有効/無効にできます。
システムプロンプト
Section titled “システムプロンプト”管理者は、組織内のすべてのエージェント実行に適用されるカスタムシステムプロンプトを設定できます。チームサブスクリプションが必要です。
APIキーのスコープ
Section titled “APIキーのスコープ”APIキーには、実行できる操作を制御するきめ細かいスコープがあります。
| スコープ | 権限 |
|---|---|
tasks:read | タスクを一覧表示および表示 |
tasks:write | タスクの作成、フォローアップの送信、削除 |
files:read | ファイルメタデータを表示 |
files:write | ファイルをアップロード |
webhooks:read | Webhookを一覧表示、公開キーを表示 |
webhooks:write | Webhookの作成と削除 |
キー作成時には、すべてのスコープがデフォルトで付与されます。きめ細かいスコープ選択は計画中です。
| レイヤー | 制御者 | 粒度 |
|---|---|---|
| 組織設定とポリシー | 組織管理者 | 組織全体 |
| エージェントコンピューターアクセス | 作成者 + ACL | ワークスペースごと、ユーザーごと |
| スキルアクセス | 作成者 + ACL | スキルごと、ユーザーごと |
| Context Lakeアクセス | 管理者(作成) + 作成者(ACL) | データセット/ビューごと、ユーザーごと |
| APIキーのスコープ | 組織管理者 | キーごと |
| ネットワーク出力 | 組織管理者 | 組織全体(Agent Shield経由) |