Przejdź do głównej zawartości
Rebyte Docs

Kontrola dostępu

Rebyte egzekwuje kontrolę dostępu na wielu warstwach. Każda warstwa jest niezależnie konfigurowana i egzekwowana.

Role w organizacji

Section titled “Role w organizacji”

Dwie role zarządzane za pośrednictwem Clerk:

RolaZakres
AdministratorPełna kontrola nad organizacją — polityki sieciowe, polityki bezpieczeństwa, polityki agentów, klucze BYOK, prompt systemowy, klucze API, kanały
CzłonekTworzenie obszarów roboczych, uruchamianie zadań, korzystanie ze skonfigurowanych zasobów. Nie może modyfikować ustawień na poziomie organizacji.

Uprawnienia Komputera Agenta

Section titled “Uprawnienia Komputera Agenta”

Każdy Komputer Agenta (obszar roboczy) ma poziom widoczności i uprawnienia dostępu dla poszczególnych użytkowników.

Widoczność

Section titled “Widoczność”
PoziomKto ma dostęp
privateTylko twórca i użytkownicy z wyraźnie nadanymi uprawnieniami
shared (domyślny)Wszyscy członkowie organizacji — odczyt i zapis
publicKażdy może przeglądać. Członkowie organizacji mogą edytować.

Poziomy dostępu

Section titled “Poziomy dostępu”
PoziomMoże wykonywać
WłaścicielPełna kontrola. Usuwanie obszaru roboczego. Automatycznie przypisywany twórcy.
EdytorOdczyt/zapis plików, uruchamianie zadań, konfiguracja ustawień. Przyznawany członkom ACL i członkom organizacji (jeśli udostępniony/publiczny).
PrzeglądającyTylko do odczytu. Dotyczy tylko publicznych obszarów roboczych dla użytkowników spoza organizacji.

Kolejność oceny

Section titled “Kolejność oceny”
  1. Czy użytkownik jest twórcą obszaru roboczego? → właściciel
  2. Czy użytkownik znajduje się w ACL obszaru roboczego? → edytor
  3. Czy użytkownik jest w tej samej organizacji ORAZ widoczność jest shared lub public? → edytor
  4. Czy widoczność jest public? → przeglądający
  5. W przeciwnym razie → odmowa

Udzielaj dostępu dla poszczególnych użytkowników za pośrednictwem ustawień członków obszaru roboczego/ACL.

Uprawnienia umiejętności

Section titled “Uprawnienia umiejętności”

Umiejętności zespołowe wykorzystują model uprawnień oparty na twórcy.

AkcjaKto
Utwórz umiejętnośćDowolny członek organizacji
Wyświetl/pobierz umiejętnośćWidoczność publiczna: każdy w organizacji. Prywatna: twórca lub użytkownicy z uprawnieniami ACL.
Zaktualizuj metadaneDowolny członek organizacji
Usuń umiejętnośćDowolny członek organizacji
Zmień widocznośćTylko twórca
Zarządzaj ACL umiejętnościTylko twórca
Przywróć wersjęTylko twórca
Wyświetl ACLDowolny członek organizacji

Umiejętności obsługują dwa poziomy widoczności: private i public (w obrębie organizacji). Twórca kontroluje widoczność, uprawnienia ACL i przywracanie wersji.

Uprawnienia Agent Context

Section titled “Uprawnienia Agent Context”

Context Lake (połączenia ze źródłami danych) wykorzystuje tworzenie z bramką administracyjną i ACL zarządzanym przez twórcę.

AkcjaKto
Utwórz zestaw danych/widokTylko administrator organizacji
Wyświetl zestawy danych/widokiDowolny członek organizacji
Zapytaj zestaw danych/widokTwórca, użytkownicy z uprawnieniami ACL, administrator organizacji lub dowolny członek organizacji, jeśli widoczność jest shared lub public
Zarządzaj ACL zestawu danych/widokuTylko twórca
Wyświetl ACLTwórca lub administrator organizacji

Każdy zestaw danych i widok ma własne ustawienia ACL i widoczności. Udostępnione/publiczne zestawy danych mogą być odpytywane przez wszystkich członków organizacji. Prywatne zestawy danych wymagają wyraźnych uprawnień ACL. Wpisy ACL zawierają ścieżkę audytu granted_by.

Polityki organizacji (tylko dla administratorów)

Section titled “Polityki organizacji (tylko dla administratorów)”

Administratorzy kontrolują polityki całej platformy za pośrednictwem Ustawień.

Polityki agentów

Section titled “Polityki agentów”

Kontrola dla każdego wykonawcy:

UstawienieEfekt
enabledWłącz/wyłącz wykonawcę (Claude, Gemini, Codex, OpenCode) dla całej organizacji
authMethodWymuś tryb api_key (BYOK) lub credits dla każdego wykonawcy
disabledModelsZablokuj użycie określonych modeli

Polityka sieciowa

Section titled “Polityka sieciowa”

Szczegóły znajdują się w Agent Shield. Ustawienia polityki sieciowej mogą być obecnie modyfikowane przez dowolnego członka organizacji.

UstawienieDomyślne
Tryb białej listy domenpackage_managers_only
Dodatkowe dozwolone domenyBrak

Polityka bezpieczeństwa

Section titled “Polityka bezpieczeństwa”
UstawienieDomyślneEfekt
Monitorowanie Shieldoptionalrequired wymusza Shield na wszystkich komputerach; optional pozwala na włączenie dla poszczególnych obszarów roboczych

Nadpisanie dla obszaru roboczego: edytorzy obszaru roboczego mogą włączać/wyłączać monitorowanie Shield w poszczególnych obszarach roboczych, gdy polityka organizacji jest optional.

Prompt systemowy

Section titled “Prompt systemowy”

Administratorzy mogą ustawić niestandardowy prompt systemowy stosowany do wszystkich wykonań agentów w organizacji. Wymaga subskrypcji Team.

Zakresy kluczy API

Section titled “Zakresy kluczy API”

Klucze API mają szczegółowe zakresy kontrolujące, jakie operacje mogą wykonywać:

ZakresUprawnienie
tasks:readWyświetl listę i przeglądaj zadania
tasks:writeTwórz zadania, wysyłaj kontynuacje, usuwaj
files:readWyświetl metadane plików
files:writePrzesyłaj pliki
webhooks:readWyświetl listę webhooków, przeglądaj klucz publiczny
webhooks:writeTwórz i usuwaj webhooki

Wszystkie zakresy są domyślnie przyznawane podczas tworzenia klucza. Planowane jest szczegółowe wybieranie zakresów.

Podsumowanie

Section titled “Podsumowanie”
WarstwaKontrolowane przezGranularność
Ustawienia i polityki organizacjiAdministrator organizacjiDla całej organizacji
Dostęp do Komputera AgentaTwórca + ACLDla obszaru roboczego, dla użytkownika
Dostęp do umiejętnościTwórca + ACLDla umiejętności, dla użytkownika
Dostęp do Context LakeAdministrator (tworzenie) + Twórca (ACL)Dla zestawu danych/widoku, dla użytkownika
Zakresy kluczy APIAdministrator organizacjiDla klucza
Wychodzący ruch sieciowyAdministrator organizacjiDla całej organizacji (za pośrednictwem Agent Shield)