Controle de Acesso
Rebyte aplica controle de acesso em múltiplas camadas. Cada camada é configurada e aplicada independentemente.
Funções da organização
Section titled “Funções da organização”Duas funções gerenciadas via Clerk:
| Função | Escopo |
|---|---|
| Admin | Controle total da organização — políticas de rede, políticas de segurança, políticas de agente, chaves BYOK, prompt do sistema, chaves de API, canais |
| Member | Criar workspaces, executar tarefas, usar recursos configurados. Não pode modificar configurações de nível de organização. |
Permissões do Agent Computer
Section titled “Permissões do Agent Computer”Cada Agent Computer (workspace) tem um nível de visibilidade e concessões de acesso por usuário.
Visibilidade
Section titled “Visibilidade”| Nível | Quem pode acessar |
|---|---|
private | Apenas o criador e usuários explicitamente concedidos |
shared (padrão) | Todos os membros da organização — leitura e escrita |
public | Qualquer um pode visualizar. Membros da organização podem editar. |
Níveis de acesso
Section titled “Níveis de acesso”| Nível | Pode fazer |
|---|---|
| Owner | Controle total. Excluir workspace. Atribuído automaticamente ao criador. |
| Editor | Ler/escrever arquivos, executar tarefas, configurar definições. Concedido a membros da ACL e membros da organização (se compartilhado/público). |
| Viewer | Somente leitura. Aplica-se apenas a workspaces públicos para usuários não-membros da organização. |
Ordem de avaliação
Section titled “Ordem de avaliação”- O usuário é o criador do workspace? → owner
- O usuário está na ACL do workspace? → editor
- O usuário está na mesma organização E a visibilidade é
sharedoupublic? → editor - A visibilidade é
public? → viewer - Caso contrário → denied
Conceda acesso por usuário através das configurações de membros/ACL do workspace.
Permissões de habilidades
Section titled “Permissões de habilidades”As habilidades da equipe usam um modelo de permissão baseado no criador.
| Ação | Quem |
|---|---|
| Criar skill | Qualquer membro da organização |
| Visualizar/baixar skill | Visibilidade pública: qualquer um na organização. Privada: criador ou usuários com ACL concedida. |
| Atualizar metadados | Qualquer membro da organização |
| Excluir skill | Qualquer membro da organização |
| Alterar visibilidade | Apenas o criador |
| Gerenciar ACL da skill | Apenas o criador |
| Reverter versão | Apenas o criador |
| Visualizar ACL | Qualquer membro da organização |
As habilidades suportam dois níveis de visibilidade: private e public (dentro da organização). O criador controla a visibilidade, as concessões de ACL e a reversão de versão.
Permissões do Agent Context
Section titled “Permissões do Agent Context”O Context Lake (conexões de fonte de dados) usa criação restrita a administradores com ACL gerenciada pelo criador.
| Ação | Quem |
|---|---|
| Criar dataset/view | Apenas administrador da organização |
| Listar datasets/views | Qualquer membro da organização |
| Consultar dataset/view | Criador, usuários com ACL concedida, administrador da organização, ou qualquer membro da organização se a visibilidade for shared ou public |
| Gerenciar ACL do dataset/view | Apenas o criador |
| Visualizar ACL | Criador ou administrador da organização |
Cada conjunto de dados e visualização tem sua própria ACL e configuração de visibilidade. Conjuntos de dados compartilhados/públicos podem ser consultados por todos os membros da organização. Conjuntos de dados privados exigem concessões explícitas de ACL. As entradas da ACL incluem um registro de auditoria granted_by.
Políticas da organização (apenas para administradores)
Section titled “Políticas da organização (apenas para administradores)”Administradores controlam políticas de toda a plataforma através de Configurações.
Políticas de agente
Section titled “Políticas de agente”Controles por executor:
| Configuração | Efeito |
|---|---|
enabled | Habilitar/desabilitar um executor (Claude, Gemini, Codex, OpenCode) para toda a organização |
authMethod | Forçar modo api_key (BYOK) ou credits por executor |
disabledModels | Bloquear o uso de modelos específicos |
Política de rede
Section titled “Política de rede”Consulte Agent Shield para detalhes. As configurações da política de rede podem ser modificadas atualmente por qualquer membro da organização.
| Configuração | Padrão |
|---|---|
| Modo de lista de permissão de domínio | package_managers_only |
| Domínios adicionais permitidos | Nenhum |
Política de segurança
Section titled “Política de segurança”| Configuração | Padrão | Efeito |
|---|---|---|
| Monitoramento do Shield | optional | required impõe o Shield em todos os computadores; optional permite a adesão por workspace |
Substituição por workspace: editores de workspace podem habilitar/desabilitar o monitoramento do Shield em workspaces individuais quando a política da organização é optional.
Prompt do sistema
Section titled “Prompt do sistema”Administradores podem definir um prompt de sistema personalizado aplicado a todas as execuções de agente na organização. Requer assinatura Team.
Escopos da chave de API
Section titled “Escopos da chave de API”As chaves de API têm escopos granulares que controlam quais operações elas podem realizar:
| Escopo | Permissão |
|---|---|
tasks:read | Listar e visualizar tarefas |
tasks:write | Criar tarefas, enviar acompanhamentos, excluir |
files:read | Visualizar metadados de arquivos |
files:write | Fazer upload de arquivos |
webhooks:read | Listar webhooks, visualizar chave pública |
webhooks:write | Criar e excluir webhooks |
Todos os escopos são concedidos por padrão na criação da chave. A seleção granular de escopo está planejada.
Resumo
Section titled “Resumo”| Camada | Controlado por | Granularidade |
|---|---|---|
| Configurações e políticas da organização | Administrador da organização | Em toda a organização |
| Acesso ao Agent Computer | Criador + ACL | Por workspace, por usuário |
| Acesso a habilidades | Criador + ACL | Por habilidade, por usuário |
| Acesso ao Context Lake | Administrador (criação) + Criador (ACL) | Por conjunto de dados/visualização, por usuário |
| Escopos da chave de API | Administrador da organização | Por chave |
| Saída de rede | Administrador da organização | Em toda a organização (via Agent Shield) |