Контроль доступа
Rebyte обеспечивает контроль доступа на нескольких уровнях. Каждый уровень настраивается и применяется независимо.
Роли организации
Section titled “Роли организации”Две роли, управляемые через Clerk:
| Роль | Область действия |
|---|---|
| Администратор | Полный контроль над организацией — сетевые политики, политики безопасности, политики агентов, ключи BYOK, системный промпт, ключи API, каналы |
| Участник | Создавать рабочие пространства, выполнять задачи, использовать настроенные ресурсы. Не может изменять настройки на уровне организации. |
Разрешения компьютера агента
Section titled “Разрешения компьютера агента”Каждый компьютер агента (рабочее пространство) имеет уровень видимости и права доступа для каждого пользователя.
Видимость
Section titled “Видимость”| Уровень | Кто может получить доступ |
|---|---|
private | Только создатель и пользователи с явными разрешениями |
shared (по умолчанию) | Все участники организации — чтение и запись |
public | Любой может просматривать. Участники организации могут редактировать. |
Уровни доступа
Section titled “Уровни доступа”| Уровень | Что может делать |
|---|---|
| Владелец | Полный контроль. Удаление рабочего пространства. Автоматически назначается создателю. |
| Редактор | Чтение/запись файлов, выполнение задач, настройка параметров. Предоставляется членам ACL и участникам организации (если shared/public). |
| Просмотрщик | Только для чтения. Применяется только к публичным рабочим пространствам для пользователей, не входящих в организацию. |
Порядок оценки
Section titled “Порядок оценки”- Является ли пользователь создателем рабочего пространства? → владелец
- Входит ли пользователь в ACL рабочего пространства? → редактор
- Входит ли пользователь в ту же организацию И видимость
sharedилиpublic? → редактор - Является ли видимость
public? → просмотрщик - В противном случае → отказано
Предоставьте доступ для каждого пользователя через настройки членов/ACL рабочего пространства.
Разрешения навыков
Section titled “Разрешения навыков”Навыки команды используют модель разрешений, основанную на создателе.
| Действие | Кто |
|---|---|
| Создать навык | Любой участник организации |
| Просмотреть/скачать навык | Публичная видимость: любой в организации. Приватная: создатель или пользователи с разрешениями ACL. |
| Обновить метаданные | Любой участник организации |
| Удалить навык | Любой участник организации |
| Изменить видимость | Только создатель |
| Управлять ACL навыка | Только создатель |
| Откатить версию | Только создатель |
| Просмотреть ACL | Любой участник организации |
Навыки поддерживают два уровня видимости: private и public (внутри организации). Создатель контролирует видимость, предоставление ACL и откат версии.
Разрешения Agent Context
Section titled “Разрешения Agent Context”Context Lake (подключения к источникам данных) использует создание, ограниченное администратором, с ACL, управляемым создателем.
| Действие | Кто |
|---|---|
| Создать набор данных/представление | Только администратор организации |
| Перечислить наборы данных/представления | Любой участник организации |
| Запросить набор данных/представление | Создатель, пользователи с разрешениями ACL, администратор организации или любой участник организации, если видимость shared или public |
| Управлять ACL набора данных/представления | Только создатель |
| Просмотреть ACL | Создатель или администратор организации |
Каждый набор данных и представление имеет свои собственные настройки ACL и видимости. Общие/публичные наборы данных доступны для запросов всем участникам организации. Приватные наборы данных требуют явных разрешений ACL. Записи ACL включают журнал аудита granted_by.
Политики организации (только для администраторов)
Section titled “Политики организации (только для администраторов)”Администраторы управляют общеплатформенными политиками через Настройки.
Политики агентов
Section titled “Политики агентов”Управление для каждого исполнителя:
| Настройка | Эффект |
|---|---|
enabled | Включить/отключить исполнителя (Claude, Gemini, Codex, OpenCode) для всей организации |
authMethod | Принудительно установить режим api_key (BYOK) или credits для каждого исполнителя |
disabledModels | Блокировать использование определенных моделей |
Сетевая политика
Section titled “Сетевая политика”Подробности см. в Agent Shield. Настройки сетевой политики в настоящее время могут быть изменены любым участником организации.
| Настройка | По умолчанию |
|---|---|
| Режим белого списка доменов | package_managers_only |
| Дополнительные разрешенные домены | Нет |
Политика безопасности
Section titled “Политика безопасности”| Настройка | По умолчанию | Эффект |
|---|---|---|
| Мониторинг Shield | optional | required принудительно применяет Shield ко всем компьютерам; optional позволяет включать его для каждого рабочего пространства |
Переопределение для каждого рабочего пространства: редакторы рабочего пространства могут включать/отключать мониторинг Shield в отдельных рабочих пространствах, когда политика организации optional.
Системный промпт
Section titled “Системный промпт”Администраторы могут установить пользовательский системный промпт, применяемый ко всем выполнениям агентов в организации. Требуется подписка Team.
Области действия ключа API
Section titled “Области действия ключа API”Ключи API имеют гранулированные области действия, контролирующие, какие операции они могут выполнять:
| Область действия | Разрешение |
|---|---|
tasks:read | Перечислить и просмотреть задачи |
tasks:write | Создавать задачи, отправлять последующие действия, удалять |
files:read | Просмотреть метаданные файла |
files:write | Загружать файлы |
webhooks:read | Перечислить вебхуки, просмотреть публичный ключ |
webhooks:write | Создавать и удалять вебхуки |
Все области действия предоставляются по умолчанию при создании ключа. Планируется гранулированный выбор областей действия.
Сводка
Section titled “Сводка”| Уровень | Контролируется | Гранулярность |
|---|---|---|
| Настройки и политики организации | Администратор организации | На уровне организации |
| Доступ к компьютеру агента | Создатель + ACL | Для каждого рабочего пространства, для каждого пользователя |
| Доступ к навыкам | Создатель + ACL | Для каждого навыка, для каждого пользователя |
| Доступ к Context Lake | Администратор (создание) + Создатель (ACL) | Для каждого набора данных/представления, для каждого пользователя |
| Области действия ключа API | Администратор организации | Для каждого ключа |
| Исходящий сетевой трафик | Администратор организации | На уровне организации (через Agent Shield) |