Kiểm soát truy cập
Rebyte thực thi kiểm soát truy cập ở nhiều lớp. Mỗi lớp được cấu hình và thực thi độc lập.
Vai trò tổ chức
Section titled “Vai trò tổ chức”Hai vai trò được quản lý thông qua Clerk:
| Vai trò | Phạm vi |
|---|---|
| Admin | Kiểm soát toàn bộ tổ chức — chính sách mạng, chính sách bảo mật, chính sách agent, khóa BYOK, lời nhắc hệ thống, khóa API, kênh |
| Member | Tạo không gian làm việc, chạy tác vụ, sử dụng tài nguyên đã cấu hình. Không thể sửa đổi cài đặt cấp tổ chức. |
Quyền hạn Máy tính Agent
Section titled “Quyền hạn Máy tính Agent”Mỗi Agent Computer (không gian làm việc) có một cấp độ hiển thị và cấp quyền truy cập cho từng người dùng.
Khả năng hiển thị
Section titled “Khả năng hiển thị”| Cấp độ | Ai có thể truy cập |
|---|---|
private | Người tạo và chỉ những người dùng được cấp quyền rõ ràng |
shared (mặc định) | Tất cả thành viên tổ chức — đọc và ghi |
public | Bất kỳ ai cũng có thể xem. Thành viên tổ chức có thể chỉnh sửa. |
Cấp độ truy cập
Section titled “Cấp độ truy cập”| Cấp độ | Có thể làm gì |
|---|---|
| Owner | Kiểm soát hoàn toàn. Xóa không gian làm việc. Tự động gán cho người tạo. |
| Editor | Đọc/ghi tệp, chạy tác vụ, cấu hình cài đặt. Được cấp cho thành viên ACL và thành viên tổ chức (nếu được chia sẻ/công khai). |
| Viewer | Chỉ đọc. Chỉ áp dụng cho không gian làm việc công khai cho người dùng không thuộc tổ chức. |
Thứ tự đánh giá
Section titled “Thứ tự đánh giá”- Người dùng có phải là người tạo không gian làm việc không? → owner
- Người dùng có trong ACL của không gian làm việc không? → editor
- Người dùng có trong cùng tổ chức VÀ khả năng hiển thị là
sharedhoặcpublickhông? → editor - Khả năng hiển thị có phải là
publickhông? → viewer - Nếu không → denied
Cấp quyền truy cập cho từng người dùng thông qua cài đặt thành viên/ACL của không gian làm việc.
Quyền hạn kỹ năng
Section titled “Quyền hạn kỹ năng”Kỹ năng nhóm sử dụng mô hình quyền hạn dựa trên người tạo.
| Hành động | Ai |
|---|---|
| Tạo kỹ năng | Bất kỳ thành viên tổ chức nào |
| Xem/tải xuống kỹ năng | Khả năng hiển thị công khai: bất kỳ ai trong tổ chức. Riêng tư: người tạo hoặc người dùng được cấp quyền ACL. |
| Cập nhật siêu dữ liệu | Bất kỳ thành viên tổ chức nào |
| Xóa kỹ năng | Bất kỳ thành viên tổ chức nào |
| Thay đổi khả năng hiển thị | Chỉ người tạo |
| Quản lý ACL kỹ năng | Chỉ người tạo |
| Khôi phục phiên bản | Chỉ người tạo |
| Xem ACL | Bất kỳ thành viên tổ chức nào |
Kỹ năng hỗ trợ hai cấp độ hiển thị: private và public (trong tổ chức). Người tạo kiểm soát khả năng hiển thị, cấp quyền ACL và khôi phục phiên bản.
Quyền hạn ngữ cảnh Agent
Section titled “Quyền hạn ngữ cảnh Agent”Context Lake (kết nối nguồn dữ liệu) sử dụng cơ chế tạo bị quản trị viên kiểm soát với ACL do người tạo quản lý.
| Hành động | Ai |
|---|---|
| Tạo tập dữ liệu/chế độ xem | Chỉ quản trị viên tổ chức |
| Liệt kê tập dữ liệu/chế độ xem | Bất kỳ thành viên tổ chức nào |
| Truy vấn tập dữ liệu/chế độ xem | Người tạo, người dùng được cấp quyền ACL, quản trị viên tổ chức hoặc bất kỳ thành viên tổ chức nào nếu khả năng hiển thị là shared hoặc public |
| Quản lý ACL tập dữ liệu/chế độ xem | Chỉ người tạo |
| Xem ACL | Người tạo hoặc quản trị viên tổ chức |
Mỗi tập dữ liệu và chế độ xem có cài đặt ACL và khả năng hiển thị riêng. Các tập dữ liệu được chia sẻ/công khai có thể được truy vấn bởi tất cả thành viên tổ chức. Các tập dữ liệu riêng tư yêu cầu cấp quyền ACL rõ ràng. Các mục ACL bao gồm dấu vết kiểm toán granted_by.
Chính sách tổ chức (chỉ dành cho quản trị viên)
Section titled “Chính sách tổ chức (chỉ dành cho quản trị viên)”Quản trị viên kiểm soát các chính sách toàn nền tảng thông qua Cài đặt.
Chính sách Agent
Section titled “Chính sách Agent”Kiểm soát từng trình thực thi:
| Cài đặt | Hiệu ứng |
|---|---|
enabled | Bật/tắt một trình thực thi (Claude, Gemini, Codex, OpenCode) cho toàn bộ tổ chức |
authMethod | Buộc chế độ api_key (BYOK) hoặc credits cho mỗi trình thực thi |
disabledModels | Chặn các mô hình cụ thể không được sử dụng |
Chính sách mạng
Section titled “Chính sách mạng”Xem Agent Shield để biết chi tiết. Cài đặt chính sách mạng hiện có thể được sửa đổi bởi bất kỳ thành viên tổ chức nào.
| Cài đặt | Mặc định |
|---|---|
| Chế độ danh sách tên miền được phép | package_managers_only |
| Các tên miền được phép bổ sung | Không có |
Chính sách bảo mật
Section titled “Chính sách bảo mật”| Cài đặt | Mặc định | Hiệu ứng |
|---|---|---|
| Giám sát Shield | optional | required thực thi Shield trên tất cả các máy tính; optional cho phép chọn tham gia theo từng không gian làm việc |
Ghi đè theo từng không gian làm việc: người chỉnh sửa không gian làm việc có thể bật/tắt giám sát Shield trên từng không gian làm việc khi chính sách tổ chức là optional.
Lời nhắc hệ thống
Section titled “Lời nhắc hệ thống”Quản trị viên có thể đặt một lời nhắc hệ thống tùy chỉnh được áp dụng cho tất cả các lần thực thi agent trong tổ chức. Yêu cầu gói đăng ký Team.
Phạm vi khóa API
Section titled “Phạm vi khóa API”Khóa API có các phạm vi chi tiết kiểm soát các hoạt động mà chúng có thể thực hiện:
| Phạm vi | Quyền hạn |
|---|---|
tasks:read | Liệt kê và xem tác vụ |
tasks:write | Tạo tác vụ, gửi theo dõi, xóa |
files:read | Xem siêu dữ liệu tệp |
files:write | Tải lên tệp |
webhooks:read | Liệt kê webhook, xem khóa công khai |
webhooks:write | Tạo và xóa webhook |
Tất cả các phạm vi được cấp theo mặc định khi tạo khóa. Lựa chọn phạm vi chi tiết đang được lên kế hoạch.
Tóm tắt
Section titled “Tóm tắt”| Lớp | Được kiểm soát bởi | Mức độ chi tiết |
|---|---|---|
| Cài đặt & chính sách tổ chức | Quản trị viên tổ chức | Toàn tổ chức |
| Truy cập Máy tính Agent | Người tạo + ACL | Theo không gian làm việc, theo người dùng |
| Truy cập kỹ năng | Người tạo + ACL | Theo kỹ năng, theo người dùng |
| Truy cập Context Lake | Quản trị viên (tạo) + Người tạo (ACL) | Theo tập dữ liệu/chế độ xem, theo người dùng |
| Phạm vi khóa API | Quản trị viên tổ chức | Theo khóa |
| Thoát mạng | Quản trị viên tổ chức | Toàn tổ chức (thông qua Agent Shield) |