AiHummer admin səthini rol əsaslı giriş nəzarəti və əhatəli API açarları
ilə qoruyur. Rollar bir şəxsin kim olmasına icazə verildiyini qərarlaşdırır;
əhatəli açarlar isə hər şeyi edə bilən bir açar əvəzinə, avtomatlaşdırmanın bir
parçasına yalnız əslində ehtiyac duyduğu imtiyazları verməyə imkan verir.
Rollar
Admin API-yə və admin UI-yə giriş rollarla idarə olunur. Rol bir prinsipalın hansı
resurs qruplarına baxa biləcəyini və hansını dəyişə biləcəyini müəyyən edir.
Rollar admin UI-nin «Rollar» səhifəsində idarə olunur. Qutudan çıxan kimi
daxili rollar var — owner (hər şey), admin, operator və member —
onlar yalnız oxumaq üçündür («Daxili» nişanı ilə işarələnib, dəyişdirilə və ya
silinə bilməz). Bunlardan əlavə öz rollarınızı yarada bilərsiniz: rol
formasında ad, təsvir və icazələr şəbəkəsi təyin olunur — ~19 resurs domeninin
hər biri üzrə oxuma/yazma checkbox-ları (agentlər, dialoqlar, alətlər,
sirlər, plaginlər, parametrlər, təsdiqlər, API açarları və s.; «yazma» avtomatik
olaraq «oxuma»nı da aktivləşdirir). Hər rolun yanında onu neçə subyektin
istifadə etdiyi göstərilir; kiməsə təyin edilmiş rol təyinatlar götürülməyənə
qədər silinə bilməz.
Rolları bu saytdakı digər nəzarətlərlə — IP icazə siyahısı,
korporativ SSO və
audit logu — birləşdirin ki, hər
admin əməliyyatı həm avtorizə edilsin, həm də qeyd olunsun.
Əhatəli admin API açarları
Admin API açarları açarın nə edə biləcəyini məhdudlaşdıran əhatələr daşıyır.
Üç əhatə var:
Əhatə
Verir
admin:read
Admin resurslarına yalnız oxuma girişi (parametrlərə, söhbətlərə, analitikaya və s. baxış).
admin:write
Admin resurslarına oxuma və yazma girişi.
admin:*
Tam admin girişi (bütün admin əhatələrinə bərabər).
Əhatələr migrasiya 0073 ilə təqdim edildi. Mövcud açarlar işləməyə davam edir;
yeni açarlar dar əhatə ilə yaradıla bilər ki, məsələn, yalnız metrikləri oxuyan
panel heç vaxt parametrləri dəyişdirə bilən açar saxlamasın.
[!TIP]
Ən-az-imtiyaz tətbiq edin: monitorinq və ya hesabat inteqrasiyası admin:write
və ya admin:* deyil, admin:read açarı almalıdır. admin:*-ı həqiqətən hər
resurs qrupunu dəyişdirməyə ehtiyacı olan açarlar üçün saxlayın.
Düzgün əhatəni seçmək
Yalnız oxuma inteqrasiyaları (panellər, eksportçular, status yoxlamaları) →
admin:read.
Resurs yaradan və ya redaktə edən avtomatlaşdırma (təminat agentləri, bilik
idxalı, cədvəllərin idarə edilməsi) → admin:write.
Qəza-açma / tam idarəetmə → admin:*, mümkün qədər az açar tərəfindən
saxlanılır və müntəzəm olaraq rotasiya edilir.
[!WARNING]
Əhatəli açar yenə də admin API-yə bir etibarnamədir. Onu
sirlər seyfində və ya öz sir menecerinizdə saxlayın,
heç vaxt mənbə nəzarətində deyil, və ifşa olunmuş ola biləcəyini düşünürsünüzsə
onu rotasiya edin.
Açarlar necə idarə olunur
Admin API açarları admin API (/v1/admin/apikeys) və admin UI vasitəsilə idarə
olunur, burada açar yaradır, onun əhatəsini təyin edir və artıq lazım olmadıqda
onu ləğv edirsiniz. Admin API-nin özü
OIDC və IP icazə siyahısı ilə qorunduğu üçün,
açar yaratmaq autentifikasiya olunmuş, audit edilmiş əməliyyatdır.
Sonra hara
Korporativ SSO — rolların arxasındakı
insanları SAML, LDAP, SCIM və ya OIDC vasitəsilə autentifikasiya edin.
Sirlər seyfi — yaratdığınız açarları saxlamaq üçün yer.
AiHummer admin səthini **rol əsaslı giriş nəzarəti** və **əhatəli API açarları**
ilə qoruyur. Rollar bir şəxsin kim olmasına icazə verildiyini qərarlaşdırır;
əhatəli açarlar isə hər şeyi edə bilən bir açar əvəzinə, avtomatlaşdırmanın bir
parçasına yalnız əslində ehtiyac duyduğu imtiyazları verməyə imkan verir.
## Rollar
Admin API-yə və admin UI-yə giriş rollarla idarə olunur. Rol bir prinsipalın hansı
resurs qruplarına baxa biləcəyini və hansını dəyişə biləcəyini müəyyən edir.
Rollar admin UI-nin **«Rollar»** səhifəsində idarə olunur. Qutudan çıxan kimi
**daxili rollar** var — `owner` (hər şey), `admin`, `operator` və `member` —
onlar yalnız oxumaq üçündür («Daxili» nişanı ilə işarələnib, dəyişdirilə və ya
silinə bilməz). Bunlardan əlavə **öz rollarınızı** yarada bilərsiniz: rol
formasında ad, təsvir və icazələr şəbəkəsi təyin olunur — ~19 resurs domeninin
hər biri üzrə **oxuma/yazma** checkbox-ları (agentlər, dialoqlar, alətlər,
sirlər, plaginlər, parametrlər, təsdiqlər, API açarları və s.; «yazma» avtomatik
olaraq «oxuma»nı da aktivləşdirir). Hər rolun yanında onu neçə subyektin
istifadə etdiyi göstərilir; kiməsə təyin edilmiş rol təyinatlar götürülməyənə
qədər silinə bilməz.
Rolları bu saytdakı digər nəzarətlərlə — [IP icazə siyahısı](/en/v1.0/security/network-audit-airgapped),
[korporativ SSO](/en/v1.0/security/enterprise-sso) və
[audit logu](/en/v1.0/security/network-audit-airgapped) — birləşdirin ki, hər
admin əməliyyatı həm avtorizə edilsin, həm də qeyd olunsun.
## Əhatəli admin API açarları
Admin API açarları açarın nə edə biləcəyini məhdudlaşdıran **əhatələr** daşıyır.
Üç əhatə var:
| Əhatə | Verir |
|---|---|
| `admin:read` | Admin resurslarına yalnız oxuma girişi (parametrlərə, söhbətlərə, analitikaya və s. baxış). |
| `admin:write` | Admin resurslarına oxuma **və** yazma girişi. |
| `admin:*` | Tam admin girişi (bütün admin əhatələrinə bərabər). |
Əhatələr **migrasiya 0073** ilə təqdim edildi. Mövcud açarlar işləməyə davam edir;
yeni açarlar dar əhatə ilə yaradıla bilər ki, məsələn, yalnız metrikləri oxuyan
panel heç vaxt parametrləri dəyişdirə bilən açar saxlamasın.
> [!TIP]
> Ən-az-imtiyaz tətbiq edin: monitorinq və ya hesabat inteqrasiyası `admin:write`
> və ya `admin:*` deyil, `admin:read` açarı almalıdır. `admin:*`-ı həqiqətən hər
> resurs qrupunu dəyişdirməyə ehtiyacı olan açarlar üçün saxlayın.
## Düzgün əhatəni seçmək
- **Yalnız oxuma inteqrasiyaları** (panellər, eksportçular, status yoxlamaları) →
`admin:read`.
- **Resurs yaradan və ya redaktə edən avtomatlaşdırma** (təminat agentləri, bilik
idxalı, cədvəllərin idarə edilməsi) → `admin:write`.
- **Qəza-açma / tam idarəetmə** → `admin:*`, mümkün qədər az açar tərəfindən
saxlanılır və müntəzəm olaraq rotasiya edilir.
> [!WARNING]
> Əhatəli açar yenə də admin API-yə bir etibarnamədir. Onu
> [sirlər seyfində](/en/v1.0/security/vault) və ya öz sir menecerinizdə saxlayın,
> heç vaxt mənbə nəzarətində deyil, və ifşa olunmuş ola biləcəyini düşünürsünüzsə
> onu rotasiya edin.
## Açarlar necə idarə olunur
Admin API açarları admin API (`/v1/admin/apikeys`) və admin UI vasitəsilə idarə
olunur, burada açar yaradır, onun əhatəsini təyin edir və artıq lazım olmadıqda
onu ləğv edirsiniz. Admin API-nin özü
[OIDC və IP icazə siyahısı](/en/v1.0/security/enterprise-sso) ilə qorunduğu üçün,
açar yaratmaq autentifikasiya olunmuş, audit edilmiş əməliyyatdır.
## Sonra hara
- [Korporativ SSO](/en/v1.0/security/enterprise-sso) — rolların arxasındakı
insanları SAML, LDAP, SCIM və ya OIDC vasitəsilə autentifikasiya edin.
- [Şəbəkə, audit və hava-boşluqlu](/en/v1.0/security/network-audit-airgapped) —
admin API-nin haradan çatıla biləcəyini məhdudlaşdırın və audit izini saxlayın.
- [Sirlər seyfi](/en/v1.0/security/vault) — yaratdığınız açarları saxlamaq üçün yer.