AiHummer იცავს თავის ადმინ ზედაპირს როლზე-დაფუძნებული წვდომის კონტროლითა და
არეალირებული API გასაღებებით. როლები წყვეტენ, ვინ შეიძლება იყოს ადამიანი; არეალირებული
გასაღებები საშუალებას გაძლევენ მისცე ავტომატიზაციის ნაწილს მხოლოდ ის პრივილეგიები, რომლებიც
მას ნამდვილად სჭირდება, ისეთი გასაღების ნაცვლად, რომელსაც ყველაფრის გაკეთება შეუძლია.
როლები
ადმინ API-სა და ადმინ UI-ზე წვდომა იმართება როლებით. როლი განსაზღვრავს, რომელი რესურსების
ჯგუფების ნახვა შეუძლია პრინციპალს და რომელი შეუძლია შეცვალოს.
როლები იმართება ადმინ UI-ის გვერდზე «როლები». ყუთიდანვე არსებობს
ჩაშენებული როლები — owner (ყველაფერი), admin, operator და member —
ისინი მხოლოდ-კითხვადია (მონიშნულია ბეჯით «ჩაშენებული», მათი შეცვლა ან წაშლა
შეუძლებელია). მათ გარდა შესაძლებელია საკუთარი როლების შექმნა: როლის ფორმაში
ისაზღვრება სახელი, აღწერა და უფლებების ბადე — კითხვა/ჩაწერა ჩექბოქსები
რესურსების ~19 დომენიდან თითოეულზე (აგენტები, დიალოგები, ხელსაწყოები,
საიდუმლოები, დანამატები, პარამეტრები, დამტკიცებები, API გასაღებები და ა.შ.;
«ჩაწერა» ავტომატურად რთავს «კითხვას»). თითოეულ როლთან ნაჩვენებია, რამდენი
სუბიექტი იყენებს მას; ვინმეზე მინიჭებული როლი ვერ წაიშლება, ვიდრე მინიჭებები
არ მოიხსნება.
დააწყვილე როლები ამ საიტზე
არსებულ სხვა კონტროლებთან — IP allowlist,
საწარმოო SSO და
აუდიტის ლოგი — ისე, რომ ყველა ადმინ მოქმედება
იყოს როგორც ავტორიზებული, ისე ჩაწერილი.
არეალირებული ადმინ API გასაღებები
ადმინ API გასაღებები ატარებენ არეალებს, რომლებიც ზღუდავენ, რა შეუძლია გასაღებს. არსებობს
სამი არეალი:
არეალი
რას ანიჭებს
admin:read
მხოლოდ-კითხვის წვდომა ადმინ რესურსებზე (პარამეტრების, საუბრების, ანალიტიკის ნახვა და ა.შ.).
admin:write
კითხვის და ჩაწერის წვდომა ადმინ რესურსებზე.
admin:*
სრული ადმინ წვდომა (ექვივალენტურია ყველა ადმინ არეალის).
არეალები შემოღებულ იქნა მიგრაცია 0073-ით. არსებული გასაღებები აგრძელებენ მუშაობას; ახალი
გასაღებები შეიძლება მოიჭრას ვიწრო არეალით ისე, რომ, მაგალითად, დაშბორდმა, რომელიც მხოლოდ
კითხულობს მეტრიკებს, არასოდეს ეჭიროს გასაღები, რომელსაც პარამეტრების შეცვლა შეუძლია.
[!TIP]
გამოიყენე უმცირესი პრივილეგია: მონიტორინგის ან ანგარიშგების ინტეგრაციამ უნდა მიიღოს
admin:read გასაღები, და არა admin:write ან admin:*. დაიტოვე admin:* იმ
გასაღებებისთვის, რომელთაც ნამდვილად სჭირდებათ ყველა რესურსის ჯგუფის შეცვლა.
ავტომატიზაცია, რომელიც ქმნის ან არედაქტირებს რესურსებს (პროვიჟენინგ აგენტები, ცოდნის
იმპორტი, განრიგების მართვა) → admin:write.
გადაუდებელი / სრული ადმინისტრირება → admin:*, რომელსაც იჭერს რაც შეიძლება ნაკლები
გასაღები და რეგულარულად ხდება მისი როტაცია.
[!WARNING]
არეალირებული გასაღები მაინც სარწმუნებელია ადმინ API-ზე. შეინახე იგი
საიდუმლოების საცავში ან შენს საკუთარ საიდუმლოს მენეჯერში,
არასოდეს კოდის კონტროლში, და მოახდინე მისი როტაცია, თუ ის შესაძლოა გამჟღავნდა.
როგორ იმართება გასაღებები
ადმინ API გასაღებები იმართება ადმინ API-ით (/v1/admin/apikeys) და ადმინ UI-ით, სადაც ჭრი
გასაღებს, ანიჭებ მის არეალს და აუქმებ მას, როცა ის აღარ არის საჭირო. რადგან თავად ადმინ API
დაცულია OIDC-ითა და IP allowlist-ით, გასაღების მოჭრა
ავთენტიფიცირებული, აუდიტირებული ოპერაციაა.
სად შემდეგ
საწარმოო SSO — მოახდინე როლების უკან მდგომი ადამიანების
ავთენტიფიკაცია SAML-ით, LDAP-ით, SCIM-ით ან OIDC-ით.
AiHummer იცავს თავის ადმინ ზედაპირს **როლზე-დაფუძნებული წვდომის კონტროლითა** და
**არეალირებული API გასაღებებით**. როლები წყვეტენ, ვინ შეიძლება იყოს ადამიანი; არეალირებული
გასაღებები საშუალებას გაძლევენ მისცე ავტომატიზაციის ნაწილს მხოლოდ ის პრივილეგიები, რომლებიც
მას ნამდვილად სჭირდება, ისეთი გასაღების ნაცვლად, რომელსაც ყველაფრის გაკეთება შეუძლია.
## როლები
ადმინ API-სა და ადმინ UI-ზე წვდომა იმართება როლებით. როლი განსაზღვრავს, რომელი რესურსების
ჯგუფების ნახვა შეუძლია პრინციპალს და რომელი შეუძლია შეცვალოს.
როლები იმართება ადმინ UI-ის გვერდზე **«როლები»**. ყუთიდანვე არსებობს
**ჩაშენებული როლები** — `owner` (ყველაფერი), `admin`, `operator` და `member` —
ისინი მხოლოდ-კითხვადია (მონიშნულია ბეჯით «ჩაშენებული», მათი შეცვლა ან წაშლა
შეუძლებელია). მათ გარდა შესაძლებელია **საკუთარი როლების** შექმნა: როლის ფორმაში
ისაზღვრება სახელი, აღწერა და უფლებების ბადე — **კითხვა/ჩაწერა** ჩექბოქსები
რესურსების ~19 დომენიდან თითოეულზე (აგენტები, დიალოგები, ხელსაწყოები,
საიდუმლოები, დანამატები, პარამეტრები, დამტკიცებები, API გასაღებები და ა.შ.;
«ჩაწერა» ავტომატურად რთავს «კითხვას»). თითოეულ როლთან ნაჩვენებია, რამდენი
სუბიექტი იყენებს მას; ვინმეზე მინიჭებული როლი ვერ წაიშლება, ვიდრე მინიჭებები
არ მოიხსნება.
დააწყვილე როლები ამ საიტზე
არსებულ სხვა კონტროლებთან — [IP allowlist](/ka/v1.0/security/network-audit-airgapped),
[საწარმოო SSO](/ka/v1.0/security/enterprise-sso) და
[აუდიტის ლოგი](/ka/v1.0/security/network-audit-airgapped) — ისე, რომ ყველა ადმინ მოქმედება
იყოს როგორც ავტორიზებული, ისე ჩაწერილი.
## არეალირებული ადმინ API გასაღებები
ადმინ API გასაღებები ატარებენ **არეალებს**, რომლებიც ზღუდავენ, რა შეუძლია გასაღებს. არსებობს
სამი არეალი:
| არეალი | რას ანიჭებს |
|---|---|
| `admin:read` | მხოლოდ-კითხვის წვდომა ადმინ რესურსებზე (პარამეტრების, საუბრების, ანალიტიკის ნახვა და ა.შ.). |
| `admin:write` | კითხვის **და** ჩაწერის წვდომა ადმინ რესურსებზე. |
| `admin:*` | სრული ადმინ წვდომა (ექვივალენტურია ყველა ადმინ არეალის). |
არეალები შემოღებულ იქნა **მიგრაცია 0073-ით**. არსებული გასაღებები აგრძელებენ მუშაობას; ახალი
გასაღებები შეიძლება მოიჭრას ვიწრო არეალით ისე, რომ, მაგალითად, დაშბორდმა, რომელიც მხოლოდ
კითხულობს მეტრიკებს, არასოდეს ეჭიროს გასაღები, რომელსაც პარამეტრების შეცვლა შეუძლია.
> [!TIP]
> გამოიყენე უმცირესი პრივილეგია: მონიტორინგის ან ანგარიშგების ინტეგრაციამ უნდა მიიღოს
> `admin:read` გასაღები, და არა `admin:write` ან `admin:*`. დაიტოვე `admin:*` იმ
> გასაღებებისთვის, რომელთაც ნამდვილად სჭირდებათ ყველა რესურსის ჯგუფის შეცვლა.
## სწორი არეალის არჩევა
- **მხოლოდ-კითხვის ინტეგრაციები** (დაშბორდები, ექსპორტიორები, სტატუსის შემოწმებები) →
`admin:read`.
- **ავტომატიზაცია, რომელიც ქმნის ან არედაქტირებს რესურსებს** (პროვიჟენინგ აგენტები, ცოდნის
იმპორტი, განრიგების მართვა) → `admin:write`.
- **გადაუდებელი / სრული ადმინისტრირება** → `admin:*`, რომელსაც იჭერს რაც შეიძლება ნაკლები
გასაღები და რეგულარულად ხდება მისი როტაცია.
> [!WARNING]
> არეალირებული გასაღები მაინც სარწმუნებელია ადმინ API-ზე. შეინახე იგი
> [საიდუმლოების საცავში](/ka/v1.0/security/vault) ან შენს საკუთარ საიდუმლოს მენეჯერში,
> არასოდეს კოდის კონტროლში, და მოახდინე მისი როტაცია, თუ ის შესაძლოა გამჟღავნდა.
## როგორ იმართება გასაღებები
ადმინ API გასაღებები იმართება ადმინ API-ით (`/v1/admin/apikeys`) და ადმინ UI-ით, სადაც ჭრი
გასაღებს, ანიჭებ მის არეალს და აუქმებ მას, როცა ის აღარ არის საჭირო. რადგან თავად ადმინ API
დაცულია [OIDC-ითა და IP allowlist-ით](/ka/v1.0/security/enterprise-sso), გასაღების მოჭრა
ავთენტიფიცირებული, აუდიტირებული ოპერაციაა.
## სად შემდეგ
- [საწარმოო SSO](/ka/v1.0/security/enterprise-sso) — მოახდინე როლების უკან მდგომი ადამიანების
ავთენტიფიკაცია SAML-ით, LDAP-ით, SCIM-ით ან OIDC-ით.
- [ქსელი, აუდიტი და air-gapped](/ka/v1.0/security/network-audit-airgapped) —
შეზღუდე, საიდან შეიძლება მიწვდეს ადმინ API და შეინახე აუდიტის კვალი.
- [საიდუმლოების საცავი](/ka/v1.0/security/vault) — სად შეინახო შენ მიერ მოჭრილი გასაღებები.