AiHummer
Қазақша
Кіру
v1.0.x
{ }Swagger

RBAC және scoped API кілттері

v1.0.x · жаңартылды 2026-07-07

AiHummer өзінің әкімші бетін рөлге негізделген қол жеткізуді басқару және scoped API кілттерімен қорғайды. Рөлдер адамның кім бола алатынын шешеді; scoped кілттер автоматтандыруға бәрін істей алатын кілттің орнына нақты қажет артықшылықтарды ғана беруге мүмкіндік береді.

Рөлдер

Әкімші API мен әкімші UI-ге қол жеткізу рөлдермен реттеледі. Рөл принципалдың қандай ресурс топтарын көре алатынын және қайсысын өзгерте алатынын анықтайды.

Рөлдер админканың «Рөлдер» бетінде басқарылады. Қораптан тыс кіріктірілген рөлдер бар — owner (барлығы), admin, operator және member — олар тек оқуға арналған («Кіріктірілген» бейджімен белгіленген, оларды өзгертуге де, жоюға да болмайды). Олардан бөлек өз рөлдеріңізді жасауға болады: рөл формасында аты, сипаттамасы және құқықтар торы беріледі — ~19 ресурс доменінің әрқайсысы бойынша оқу/жазу чекбокстары (агенттер, диалогтар, құралдар, құпиялар, плагиндер, параметрлер, келісулер, API кілттері т.б.; «жазу» автоматты түрде «оқуды» қосады). Әр рөлдің қасында оны қанша субъект қолданатыны көрсетіледі; біреуге тағайындалған рөлді тағайындаулар алынып тасталғанша жою мүмкін емес.

Рөлдерді осы сайттағы басқа бақылау құралдарымен — IP рұқсат тізімі, enterprise SSO және аудит журналы — біріктіріңіз, осылайша әрбір әкімшілік әрекет әрі авторланған, әрі тіркелген болады.

Scoped әкімші API кілттері

Әкімші API кілттері кілттің не істей алатынын шектейтін scope-тарды алып жүреді. Үш scope бар:

Scope Береді
admin:read Әкімші ресурстарына тек оқуға арналған қол жеткізу (баптауларды, әңгімелерді, аналитиканы т.б. көру).
admin:write Әкімші ресурстарына оқу және жазу қол жеткізуі.
admin:* Толық әкімшілік қол жеткізу (барлық әкімші scope-тарына эквивалентті).

Scope-тар 0073 миграциясымен енгізілді. Бар кілттер жұмысын жалғастырады; жаңа кілттерді тар scope-пен жасауға болады, мысалы, тек метрикаларды оқитын дашборд баптауларды өзгерте алатын кілтті ешқашан ұстамайды.

[!TIP] Ең аз артықшылықты қолданыңыз: мониторинг немесе есеп беру интеграциясы admin:write немесе admin:* емес, admin:read кілтін алуы керек. admin:* кілтін шынымен әрбір ресурс тобын өзгертуі қажет кілттер үшін сақтаңыз.

Дұрыс scope таңдау

  • Тек оқуға арналған интеграциялар (дашбордтар, экспорттаушылар, статус тексерулері) → admin:read.
  • Ресурстарды жасайтын немесе өзгертетін автоматтандыру (provisioning агенттері, білімді импорттау, кестелерді басқару) → admin:write.
  • Break-glass / толық әкімшілікadmin:*, мүмкіндігінше аз кілт ұстайды және үнемі ротацияланады.

[!WARNING] Scoped кілт әлі де әкімші API-ге арналған тіркелгі деректемесі. Оны secrets vault ішінде немесе өзіңіздің құпия менеджеріңізде сақтаңыз, ешқашан бастапқы код басқаруында емес, және ол ашылған болуы мүмкін болса, оны ротациялаңыз.

Кілттер қалай басқарылады

Әкімші API кілттері әкімші API (/v1/admin/apikeys) және әкімші UI арқылы басқарылады, мұнда сіз кілтті жасайсыз, оның scope-ын тағайындайсыз және ол қажет болмаған кезде кері қайтарасыз. Әкімші API-дің өзі OIDC және IP рұқсат тізімімен қорғалғандықтан, кілт жасау — авторланған, тексерілген операция.

Әрі қарай қайда

  • Enterprise SSO — рөлдердің артындағы адамдарды SAML, LDAP, SCIM немесе OIDC арқылы аутентификациялаңыз.
  • Желі, аудит және air-gapped — әкімші API-ге қайдан қол жеткізуге болатынын шектеңіз және аудит ізін сақтаңыз.
  • Secrets vault — жасаған кілттеріңізді қайда сақтау керек.