AiHummer өзінің әкімші бетін рөлге негізделген қол жеткізуді басқару және
scoped API кілттерімен қорғайды. Рөлдер адамның кім бола алатынын шешеді;
scoped кілттер автоматтандыруға бәрін істей алатын кілттің орнына нақты қажет
артықшылықтарды ғана беруге мүмкіндік береді.
Рөлдер
Әкімші API мен әкімші UI-ге қол жеткізу рөлдермен реттеледі. Рөл принципалдың
қандай ресурс топтарын көре алатынын және қайсысын өзгерте алатынын анықтайды.
Рөлдер админканың «Рөлдер» бетінде басқарылады. Қораптан тыс
кіріктірілген рөлдер бар — owner (барлығы), admin, operator және
member — олар тек оқуға арналған («Кіріктірілген» бейджімен белгіленген,
оларды өзгертуге де, жоюға да болмайды). Олардан бөлек өз рөлдеріңізді
жасауға болады: рөл формасында аты, сипаттамасы және құқықтар торы беріледі —
~19 ресурс доменінің әрқайсысы бойынша оқу/жазу чекбокстары (агенттер,
диалогтар, құралдар, құпиялар, плагиндер, параметрлер, келісулер, API кілттері
т.б.; «жазу» автоматты түрде «оқуды» қосады). Әр рөлдің қасында оны қанша
субъект қолданатыны көрсетіледі; біреуге тағайындалған рөлді тағайындаулар
алынып тасталғанша жою мүмкін емес.
Рөлдерді осы сайттағы басқа бақылау құралдарымен —
IP рұқсат тізімі,
enterprise SSO және
аудит журналы — біріктіріңіз,
осылайша әрбір әкімшілік әрекет әрі авторланған, әрі тіркелген болады.
Scoped әкімші API кілттері
Әкімші API кілттері кілттің не істей алатынын шектейтін scope-тарды алып
жүреді. Үш scope бар:
Scope
Береді
admin:read
Әкімші ресурстарына тек оқуға арналған қол жеткізу (баптауларды, әңгімелерді, аналитиканы т.б. көру).
admin:write
Әкімші ресурстарына оқу және жазу қол жеткізуі.
admin:*
Толық әкімшілік қол жеткізу (барлық әкімші scope-тарына эквивалентті).
Scope-тар 0073 миграциясымен енгізілді. Бар кілттер жұмысын жалғастырады;
жаңа кілттерді тар scope-пен жасауға болады, мысалы, тек метрикаларды оқитын
дашборд баптауларды өзгерте алатын кілтті ешқашан ұстамайды.
[!TIP]
Ең аз артықшылықты қолданыңыз: мониторинг немесе есеп беру интеграциясы
admin:write немесе admin:* емес, admin:read кілтін алуы керек.
admin:* кілтін шынымен әрбір ресурс тобын өзгертуі қажет кілттер үшін
сақтаңыз.
Дұрыс scope таңдау
Тек оқуға арналған интеграциялар (дашбордтар, экспорттаушылар, статус
тексерулері) → admin:read.
Ресурстарды жасайтын немесе өзгертетін автоматтандыру (provisioning
агенттері, білімді импорттау, кестелерді басқару) → admin:write.
Break-glass / толық әкімшілік → admin:*, мүмкіндігінше аз кілт ұстайды
және үнемі ротацияланады.
[!WARNING]
Scoped кілт әлі де әкімші API-ге арналған тіркелгі деректемесі. Оны
secrets vault ішінде немесе өзіңіздің құпия
менеджеріңізде сақтаңыз, ешқашан бастапқы код басқаруында емес, және ол
ашылған болуы мүмкін болса, оны ротациялаңыз.
Кілттер қалай басқарылады
Әкімші API кілттері әкімші API (/v1/admin/apikeys) және әкімші UI арқылы
басқарылады, мұнда сіз кілтті жасайсыз, оның scope-ын тағайындайсыз және ол
қажет болмаған кезде кері қайтарасыз. Әкімші API-дің өзі
OIDC және IP рұқсат тізімімен қорғалғандықтан,
кілт жасау — авторланған, тексерілген операция.
Әрі қарай қайда
Enterprise SSO — рөлдердің артындағы
адамдарды SAML, LDAP, SCIM немесе OIDC арқылы аутентификациялаңыз.
Желі, аудит және air-gapped —
әкімші API-ге қайдан қол жеткізуге болатынын шектеңіз және аудит ізін сақтаңыз.
Secrets vault — жасаған кілттеріңізді қайда сақтау
керек.
AiHummer өзінің әкімші бетін **рөлге негізделген қол жеткізуді басқару** және
**scoped API кілттерімен** қорғайды. Рөлдер адамның кім бола алатынын шешеді;
scoped кілттер автоматтандыруға бәрін істей алатын кілттің орнына нақты қажет
артықшылықтарды ғана беруге мүмкіндік береді.
## Рөлдер
Әкімші API мен әкімші UI-ге қол жеткізу рөлдермен реттеледі. Рөл принципалдың
қандай ресурс топтарын көре алатынын және қайсысын өзгерте алатынын анықтайды.
Рөлдер админканың **«Рөлдер»** бетінде басқарылады. Қораптан тыс
**кіріктірілген рөлдер** бар — `owner` (барлығы), `admin`, `operator` және
`member` — олар тек оқуға арналған («Кіріктірілген» бейджімен белгіленген,
оларды өзгертуге де, жоюға да болмайды). Олардан бөлек **өз рөлдеріңізді**
жасауға болады: рөл формасында аты, сипаттамасы және құқықтар торы беріледі —
~19 ресурс доменінің әрқайсысы бойынша **оқу/жазу** чекбокстары (агенттер,
диалогтар, құралдар, құпиялар, плагиндер, параметрлер, келісулер, API кілттері
т.б.; «жазу» автоматты түрде «оқуды» қосады). Әр рөлдің қасында оны қанша
субъект қолданатыны көрсетіледі; біреуге тағайындалған рөлді тағайындаулар
алынып тасталғанша жою мүмкін емес.
Рөлдерді осы сайттағы басқа бақылау құралдарымен —
[IP рұқсат тізімі](/kk/v1.0/security/network-audit-airgapped),
[enterprise SSO](/kk/v1.0/security/enterprise-sso) және
[аудит журналы](/kk/v1.0/security/network-audit-airgapped) — біріктіріңіз,
осылайша әрбір әкімшілік әрекет әрі авторланған, әрі тіркелген болады.
## Scoped әкімші API кілттері
Әкімші API кілттері кілттің не істей алатынын шектейтін **scope-тарды** алып
жүреді. Үш scope бар:
| Scope | Береді |
|---|---|
| `admin:read` | Әкімші ресурстарына тек оқуға арналған қол жеткізу (баптауларды, әңгімелерді, аналитиканы т.б. көру). |
| `admin:write` | Әкімші ресурстарына оқу **және** жазу қол жеткізуі. |
| `admin:*` | Толық әкімшілік қол жеткізу (барлық әкімші scope-тарына эквивалентті). |
Scope-тар **0073 миграциясымен** енгізілді. Бар кілттер жұмысын жалғастырады;
жаңа кілттерді тар scope-пен жасауға болады, мысалы, тек метрикаларды оқитын
дашборд баптауларды өзгерте алатын кілтті ешқашан ұстамайды.
> [!TIP]
> Ең аз артықшылықты қолданыңыз: мониторинг немесе есеп беру интеграциясы
> `admin:write` немесе `admin:*` емес, `admin:read` кілтін алуы керек.
> `admin:*` кілтін шынымен әрбір ресурс тобын өзгертуі қажет кілттер үшін
> сақтаңыз.
## Дұрыс scope таңдау
- **Тек оқуға арналған интеграциялар** (дашбордтар, экспорттаушылар, статус
тексерулері) → `admin:read`.
- **Ресурстарды жасайтын немесе өзгертетін автоматтандыру** (provisioning
агенттері, білімді импорттау, кестелерді басқару) → `admin:write`.
- **Break-glass / толық әкімшілік** → `admin:*`, мүмкіндігінше аз кілт ұстайды
және үнемі ротацияланады.
> [!WARNING]
> Scoped кілт әлі де әкімші API-ге арналған тіркелгі деректемесі. Оны
> [secrets vault](/kk/v1.0/security/vault) ішінде немесе өзіңіздің құпия
> менеджеріңізде сақтаңыз, ешқашан бастапқы код басқаруында емес, және ол
> ашылған болуы мүмкін болса, оны ротациялаңыз.
## Кілттер қалай басқарылады
Әкімші API кілттері әкімші API (`/v1/admin/apikeys`) және әкімші UI арқылы
басқарылады, мұнда сіз кілтті жасайсыз, оның scope-ын тағайындайсыз және ол
қажет болмаған кезде кері қайтарасыз. Әкімші API-дің өзі
[OIDC және IP рұқсат тізімімен](/kk/v1.0/security/enterprise-sso) қорғалғандықтан,
кілт жасау — авторланған, тексерілген операция.
## Әрі қарай қайда
- [Enterprise SSO](/kk/v1.0/security/enterprise-sso) — рөлдердің артындағы
адамдарды SAML, LDAP, SCIM немесе OIDC арқылы аутентификациялаңыз.
- [Желі, аудит және air-gapped](/kk/v1.0/security/network-audit-airgapped) —
әкімші API-ге қайдан қол жеткізуге болатынын шектеңіз және аудит ізін сақтаңыз.
- [Secrets vault](/kk/v1.0/security/vault) — жасаған кілттеріңізді қайда сақтау
керек.