AiHummer oʻzining admin yuzasini rolga asoslangan kirish nazorati va
koʻlamli API kalitlari bilan himoya qiladi. Rollar inson kim boʻlishga ruxsat
etilganini hal qiladi; koʻlamli kalitlar esa hamma narsani qila oladigan kalit
oʻrniga avtomatlashtirishning bir qismiga unga haqiqatan kerak boʻlgan
imtiyozlarni berishga imkon yaratadi.
Rollar
Admin API va admin UI’ga kirish rollar bilan boshqariladi. Rol principal qaysi
resurs guruhlarini koʻrishi va qaysilarini oʻzgartirishi mumkinligini aniqlaydi.
Rollar admin UI’ning «Rollar» sahifasida boshqariladi. Quticha
tashqarisida oʻrnatilgan rollar bor — owner (hammasi), admin,
operator va member — ular faqat oʻqish uchun («Oʻrnatilgan» nishoni bilan
belgilangan, ularni oʻzgartirib yoki oʻchirib boʻlmaydi). Ulardan tashqari
oʻz rollaringizni yaratish mumkin: rol formasida nom, tavsif va huquqlar
toʻri beriladi — ~19 resurs domenining har biri boʻyicha oʻqish/yozish
katakchalari (agentlar, dialoglar, vositalar, sirlar, plaginlar, sozlamalar,
tasdiqlashlar, API kalitlari va h.k.; «yozish» avtomatik ravishda «oʻqish»ni
ham yoqadi). Har bir rol uchun uni nechta subyekt ishlatayotgani koʻrsatiladi;
kimgadir tayinlangan rolni tayinlashlar olib tashlanmaguncha oʻchirib
boʻlmaydi.
Rollarni ushbu saytdagi boshqa nazoratlar bilan birlashtiring —
IP ruxsat roʻyxati,
korporativ SSO va
audit jurnali — shunda har bir admin
amali ham avtorizatsiyalangan, ham yozib olingan boʻlsin.
Koʻlamli admin API kalitlari
Admin API kalitlari kalit nima qila olishini cheklaydigan koʻlamlarni olib
yuradi. Uchta koʻlam mavjud:
Koʻlam
Beradi
admin:read
Admin resurslariga faqat oʻqish kirishi (sozlamalar, suhbatlar, analitikani koʻrish va h.k.).
admin:write
Admin resurslariga oʻqish va yozish kirishi.
admin:*
Toʻliq admin kirish (barcha admin koʻlamlariga teng).
Koʻlamlar migratsiya 0073 tomonidan joriy etilgan. Mavjud kalitlar ishlashda
davom etadi; yangi kalitlar tor koʻlam bilan yaratilishi mumkin, masalan, faqat
metrikalarni oʻqiydigan boshqaruv paneli hech qachon sozlamalarni oʻzgartira
oladigan kalitni ushlab turmaydi.
[!TIP]
Eng kam imtiyozni qoʻllang: monitoring yoki hisobot integratsiyasi
admin:write yoki admin:* emas, admin:read kalitini olishi kerak.
admin:* ni haqiqatan har bir resurs guruhini oʻzgartirishi kerak boʻlgan
kalitlar uchun saqlang.
Toʻgʻri koʻlamni tanlash
Faqat oʻqish integratsiyalari (boshqaruv panellari, eksportchilar, holat
tekshiruvlari) → admin:read.
Resurslarni yaratadigan yoki tahrirlaydigan avtomatlashtirish (provisioning
agentlari, bilimni import qilish, jadvallarni boshqarish) → admin:write.
Favqulodda / toʻliq administratsiya → admin:*, imkon qadar kamroq
kalitlar tomonidan ushlab turiladi va muntazam aylantiriladi.
[!WARNING]
Koʻlamli kalit hali ham admin API’ga hisob maʼlumotidir. Uni
maxfiy maʼlumotlar omborida yoki oʻzingizning
maxfiy maʼlumot menejeringizda saqlang, hech qachon manba nazoratida emas, va
agar u oshkor boʻlgan boʻlishi mumkin boʻlsa, uni aylantiring.
Kalitlar qanday boshqariladi
Admin API kalitlari admin API (/v1/admin/apikeys) va admin UI orqali
boshqariladi, u yerda kalit yaratasiz, uning koʻlamini tayinlaysiz va u endi
kerak boʻlmaganda bekor qilasiz. Admin API’ning oʻzi
OIDC va IP ruxsat roʻyxati bilan himoyalangani
uchun, kalit yaratish autentifikatsiyalangan, auditlangan operatsiyadir.
Keyingisi qayerda
Korporativ SSO — rollar ortidagi insonlarni
SAML, LDAP, SCIM yoki OIDC orqali autentifikatsiya qiling.
AiHummer oʻzining admin yuzasini **rolga asoslangan kirish nazorati** va
**koʻlamli API kalitlari** bilan himoya qiladi. Rollar inson kim boʻlishga ruxsat
etilganini hal qiladi; koʻlamli kalitlar esa hamma narsani qila oladigan kalit
oʻrniga avtomatlashtirishning bir qismiga unga haqiqatan kerak boʻlgan
imtiyozlarni berishga imkon yaratadi.
## Rollar
Admin API va admin UI'ga kirish rollar bilan boshqariladi. Rol principal qaysi
resurs guruhlarini koʻrishi va qaysilarini oʻzgartirishi mumkinligini aniqlaydi.
Rollar admin UI'ning **«Rollar»** sahifasida boshqariladi. Quticha
tashqarisida **oʻrnatilgan rollar** bor — `owner` (hammasi), `admin`,
`operator` va `member` — ular faqat oʻqish uchun («Oʻrnatilgan» nishoni bilan
belgilangan, ularni oʻzgartirib yoki oʻchirib boʻlmaydi). Ulardan tashqari
**oʻz rollaringizni** yaratish mumkin: rol formasida nom, tavsif va huquqlar
toʻri beriladi — ~19 resurs domenining har biri boʻyicha **oʻqish/yozish**
katakchalari (agentlar, dialoglar, vositalar, sirlar, plaginlar, sozlamalar,
tasdiqlashlar, API kalitlari va h.k.; «yozish» avtomatik ravishda «oʻqish»ni
ham yoqadi). Har bir rol uchun uni nechta subyekt ishlatayotgani koʻrsatiladi;
kimgadir tayinlangan rolni tayinlashlar olib tashlanmaguncha oʻchirib
boʻlmaydi.
Rollarni ushbu saytdagi boshqa nazoratlar bilan birlashtiring —
[IP ruxsat roʻyxati](/uz/v1.0/security/network-audit-airgapped),
[korporativ SSO](/uz/v1.0/security/enterprise-sso) va
[audit jurnali](/uz/v1.0/security/network-audit-airgapped) — shunda har bir admin
amali ham avtorizatsiyalangan, ham yozib olingan boʻlsin.
## Koʻlamli admin API kalitlari
Admin API kalitlari kalit nima qila olishini cheklaydigan **koʻlamlarni** olib
yuradi. Uchta koʻlam mavjud:
| Koʻlam | Beradi |
|---|---|
| `admin:read` | Admin resurslariga faqat oʻqish kirishi (sozlamalar, suhbatlar, analitikani koʻrish va h.k.). |
| `admin:write` | Admin resurslariga oʻqish **va** yozish kirishi. |
| `admin:*` | Toʻliq admin kirish (barcha admin koʻlamlariga teng). |
Koʻlamlar **migratsiya 0073** tomonidan joriy etilgan. Mavjud kalitlar ishlashda
davom etadi; yangi kalitlar tor koʻlam bilan yaratilishi mumkin, masalan, faqat
metrikalarni oʻqiydigan boshqaruv paneli hech qachon sozlamalarni oʻzgartira
oladigan kalitni ushlab turmaydi.
> [!TIP]
> Eng kam imtiyozni qoʻllang: monitoring yoki hisobot integratsiyasi
> `admin:write` yoki `admin:*` emas, `admin:read` kalitini olishi kerak.
> `admin:*` ni haqiqatan har bir resurs guruhini oʻzgartirishi kerak boʻlgan
> kalitlar uchun saqlang.
## Toʻgʻri koʻlamni tanlash
- **Faqat oʻqish integratsiyalari** (boshqaruv panellari, eksportchilar, holat
tekshiruvlari) → `admin:read`.
- **Resurslarni yaratadigan yoki tahrirlaydigan avtomatlashtirish** (provisioning
agentlari, bilimni import qilish, jadvallarni boshqarish) → `admin:write`.
- **Favqulodda / toʻliq administratsiya** → `admin:*`, imkon qadar kamroq
kalitlar tomonidan ushlab turiladi va muntazam aylantiriladi.
> [!WARNING]
> Koʻlamli kalit hali ham admin API'ga hisob maʼlumotidir. Uni
> [maxfiy maʼlumotlar omborida](/uz/v1.0/security/vault) yoki oʻzingizning
> maxfiy maʼlumot menejeringizda saqlang, hech qachon manba nazoratida emas, va
> agar u oshkor boʻlgan boʻlishi mumkin boʻlsa, uni aylantiring.
## Kalitlar qanday boshqariladi
Admin API kalitlari admin API (`/v1/admin/apikeys`) va admin UI orqali
boshqariladi, u yerda kalit yaratasiz, uning koʻlamini tayinlaysiz va u endi
kerak boʻlmaganda bekor qilasiz. Admin API'ning oʻzi
[OIDC va IP ruxsat roʻyxati](/uz/v1.0/security/enterprise-sso) bilan himoyalangani
uchun, kalit yaratish autentifikatsiyalangan, auditlangan operatsiyadir.
## Keyingisi qayerda
- [Korporativ SSO](/uz/v1.0/security/enterprise-sso) — rollar ortidagi insonlarni
SAML, LDAP, SCIM yoki OIDC orqali autentifikatsiya qiling.
- [Tarmoq, audit va havodan uzilgan](/uz/v1.0/security/network-audit-airgapped) —
admin API qayerdan yetib borilishi mumkinligini cheklang va audit izini saqlang.
- [Maxfiy maʼlumotlar ombori](/uz/v1.0/security/vault) — yaratgan kalitlaringizni
qayerda saqlash kerak.