Веб-интерфейс (Web UI)/Роли, аппрувалы, модерация и аудит
Роли, аппрувалы, модерация и аудит
v1.0.x · обновлено 2026-07-08
Эта страница объединяет четыре экрана Web UI, которые задают, кому что можно и
как контролируются рискованные действия: Роли, Аппрувалы, Модерация и
Аудит.
Роли
Экран «Роли» — управление RBAC-ролями. Встроенные роли доступны только для
чтения (бейдж «builtin»); роль, которая используется, нельзя удалить. Назначаемые
людям роли: owner, admin, operator, member.
Создание/редактирование роли — модальное окно с именем, описанием и сеткой
чекбоксов прав: колонки Чтение и Запись для каждого домена. Запись
подразумевает чтение. Права хранятся как domain:read / domain:write /
domain:* (или * — всё). У каждой роли видны число использований и превью
доменов. Именно роль определяет видимость вкладок.
Аппрувалы
Экран «Аппрувалы» — очередь ожидающих одобрения рискованных вызовов
инструментов. Каждая строка: значок-предупреждение, имя инструмента, усечённые
аргументы (Details раскрывает полный JSON), кнопки Approve / Reject.
Отклонённый вызов не выполняется. Если гейт одобрения выключен — экран показывает
дружелюбную заглушку. Настройка того, какие инструменты требуют одобрения,
описана в разделе Аппрувалы.
Модерация guardrails
Экран «Модерация» — одно текстовое поле с шаблонами запрещённых тем, по одной
на строку. Сохранение убирает пустые строки. Агент обязан отказываться от
перечисленных тем. Это простой и жёсткий барьер поверх поведения агента; связку с
refusal_style см. в профиле агента.
Аудит
Экран «Аудит» — постраничный журнал действий (по 50 записей, «предыдущая /
следующая», счётчик «от–до / всего»). Это доказуемая история изменений и
чувствительных операций. Аудит требует тарифа Business и выше; в Community экран
показывает предложение обновиться, а не ошибку.
Эта страница объединяет четыре экрана Web UI, которые задают, **кому что можно** и
как контролируются рискованные действия: **Роли**, **Аппрувалы**, **Модерация** и
**Аудит**.
## Роли
Экран **«Роли»** — управление RBAC-ролями. Встроенные роли доступны только для
чтения (бейдж «builtin»); роль, которая используется, нельзя удалить. Назначаемые
людям роли: `owner`, `admin`, `operator`, `member`.
Создание/редактирование роли — модальное окно с именем, описанием и **сеткой
чекбоксов прав**: колонки **Чтение** и **Запись** для каждого домена. Запись
подразумевает чтение. Права хранятся как `domain:read` / `domain:write` /
`domain:*` (или `*` — всё). У каждой роли видны число использований и превью
доменов. Именно роль определяет [видимость вкладок](/v1.0/webui/overview#видимость-по-ролям).
## Аппрувалы
Экран **«Аппрувалы»** — очередь ожидающих одобрения **рискованных вызовов
инструментов**. Каждая строка: значок-предупреждение, имя инструмента, усечённые
аргументы (Details раскрывает полный JSON), кнопки **Approve** / **Reject**.
Отклонённый вызов не выполняется. Если гейт одобрения выключен — экран показывает
дружелюбную заглушку. Настройка того, какие инструменты требуют одобрения,
описана в разделе [Аппрувалы](/v1.0/security/approvals).
## Модерация guardrails
Экран **«Модерация»** — одно текстовое поле с шаблонами запрещённых тем, по одной
на строку. Сохранение убирает пустые строки. Агент обязан **отказываться** от
перечисленных тем. Это простой и жёсткий барьер поверх поведения агента; связку с
`refusal_style` см. в [профиле агента](/v1.0/webui/agents#секции-поведения).
## Аудит
Экран **«Аудит»** — постраничный журнал действий (по 50 записей, «предыдущая /
следующая», счётчик «от–до / всего»). Это доказуемая история изменений и
чувствительных операций. Аудит требует тарифа Business и выше; в Community экран
показывает предложение обновиться, а не ошибку.
## Что дальше
- [RBAC](/v1.0/security/rbac) — модель прав целиком.
- [Аппрувалы](/v1.0/security/approvals) — гейт человеческого одобрения.
- [Guardrails](/v1.0/security/guardrails) и [Аудит](/v1.0/operations/observability).