Řízení přístupu na základě rolí (RBAC) vám umožňuje definovat vlastní role a přiřazovat členům týmu podrobná oprávnění. K dispozici v tarifu Enterprise.
Když je RBAC zapnuté, oprávnění každého člena vycházejí z přiřazené role — člen bez role se může přihlásit, ale nemůže nic spravovat. Bez RBAC mají všichni členové ve výchozím nastavení plný přístup (viz Tým).
Oprávnění#
Každou roli tvoří pět oprávnění:
| Oprávnění | Rozsah | Umožňuje |
|---|---|---|
org:manage_team | Organizace | Zvat a odebírat členy, vytvářet a upravovat role, přiřazovat role |
org:manage_settings | Organizace | Upravovat název organizace, časové pásmo a integrace |
org:manage_billing | Organizace | Zobrazovat a měnit fakturaci, tarif a faktury |
org:delete | Organizace | Smazat celou organizaci |
engine:access | Engine | Zobrazovat, upravovat, mazat a spravovat členy v lokalizačních enginech |
org:manage_billing a org:delete jsou vyhrazené pouze pro Ownera — udělit je může jen aktuální Owner přiřazením role, která je obsahuje.
Role#
Existují tři typy rolí:
- Owner — systémová role se všemi oprávněními. Uživatel, který organizaci vytvoří, je prvním Ownerem; stávající Owner může jmenovat další Ownery. Tuto roli nelze upravit ani smazat a organizace musí mít vždy alespoň jednoho Ownera.
- Full Access — automaticky se vytvoří při založení organizace a zahrnuje
org:manage_team,org:manage_settingsaengine:access. Lze ji upravovat stejně jako jakoukoli vlastní roli; je to bezpečný výchozí základ pro důvěryhodné kolegy. - Vlastní role — jakákoli role, kterou vytvoříte. Stačí zvolit název a libovolnou podmnožinu katalogu oprávnění.
Role jsou balíčky oprávnění
Uživatel má na úrovni organizace vždy právě jednu roli. Pokud mu chcete dát jen částečný přístup, vytvořte roli s přesně touto sadou oprávnění a přiřaďte ji. Jednotlivá oprávnění nelze udělovat mimo roli.
Přiřazení role#
Otevřete stránku Tým, vyberte člena a zvolte roli. Když roli odeberete, zůstane členem organizace, ale bez oprávnění — zůstane přihlášený, ale nebude mít přístup k žádným engineům, nastavení ani fakturaci.
Pouze stávající Owner může povýšit dalšího člena na Ownera nebo ho z této role odebrat — tyto změny samy vyžadují oprávnění Owner.
Přístup k engineům#
Ve výchozím nastavení každý člen, jehož role zahrnuje engine:access, vidí všechny lokalizační enginy v organizaci.
Chcete-li přístup zúžit, přidejte konkrétní uživatele do konkrétních engineů na kartě Members daného engine. Oprávnění pro jednotlivé enginy se sčítají — oprávnění engine:access na úrovni organizace má vždy přednost. Chcete-li uživatele omezit na jediný engine, přiřaďte mu roli bez engine:access a potom ho do tohoto engine přidejte jednotlivě.
Service API keys fungují podle stejného modelu: klíč může nést roli (zastřešující oprávnění), rozsah pro jednotlivé enginy, obojí, nebo nic. Ochrany proti eskalaci oprávnění se uplatňují při vytvoření i úpravě — servisní klíče jsou omezené na role, jejichž sada oprávnění obsahuje pouze engine:access.
Service API keys#
Servisní klíče jsou dostupné pouze s RBAC. Osobní klíče existují ve všech tarifech a dědí roli svého tvůrce; servisní klíče existují jen tehdy, když je aktivní entitlement RBAC, a nesou vlastní oprávnění.
- Vytvoření servisního klíče vyžaduje
org:manage_team, tedy stejný rozsah, který řídí přiřazování rolí. - Servisní klíč bez role je platný — jeho přístup vychází výhradně z engineů uvedených u klíče.
- Pokud tarif Enterprise skončí, každý servisní klíč v organizaci se deaktivuje s typovanou chybou 403, která uvádí název entitlementu, takže operátor ví, že má obnovit tarif nebo přejít na osobní klíč, místo aby hledal neexistující chybu v rozsahu engine.
Role a rozsah engineů pro servisní klíče spravujete na stránce API Keys.
Převod vlastnictví#
Pokud jste jediný Owner a chcete z této role odstoupit, použijte na stránce Tým možnost "Transfer ownership". Vyberte nového Ownera a roli, kterou chcete poté mít (nebo žádnou) — povýšení i vaše vlastní odstoupení se provedou v jediné transakci, takže organizace nikdy nezůstane bez Ownera.
Tento postup je určený přímo pro odstoupení z role. Pokud chcete jen sdílet odpovědnost Ownera, povyšte druhého uživatele na Ownera pomocí běžného výběru role.
