|
Documentação
Agende uma demoPlataforma
Plataforma
MCPCLIAPIWorkflows
GuiasChangelog

Primeiros passos

  • Introdução
  • Conecte seu engine

Engine de localização

  • Visão geral
  • Voz da marca
  • Instruções
  • Glossários
  • Modelos de LLM
  • Tokens de cache
  • Resolução de idioma

Qualidade

  • Relatórios
  • Avaliadores de IA
  • Playground
  • Sugestões de engine

Admin

  • Chaves de API
  • Equipe
  • Funções e permissões
  • Logs de auditoria

Funções e permissões

O controle de acesso baseado em funções (RBAC) permite definir funções personalizadas e atribuir permissões granulares aos membros da sua equipe. Disponível no plano Enterprise.

Quando o RBAC está ativado, as permissões de cada membro vêm da função atribuída — um membro sem função pode fazer login, mas não pode gerenciar nada. Sem RBAC, todos os membros têm acesso total por padrão (consulte Team).

Permissões#

Cada função é composta por cinco permissões:

PermissãoEscopoConcede
org:manage_teamOrganizaçãoConvidar ou remover membros, criar ou editar funções, atribuir funções
org:manage_settingsOrganizaçãoEditar o nome da organização, o fuso horário e as integrações
org:manage_billingOrganizaçãoVer e alterar faturamento, plano e faturas
org:deleteOrganizaçãoExcluir toda a organização
engine:accessEngineVer, editar, excluir e gerenciar membros em engines de localização

org:manage_billing e org:delete são exclusivos de Owner — só o Owner atual pode conceder qualquer uma dessas permissões, atribuindo uma função que as inclua.

Funções#

Existem três tipos de funções:

  • Owner — função de sistema com todas as permissões. O usuário que cria a organização é o primeiro Owner; um Owner existente pode nomear Owners adicionais. A função em si não pode ser editada nem excluída, e a organização deve sempre ter pelo menos um Owner.
  • Full Access — criada automaticamente quando uma organização é criada, com org:manage_team, org:manage_settings e engine:access. Pode ser editada como qualquer função personalizada; é um padrão seguro para colegas de equipe de confiança.
  • Funções personalizadas — qualquer função que você criar. Escolha um nome e qualquer subconjunto do catálogo de permissões.

Funções são pacotes

Um usuário tem exatamente uma função no nível da organização. Para dar acesso parcial, crie uma função com esse subconjunto exato de permissões e atribua-a. Não é possível conceder permissões individuais fora de uma função.

Como atribuir uma função#

Abra a página Team, escolha um membro e selecione uma função. Remover a função faz com que ele continue como membro da organização, mas sem permissões — ele permanece conectado, mas não pode acessar nenhum engine, configuração ou faturamento.

Só um Owner existente pode promover outro membro a Owner ou rebaixá-lo — essas alterações exigem o próprio conjunto de permissões de Owner.

Acesso ao engine#

Por padrão, qualquer membro cuja função inclua engine:access vê todos os engines de localização da organização.

Para restringir o acesso, adicione usuários específicos a engines específicos na aba Members desse engine. As permissões por engine são aditivas — uma permissão engine:access no nível da organização sempre prevalece. Para restringir um usuário a um único engine, atribua a ele uma função sem engine:access e depois adicione-o individualmente a esse engine.

As chaves de API de serviço seguem o mesmo modelo: uma chave pode ter uma função (permissões amplas), um escopo por engine, ambos ou nenhum. As proteções contra escalonamento se aplicam na criação e na edição — as chaves de serviço ficam limitadas a funções cujo conjunto de permissões seja apenas engine:access.

Chaves de API de serviço#

As chaves de serviço são uma estrutura exclusiva de RBAC. Chaves pessoais existem em todos os planos e herdam a função de quem as criou; chaves de serviço só existem quando o entitlement de RBAC está ativo e carregam a própria autoridade.

  • Criar uma chave de serviço exige org:manage_team, o mesmo escopo que rege a atribuição de funções.
  • Uma chave de serviço sem função é válida — seu acesso vem inteiramente dos engines listados na chave.
  • Se o plano Enterprise terminar, todas as chaves de serviço da organização serão desativadas com um 403 tipado que identifica o entitlement, para que o operador saiba que deve restaurar o plano ou migrar para uma chave pessoal, em vez de perder tempo caçando um bug fantasma de escopo por engine.

Gerencie funções e escopo por engine das chaves de serviço na página API Keys.

Transferência de propriedade#

Se você for o único Owner e quiser deixar essa função, use "Transfer ownership" na página Team. Escolha o novo Owner e a função que você quer ter depois (ou nenhuma) — a promoção e o auto-rebaixamento são confirmados em uma única transação, para que a organização nunca fique sem um Owner.

Esse fluxo foi criado especificamente para quando você quiser deixar a função. Se quiser apenas compartilhar as responsabilidades de Owner, promova um segundo usuário a Owner pelo seletor de funções padrão.

Próximos passos#

Team
Convide membros e gerencie a equipe da sua organização
API Keys
Gere chaves com escopo para sua organização
Engines
Configure engines de localização por localidade

Esta página foi útil?

Max PrilutskiyMax Prilutskiy·Atualizado há cerca de 2 meses·3 min de leitura