|
Документация
Заказать демоПлатформа
Платформа
MCPCLIAPIПроцессы
РуководстваЖурнал изменений

Начало работы

  • Введение
  • Подключите свой движок

Движок локализации

  • Обзор
  • Тональность бренда
  • Инструкции
  • Глоссарии
  • Модели LLM
  • Токены кэша
  • Разрешение локалей

Качество

  • Отчёты
  • AI-оценщики
  • Песочница
  • Предложения для движка

Администрирование

  • API-ключи
  • Команда
  • Роли и разрешения
  • Журналы аудита

Роли и разрешения

Управление доступом на основе ролей (RBAC) позволяет создавать пользовательские роли и назначать участникам команды точечные разрешения. Доступно на тарифе Enterprise.

Когда RBAC включён, разрешения каждого участника определяются назначенной ему ролью — участник без роли может войти в систему, но не может ничем управлять. Без RBAC у всех участников по умолчанию полный доступ (см. Team).

Разрешения#

Каждая роль включает пять разрешений:

РазрешениеОбластьЧто даёт
org:manage_teamОрганизацияПриглашение и удаление участников, создание и редактирование ролей, назначение ролей
org:manage_settingsОрганизацияИзменение названия организации, часового пояса и интеграций
org:manage_billingОрганизацияПросмотр и изменение биллинга, тарифа и счетов
org:deleteОрганизацияУдаление всей организации
engine:accessДвижокПросмотр, редактирование, удаление и управление участниками в движках локализации

org:manage_billing и org:delete доступны только Owner — назначить любое из этих разрешений может только текущий Owner, выбрав роль, в которую они входят.

Роли#

Есть три типа ролей:

  • Owner — системная роль со всеми разрешениями. Пользователь, создавший организацию, становится первым Owner; действующий Owner может назначить дополнительных Owner. Саму роль нельзя редактировать или удалить, и в организации всегда должен быть как минимум один Owner.
  • Full Access — автоматически создаётся при создании организации с разрешениями org:manage_team, org:manage_settings и engine:access. Её можно редактировать, как и любую пользовательскую роль; это надёжный вариант по умолчанию для коллег, которым вы доверяете.
  • Пользовательские роли — любые роли, которые вы создаёте сами. Выберите название и любой набор разрешений из каталога.

Роли — это наборы разрешений

У пользователя может быть только одна роль на уровне организации. Если нужен частичный доступ, создайте роль с нужным набором разрешений и назначьте её. Выдавать отдельные разрешения вне роли нельзя.

Назначение роли#

Откройте страницу Team, выберите участника и назначьте ему роль. Если убрать роль, он останется участником организации, но без разрешений — сможет войти в систему, но не получит доступ ни к движкам, ни к настройкам, ни к биллингу.

Только действующий Owner может повысить другого участника до Owner или понизить его — для таких изменений требуется сам набор разрешений Owner.

Доступ к движкам#

По умолчанию любой участник, чья роль включает engine:access, видит все движки локализации в организации.

Чтобы сузить доступ, добавьте конкретных пользователей в конкретные движки на вкладке Members нужного движка. Права на уровне отдельного движка складываются — разрешение engine:access на уровне организации всегда имеет приоритет. Чтобы ограничить пользователя одним движком, назначьте ему роль без engine:access, а затем отдельно добавьте его в этот движок.

Сервисные API-ключи работают по той же модели: ключ может иметь роль (общие разрешения), область доступа к отдельным движкам, и то и другое или ни того ни другого. Защита от повышения привилегий действует и при создании, и при редактировании — сервисные ключи могут использовать только роли, набор разрешений которых включает только engine:access.

Сервисные API-ключи#

Сервисные ключи доступны только при RBAC. Персональные ключи есть на любом тарифе и наследуют роль своего создателя; сервисные ключи появляются только при активном RBAC и имеют собственные полномочия.

  • Для создания сервисного ключа требуется org:manage_team — та же область, которая отвечает за назначение ролей.
  • Сервисный ключ без роли остаётся действительным — его доступ полностью определяется движками, указанными в ключе.
  • Если тариф Enterprise перестаёт действовать, все сервисные ключи в организации деактивируются с типизированной ошибкой 403, в которой указана соответствующая опция, чтобы оператор понимал: нужно восстановить тариф или перейти на Personal key, а не искать несуществующую проблему в области доступа движка.

Управлять ролями и областью доступа к движкам для сервисных ключей можно на странице API Keys.

Передача владения#

Если вы единственный Owner и хотите передать полномочия, используйте "Transfer ownership" на странице Team. Выберите нового Owner и роль, которую хотите получить после передачи (или оставить себя вообще без роли) — повышение другого пользователя и ваше собственное понижение выполняются в рамках одной транзакции, поэтому организация никогда не остаётся без Owner.

Этот сценарий предназначен именно для передачи владения. Если вы просто хотите разделить обязанности Owner, назначьте второго пользователя Owner через обычный выбор роли.

Следующие шаги#

Team
Приглашайте участников и управляйте составом организации
API Keys
Создавайте ключи с областью действия для вашей организации
Engines
Настраивайте движки локализации для отдельных локалей

Эта страница была полезной?

Max PrilutskiyMax Prilutskiy·Обновлено около 2 месяцев назад·3 минуты чтения