Общий доступ и управление доступом
ClickHouse Agents использует многоуровневую модель прав доступа: роли определяют, какими возможностями пользователи могут пользоваться вообще, списки доступа на уровне ресурсов — кто может использовать конкретного агента или другой ресурс, а права администратора — кто управляет всем.
Роли
Роль — это набор разрешений для отдельных возможностей, назначаемый одному или нескольким пользователям. По умолчанию доступны:
- User — может запускать агентов и общаться в чате. Может ли пользователь создавать агентов, добавлять навыки, делиться ресурсами и т. д., зависит от переключателей отдельных возможностей в его роли.
- Admin — всё, что доступно роли User, а также элементы управления на уровне организации: управление пользователями, настройка маркетплейса, выдача разрешений.
Администраторы могут создавать собственные роли с отдельными переключателями для более точного управления.
Общий доступ к ресурсам
У агентов, промптов и навыков есть список доступа. Для каждого субъекта предусмотрены три уровня доступа:
- Читатель - может использовать ресурс, но не может изменять его.
- Редактор - может изменять конфигурацию ресурса (инструкции, подключённые инструменты, модель и т. д.).
- Владелец - права редактора, а также возможность удалить ресурс или изменить настройки общего доступа к нему.
Когда вы создаёте ресурс, то по умолчанию становитесь его владельцем. Всё, чем вы явно не поделились, остаётся доступным только вам.
Субъекты
Вы можете предоставить доступ:
- Отдельным пользователям — по одному пользователю за раз.
- Группам — командам или подразделениям организации. Если пользователь позже вступит в группу или выйдет из неё, его доступ автоматически обновится.
- Всей организации — ресурс будет виден всем в организации. Это зависит от переключателя на уровне роли, который разрешает такой доступ.
Видимость на уровне всей организации позволяет находить ресурс в маркетплейсе.
Предоставить общий доступ к агенту
Нажмите значок Share в нижней части Конструктора агентов. Значок с бейджем показывает, сколько пользователей или групп сейчас имеют доступ.
Откроется модальное окно Share. Найдите пользователя или группу по имени или адресу электронной почты, выберите уровень доступа (Viewer, Editor или Owner) и нажмите Save Changes. Чтобы открыть доступ для всей организации, включите переключатель Share with everyone in ClickHouse.
Получатель увидит агента в списке доступных агентов при следующем обновлении. Чтобы отозвать доступ, удалите соответствующую строку в том же модальном окне. Получатель сразу потеряет доступ; его текущие диалоги завершатся, но новые открыть не удастся.
Агент по умолчанию
Вы можете назначить одного агента агентом по умолчанию. Новые беседы будут открываться с ним, если вы не выберете другого. Администраторы также могут задать общий вариант по умолчанию для всей организации для пользователей, которые не выбрали свой.
Операции администратора
Операции, доступные только администраторам, включают:
- Создание и редактирование ролей.
- Настройку категорий в маркетплейсе и отбор рекомендуемых агентов.
- Включение и отключение функций на уровне организации (memory, web search, code interpreter, маркетплейс и т. д.).
- Предоставление прав администратора другим пользователям.
В ClickHouse Cloud панель администратора доступна администраторам организации. Если вы ее не видите, обратитесь к администратору вашей организации или в службу поддержки ClickHouse Cloud, чтобы запросить доступ.
Подводные камни
- Удаление агента нарушает весь общий доступ. Получатели теряют доступ; их сохранённые беседы с агентом остаются доступными для чтения, но продолжить их нельзя.
- Изменение общего агента затрагивает всех, кто им пользуется. Используйте копию, если хотите поэкспериментировать, не мешая другим.
- Отзыв роли у пользователя не удаляет созданные им ресурсы. Его агенты, промпты и навыки остаются в списках доступа; перед окончательным выводом пользователя из системы передайте права владения.
