角色 RBAC

角色（Role)是 Evose 的权限粒度起点。一个用户可以有多个角色，权限取并集。

内建角色

角色	权限
系统管理员	全部权限 — 慎重分配
默认角色	组织可自定义其默认权限集
只读角色	只看不动

自定义角色

组织可创建任意角色，例如:

例子	用途
新员工	受限权限，加入空间需审批
合作伙伴	仅访问指定空间
应用搭建者	跨多空间的 Agent / Workflow 编辑权
财务审计	全组织只读 + 观测

三级权限维度

权限分为三层,精度自上而下递增:

Layer A · 系统级权限
  ├─ 工具管理(注册/编辑/删除组织工具)
  ├─ 模型管理
  ├─ 部署管理
  └─ 策略管理

Layer B · 空间级权限
  ├─ 查看本空间资源
  ├─ 编辑本空间资源
  └─ 使用本空间已发布应用

Layer C · 资源级 ACL
  └─ 单个 Agent / Workflow / KB 的细粒度授权

→ 资源策略 ACL 管 Layer C

多角色叠加

一个用户可以同时有多个角色:

张三
├─ 角色:营销团队成员       → 营销空间编辑权
├─ 角色:客服空间用户       → 客服空间使用权
└─ 角色:全组织数据观察者   → 所有空间只读

权限是 OR(并集):任一角色允许 = 允许。

权限冲突

当 RBAC 与资源 ACL 冲突时,ACL 优先。例:

角色“营销空间编辑权”允许编辑 Agent A
Agent A 的 ACL 显式拒绝张三

→ 张三无法编辑 Agent A。

角色生命周期

操作	谁能做
创建角色	组织管理员
编辑权限	组织管理员
加成员	组织管理员
删除角色	组织管理员

删除角色 = 该角色所有成员失去这部分权限

请先把成员迁到其他角色，再删除。

与员工管理的衔接

员工与部门维护成员目录,角色在那里被引用:

员工列表
├─ 张三   邮箱  部门:营销   角色:营销编辑 + 数据观察者
├─ 李四   邮箱  部门:产研   角色:应用搭建者
└─ ...

接下来

配资源策略 → 资源策略
在空间细化 → Workspace 成员与权限

页面导航