治理安全

资源策略 ACL

组织级资源访问规则 · RBAC / Policy / ACL 三层叠加

资源策略(Resource Policy）是组织级的全局规则,补充 RBAC 与空间 ACL,处理跨空间的复杂场景。

三层叠加

1. 组织 RBAC(角色)             → 我能不能进这个空间
2. 资源策略(全局规则)           → 跨空间访问规则
3. 空间 ACL(资源精细授权)   → 这个 Agent 能不能用

任一层拒绝 → 拒绝。

策略主体

主体	例子
用户	张三
角色	“财务审计”
部门	“营销部”

策略对象

对象	例子
Agent / Workflow / Chatflow	单个或一组
知识库 / 数据源	单个或一组
工具 / 技能 / 模型	单个或类型组
凭据	单个凭据

策略动作

动作	说明
查看	看到资源存在
使用	调用 / 触发
编辑	修改
管理	+ ACL 管理 / 删除

何时用资源策略 vs 空间 ACL

场景	用
“营销部全员对全公司 KB 只读”	资源策略(跨空间)
“Agent X 只能给 user_a / user_b 使用”	空间 ACL(单资源)
“新员工角色不能用任何生产工具”	资源策略(跨工具类)
“财务部不能编辑产研空间任何资源”	资源策略(跨空间)

一个综合例子

策略名: 财务部全公司只读
主体:   部门 = 财务
对象:   全公司所有 Agent / Workflow / KB
动作:   仅查看 + 观测,无使用 / 编辑 / 管理

→ 财务的小李加入了营销空间也只能看，不能改。

与 RBAC 的协作

角色"财务审计"的系统级权限:观测 + 报告
                ↓
资源策略"财务部全公司只读":在所有空间只查看
                ↓
空间 X 的 ACL:Agent A 显式拒绝小李 → 小李看不到

最终小李在 Workspace X 的体验：所有资源除 Agent A 外都能看。

反模式

用资源策略代替空间 ACL — 单资源粒度的事，放在空间内做
策略写得超复杂（嵌套 5 层条件)— 拆成多个简单策略，易审计
不维护策略变更日志 — 在审计日志里反查

接下来

配凭据 → 凭据管理
在空间细化 → 空间 · 成员与权限

上一页

凭据管理

下一页

可观测性 · Logs / Metrics / Traces

页面导航

三层叠加策略主体策略对象策略动作何时用资源策略 vs 空间 ACL 一个综合例子与 RBAC 的协作反模式接下来