Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Seu agente pode investigar problemas, executar ações na infraestrutura de produção e acessar dados confidenciais em seu ambiente. O controle de acesso determina quem pode solicitar ações, quem pode aprová-las e quem pode modificar a configuração do agente.
Visão geral do controle de acesso
O controle de acesso funciona em três camadas:
| Camada | Controles | Configurado em |
|---|---|---|
| Funções de usuário (esta página) | O que os usuários podem fazer com o agente | IAM do Azure no recurso do agente |
| Modos de execução | Se o agente pergunta antes de agir | Por plano de resposta e por tarefa agendada |
| Permissões do agente | O que o agente pode acessar no Azure | Funções RBAC em grupos de recursos |
Três funções internas
| Função | Pode fazer | Não pode ser feito |
|---|---|---|
| Leitor do Agente SRE | Visualizar threads, logs, incidentes | Chat, ações de solicitação, modificar qualquer coisa |
| Usuário Padrão do Agente SRE | Chat, executar diagnósticos, solicitar ações | Aprovar ações, excluir recursos, modificar conectores |
| Administrador do Agente SRE | Aprovar ações, gerenciar conectores, excluir recursos | — |
O usuário que cria o agente recebe automaticamente a função de Administrador do Agente SRE .
Quem deve ter qual função?
| Função | Oferecer a |
|---|---|
| Leitor do Agente SRE | Auditores, equipes de conformidade, stakeholders que precisam de visibilidade |
| Usuário Padrão do Agente SRE | Engenheiros L1/L2, socorristas, qualquer pessoa que diagnostice problemas |
| Administrador do Agente SRE | Gerentes de SRE, administradores de nuvem, comandantes de incidentes |
Como o portal impõe permissões
O portal verifica suas atribuições de função Azure quando você acessa o agente. O acesso é imposto em dois níveis.
Sem acesso ao agente
Quando você não tem a atribuição de função de Agente SRE, o portal mostra uma tela de Acesso Necessário com um ícone de escudo e um botão Ir para o Controle de Acesso que abre a janela IAM do Azure. Se você tiver permissões de Proprietário ou Colaborador do Azure sem recurso, também verá um banner oferecendo a atribuição automática da função de Administrador.
Aplicação de regras no servidor
Quando você tem uma função de Agente SRE, mas tenta uma ação além de suas permissões, o back-end bloqueia a ação com um erro 403. O portal pode permitir que você navegue até uma página ou selecione um botão, mas a operação falha com um erro de permissão quando chega ao servidor.
Observação
Alguns recursos do portal desabilitam botões automaticamente quando você não tem permissão de escrita. No entanto, isso ainda não é consistente em todos os recursos. O back-end sempre impõe as permissões corretas, independentemente do que a interface do usuário mostra.
O que cada função pode acessar
| Area | Leitor | Utilizador Standard | Administradores |
|---|---|---|---|
| Chat | Exibir tópicos (somente leitura) | Enviar mensagens, iniciar tópicos | Acesso total + aprovar ações, excluir threads |
| Tela do Agente | Exibir agentes personalizados | Exibir agentes personalizados | Criar, editar, excluir agentes personalizados |
| Base de conhecimento | Navegar por documentos | Carregar documentos | Carregar + excluir documentos |
| Conectores | Exibir conectores | Exibir conectores | Adicionar, editar, excluir conectores |
| Planos de resposta | Exibir planos | Exibir planos | Criar, editar, excluir planos |
| Recursos gerenciados | Exibir recursos | Exibir recursos | Adicionar, remover recursos |
| Configurações | Exibir configurações | Exibir configurações | Modificar configurações, parar/excluir agente |
Atribuir funções
Atribua funções por meio do portal Azure (Controle de acesso (IAM)>Adicionar atribuição de função) ou Azure CLI:
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <agent-resource-id>
Substitua o nome da função por SRE Agent Standard User ou SRE Agent Reader conforme necessário.
Como as funções funcionam em conjunto
| Etapa | Quem | Ação |
|---|---|---|
| 1 | Engenheiro (Usuário Padrão) | "Corrigir o problema de configuração" |
| 2 | Agente | Plano de correção de rascunhos |
| 3 | Agente | Não é possível executar (precisa de aprovação do administrador) |
| 4 | Gerenciador (Administrador) | Revisões e aprovações |
| 5 | Agente | Executa a correção usando a identidade gerenciada |