Permisos y roles
Propietario/Administrador/Editor/Visor Qué hacen los cuatro roles, visibilidad a nivel de recursos, lista de aprobadores.
Braidrun utiliza una matriz de "cuatro roles × categorías de recursos" para controlar quién puede hacer qué. Esta página proporciona una tabla comparativa completa y sugerencias para asignaciones de roles en varios escenarios comunes.
Cuatro roles
- Owner — La autoridad suprema del equipo. Administre suscripciones, miembros y equipos disueltos. Un equipo tiene un solo propietario.
- Admin — Se puede hacer prácticamente todo excepto suscribirse/transferir propiedad/disolver. Adecuado para líderes técnicos/operaciones.
- Editor — Puede crear, modificar y ejecutar flujos de trabajo y cronogramas; puede ver todo el historial de ejecución; Puede usar (pero no administrar) las credenciales del equipo.
- Viewer — Read-only - see workflow, execution, and audit logs. No se puede editar, no se puede ejecutar, no se pueden ver los valores de credenciales.
Matriz de permisos
| Recursos/Operaciones | Owner | Admin | Editor | Viewer |
|---|---|---|---|---|
| Equipo/Suscripción | ||||
| Paquete de actualización/degradación | ✓ | — | — | — |
| Gestionar facturas/facturas | ✓ | — | — | — |
| Transferir propiedad | ✓ | — | — | — |
| Disolver el equipo | ✓ | — | — | — |
| Gestión de miembros | ||||
| Invitar miembros | ✓ | ✓ | — | — |
| Eliminar miembro | ✓ | ✓ | — | — |
| Cambiar rol | ✓ | ✓ | — | — |
| Flujos | ||||
| Crear nuevo flujo de trabajo | ✓ | ✓ | ✓ | — |
| Editar/eliminar flujo de trabajo | ✓ | ✓ | ✓ | — |
| Ver flujo de trabajo | ✓ | ✓ | ✓ | ✓ |
| Ejecutar flujo de trabajo (manual) | ✓ | ✓ | ✓ | — |
| Clonar desde plantilla | ✓ | ✓ | ✓ | — |
| Credenciales | ||||
| Ver lista de credenciales | ✓ | ✓ | ✓ | — |
| Crear/actualizar/eliminar credenciales | ✓ | ✓ | — | — |
| Credenciales de referencia en el flujo de trabajo | ✓ | ✓ | ✓ | — |
| Programación/Webhooks | ||||
| Crear/editar horario | ✓ | ✓ | ✓ | — |
| Crear/editar webhooks | ✓ | ✓ | ✓ | — |
| Ver programación/lista de webhooks | ✓ | ✓ | ✓ | ✓ |
| Aprobación | ||||
| Iniciar aprobación | automático | automático | automático | — |
| Aprobar solicitudes de otros | ✓ | ✓ | Aprobadores de prensa | — |
| Módulos | ||||
| Promocionar el flujo de trabajo como módulo | ✓ | ✓ | ✓ | — |
| Eliminar módulo | ✓ | ✓ | Solo creado por ti mismo | — |
| Historial de ejecución/auditoría | ||||
| Ver historial de ejecución | ✓ | ✓ | ✓ | ✓ |
| Ver registro de auditoría | ✓ | ✓ | — | — |
| Exportar datos de ejecución | ✓ | ✓ | ✓ | — |
| ajustes | ||||
| Cambiar la configuración del equipo | ✓ | ✓ | — | — |
| Cambiar la configuración de notificaciones | ✓ | ✓ | — | — |
| Cambiar la política de retención de datos | ✓ | — | — | — |
Caso especial de lista de aprobadores
Los aprobadores se pueden especificar explícitamente en el paso manual_approval: ciertos identificadores de cuenta o roles. En este momento:
- La lista está vacía: todos los administradores y miembros superiores pueden aprobar (predeterminado)
- La lista contiene ID de usuario específicos; solo estas personas pueden aprobar (incluso si son editores).
- En la lista hay roles (como "rol:Admin"): todos los miembros que tienen este rol pueden aprobar
En otras palabras, los aprobadores son un mecanismo de "superposición": permiten que los miembros que no son administradores aprueben pasos específicos.
Sugerencias de roles para escenarios típicos
Escenario 1: equipo de ingeniería de 3 personas
- Responsable técnico → Propietario
- 2 ingenieros → Editor
- El líder técnico trabaja a tiempo parcial como aprobador.
Escenario 2: Equipo híbrido (Ingeniería + Operaciones + Cumplimiento)
- CTO → Propietario
- Líder de ingeniería + Operación y mantenimiento → Admin (administrar credenciales y miembros)
- Engineer + Operation → Editor (build workflows separately, but cannot change the credentials randomly)
- Cumplimiento/Finanzas → Visor (solo auditoría, sin operación)
- Agregar explícitamente personal de cumplimiento a la lista de aprobadores en flujos de trabajo que involucran datos de clientes
Escenario 3: Equipos de desarrollo/producción
- Cree dos equipos independientes en Braidrun: my-company-dev / my-company-prod
- Todos los ingenieros son editores en desarrollo y espectadores en producción.
- Sólo SRE es editor/administrador en producción.
- Después de que se verifique que el flujo de trabajo es estable en desarrollo, se moverá a producción a través de "Mover al equipo".
Auditoría de permisos
Cada vez que un rol cambie, se registrará un evento de auditoría. Puede filtrar event_type: member_role_changed en el "Registro de auditoría del equipo" para ver el historial.
Siguiente paso
- Equipos — Cómo crear/invitar/transferir
- Aprobación manual — ¿En qué escenarios manual_approval coincide con los aprobadores?