Aller au contenu principal
DocumentCoopérationAutorisations et rôles

Autorisations et rôles

Propriétaire / Administrateur / Éditeur / Visualiseur Que font les quatre rôles, visibilité au niveau des ressources, liste des approbateurs.

Braidrun utilise une matrice de « quatre rôles × catégories de ressources » pour contrôler qui peut faire quoi. Cette page fournit un tableau de comparaison complet et des suggestions d'attribution de rôles dans plusieurs scénarios courants.

Quatre rôles

  • Owner — L'autorité suprême de l'équipe. Gérez les abonnements, les membres et les équipes dissoutes. Une équipe n'a qu'un seul propriétaire.
  • Admin — Presque tout peut être fait sauf souscrire/transférer la propriété/dissoudre. Convient aux responsables techniques/opérations.
  • Editor — Peut créer, modifier et exécuter des flux de travail et des calendriers ; peut afficher tout l'historique d'exécution ; peut utiliser (mais pas gérer) les informations d'identification de l'équipe.
  • Viewer — Lecture seule : consultez les journaux de flux de travail, d'exécution et d'audit. Impossible de modifier, d'exécuter ou d'afficher les valeurs des informations d'identification.

Matrice d'autorisation

Ressources/OpérationsOwnerAdminEditorViewer
Équipe/Abonnement
Forfait de mise à niveau/rétrogradation
Gérer les factures/factures
Transférer la propriété
Dissoudre l'équipe
Gestion des membres
Inviter des membres
Supprimer un membre
Modifier le rôle
Workflows
Créer un nouveau flux de travail
Modifier/supprimer le flux de travail
Afficher le flux de travail
Exécuter le workflow (manuel)
Cloner à partir d'un modèle
Informations d'identification
Voir la liste des identifiants
Nouveau/Mettre à jour/Supprimer les informations d'identification
Informations d'identification de référence dans le flux de travail
Planification/Webhooks
Créer/modifier un horaire
Créer/modifier des webhooks
Afficher le calendrier/la liste des webhooks
Approbation
Lancer l'approbationautomatiqueautomatiqueautomatique
Approuver les demandes des autresApprobateurs de presse
Modules
Promouvoir le workflow en tant que module
Supprimer le moduleCréé uniquement par vous-même
Historique d'exécution/audit
Afficher l'historique d'exécution
Afficher le journal d'audit
Exporter les données d'exécution
paramètres
Modifier les paramètres de l'équipe
Modifier la configuration des notifications
Modifier la politique de conservation des données

Cas particulier de la liste d'approbateurs

Les approbateurs peuvent être explicitement spécifiés à l'étape manual_approval - certains identifiants de compte ou rôles. A ce moment :

  • La liste est vide - tous les membres administrateurs et supérieurs peuvent approuver (par défaut)
  • La liste contient des identifiants d'utilisateur spécifiques : seules ces personnes peuvent approuver (même s'ils sont éditeurs).
  • Dans la liste se trouvent des rôles (tels que "role:Admin") - tous les membres détenant ce rôle peuvent approuver

En d’autres termes, les approbateurs constituent un mécanisme de « superposition » : ils permettent aux membres non-administrateurs d’approuver des étapes spécifiques.

Suggestions de rôles pour des scénarios typiques

Scénario 1 : équipe d'ingénieurs composée de 3 personnes

  • Responsable technique → Propriétaire
  • 2 ingénieurs → Editeur
  • Le leader technique travaille à temps partiel comme approbateur

Scénario 2 : Équipe hybride (ingénierie + opérations + conformité)

  • CTO → Propriétaire
  • Leader en ingénierie + Exploitation et maintenance → Admin (gérer les identifiants et les membres)
  • Ingénieur + Opération → Éditeur (créez des flux de travail séparément, mais ne pouvez pas modifier les informations d'identification de manière aléatoire)
  • Conformité/Finance → Viewer (uniquement audit, pas d'opération)
  • Ajoutez explicitement le personnel de conformité à la liste des approbateurs dans les flux de travail impliquant des données client

Scénario 3 : Équipes de développement/production

  • Créer deux équipes indépendantes dans Braidrun : my-company-dev / my-company-prod
  • Tous les ingénieurs sont des éditeurs en développement et des visualiseurs en prod.
  • Seul SRE est éditeur/administrateur en production
  • Une fois que le flux de travail est vérifié comme étant stable en développement, il sera déplacé vers la production via « Move to Team »

Vérification des autorisations

Chaque fois qu'un rôle change, un événement d'audit sera enregistré. Vous pouvez filtrer event_type : member_role_changed dans le « Journal d'audit d'équipe » pour afficher l'historique.

Étape suivante

  • Équipes — Comment créer/inviter/transférer
  • Approbation manuelle — Dans quels scénarios manual_approval correspond-il aux approbateurs ?