Autorisations et rôles
Propriétaire / Administrateur / Éditeur / Visualiseur Que font les quatre rôles, visibilité au niveau des ressources, liste des approbateurs.
Braidrun utilise une matrice de « quatre rôles × catégories de ressources » pour contrôler qui peut faire quoi. Cette page fournit un tableau de comparaison complet et des suggestions d'attribution de rôles dans plusieurs scénarios courants.
Quatre rôles
- Owner — L'autorité suprême de l'équipe. Gérez les abonnements, les membres et les équipes dissoutes. Une équipe n'a qu'un seul propriétaire.
- Admin — Presque tout peut être fait sauf souscrire/transférer la propriété/dissoudre. Convient aux responsables techniques/opérations.
- Editor — Peut créer, modifier et exécuter des flux de travail et des calendriers ; peut afficher tout l'historique d'exécution ; peut utiliser (mais pas gérer) les informations d'identification de l'équipe.
- Viewer — Lecture seule : consultez les journaux de flux de travail, d'exécution et d'audit. Impossible de modifier, d'exécuter ou d'afficher les valeurs des informations d'identification.
Matrice d'autorisation
| Ressources/Opérations | Owner | Admin | Editor | Viewer |
|---|---|---|---|---|
| Équipe/Abonnement | ||||
| Forfait de mise à niveau/rétrogradation | ✓ | — | — | — |
| Gérer les factures/factures | ✓ | — | — | — |
| Transférer la propriété | ✓ | — | — | — |
| Dissoudre l'équipe | ✓ | — | — | — |
| Gestion des membres | ||||
| Inviter des membres | ✓ | ✓ | — | — |
| Supprimer un membre | ✓ | ✓ | — | — |
| Modifier le rôle | ✓ | ✓ | — | — |
| Workflows | ||||
| Créer un nouveau flux de travail | ✓ | ✓ | ✓ | — |
| Modifier/supprimer le flux de travail | ✓ | ✓ | ✓ | — |
| Afficher le flux de travail | ✓ | ✓ | ✓ | ✓ |
| Exécuter le workflow (manuel) | ✓ | ✓ | ✓ | — |
| Cloner à partir d'un modèle | ✓ | ✓ | ✓ | — |
| Informations d'identification | ||||
| Voir la liste des identifiants | ✓ | ✓ | ✓ | — |
| Nouveau/Mettre à jour/Supprimer les informations d'identification | ✓ | ✓ | — | — |
| Informations d'identification de référence dans le flux de travail | ✓ | ✓ | ✓ | — |
| Planification/Webhooks | ||||
| Créer/modifier un horaire | ✓ | ✓ | ✓ | — |
| Créer/modifier des webhooks | ✓ | ✓ | ✓ | — |
| Afficher le calendrier/la liste des webhooks | ✓ | ✓ | ✓ | ✓ |
| Approbation | ||||
| Lancer l'approbation | automatique | automatique | automatique | — |
| Approuver les demandes des autres | ✓ | ✓ | Approbateurs de presse | — |
| Modules | ||||
| Promouvoir le workflow en tant que module | ✓ | ✓ | ✓ | — |
| Supprimer le module | ✓ | ✓ | Créé uniquement par vous-même | — |
| Historique d'exécution/audit | ||||
| Afficher l'historique d'exécution | ✓ | ✓ | ✓ | ✓ |
| Afficher le journal d'audit | ✓ | ✓ | — | — |
| Exporter les données d'exécution | ✓ | ✓ | ✓ | — |
| paramètres | ||||
| Modifier les paramètres de l'équipe | ✓ | ✓ | — | — |
| Modifier la configuration des notifications | ✓ | ✓ | — | — |
| Modifier la politique de conservation des données | ✓ | — | — | — |
Cas particulier de la liste d'approbateurs
Les approbateurs peuvent être explicitement spécifiés à l'étape manual_approval - certains identifiants de compte ou rôles. A ce moment :
- La liste est vide - tous les membres administrateurs et supérieurs peuvent approuver (par défaut)
- La liste contient des identifiants d'utilisateur spécifiques : seules ces personnes peuvent approuver (même s'ils sont éditeurs).
- Dans la liste se trouvent des rôles (tels que "role:Admin") - tous les membres détenant ce rôle peuvent approuver
En d’autres termes, les approbateurs constituent un mécanisme de « superposition » : ils permettent aux membres non-administrateurs d’approuver des étapes spécifiques.
Suggestions de rôles pour des scénarios typiques
Scénario 1 : équipe d'ingénieurs composée de 3 personnes
- Responsable technique → Propriétaire
- 2 ingénieurs → Editeur
- Le leader technique travaille à temps partiel comme approbateur
Scénario 2 : Équipe hybride (ingénierie + opérations + conformité)
- CTO → Propriétaire
- Leader en ingénierie + Exploitation et maintenance → Admin (gérer les identifiants et les membres)
- Ingénieur + Opération → Éditeur (créez des flux de travail séparément, mais ne pouvez pas modifier les informations d'identification de manière aléatoire)
- Conformité/Finance → Viewer (uniquement audit, pas d'opération)
- Ajoutez explicitement le personnel de conformité à la liste des approbateurs dans les flux de travail impliquant des données client
Scénario 3 : Équipes de développement/production
- Créer deux équipes indépendantes dans Braidrun : my-company-dev / my-company-prod
- Tous les ingénieurs sont des éditeurs en développement et des visualiseurs en prod.
- Seul SRE est éditeur/administrateur en production
- Une fois que le flux de travail est vérifié comme étant stable en développement, il sera déplacé vers la production via « Move to Team »
Vérification des autorisations
Chaque fois qu'un rôle change, un événement d'audit sera enregistré. Vous pouvez filtrer event_type : member_role_changed dans le « Journal d'audit d'équipe » pour afficher l'historique.
Étape suivante
- Équipes — Comment créer/inviter/transférer
- Approbation manuelle — Dans quels scénarios manual_approval correspond-il aux approbateurs ?