権限と役割
所有者 / 管理者 / 編集者 / 閲覧者 4 つの役割の役割、リソース レベルの可視性、承認者リスト。
Braidrun は、「4 つの役割 × リソース カテゴリ」のマトリックスを使用して、誰が何を実行できるかを制御します。このページでは、完全な比較表と、いくつかの一般的なシナリオにおける役割の割り当てに関する提案を提供します。
4つの役割
- Owner — チームの最高権力者。サブスクリプション、メンバー、解散可能なチームを管理します。チームにはオーナーが 1 人だけいます。
- Admin — サブスクライブ/所有権の譲渡/解散を除くほとんどすべての操作を行うことができます。技術リーダー/オペレーションに適しています。
- Editor — ワークフローとスケジュールを作成、変更、実行できます。すべての実行履歴を表示できます。チームの資格情報を使用できます (管理はできません)。
- Viewer — 読み取り専用 - ワークフロー、実行、監査ログを表示します。編集、実行、資格情報の値の表示はできません。
権限マトリックス
| リソース/オペレーション | Owner | Admin | Editor | Viewer |
|---|---|---|---|---|
| チーム/サブスクリプション | ||||
| アップグレード/ダウングレード パッケージ | ✓ | — | — | — |
| 請求書/請求書の管理 | ✓ | — | — | — |
| 所有権を譲渡する | ✓ | — | — | — |
| チームを解散する | ✓ | — | — | — |
| 会員管理 | ||||
| メンバーを招待する | ✓ | ✓ | — | — |
| メンバーの削除 | ✓ | ✓ | — | — |
| ロールを変更 | ✓ | ✓ | — | — |
| ワークフロー | ||||
| 新しいワークフローを作成する | ✓ | ✓ | ✓ | — |
| ワークフローの編集/削除 | ✓ | ✓ | ✓ | — |
| ワークフローの表示 | ✓ | ✓ | ✓ | ✓ |
| ワークフローの実行(手動) | ✓ | ✓ | ✓ | — |
| テンプレートからクローンを作成する | ✓ | ✓ | ✓ | — |
| 資格情報 | ||||
| 認証情報のリストを参照 | ✓ | ✓ | ✓ | — |
| 認証情報の新規/更新/削除 | ✓ | ✓ | — | — |
| ワークフローでの認証情報の参照 | ✓ | ✓ | ✓ | — |
| スケジュール/Webhook | ||||
| スケジュールの作成・編集 | ✓ | ✓ | ✓ | — |
| Webhookの作成/編集 | ✓ | ✓ | ✓ | — |
| スケジュール/Webhook リストを表示する | ✓ | ✓ | ✓ | ✓ |
| 承認 | ||||
| 承認の開始 | 自動 | 自動 | 自動 | — |
| 他の人からのリクエストを承認する | ✓ | ✓ | 報道承認者 | — |
| モジュール | ||||
| ワークフローをモジュールとしてプロモートする | ✓ | ✓ | ✓ | — |
| モジュールの削除 | ✓ | ✓ | 自分だけが作成したもの | — |
| 実行履歴/監査 | ||||
| 実行履歴の表示 | ✓ | ✓ | ✓ | ✓ |
| 監査ログの表示 | ✓ | ✓ | — | — |
| 実行データのエクスポート | ✓ | ✓ | ✓ | — |
| 設定 | ||||
| チーム設定を変更する | ✓ | ✓ | — | — |
| 通知設定を変更する | ✓ | ✓ | — | — |
| データ保持ポリシーを変更する | ✓ | — | — | — |
承認者リストの特殊なケース
承認者は、manual_approval ステップで明示的に指定できます (特定のアカウント ID またはロール)。現時点では:
- リストは空です - すべての管理者以上のメンバーが承認できます (デフォルト)
- リストには特定のユーザー ID が含まれています - これらのユーザーのみが承認できます (編集者であっても)
- リストにはロール (「role:Admin」など) があり、このロールを持つすべてのメンバーが承認できます。
言い換えれば、承認者は「オーバーレイ」メカニズムであり、管理者以外のメンバーが特定のステップを承認できるようになります。
典型的なシナリオに対する役割の提案
シナリオ 1: 3 人のエンジニアリング チーム
- 技術担当者→オーナー
- エンジニア2名 → 編集者
- 技術リーダーは承認者としてパートタイムで勤務します
シナリオ 2: ハイブリッド チーム (エンジニアリング + 運用 + コンプライアンス)
- CTO→オーナー
- エンジニアリングリーダー + 運用保守 → 管理者 (資格情報とメンバーの管理)
- エンジニア + オペレーション → 編集者 (ワークフローを個別に構築しますが、資格情報をランダムに変更することはできません)
- コンプライアンス・財務 → 閲覧者(監査のみ、運用なし)
- 顧客データを含むワークフローの承認者リストにコンプライアンス担当者を明示的に追加します。
シナリオ 3: 開発/生産チーム
- Braidrun に 2 つの独立したチームを作成します: my-company-dev / my-company-prod
- すべてのエンジニアは開発部門では編集者であり、製品部門では閲覧者です。
- SRE のみが本番環境の編集者/管理者です
- ワークフローが開発環境で安定していることが確認された後、「チームに移動」を通じて本番環境に移動されます。
許可監査
役割が変更されるたびに、監査イベントが記録されます。 「チーム監査ログ」でevent_type: member_role_changedをフィルタリングして履歴を表示できます。