跳转到主要内容
文档协作权限与角色

权限与角色

Owner / Admin / Editor / Viewer 四种角色做什么、资源级别可见性、审批人列表。

Braidrun 用"四种角色 × 资源类别"的矩阵控制谁能做什么。本页给出完整对照表,以及几种常见场景的角色分配建议。

四种角色

  • Owner — 团队的最高权力。管订阅、管成员、可解散团队。一个团队只有一个 Owner。
  • Admin — 除了订阅 / 转移所有权 / 解散,几乎什么都能做。适合技术负责人 / 运维。
  • Editor — 可以创建、修改、执行工作流和调度;可以看所有执行历史;可以用(但不能管理)团队凭据。
  • Viewer — 只读 —— 看工作流、看执行、看审计日志。不能编辑、不能执行、不能看凭据值。

权限矩阵

资源 / 操作OwnerAdminEditorViewer
团队 / 订阅
升级 / 降级套餐
管理发票 / 账单
转移所有权
解散团队
成员管理
邀请成员
移除成员
修改角色
工作流
创建新工作流
编辑 / 删除工作流
查看工作流
执行工作流(手动)
从模板克隆
凭据
看凭据列表
新建 / 更新 / 删除凭据
在工作流里引用凭据
调度 / Webhook
创建 / 编辑调度
创建 / 编辑 Webhook
查看调度 / Webhook 列表
审批
发起审批自动自动自动
审批他人的请求按 approvers
模块库
Promote 工作流为模块
删除模块仅自己创建的
执行历史 / 审计
查看执行历史
查看审计日志
导出执行数据
设置
改团队设置
改通知配置
改数据保留策略

审批人列表(approvers)的特例

manual_approval step 里可以显式指定 approvers —— 某些账户 id 或角色。此时:

  • 列表为空 —— 所有 Admin 及以上成员都能审批(默认)
  • 列表里是具体 user id —— 只有这些人能审批(哪怕他是 Editor)
  • 列表里是角色(如 "role:Admin")—— 所有持有该角色的成员能审批

换句话说 approvers 是一个"overlay"机制:可以让非 Admin 成员审批特定 step。

典型场景的角色建议

场景 1:3 人工程团队

  • 技术负责人 → Owner
  • 2 名工程师 → Editor
  • 技术负责人兼职做审批人

场景 2:混合团队(工程 + 运营 + 合规)

  • CTO → Owner
  • 工程负责人 + 运维 → Admin(管凭据和成员)
  • 工程师 + 运营 → Editor(各自建工作流,但不能乱改凭据)
  • 合规 / 财务 → Viewer(只审计,不操作)
  • 在涉及客户数据的 workflow 里把合规人显式加入 approvers 列表

场景 3:开发 / 生产两套团队

  • 在 Braidrun 里建两个独立 Team:my-company-dev / my-company-prod
  • 所有工程师在 dev 里是 Editor,在 prod 里是 Viewer
  • 只有 SRE 在 prod 里是 Editor / Admin
  • 工作流在 dev 里验证稳定后,通过"移动到团队"迁到 prod

权限审计

每次角色变更都会记一条审计事件,可以在「团队审计日志」里过滤 event_type: member_role_changed 看历史。

下一步