Руководство администратора¶
Руководство для администраторов AegisAI: управление пользователями, ролями, развёртыванием, мониторингом и резервным копированием.
Обязанности администратора¶
| Область | Задачи |
|---|---|
| Пользователи | Создание, блокировка, сброс паролей |
| Роли | Назначение RBAC-ролей |
| SSO | Keycloak, Okta, Google, Entra ID |
| SIEM | Экспорт событий в Splunk, ELK, Syslog |
| Развёртывание | Конфигурация production |
| Мониторинг | Health checks, логи, метрики |
| Резервное копирование | Бэкапы PostgreSQL и моделей |
Уровни доступа¶
graph TD
SA[Super Admin] --> A[Admin]
A --> SEC[Security Analyst]
A --> DEV[Developer]
SEC --> V[Viewer]
DEV --> V
| Роль | Область | Описание |
|---|---|---|
| Super Admin | Глобальная | Все арендаторы, назначение super_admin |
| Admin | Арендатор | Полное управление в рамках tenant |
| Security Analyst | Арендатор | Аудит, аномалии, HITL, политики (чтение) |
| Developer | Арендатор | Агенты, SDK, политики (чтение) |
| Viewer | Арендатор | Только просмотр панели и аудита |
Первоначальная настройка¶
Суперадминистратор¶
При первом запуске создаётся из переменных окружения:
Скрипт scripts/init_super_admin.py выполняется автоматически в Docker.
Production
Сразу смените пароль и задайте надёжные значения через переменные окружения.
Создание арендаторов¶
curl -X POST http://localhost:8000/api/v1/tenants \
-H "X-Admin-Key: <admin-key>" \
-H "Content-Type: application/json" \
-d '{"name": "production-tenant"}'
Создание администратора арендатора¶
curl -X POST http://localhost:8000/api/v1/users \
-H "Authorization: Bearer <super-admin-jwt>" \
-H "Content-Type: application/json" \
-d '{
"email": "admin@company.com",
"password": "SecurePass123!",
"full_name": "Администратор",
"role": "admin",
"tenant_id": "<tenant-uuid>"
}'
Ключевые переменные окружения¶
| Переменная | Описание | По умолчанию |
|---|---|---|
SECRET_KEY |
Ключ для JWT | change-me |
ADMIN_API_KEY |
Ключ управления арендаторами | admin-key |
DATABASE_URL |
PostgreSQL connection string | localhost |
REDIS_URL |
Redis connection string | localhost |
OPA_ENABLED |
Включить OPA | true |
OPA_URL |
URL OPA-сервера | http://localhost:8181 |
AUDIT_SIGNING_ENABLED |
Подпись аудита | true |
AUDIT_RETENTION_DAYS |
Срок хранения аудита | 90 |
WEBHOOK_SECRET |
Секрет подписи webhooks | webhook-secret-key |
ENVIRONMENT |
development / production |
development |
Аудит действий администратора¶
Все административные действия логируются в таблицу user_audit_log:
- Создание / удаление пользователей
- Смена ролей
- Блокировка / разблокировка
- Сброс паролей
- Вход / выход