Перейти к содержанию

Руководство администратора

Руководство для администраторов AegisAI: управление пользователями, ролями, развёртыванием, мониторингом и резервным копированием.

Обязанности администратора

Область Задачи
Пользователи Создание, блокировка, сброс паролей
Роли Назначение RBAC-ролей
SSO Keycloak, Okta, Google, Entra ID
SIEM Экспорт событий в Splunk, ELK, Syslog
Развёртывание Конфигурация production
Мониторинг Health checks, логи, метрики
Резервное копирование Бэкапы PostgreSQL и моделей

Уровни доступа

graph TD
    SA[Super Admin] --> A[Admin]
    A --> SEC[Security Analyst]
    A --> DEV[Developer]
    SEC --> V[Viewer]
    DEV --> V
Роль Область Описание
Super Admin Глобальная Все арендаторы, назначение super_admin
Admin Арендатор Полное управление в рамках tenant
Security Analyst Арендатор Аудит, аномалии, HITL, политики (чтение)
Developer Арендатор Агенты, SDK, политики (чтение)
Viewer Арендатор Только просмотр панели и аудита

Первоначальная настройка

Суперадминистратор

При первом запуске создаётся из переменных окружения:

SUPER_ADMIN_EMAIL=admin@aegisai.com
SUPER_ADMIN_PASSWORD=admin123

Скрипт scripts/init_super_admin.py выполняется автоматически в Docker.

Production

Сразу смените пароль и задайте надёжные значения через переменные окружения.

Создание арендаторов

curl -X POST http://localhost:8000/api/v1/tenants \
  -H "X-Admin-Key: <admin-key>" \
  -H "Content-Type: application/json" \
  -d '{"name": "production-tenant"}'

Создание администратора арендатора

curl -X POST http://localhost:8000/api/v1/users \
  -H "Authorization: Bearer <super-admin-jwt>" \
  -H "Content-Type: application/json" \
  -d '{
    "email": "admin@company.com",
    "password": "SecurePass123!",
    "full_name": "Администратор",
    "role": "admin",
    "tenant_id": "<tenant-uuid>"
  }'

Ключевые переменные окружения

Переменная Описание По умолчанию
SECRET_KEY Ключ для JWT change-me
ADMIN_API_KEY Ключ управления арендаторами admin-key
DATABASE_URL PostgreSQL connection string localhost
REDIS_URL Redis connection string localhost
OPA_ENABLED Включить OPA true
OPA_URL URL OPA-сервера http://localhost:8181
AUDIT_SIGNING_ENABLED Подпись аудита true
AUDIT_RETENTION_DAYS Срок хранения аудита 90
WEBHOOK_SECRET Секрет подписи webhooks webhook-secret-key
ENVIRONMENT development / production development

Аудит действий администратора

Все административные действия логируются в таблицу user_audit_log:

  • Создание / удаление пользователей
  • Смена ролей
  • Блокировка / разблокировка
  • Сброс паролей
  • Вход / выход