Pular para o conteúdo principal

Visão Geral

O RBAC no CrewAI AMP permite gerenciamento de acesso seguro e escalável através de duas camadas:
  1. Permissões de funcionalidade — controlam o que cada função pode fazer na plataforma (gerenciar, ler ou sem acesso)
  2. Permissões em nível de entidade — acesso granular em automações individuais, variáveis de ambiente, conexões LLM e repositórios Git
Visão geral de RBAC no CrewAI AMP

Usuários e Funções

Cada membro da sua workspace CrewAI recebe uma função, que determina seu acesso aos diversos recursos. Você pode:
  • Usar funções pré-definidas (Owner, Member)
  • Criar funções personalizadas com permissões específicas
  • Atribuir funções a qualquer momento no painel de configurações
A configuração de usuários e funções é feita em Settings → Roles.
1

Abrir Roles

Vá em Settings → Roles no CrewAI AMP.
2

Escolher a função

Use uma função pré-definida (Owner, Member) ou clique em Create role para criar uma personalizada.
3

Atribuir aos membros

Selecione os usuários e atribua a função. Você pode alterar depois.

Funções Pré-definidas

FunçãoDescrição
OwnerAcesso total a todas as funcionalidades e configurações. Não pode ser restrito.
MemberAcesso de leitura à maioria das funcionalidades, acesso de gerenciamento a variáveis de ambiente, conexões LLM e projetos Studio. Não pode modificar configurações da organização ou padrões.

Resumo de configuração

ÁreaOnde configurarOpções
Usuários & FunçõesSettings → RolesPré-definidas: Owner, Member; Funções personalizadas
Visibilidade da automaçãoAutomation → Settings → VisibilityPrivate; Lista de usuários/funções

Matriz de Permissões de Funcionalidades

Cada função possui um nível de permissão para cada área de funcionalidade. Os três níveis são:
  • Manage — acesso total de leitura/escrita (criar, editar, excluir)
  • Read — acesso somente leitura
  • No access — funcionalidade oculta/inacessível
FuncionalidadeOwnerMember (padrão)Níveis disponíveisDescrição
usage_dashboardsManageReadManage / Read / No accessVisualizar métricas e análises de uso
crews_dashboardsManageReadManage / Read / No accessVisualizar dashboards de deploy, acessar detalhes de automações
invitationsManageReadManage / Read / No accessConvidar novos membros para a organização
training_uiManageReadManage / Read / No accessAcessar interfaces de treinamento/fine-tuning
toolsManageReadManage / Read / No accessCriar e gerenciar ferramentas
agentsManageReadManage / Read / No accessCriar e gerenciar agentes
environment_variablesManageManageManage / No accessCriar e gerenciar variáveis de ambiente
llm_connectionsManageManageManage / No accessConfigurar conexões de provedores LLM
default_settingsManageNo accessManage / No accessModificar configurações padrão da organização
organization_settingsManageNo accessManage / No accessGerenciar cobrança, planos e configuração da organização
studio_projectsManageManageManage / No accessCriar e editar projetos no Studio
Ao criar uma função personalizada, a maioria das funcionalidades pode ser definida como Manage, Read ou No access. No entanto, environment_variables, llm_connections, default_settings, organization_settings e studio_projects suportam apenas Manage ou No access — não há opção somente leitura para essas funcionalidades.

Deploy via GitHub ou Zip

Uma das perguntas mais comuns sobre RBAC é: “Quais permissões um membro da equipe precisa para fazer deploy?”

Deploy via GitHub

Para fazer deploy de uma automação a partir de um repositório GitHub, o usuário precisa de:
  1. crews_dashboards: pelo menos Read — necessário para acessar o dashboard de automações onde os deploys são criados
  2. Acesso ao repositório Git (se RBAC em nível de entidade para repositórios Git estiver habilitado): a função do usuário deve ter acesso ao repositório Git específico via permissões de entidade
  3. studio_projects: Manage — se estiver construindo o crew no Studio antes do deploy

Deploy via Zip

Para fazer deploy de uma automação via upload de arquivo Zip, o usuário precisa de:
  1. crews_dashboards: pelo menos Read — necessário para acessar o dashboard de automações
  2. Deploys via Zip habilitados: a organização não deve ter desabilitado deploys via Zip nas configurações da organização

Referência Rápida: Permissões Mínimas para Deploy

AçãoPermissões de funcionalidade necessáriasRequisitos adicionais
Deploy via GitHubcrews_dashboards: ReadAcesso à entidade do repositório Git (se habilitado)
Deploy via Zipcrews_dashboards: ReadDeploys via Zip devem estar habilitados na organização
Construir no Studiostudio_projects: Manage
Configurar chaves LLMllm_connections: Manage
Definir variáveis de ambienteenvironment_variables: ManageAcesso em nível de entidade (se habilitado)

Controle de Acesso em Nível de Automação (Permissões de Entidade)

Além das funções em nível de organização, o CrewAI suporta permissões granulares em nível de entidade que restringem o acesso a recursos individuais.

Visibilidade da Automação

Automações suportam configurações de visibilidade que restringem acesso por usuário ou função. Útil para:
  • Manter automações sensíveis ou experimentais privadas
  • Gerenciar visibilidade em equipes grandes ou colaboradores externos
  • Testar automações em contexto isolado
Deploys podem ser configurados como privados, significando que apenas usuários e funções na whitelist poderão interagir com eles. Configure em Automation → Settings → aba Visibility.
1

Abrir a aba Visibility

Acesse Automation → Settings → Visibility.
2

Definir visibilidade

Selecione Private para restringir o acesso. O owner da organização mantém acesso sempre.
3

Permitir acesso

Adicione usuários e funções que poderão ver, executar e acessar logs/métricas/configurações.
4

Salvar e verificar

Salve e confirme que não listados não conseguem ver ou executar a automação.

Resultado de acesso no modo Private

AçãoOwnerUsuário/função na whitelistNão listado
Ver automação
Executar/API
Logs/métricas/configurações
O owner sempre possui acesso. Em modo privado, somente usuários/funções na whitelist têm permissão.
Configuração de visibilidade no CrewAI AMP

Tipos de Permissão de Deploy

Ao conceder acesso em nível de entidade a uma automação específica, você pode atribuir estes tipos de permissão:
PermissãoO que permite
runExecutar a automação e usar sua API
tracesVisualizar traces de execução e logs
manage_settingsEditar, reimplantar, reverter ou excluir a automação
human_in_the_loopResponder a solicitações human-in-the-loop (HITL)
full_accessTodos os anteriores

RBAC em Nível de Entidade para Outros Recursos

Quando o RBAC em nível de entidade está habilitado, o acesso a estes recursos também pode ser controlado por usuário ou função:
RecursoControlado porDescrição
Variáveis de ambienteFlag de funcionalidade RBAC de entidadeRestringir quais funções/usuários podem ver ou gerenciar variáveis específicas
Conexões LLMFlag de funcionalidade RBAC de entidadeRestringir acesso a configurações de provedores LLM específicos
Repositórios GitConfiguração RBAC de repositórios GitRestringir quais funções/usuários podem acessar repositórios conectados específicos

Padrões Comuns de Funções

Embora o CrewAI venha com as funções Owner e Member, a maioria das equipes se beneficia da criação de funções personalizadas. Aqui estão os padrões comuns:

Função Developer

Uma função para membros da equipe que constroem e fazem deploy de automações, mas não gerenciam configurações da organização.
FuncionalidadePermissão
usage_dashboardsRead
crews_dashboardsManage
invitationsRead
training_uiRead
toolsManage
agentsManage
environment_variablesManage
llm_connectionsManage
default_settingsNo access
organization_settingsNo access
studio_projectsManage

Função Viewer / Stakeholder

Uma função para stakeholders não técnicos que precisam monitorar automações e visualizar resultados.
FuncionalidadePermissão
usage_dashboardsRead
crews_dashboardsRead
invitationsNo access
training_uiRead
toolsRead
agentsRead
environment_variablesNo access
llm_connectionsNo access
default_settingsNo access
organization_settingsNo access
studio_projectsNo access

Função Ops / Platform Admin

Uma função para operadores de plataforma que gerenciam configurações de infraestrutura, mas podem não construir agentes.
FuncionalidadePermissão
usage_dashboardsManage
crews_dashboardsManage
invitationsManage
training_uiRead
toolsRead
agentsRead
environment_variablesManage
llm_connectionsManage
default_settingsManage
organization_settingsRead
studio_projectsNo access

Precisa de Ajuda?

Fale com o nosso time para suporte em configuração de RBAC.