Pular para o conteúdo

Controle de Acesso Baseado em Funções (RBAC)

O RBAC no CrewAI AMP permite gerenciamento de acesso seguro e escalável através de duas camadas:

  1. Permissões de funcionalidade — controlam o que cada função pode fazer na plataforma (gerenciar, ler ou sem acesso)
  2. Permissões em nível de entidade — acesso granular em automações individuais, variáveis de ambiente, conexões LLM e repositórios Git
Visão geral de RBAC no CrewAI AMP

Cada membro da sua workspace CrewAI recebe uma função, que determina seu acesso aos diversos recursos.

Você pode:

  • Usar funções pré-definidas (Owner, Member)
  • Criar funções personalizadas com permissões específicas
  • Atribuir funções a qualquer momento no painel de configurações

A configuração de usuários e funções é feita em Settings → Roles.

  1. Abrir Roles

    Vá em Settings → Roles no CrewAI AMP.

  2. Escolher a função

    Use uma função pré-definida (Owner, Member) ou clique em Create role para criar uma personalizada.

  3. Atribuir aos membros

    Selecione os usuários e atribua a função. Você pode alterar depois.

FunçãoDescrição
OwnerAcesso total a todas as funcionalidades e configurações. Não pode ser restrito.
MemberAcesso de leitura à maioria das funcionalidades, acesso de gerenciamento a variáveis de ambiente, conexões LLM e projetos Studio. Não pode modificar configurações da organização ou padrões.
ÁreaOnde configurarOpções
Usuários & FunçõesSettings → RolesPré-definidas: Owner, Member; Funções personalizadas
Visibilidade da automaçãoAutomation → Settings → VisibilityPrivate; Lista de usuários/funções

Cada função possui um nível de permissão para cada área de funcionalidade. Os três níveis são:

  • Manage — acesso total de leitura/escrita (criar, editar, excluir)
  • Read — acesso somente leitura
  • No access — funcionalidade oculta/inacessível
FuncionalidadeOwnerMember (padrão)Níveis disponíveisDescrição
usage_dashboardsManageReadManage / Read / No accessVisualizar métricas e análises de uso
crews_dashboardsManageReadManage / Read / No accessVisualizar dashboards de deploy, acessar detalhes de automações
invitationsManageReadManage / Read / No accessConvidar novos membros para a organização
training_uiManageReadManage / Read / No accessAcessar interfaces de treinamento/fine-tuning
toolsManageReadManage / Read / No accessCriar e gerenciar ferramentas
agentsManageReadManage / Read / No accessCriar e gerenciar agentes
environment_variablesManageManageManage / No accessCriar e gerenciar variáveis de ambiente
llm_connectionsManageManageManage / No accessConfigurar conexões de provedores LLM
default_settingsManageNo accessManage / No accessModificar configurações padrão da organização
organization_settingsManageNo accessManage / No accessGerenciar cobrança, planos e configuração da organização
studio_projectsManageManageManage / No accessCriar e editar projetos no Studio

Uma das perguntas mais comuns sobre RBAC é: “Quais permissões um membro da equipe precisa para fazer deploy?”

Para fazer deploy de uma automação a partir de um repositório GitHub, o usuário precisa de:

  1. crews_dashboards: pelo menos Read — necessário para acessar o dashboard de automações onde os deploys são criados
  2. Acesso ao repositório Git (se RBAC em nível de entidade para repositórios Git estiver habilitado): a função do usuário deve ter acesso ao repositório Git específico via permissões de entidade
  3. studio_projects: Manage — se estiver construindo o crew no Studio antes do deploy

Para fazer deploy de uma automação via upload de arquivo Zip, o usuário precisa de:

  1. crews_dashboards: pelo menos Read — necessário para acessar o dashboard de automações
  2. Deploys via Zip habilitados: a organização não deve ter desabilitado deploys via Zip nas configurações da organização

Referência Rápida: Permissões Mínimas para Deploy

Seção intitulada “Referência Rápida: Permissões Mínimas para Deploy”
AçãoPermissões de funcionalidade necessáriasRequisitos adicionais
Deploy via GitHubcrews_dashboards: ReadAcesso à entidade do repositório Git (se habilitado)
Deploy via Zipcrews_dashboards: ReadDeploys via Zip devem estar habilitados na organização
Construir no Studiostudio_projects: Manage
Configurar chaves LLMllm_connections: Manage
Definir variáveis de ambienteenvironment_variables: ManageAcesso em nível de entidade (se habilitado)

Controle de Acesso em Nível de Automação (Permissões de Entidade)

Seção intitulada “Controle de Acesso em Nível de Automação (Permissões de Entidade)”

Além das funções em nível de organização, o CrewAI suporta permissões granulares em nível de entidade que restringem o acesso a recursos individuais.

Automações suportam configurações de visibilidade que restringem acesso por usuário ou função. Útil para:

  • Manter automações sensíveis ou experimentais privadas
  • Gerenciar visibilidade em equipes grandes ou colaboradores externos
  • Testar automações em contexto isolado

Deploys podem ser configurados como privados, significando que apenas usuários e funções na whitelist poderão interagir com eles.

Configure em Automation → Settings → aba Visibility.

  1. Abrir a aba Visibility

    Acesse Automation → Settings → Visibility.

  2. Definir visibilidade

    Selecione Private para restringir o acesso. O owner da organização mantém acesso sempre.

  3. Permitir acesso

    Adicione usuários e funções que poderão ver, executar e acessar logs/métricas/configurações.

  4. Salvar e verificar

    Salve e confirme que não listados não conseguem ver ou executar a automação.

AçãoOwnerUsuário/função na whitelistNão listado
Ver automação
Executar/API
Logs/métricas/configurações
Configuração de visibilidade no CrewAI AMP

Ao conceder acesso em nível de entidade a uma automação específica, você pode atribuir estes tipos de permissão:

PermissãoO que permite
runExecutar a automação e usar sua API
tracesVisualizar traces de execução e logs
manage_settingsEditar, reimplantar, reverter ou excluir a automação
human_in_the_loopResponder a solicitações human-in-the-loop (HITL)
full_accessTodos os anteriores

Quando o RBAC em nível de entidade está habilitado, o acesso a estes recursos também pode ser controlado por usuário ou função:

RecursoControlado porDescrição
Variáveis de ambienteFlag de funcionalidade RBAC de entidadeRestringir quais funções/usuários podem ver ou gerenciar variáveis específicas
Conexões LLMFlag de funcionalidade RBAC de entidadeRestringir acesso a configurações de provedores LLM específicos
Repositórios GitConfiguração RBAC de repositórios GitRestringir quais funções/usuários podem acessar repositórios conectados específicos

Embora o CrewAI venha com as funções Owner e Member, a maioria das equipes se beneficia da criação de funções personalizadas. Aqui estão os padrões comuns:

Uma função para membros da equipe que constroem e fazem deploy de automações, mas não gerenciam configurações da organização.

FuncionalidadePermissão
usage_dashboardsRead
crews_dashboardsManage
invitationsRead
training_uiRead
toolsManage
agentsManage
environment_variablesManage
llm_connectionsManage
default_settingsNo access
organization_settingsNo access
studio_projectsManage

Uma função para stakeholders não técnicos que precisam monitorar automações e visualizar resultados.

FuncionalidadePermissão
usage_dashboardsRead
crews_dashboardsRead
invitationsNo access
training_uiRead
toolsRead
agentsRead
environment_variablesNo access
llm_connectionsNo access
default_settingsNo access
organization_settingsNo access
studio_projectsNo access

Uma função para operadores de plataforma que gerenciam configurações de infraestrutura, mas podem não construir agentes.

FuncionalidadePermissão
usage_dashboardsManage
crews_dashboardsManage
invitationsManage
training_uiRead
toolsRead
agentsRead
environment_variablesManage
llm_connectionsManage
default_settingsManage
organization_settingsRead
studio_projectsNo access

Precisa de Ajuda?

Fale com o nosso time para suporte em configuração de RBAC.