Agenti, kteří operují uvnitř mantinelů, už lidé mají
Každý agent je vázán na roli s deklarovaným rozsahem. Žádný agent nemůže vidět ani dělat nic, co jeho uživatel nemohl – a každý pokus je zaprotokolován.
Nejděsivější režim selhání pro podnik AI je agent, který dělá něco, co by uživatel sám nikdy neudělal. Správa založená na rolích vylučuje tuto třídu selhání tím, že spojuje identitu agenta s lidskou identitou a popírá vše mimo deklarovaný rozsah.
Jak rozsah zůstává úzký
- 01
Vazba identity
Každé vyvolání agenta nese identitu jednajícího uživatele. Tok kontrol oprávnění od uživatele, nikoli ze servisního účtu.
- 02
Oprávnění v rozsahu úkolu
Agent vytvořený pro refundace nemůže číst záznamy HR, i když má základní uživatel širší přístup. Oprávnění jsou minimalizována.
- 03
Průběžný audit
Využití oprávnění je protokolováno a kontrolováno. Nevyužité granty jsou označeny k odebrání – nejmenší oprávnění, které ve skutečnosti zůstává nejméně.
Primitivové vládnutí
Katalog rolí
Sdílený katalog rolí s deklarovanými rozsahy, kontrolovaný čtvrtletně a zděděný každým novým agentem.
Zásady jako kód
Zábradlí jsou vyjádřena jako kód, verze v git a aplikována orchestrátorem při každém vyvolání nástroje.
Přístup s rozbitým sklem
Nouzové zvýšení vyžaduje výslovné schválení, je časově ohraničené a generuje vyhrazený záznam auditu.
Identita agenta
Agenti jsou prvotřídní principálové ve vašem IdP s vlastním životním cyklem, nikoli sdílenými servisními účty.