Agenți care operează în interiorul balustradelor pe care le au deja oamenii
Fiecare agent este legat de un rol cu un domeniu declarat. Niciun agent nu poate vedea sau face ceva ce utilizatorul său nu a putut - și fiecare încercare este înregistrată.
Cel mai înfricoșător mod de eșec pentru IA pentru întreprinderi este un agent care face ceva ce utilizatorul nu ar fi putut niciodată să facă singur. Guvernarea bazată pe roluri exclude această clasă de eșec prin legarea identității agentului de identitatea umană și negând tot ce se află în afara domeniului de aplicare declarat.
Cum rămâne strânsă domeniul de aplicare
- 01
Legarea identității
Fiecare invocare de agent poartă identitatea utilizatorului activ. Verificările de permisiuni decurg de la utilizator, nu de la un cont de serviciu.
- 02
Permisiuni în funcție de sarcină
Un agent creat pentru rambursări nu poate citi înregistrările HR, chiar dacă utilizatorul de bază are acces mai larg. Permisiunile sunt minimizate în funcție de sarcini.
- 03
Audit continuu
Utilizarea permisiunii este înregistrată și revizuită. Granturile neutilizate sunt semnalate pentru eliminare - cel mai mic privilegiu care de fapt rămâne cel mai puțin.
Primitive de guvernare
Catalog de roluri
Un catalog comun de roluri cu domenii declarate, revizuite trimestrial și moștenite de fiecare agent nou.
Politica ca cod
Guardrailele sunt exprimate ca cod, versiuni în git și aplicate de către orchestrator la fiecare apel de instrument.
Acces pentru spargerea sticlei
Elevarea de urgență necesită aprobare explicită, este stabilită în timp și generează o înregistrare de audit dedicată.
Identitatea agentului
Agenții sunt directori de primă clasă în IdP-ul dvs., cu propriul ciclu de viață, nu conturi de servicii partajate.