mirror of
https://github.com/crewAIInc/crewAI.git
synced 2026-07-05 06:59:23 +00:00
* feat: adopt directory-based docs versioning with Edge channel Switch docs.crewai.com from navigation-only versioning (every version selector entry rendered the same docs/<lang>/* source files) to Mintlify's directory-based versioning so each version selector entry renders its own snapshot. Add an "Edge" channel under docs/edge/<lang>/* that always reflects main HEAD for unreleased work, eliminating pre-release leakage onto frozen release labels. External links to canonical /<lang>/* URLs are preserved via wildcard redirects that always land on the current default version. Layout: - docs/edge/<lang>/* rolling source (you edit here) - docs/edge/enterprise-api.*.yaml - docs/v<X.Y.Z>/<lang>/* frozen, immutable snapshots - docs/v<X.Y.Z>/enterprise-api.*.yaml - docs/images/ shared, append-only - docs/docs.json nav + redirects URLs follow the Mintlify-idiomatic shape: /edge/<lang>/<page> for Edge, /v<X.Y.Z>/<lang>/<page> for every frozen snapshot. The wildcard redirects /<lang>/:slug* -> /<default>/<lang>/:slug* keep stale links working, and every freeze rewrites them (plus all per-section/per-page redirects) so destinations always resolve to the current default without depending on a second redirect hop. Release flow integration (devtools release): - New module crewai_devtools.docs_versioning.freeze() materialises docs/v<X.Y.Z>/ from docs/edge/, rewrites openapi: refs inside the snapshot, inserts the version into every language block in docs.json, and refreshes all redirect destinations. - _update_docs_and_create_pr() in cli.py now calls that freeze during Phase 2 of devtools release. Edge changelogs are updated first (so the snapshot freeze picks them up), then the snapshot is staged alongside docs.json, branched as docs/freeze-v<X.Y.Z>, and the PR is titled [docs-freeze] docs: snapshot and changelog for v<X.Y.Z> — the title prefix the new CI guard reads. - The PR still gates tag, GitHub release, PyPI publish, and the enterprise release as before; no new PRs are added. - Pre-releases (1.X.YaN, 1.X.YbN, ...) skip the snapshot — they ride Edge — and the docs PR title omits the [docs-freeze] prefix. - docs_check (AI-generated docs scaffolding) writes to docs/edge/<lang>/* so newly-generated unreleased docs land in Edge and never accidentally touch a frozen snapshot. Migration scripts (one-shot): - scripts/docs/freeze_historical_versions.py reconstructs all 16 historical snapshots (v1.10.0 .. v1.14.7) from git tags via git archive | tar, rewriting openapi: MDX refs so each snapshot reads its own enterprise-api YAML rather than the live one. - scripts/docs/prefix_version_paths.py one-shot-migrates docs.json: rewrites every page path in 16 versioned blocks to point under docs/v<X.Y.Z>/, inserts a new Edge entry per language, tags v1.14.7 as Latest (default), prunes pages whose target file doesn't exist in the snapshot (e.g. docs/ar/ didn't exist before v1.12.0), and writes the wildcard + per-section redirects. - scripts/docs/freeze_current_edge.py is now a thin CLI wrapper around docs_versioning.freeze for manual one-off freezes (e.g. retroactively snapshotting a forgotten release). CI guards (.github/workflows/docs-snapshots.yml): - Frozen snapshots under docs/v[0-9]*/ are immutable; only PRs whose title contains [docs-freeze] (i.e. release-cut PRs generated by devtools release or the manual wrapper) may modify them. - Images under docs/images/ are append-only since snapshots share a single image directory. Deleting or renaming an image breaks every historical snapshot that still references it. Restored docs/images/crewai-otel-export.png from PR #3673; it was deleted in PR #4908 but v1.10.0 / v1.10.1 snapshots still reference it. Restoring instead of editing the snapshots preserves historical rendering fidelity and validates the new append-only rule retroactively. Tests: - lib/devtools/tests/test_docs_versioning.py covers the freeze: file copy, openapi rewrite, version insertion, default demotion, redirect upserts, per-section redirect rewriting, idempotency, and invalid inputs. Verified locally with mintlify broken-links: 0 broken links across the full site (Edge + 16 frozen versions, 4 locales). AGENTS.md (repo root) is the contributor guide for the new model; RELEASING.md is the release-cut runbook; README's Contribution section links to both. Co-authored-by: Cursor <cursoragent@cursor.com> * style: resolve linter issues --------- Co-authored-by: Cursor <cursoragent@cursor.com>
256 lines
13 KiB
Plaintext
256 lines
13 KiB
Plaintext
---
|
|
title: "Controle de Acesso Baseado em Funções (RBAC)"
|
|
description: "Controle o acesso a crews, ferramentas e dados com funções, escopos e permissões granulares."
|
|
icon: "shield"
|
|
mode: "wide"
|
|
---
|
|
|
|
## Visão Geral
|
|
|
|
O RBAC no CrewAI AMP permite gerenciamento de acesso seguro e escalável através de duas camadas:
|
|
|
|
1. **Permissões de funcionalidade** — controlam o que cada função pode fazer na plataforma (gerenciar, ler ou sem acesso)
|
|
2. **Permissões em nível de entidade** — acesso granular em automações individuais, variáveis de ambiente, conexões LLM e repositórios Git
|
|
|
|
<Frame>
|
|
<img src="/images/enterprise/users_and_roles.png" alt="Visão geral de RBAC no CrewAI AMP" />
|
|
</Frame>
|
|
|
|
## Usuários e Funções
|
|
|
|
Cada membro da sua workspace CrewAI recebe uma função, que determina seu acesso aos diversos recursos.
|
|
|
|
Você pode:
|
|
|
|
- Usar funções pré-definidas (Owner, Member)
|
|
- Criar funções personalizadas com permissões específicas
|
|
- Atribuir funções a qualquer momento no painel de configurações
|
|
|
|
A configuração de usuários e funções é feita em Settings → Roles.
|
|
|
|
<Steps>
|
|
<Step title="Abrir Roles">
|
|
Vá em <b>Settings → Roles</b> no CrewAI AMP.
|
|
</Step>
|
|
<Step title="Escolher a função">
|
|
Use uma função pré-definida (<b>Owner</b>, <b>Member</b>) ou clique em{" "}
|
|
<b>Create role</b> para criar uma personalizada.
|
|
</Step>
|
|
<Step title="Atribuir aos membros">
|
|
Selecione os usuários e atribua a função. Você pode alterar depois.
|
|
</Step>
|
|
</Steps>
|
|
|
|
### Funções Pré-definidas
|
|
|
|
| Função | Descrição |
|
|
| :--------- | :------------------------------------------------------------------------ |
|
|
| **Owner** | Acesso total a todas as funcionalidades e configurações. Não pode ser restrito. |
|
|
| **Member** | Acesso de leitura à maioria das funcionalidades, acesso de gerenciamento a variáveis de ambiente, conexões LLM e projetos Studio. Não pode modificar configurações da organização ou padrões. |
|
|
|
|
### Resumo de configuração
|
|
|
|
| Área | Onde configurar | Opções |
|
|
| :------------------------ | :--------------------------------- | :--------------------------------------------------- |
|
|
| Usuários & Funções | Settings → Roles | Pré-definidas: Owner, Member; Funções personalizadas |
|
|
| Visibilidade da automação | Automation → Settings → Visibility | Private; Lista de usuários/funções |
|
|
|
|
---
|
|
|
|
## Matriz de Permissões de Funcionalidades
|
|
|
|
Cada função possui um nível de permissão para cada área de funcionalidade. Os três níveis são:
|
|
|
|
- **Manage** — acesso total de leitura/escrita (criar, editar, excluir)
|
|
- **Read** — acesso somente leitura
|
|
- **No access** — funcionalidade oculta/inacessível
|
|
|
|
| Funcionalidade | Owner | Member (padrão) | Níveis disponíveis | Descrição |
|
|
| :------------------------ | :------ | :--------------- | :------------------------ | :-------------------------------------------------------------- |
|
|
| `usage_dashboards` | Manage | Read | Manage / Read / No access | Visualizar métricas e análises de uso |
|
|
| `crews_dashboards` | Manage | Read | Manage / Read / No access | Visualizar dashboards de deploy, acessar detalhes de automações |
|
|
| `invitations` | Manage | Read | Manage / Read / No access | Convidar novos membros para a organização |
|
|
| `training_ui` | Manage | Read | Manage / Read / No access | Acessar interfaces de treinamento/fine-tuning |
|
|
| `tools` | Manage | Read | Manage / Read / No access | Criar e gerenciar ferramentas |
|
|
| `agents` | Manage | Read | Manage / Read / No access | Criar e gerenciar agentes |
|
|
| `environment_variables` | Manage | Manage | Manage / No access | Criar e gerenciar variáveis de ambiente |
|
|
| `llm_connections` | Manage | Manage | Manage / No access | Configurar conexões de provedores LLM |
|
|
| `default_settings` | Manage | No access | Manage / No access | Modificar configurações padrão da organização |
|
|
| `organization_settings` | Manage | No access | Manage / No access | Gerenciar cobrança, planos e configuração da organização |
|
|
| `studio_projects` | Manage | Manage | Manage / No access | Criar e editar projetos no Studio |
|
|
|
|
<Tip>
|
|
Ao criar uma função personalizada, a maioria das funcionalidades pode ser definida como **Manage**, **Read** ou **No access**. No entanto, `environment_variables`, `llm_connections`, `default_settings`, `organization_settings` e `studio_projects` suportam apenas **Manage** ou **No access** — não há opção somente leitura para essas funcionalidades.
|
|
</Tip>
|
|
|
|
---
|
|
|
|
## Deploy via GitHub ou Zip
|
|
|
|
Uma das perguntas mais comuns sobre RBAC é: _"Quais permissões um membro da equipe precisa para fazer deploy?"_
|
|
|
|
### Deploy via GitHub
|
|
|
|
Para fazer deploy de uma automação a partir de um repositório GitHub, o usuário precisa de:
|
|
|
|
1. **`crews_dashboards`**: pelo menos `Read` — necessário para acessar o dashboard de automações onde os deploys são criados
|
|
2. **Acesso ao repositório Git** (se RBAC em nível de entidade para repositórios Git estiver habilitado): a função do usuário deve ter acesso ao repositório Git específico via permissões de entidade
|
|
3. **`studio_projects`: `Manage`** — se estiver construindo o crew no Studio antes do deploy
|
|
|
|
### Deploy via Zip
|
|
|
|
Para fazer deploy de uma automação via upload de arquivo Zip, o usuário precisa de:
|
|
|
|
1. **`crews_dashboards`**: pelo menos `Read` — necessário para acessar o dashboard de automações
|
|
2. **Deploys via Zip habilitados**: a organização não deve ter desabilitado deploys via Zip nas configurações da organização
|
|
|
|
### Referência Rápida: Permissões Mínimas para Deploy
|
|
|
|
| Ação | Permissões de funcionalidade necessárias | Requisitos adicionais |
|
|
| :------------------------- | :--------------------------------------- | :------------------------------------------------ |
|
|
| Deploy via GitHub | `crews_dashboards: Read` | Acesso à entidade do repositório Git (se habilitado) |
|
|
| Deploy via Zip | `crews_dashboards: Read` | Deploys via Zip devem estar habilitados na organização |
|
|
| Construir no Studio | `studio_projects: Manage` | — |
|
|
| Configurar chaves LLM | `llm_connections: Manage` | — |
|
|
| Definir variáveis de ambiente | `environment_variables: Manage` | Acesso em nível de entidade (se habilitado) |
|
|
|
|
---
|
|
|
|
## Controle de Acesso em Nível de Automação (Permissões de Entidade)
|
|
|
|
Além das funções em nível de organização, o CrewAI suporta permissões granulares em nível de entidade que restringem o acesso a recursos individuais.
|
|
|
|
### Visibilidade da Automação
|
|
|
|
Automações suportam configurações de visibilidade que restringem acesso por usuário ou função. Útil para:
|
|
|
|
- Manter automações sensíveis ou experimentais privadas
|
|
- Gerenciar visibilidade em equipes grandes ou colaboradores externos
|
|
- Testar automações em contexto isolado
|
|
|
|
Deploys podem ser configurados como privados, significando que apenas usuários e funções na whitelist poderão interagir com eles.
|
|
|
|
Configure em Automation → Settings → aba Visibility.
|
|
|
|
<Steps>
|
|
<Step title="Abrir a aba Visibility">
|
|
Acesse <b>Automation → Settings → Visibility</b>.
|
|
</Step>
|
|
<Step title="Definir visibilidade">
|
|
Selecione <b>Private</b> para restringir o acesso. O owner da organização
|
|
mantém acesso sempre.
|
|
</Step>
|
|
<Step title="Permitir acesso">
|
|
Adicione usuários e funções que poderão ver, executar e acessar
|
|
logs/métricas/configurações.
|
|
</Step>
|
|
<Step title="Salvar e verificar">
|
|
Salve e confirme que não listados não conseguem ver ou executar a automação.
|
|
</Step>
|
|
</Steps>
|
|
|
|
### Resultado de acesso no modo Private
|
|
|
|
| Ação | Owner | Usuário/função na whitelist | Não listado |
|
|
| :-------------------------- | :---- | :-------------------------- | :---------- |
|
|
| Ver automação | ✓ | ✓ | ✗ |
|
|
| Executar/API | ✓ | ✓ | ✗ |
|
|
| Logs/métricas/configurações | ✓ | ✓ | ✗ |
|
|
|
|
<Tip>
|
|
O owner sempre possui acesso. Em modo privado, somente usuários/funções na
|
|
whitelist têm permissão.
|
|
</Tip>
|
|
|
|
<Frame>
|
|
<img src="/images/enterprise/visibility.png" alt="Configuração de visibilidade no CrewAI AMP" />
|
|
</Frame>
|
|
|
|
### Tipos de Permissão de Deploy
|
|
|
|
Ao conceder acesso em nível de entidade a uma automação específica, você pode atribuir estes tipos de permissão:
|
|
|
|
| Permissão | O que permite |
|
|
| :------------------- | :-------------------------------------------------- |
|
|
| `run` | Executar a automação e usar sua API |
|
|
| `traces` | Visualizar traces de execução e logs |
|
|
| `manage_settings` | Editar, reimplantar, reverter ou excluir a automação |
|
|
| `human_in_the_loop` | Responder a solicitações human-in-the-loop (HITL) |
|
|
| `full_access` | Todos os anteriores |
|
|
|
|
### RBAC em Nível de Entidade para Outros Recursos
|
|
|
|
Quando o RBAC em nível de entidade está habilitado, o acesso a estes recursos também pode ser controlado por usuário ou função:
|
|
|
|
| Recurso | Controlado por | Descrição |
|
|
| :--------------------- | :------------------------------------- | :------------------------------------------------------------- |
|
|
| Variáveis de ambiente | Flag de funcionalidade RBAC de entidade | Restringir quais funções/usuários podem ver ou gerenciar variáveis específicas |
|
|
| Conexões LLM | Flag de funcionalidade RBAC de entidade | Restringir acesso a configurações de provedores LLM específicos |
|
|
| Repositórios Git | Configuração RBAC de repositórios Git | Restringir quais funções/usuários podem acessar repositórios conectados específicos |
|
|
|
|
---
|
|
|
|
## Padrões Comuns de Funções
|
|
|
|
Embora o CrewAI venha com as funções Owner e Member, a maioria das equipes se beneficia da criação de funções personalizadas. Aqui estão os padrões comuns:
|
|
|
|
### Função Developer
|
|
|
|
Uma função para membros da equipe que constroem e fazem deploy de automações, mas não gerenciam configurações da organização.
|
|
|
|
| Funcionalidade | Permissão |
|
|
| :------------------------ | :--------- |
|
|
| `usage_dashboards` | Read |
|
|
| `crews_dashboards` | Manage |
|
|
| `invitations` | Read |
|
|
| `training_ui` | Read |
|
|
| `tools` | Manage |
|
|
| `agents` | Manage |
|
|
| `environment_variables` | Manage |
|
|
| `llm_connections` | Manage |
|
|
| `default_settings` | No access |
|
|
| `organization_settings` | No access |
|
|
| `studio_projects` | Manage |
|
|
|
|
### Função Viewer / Stakeholder
|
|
|
|
Uma função para stakeholders não técnicos que precisam monitorar automações e visualizar resultados.
|
|
|
|
| Funcionalidade | Permissão |
|
|
| :------------------------ | :--------- |
|
|
| `usage_dashboards` | Read |
|
|
| `crews_dashboards` | Read |
|
|
| `invitations` | No access |
|
|
| `training_ui` | Read |
|
|
| `tools` | Read |
|
|
| `agents` | Read |
|
|
| `environment_variables` | No access |
|
|
| `llm_connections` | No access |
|
|
| `default_settings` | No access |
|
|
| `organization_settings` | No access |
|
|
| `studio_projects` | No access |
|
|
|
|
### Função Ops / Platform Admin
|
|
|
|
Uma função para operadores de plataforma que gerenciam configurações de infraestrutura, mas podem não construir agentes.
|
|
|
|
| Funcionalidade | Permissão |
|
|
| :------------------------ | :--------- |
|
|
| `usage_dashboards` | Manage |
|
|
| `crews_dashboards` | Manage |
|
|
| `invitations` | Manage |
|
|
| `training_ui` | Read |
|
|
| `tools` | Read |
|
|
| `agents` | Read |
|
|
| `environment_variables` | Manage |
|
|
| `llm_connections` | Manage |
|
|
| `default_settings` | Manage |
|
|
| `organization_settings` | Read |
|
|
| `studio_projects` | No access |
|
|
|
|
---
|
|
|
|
<Card title="Precisa de Ajuda?" icon="headset" href="mailto:support@crewai.com">
|
|
Fale com o nosso time para suporte em configuração de RBAC.
|
|
</Card>
|