本文介绍AgentRun中资源组和工作空间的授权逻辑,帮助根据业务需求为RAM用户配置合适的授权方案。
模块授权支持情况
AgentRun支持通过资源组对以下模块进行细粒度授权:运行时、沙箱模板、模型、记忆、知识库、凭证、工作空间。其他模块(如Agent模板、超级Agent、权限与服务等)仅支持账号维度授权。
页面顶部资源组选择区域的显示状态由ListWorkspaces操作的授权维度决定。
模块 | 支持资源组授权 | 说明 |
运行时 | 是 | 支持账号维度或资源组维度授权 |
沙箱模板 | 是 | 支持账号维度或资源组维度授权 |
模型 | 是 | 支持账号维度或资源组维度授权 |
记忆 | 是 | 支持账号维度或资源组维度授权 |
知识库 | 是 | 支持账号维度或资源组维度授权 |
凭证 | 是 | 支持账号维度或资源组维度授权 |
工作空间 | 是 | 支持账号维度或资源组维度授权 |
Agent模板 | 否 | 仅支持账号维度授权 |
超级Agent | 否 | 仅支持账号维度授权 |
权限与服务 | 否 | 仅支持账号维度授权 |
资源组选择区域的三种显示状态
ListWorkspaces操作的授权维度决定页面顶部资源组选择区域的显示状态,共有以下三种情况。
情况一:未授权ListWorkspaces
显示效果:
页面顶部资源组选择区域同时显示"账号全部资源"(灰色,不可点击)和"暂无资源组"(灰色,不可点击)。
工作空间授权状态显示"未授权"。
功能表现:
为兼容历史账号,所有功能均可正常使用:
运行时、沙箱模板等所有资源(无论属于默认工作空间还是自定义工作空间)均可见,可正常查看和编辑。
新创建的资源未指定工作空间时,默认归属到默认工作空间。
情况二:ListWorkspaces授权到账号维度
显示效果:
页面顶部资源组选择区域显示所有资源组列表。
同时显示"账号全部资源"选项(可点击)。
功能表现:
可查看全部资源组下的数据。
可在任意资源组下创建和管理资源。
情况三:ListWorkspaces授权到资源组维度
显示效果:
页面顶部资源组选择区域仅显示已授权的资源组。
"账号全部资源"选项显示为灰色。
功能表现:
点击"账号全部资源"后,工作空间显示"未授权",各页面报错无权限。
仅可查看和操作已授权资源组下的数据。
常见授权方案
方案一:所有权限(Policy为*)
适用场景:以下两种情况的预期表现相同:
历史RAM用户(即原子账号),已在账号维度授予所有权限(policy为*)。
新RAM用户,已将所有操作均配置为账号维度授权(policy为*)。
预期表现:
所有页面均有访问权限,不报错。
页面顶部资源组选择区域显示"账号全部资源"及所有资源组,均可点击。
可查看和操作阿里云账号下所有工作空间的资源。
新创建的资源可指定任意工作空间。
方案二:历史自定义权限(不含ListWorkspaces)
适用场景:历史RAM用户(即原子账号),有自定义权限但权限列表中未包含ListWorkspaces操作。
预期表现:
所有页面均有访问权限,不报错。
页面顶部资源组选择区域显示"账号全部资源"(灰色)及"暂无资源组"(灰色)。
工作空间授权状态为"未授权"。
可访问到所有资源,包括自定义工作空间下的资源。
创建新资源时,新资源默认归属到默认工作空间。
方案三:无任何权限
适用场景:新RAM用户,未授予任何权限。
预期表现:
Agent模板、超级Agent、权限与服务页面可正常访问。
其他页面报错"无权限"。
页面顶部资源组选择区域显示"账号全部资源"(灰色)及"暂无资源组"(灰色)。
工作空间授权状态为"未授权"。
方案四:支持资源组的操作授权到资源组,其他操作授权到账号
适用场景:新RAM用户,按最小权限原则进行精细化授权。
推荐权限配置:
权限分类 | 授权维度 | 说明 |
不支持资源组的操作(Agent模板、超级Agent等相关操作) | 账号维度 | |
运行时、沙箱模板、模型、记忆、知识库、凭证、工作空间其他操作 | 资源组维度 | 仅授权特定资源组 |
ListWorkspaces | 资源组维度 | 仅授权特定资源组 |
预期表现:
页面顶部资源组选择区域仅显示已授权的资源组,"账号全部资源"选项灰色,点击后报错无权限。
在已授权的资源组下,可正常查看和操作该资源组下所有工作空间的资源。
变体说明:若将"运行时、沙箱模板、模型、记忆、知识库、凭证、工作空间其他操作"改为账号维度授权,仅ListWorkspaces保持资源组维度授权,则页面表现与本方案相同(资源组选择区域仅显示已授权的资源组),但资源可见范围更宽——在已授权资源组下,可见该资源组内的全账号资源,而非仅限特定资源组的资源。
方案五:ListWorkspaces授权到账号,其他支持资源组的操作授权到资源组
适用场景:需要RAM用户看到所有资源组入口,但只能操作特定资源组的数据。
权限配置:
权限分类 | 授权维度 |
不支持资源组的操作 | 账号维度 |
运行时、沙箱模板、模型、记忆、知识库、凭证、工作空间其他操作 | 资源组维度(指定资源组) |
ListWorkspaces | 账号维度 |
预期表现:
页面顶部资源组选择区域显示所有资源组,均可点击。
切换到无操作权限的资源组时,访问运行时等页面报错无权限。
在已授权的资源组下,可正常查看和操作资源。
方案六:指定工作空间的精细化授权
适用场景:需要将权限精确控制到特定工作空间级别。
配置说明:在方案四的基础上,将策略的资源范围从资源组级别细化到具体工作空间(如通过ARN指定具体工作空间)。
预期表现:
页面顶部资源组选择区域仅显示已授权的资源组。
在授权的资源组下,切换到无权限的工作空间时,查看、创建、更新等操作均报错无权限。
在有权限的工作空间下,操作均正常。
注意事项
历史账号兼容:对于历史账号(未配置
ListWorkspaces权限),系统会自动兼容,所有功能保持可用,不会影响现有业务。ListWorkspaces是关键权限:
ListWorkspaces的授权维度(账号或资源组)直接决定页面顶部资源组选择区域的显示范围,是配置资源组授权的核心权限。新创建资源的归属:在"账号全部资源"+"所有工作空间"视图下创建的资源,默认归属到默认工作空间。
工作空间级别授权:如需精确控制到工作空间级别,需要在RAM策略中通过资源ARN指定具体工作空间。