权限配置
企业管理员可以在组织设置中配置 AI Agent 的权限范围,控制 AI Agent 可以访问哪些数据和资源,确保数据安全可控。
核心目标
安全可控:通过权限范围控制,确保企业能完全关闭 AI 能力,或限制 AI Agent 仅能访问非敏感数据
配置灵活:支持按"连接源"维度精确控制 AI Agent 的数据访问范围
全局控制
企业管理员可以在组织设置中启用或禁用全平台的 AI Agent 服务,这是最基础的权限范围控制。
关闭全局开关
当全局开关关闭时:
所有权限范围配置项将无法修改
组织内所有用户在 Studio 界面中将无法看到任何 AI 相关入口
AI Agent 功能完全不可用,访问范围被完全限制
开启全局开关
当全局开关开启时:
可以配置下方的权限范围选项,控制 AI Agent 的访问范围
AI Agent 功能对组织内所有用户可见
权限范围配置
在全局开关开启后,可以配置 AI Agent 的访问权限范围,控制其可以访问哪些资源:
(1) 读取 Studio 平台内所有资产
控制 AI Agent 是否可以访问 Studio 内的模型代码、字段描述、指标逻辑、数据管道等基本信息。
(2) 执行数据库 SQL 查询
控制 AI Agent 是否可以生成并运行 SQL 语句来查询数据。
安全限制:
仅支持 SELECT 查询语句
系统会自动拦截所有 DDL(如 DROP, ALTER)和 DML(如 INSERT, UPDATE, DELETE)操作,确保数据安全
开启此权限后,需要进一步配置数据访问范围,可以选择开放全部连接源或指定连接源,精确控制 AI Agent 可以访问的数据范围。
数据访问范围
当"执行数据库 SQL 查询"权限开启时,需要配置 AI Agent 的数据访问范围,控制其可以访问哪些数据连接源。
全部(默认)
选择"全部"时,AI Agent 的访问范围包括组织内所有已添加的数据连接源。
选择"全部"意味着 AI Agent 的访问范围将包括当前企业下所有数据库类型的连接源,请确保此权限范围符合企业的数据安全策略。
指定连接源
选择"指定连接源"时,可以精确控制 AI Agent 的访问范围,仅允许其访问选定的数据连接源。
管理连接源列表:
查看已添加的连接源:列表中会显示已纳入 AI Agent 访问范围的连接源名称和类型(MySQL, PostgreSQL 等)
移除连接源:从访问范围中移除不需要的连接源
添加连接源:从组织内已添加的连接源中选择,将其纳入 AI Agent 的访问范围
选择连接源时的说明:
仅显示 Warehouse、Database 类型的连接源,这些类型的连接源可以纳入 AI Agent 的访问范围
已纳入访问范围的连接源会显示在列表中,无法重复添加
支持按名称、描述、地址搜索连接源,方便选择需要纳入访问范围的连接源
可以过滤已添加的连接源,只查看未纳入访问范围的选项
保存机制
权限范围配置修改后会自动保存,无需手动点击保存按钮。所有配置会立即生效,AI Agent 的访问范围将按照最新配置执行。
配置步骤
注意事项
关闭全局开关后,所有用户将无法使用 AI Agent 功能
配置"指定连接源"时,请确保选择的连接源包含用户需要访问的数据,避免因访问范围限制导致功能不可用
SQL 查询权限仅支持 SELECT 语句,其他操作会被自动拦截
Last updated