群組¶
這頁能幫你做什麼¶
群組 (Group) 是平台的權限單位。你不必逐一對每位使用者設定權限,而是先建立群組、在群組上設定「能用哪些 Agent、能跑哪些工作流程、能建立與存取哪些資源」,再把使用者加進群組,使用者就會自動繼承群組的權限。
常見情境:
- 把「行銷部」設成一個群組,只開放他們使用文案相關的 Agent 與知識庫。
- 把「資料工程師」設成一個群組,允許他們建立連結器 (Connector) 、知識庫等資源。
- 一位使用者同時屬於多個群組時,由群組的「優先順序」決定權限如何套用(見下方欄位說明)。
開始前
- 你需要管理員(屬於管理員群組)權限才能看到並操作「群組」。本頁所有操作都假設你是管理員。
- 一般使用者的左側選單不會出現「群組」這個入口;若你看不到它,表示你的帳號不是管理員,請洽貴單位的平台管理員。
- 即使直接以網址開啟群組頁,沒有管理員權限時清單外框與「建立」按鈕雖會出現,但實際資料載入不出來、也無法操作。這是權限保護機制,不是當機。
- 若要在群組上開放特定資源的存取,請先到 資源 把該資源建立好。
外部身分提供者使用者:先記得指派群組
透過外部身分提供者(如 Microsoft、Azure AD)登入的使用者,若尚未對應到任何群組,仍然可以登入,但會沒有任何權限——登入後看不到任何 Agent、工作流程或資源。這不是當機或權限錯誤,而是這位使用者還沒被指派群組。請到 使用者 詳細頁的「群組」分頁,把他加入適當的群組後,他才能使用平台。
在左側選單點選「群組」即可看到所有群組。清單上方有搜尋框與篩選器,可依欄位快速找到群組。
清單欄位:
| 欄位 | 說明 |
|---|---|
| 名稱 | 群組名稱,點擊可進入群組詳細頁。 |
| 描述 | 群組用途的文字說明。 |
| 角色 ARN | 與群組關聯的 AWS IAM 角色 ARN;未設定時顯示 -。 |
| 優先順序 | 群組的優先順序數值;未設定時顯示 -。 |
| 最後更新 | 最後一次修改的時間,可點欄位標題排序。 |
每一列最右側的「⋮」()選單提供「編輯」與「刪除」。右上角的 +()為「建立」,重新整理()圖示則會重新載入清單。
建立群組¶
- 在左側選單進入「群組」。
- 點右上角的 +(,建立)開啟建立表單。
- 在「名稱」輸入群組名稱。
- 視需要填寫「描述」「角色 ARN」「優先順序」。
- 點「儲存」完成建立。
完整欄位說明¶
| 欄位 | 必填 | 預設 | 說明 |
|---|---|---|---|
| 名稱 | 是 | 無 | 群組的識別名稱。長度上限 64 字,僅能使用英文字母、數字、- 與 _。建立後名稱無法修改。 |
| 描述 | 否 | 無 | 群組用途的說明文字,長度上限 255 字。 |
| 角色 ARN | 否 | 無 | 指定與此群組關聯的 AWS IAM 角色的 ARN,長度上限 128 字。一般情境可留空;只有需要讓群組成員以特定 AWS 角色存取雲端資源時才填。 |
| 優先順序 | 否 | 無 | 群組的優先順序,需填 0 以上的整數。當一位使用者同時屬於多個群組時,用來決定權限套用層級;數值較低的群組權限會優先套用到使用者。 |
群組詳細頁¶
在清單點擊群組名稱即可進入詳細頁。頁面上方有一排分頁,分別管理群組的基本資料與各種權限。
詳細頁共有六個分頁:
| 分頁 | 用途 |
|---|---|
| 一般 | 顯示群組的名稱、描述、角色 ARN、優先順序、建立與最後更新時間等基本資料。右上角提供「編輯」與「刪除」。 |
| 使用者 | 列出屬於此群組的使用者,可在此加入或移除成員。 |
| Agent 存取 | 設定群組可以使用哪些 Agent。 |
| 工作流程存取 | 設定群組可以執行哪些工作流程 (Workflow) 。 |
| 資源建立 | 設定群組可以建立哪些類型的資源。 |
| 資源存取 | 設定群組可以存取哪些既有資源,以及讀取或寫入的權限。 |
系統內建群組
名為 admin-group 的管理員群組擁有全平台權限,因此不會顯示上述四個權限分頁(Agent 存取、工作流程存取、資源建立、資源存取)。
設定群組權限¶
「Agent 存取」「工作流程存取」「資源建立」「資源存取」四個分頁的操作方式相同:分頁內是一張權限清單,點「建立」即可新增一筆權限。差別在於對話框要選的對象不同:
- Agent 存取:選一個既有的 Agent,再給「權限」。
- 工作流程存取:選一個既有的工作流程 (Workflow) ,再給「權限」。
- 資源建立:選「資源類型」(部分類型還要再選「類型」子類型,見下方),不需設讀寫權限。
- 資源存取:先選「資源類型」,再選該類型下的某個既有「資源」,最後給「權限」。
以「資源存取」為例,點「建立」會跳出對話框:
完整欄位說明(資源存取權限)¶
| 欄位 | 必填 | 預設 | 說明 |
|---|---|---|---|
| 資源類型 | 是 | 無 | 要授權的資源類型。可選:分割器、連結器、資料集、嵌入模型、知識庫、Lambda 函式、大型語言模型、載入器、MCP 伺服器、排序器、檢索器、搜尋引擎、技能、儲存庫、樣板、變數(不含 Agent 與工作流程,後兩者有專屬分頁)。 |
| 資源 | 是 | 無 | 在所選資源類型下,挑選要授權的那一個既有資源。 |
| 權限 | 是 | Read | 授予的權限等級。Read 為唯讀,Write 為可讀寫。 |
| 一併授予依賴資源權限 | 否 | 開啟 | 見下方「一併授予依賴資源權限」。 |
選好後點「儲存」,該筆權限就會出現在清單中。清單欄位包含資源名稱、資源 ID、資源類型、權限與最後更新時間,每筆權限同樣可在「⋮」()選單中編輯或刪除。
資源建立的「類型」子選項
在「資源建立」分頁建立權限時,若所選的資源類型還細分子類型(例如連結器、載入器等有多種來源),對話框會再出現一個「類型」欄位,可一次勾選多個子類型。沒有子類型的資源則不會出現此欄位。清單會同時以「資源類型」與「類型」兩欄顯示已授權的項目:
一併授予依賴資源權限¶
許多資源會相依其他資源才能運作(例如一個 Agent 會用到知識庫、檢索器、大型語言模型等)。只開放上層資源、卻沒給它依賴的資源權限,群組成員實際使用時可能會失敗。
平台提供兩種方式,一次把依賴資源的權限一起補齊:
- 建立權限時:在「Agent 存取」「工作流程存取」「資源存取」的建立對話框中,選好對象後會出現「一併授予依賴資源權限」開關(預設開啟)。開啟後系統會列出該對象所依賴的資源(名稱、ID、類型),儲存時一併授予相同等級的權限。若該對象沒有依賴任何資源,會顯示「此項目目前未依賴或使用任何其他資源」。
- 針對既有權限:在權限清單某一列的「⋮」()選單點「授予依賴資源權限」,會跳出確認框,把該筆權限對象的所有依賴資源補上相同等級的權限。
Tip
這個功能只「新增」依賴資源的權限,不會移除既有權限;重複執行是安全的。
資源建立 vs 資源存取
- 資源建立:控制群組能不能「新增」某類型的資源(例如允許自行建立知識庫)。
- 資源存取:控制群組對「既有」資源的讀寫權限(例如只能讀取某個指定的知識庫)。