Перейти к содержимому

Безопасность

Права пользователей

Права на подключения зависят от роли участника пространства. Чтобы изменить роль, откройте вкладку «Участники» в дашборде пространства.

ДействиеВладелецРедакторЧитатель
Видеть список подключений и отображаемые данные
Выполнять запросы (использовать подключение)
Создавать
Редактировать
Удалять

Роли «Владелец» и «Редактор» дают одинаковые права на подключения. Роль «Читатель» позволяет видеть подключения и их данные, но не выполнять к ним запросы.

Доступ к базе данных

По умолчанию разрешены все запросы и доступ к таблицам в пределах прав пользователя БД, указанного в подключении. Если у этого пользователя полный доступ, такой же доступ получат и участники пространства. Создавайте подключение с тем уровнем прав, который действительно нужен.

Внимание

Для доступа только на чтение заведите пользователя БД с правами на чтение и подключайтесь от его имени. Открывайте только те таблицы, которые должны быть видны участникам.

Список разрешённых IP

Подключение к базе устанавливается с нашего сервера, а не из вашего браузера, поэтому, если база ограничивает доступ по IP, добавьте наши адреса в файрвол или список разрешённых IP базы (обычно это требуется облачным и управляемым БД) — в приложении настраивать ничего не нужно.

Информация

IP-адреса сервера для списка разрешённых: 188.72.107.196 и 37.18.121.148

REST API-подключения

Относится к шаблонам и произвольным REST API.

  • Ключи и токены вводятся в защищённом поле и хранятся как секреты пространства в зашифрованном виде; на сервере они подставляются в запрос, но не передаются модели и не попадают в переписку.
  • Все запросы идут через серверный прокси с проверкой адреса (защита от SSRF) и списком разрешённых доменов подключения — обратиться к произвольному хосту нельзя.
  • Редиректы не выполняются, размер ответа ограничен.

Секреты пространства

  • Значение секрета шифруется на сервере (AES-256) и никогда не возвращается клиенту: его нет ни в коде ячейки, ни в логах, ни в переписке с ИИ.
  • Подстановку {{ИМЯ}} выполняет только серверный прокси и только для разрешённых доменов; проверка идёт по итоговому хосту запроса.
  • Удаление секрета необратимо — код и подключения, которые на него ссылаются, перестанут работать.
Была ли эта страница полезной?