egutierrez
db1a93c3fe
Reestructura los grupos de seguridad para soportar agentes privilegiados: - Nuevo grupo 'privileged' con father-bot (solo admins) - Reemplaza grupo 'all' (wildcard) con 'general' (lista explicita) para evitar que el ACL union otorgue permisos de everyone a father-bot - Documenta en YAML que el ACL es acumulativo y por que privileged y general deben ser mutuamente excluyentes Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
21 lines
909 B
YAML
21 lines
909 B
YAML
# Políticas de permisos: para cada grupo de agentes, qué acciones tiene cada grupo de usuarios
|
|
# Actions: "*" = todo, "ask" = chat libre, "command:<name>" = comandos, "tool:<name>" = tools
|
|
# Politicas de permisos: para cada grupo de agentes, que acciones tiene cada grupo de usuarios
|
|
# Actions: "*" = todo, "ask" = chat libre, "command:<name>" = comandos, "tool:<name>" = tools
|
|
#
|
|
# IMPORTANTE: el ACL es union (acumulativo). Si un agente aparece en multiples grupos,
|
|
# recibe los permisos de TODOS. Por eso "privileged" y "general" son mutuamente excluyentes.
|
|
policies:
|
|
# Agentes privilegiados (father-bot): solo admins
|
|
- agent_group: privileged
|
|
permissions:
|
|
- user_group: admins
|
|
actions: ["*"]
|
|
# Agentes generales: acceso abierto a todos
|
|
- agent_group: general
|
|
permissions:
|
|
- user_group: admins
|
|
actions: ["*"]
|
|
- user_group: everyone
|
|
actions: ["*"]
|