メインコンテンツへスキップ
承認設定は、エージェントがツールを実行する前に停止してあなたに確認を求めるタイミングを制御します。各ツールを自動承認、承認必須、または無効に設定することで、自動化の速度と安全性のバランスを取ります。

承認の理由

  • 信頼は段階的に築きます。 書き込みツールを最初は承認必須に設定し、エージェントの動作を確認したら定型オペレーションを自動承認に切り替えます。
  • 読み取りは速く、書き込みは安全に。 読み取り専用ツールはプロンプトなしで実行、インフラを変更するものはゲートできます。
  • 正確なコマンドを事前に確認。 すべての承認プロンプトは実行前にコマンドまたはスクリプトを表示するため、見えないまま実行されるものはありません。
  • すべての判断が記録されます。 承認はコンプライアンスレビューのために「誰がどの変更を承認し、なぜか」に答える監査証跡を作成します。
  • 高リスクなオペレーションはゲートされたまま。 IAM の変更とデータベーススキーマの変更は永続的に承認必須にしてください。

ツール権限を設定する

ツールごと、接続ごとに承認モードを設定します。
1

Connections を開く

Connections に移動し、Built-in Connections タブを選択します。
2

接続を選択する

設定したい接続(例:Amazon Web Services)を見つけます。
3

Tool Settings を開く

Tool Settings をクリックして設定モーダルを開きます。
4

各ツールを設定する

各ツールについて以下を設定します:
  • Enabled — エージェントがこのツールを使用できるかどうか
  • Requires User Approval — 実行前に手動承認を必要とするかどうか
ツール設定の設定画面
同じツールごとのフラグは、ワークスペース設定の ApprovalTool Permissions タブにも表示されます。

承認モード

各ツールは次の 3 つのモードのいずれかで実行されます:
モード動作使用場面
自動承認エージェントが確認なしに実行読み取り専用分析、安全なオペレーション
承認必須エージェントが停止して確認を待つ書き込みオペレーション、インフラ変更
無効エージェントはこのツールを使用できない制限したい機密性の高い機能
安全な初期設定として、読み取りと書き込みを分離します:
ツールの種類推奨設定
読み取り専用自動承認aws_use_cli_read_onlygcp_use_cli_read_onlyazure_use_cli_read_only
書き込み承認必須aws_use_cli_write_onlygcp_use_cli_write_onlyazure_use_cli_write_only

承認プロンプト

エージェントが承認必須のオペレーションを試みると、停止してプロンプトを表示します。
エージェント承認プロンプト
要素説明
Operationエージェントが行おうとしていること(例:「EC2 インスタンスを再起動」)
Reasoningエージェントがこのアクションを取る理由
Details実行される正確なコマンドまたはスクリプト
Proceedオペレーションを承認してエージェントを続行させる
Cancelオペレーションを停止してエージェントに通知する
判断する前に Details を展開してください。正確なコマンドが期待に合致しているかを確認してください — サマリーではなくコマンドを承認します。

エージェントが承認を求める場面

承認必須に設定されたツールは、次のようなオペレーションでエージェントを停止させます:
カテゴリ
インフラ変更インスタンスの再起動、リソースのリサイズ、設定の変更
書き込みオペレーションクラウドリソースの作成、更新、削除
セキュリティアクションIAM の変更、セキュリティグループの変更
データベースオペレーションスキーマ変更、データ変更
Kubernetes の変更デプロイメントのスケール、設定の変更

承認、Auto Mode、エージェントの自律性

ツールごとの承認は静的なルールです。同じツールは常に確認を求め、常に実行され、または常にブロックされます。2 つの他の設定がこれと連動します。 Auto Mode は静的な承認必須フラグを、各書き込みがあなたのリクエストに合致するかどうかをレビューする分類器に置き換えます:
ツール設定Auto Mode オフAuto Mode オン
自動承認確認なしに実行確認なしに実行
承認必須常に確認を求める分類器がケースバイケースで判断
無効実行しない実行しない — Auto Mode で無効なツールが有効になることはない
Auto Mode をオフにすると、ツールごとのルールがそのまま再開されます。 エージェントの自律性は、エージェントがライブチャット外で自律的に実行する際に適用されます:
モード動作
Manual(手動)エージェントがアクションを提案し、実行前に人間の承認を待ちます。
Auto(自動)エージェントが自律的にアクションを実行し、結果を報告します。
ツールごとの承認は個々のツール呼び出しを管理し、自律性モードはエージェントが提案するアクションが人を待つかどうかを管理します。

よくある質問

新しいサービスを初めて接続するときは、すべての書き込みツールを承認必須に設定してください。エージェントの動作に確信が持てたら、定型オペレーションを選択的に自動承認に切り替えます。
はい。すべての承認が記録され、誰がどの変更を承認し、なぜ承認したかを示します — フル ITSM ワークフローのオーバーヘッドなしに変更管理の記録を作成します。
承認プロンプトから実行前にオペレーションをキャンセルできます。一度承認されると、Details に表示されたとおりにコマンドが実行されます。
承認必須フラグは分類器がケースバイケースで判断する間は一時停止されます。無効なツールは無効のままです。Auto Mode をオフにすると、ルールはそのまま設定どおりに復元されます。

関連

Auto Mode

チャットを止めずに安全なエージェントアクションを自動承認する分類器を設定する

エージェント

エージェントの仕組みと連携について学ぶ

接続

クラウドとサービスの接続をセットアップする