Chuyển đến nội dung chính
Cài đặt Approval kiểm soát khi nào agent phải dừng và hỏi bạn trước khi chạy một công cụ. Bạn đặt mỗi công cụ thành tự động phê duyệt, yêu cầu phê duyệt hoặc vô hiệu hóa — cân bằng giữa tốc độ tự động hóa và mức độ an toàn.

Tại sao cần Approval

  • Sự tin tưởng được xây dựng dần dần. Bắt đầu với các công cụ ghi được đặt yêu cầu phê duyệt, rồi tự động phê duyệt các vận hành thường xuyên khi bạn đã xác minh hành vi agent.
  • Đọc nhanh, ghi an toàn. Các công cụ chỉ đọc chạy không cần prompt; bất cứ thứ gì thay đổi hạ tầng có thể được kiểm soát.
  • Bạn thấy lệnh chính xác trước. Mọi prompt phê duyệt đều hiển thị lệnh hoặc script trước khi chạy, vì vậy không có gì thực thi mà bạn chưa nhìn thấy.
  • Mọi quyết định đều được ghi lại. Các phê duyệt tạo ra dấu vết kiểm toán trả lời “ai đã phê duyệt thay đổi nào và tại sao” cho các đợt đánh giá tuân thủ.
  • Các vận hành rủi ro cao luôn bị kiểm soát. Giữ các thay đổi IAM và sửa đổi schema cơ sở dữ liệu luôn ở trạng thái yêu cầu phê duyệt.

Cấu hình quyền công cụ

Đặt chế độ phê duyệt theo từng công cụ, từng kết nối.
1

Mở Connections

Điều hướng đến Connections và chọn tab Built-in Connections.
2

Chọn kết nối

Tìm kết nối bạn muốn cấu hình, chẳng hạn như Amazon Web Services.
3

Mở Tool Settings

Nhấp Tool Settings để mở modal cấu hình.
4

Cấu hình từng công cụ

Với mỗi công cụ, đặt:
  • Enabled — cho phép hoặc không cho phép agent sử dụng công cụ này
  • Requires User Approval — yêu cầu phê duyệt thủ công trước khi thực thi
Cấu hình Tool Settings
Cùng các cờ theo từng công cụ cũng xuất hiện trong Approval của cài đặt workspace, trên tab Tool Permissions.

Các chế độ Approval

Mỗi công cụ chạy trong một trong ba chế độ:
Chế độĐiều gì xảy raDùng cho
Tự động phê duyệtAgent thực thi không cần hỏiPhân tích chỉ đọc, các vận hành an toàn
Yêu cầu phê duyệtAgent dừng và chờ xác nhận của bạnVận hành ghi, thay đổi hạ tầng
Vô hiệu hóaAgent không thể sử dụng công cụ nàyCác khả năng nhạy cảm bạn muốn tắt hoàn toàn
Cấu hình bắt đầu an toàn tách biệt đọc với ghi:
Loại công cụCài đặt khuyến nghịVí dụ
Chỉ đọcTự động phê duyệtaws_use_cli_read_only, gcp_use_cli_read_only, azure_use_cli_read_only
GhiYêu cầu phê duyệtaws_use_cli_write_only, gcp_use_cli_write_only, azure_use_cli_write_only

Prompt phê duyệt

Khi agent cố thực hiện một vận hành yêu cầu phê duyệt, nó dừng và hiển thị một prompt.
Prompt Phê duyệt Agent
Phần tửMô tả
OperationNhững gì agent muốn làm, chẳng hạn “Restart EC2 instance”
ReasoningTại sao agent thực hiện hành động này
DetailsLệnh hoặc script chính xác sẽ được thực thi
ProceedPhê duyệt vận hành và để agent tiếp tục
CancelDừng vận hành và thông báo cho agent
Mở rộng Details trước khi quyết định. Xác minh lệnh chính xác khớp với kỳ vọng của bạn — phê duyệt lệnh, không chỉ bản tóm tắt.

Khi nào agent xin phê duyệt

Các công cụ được đặt yêu cầu phê duyệt sẽ dừng agent với các vận hành như sau:
Danh mụcVí dụ
Thay đổi hạ tầngKhởi động lại instance, thay đổi kích thước tài nguyên, sửa đổi cấu hình
Vận hành ghiTạo, cập nhật hoặc xóa tài nguyên đám mây
Hành động bảo mậtThay đổi IAM, sửa đổi security group
Vận hành cơ sở dữ liệuThay đổi schema, sửa đổi dữ liệu
Thay đổi KubernetesCo giãn deployment, sửa đổi cấu hình

Approval, Auto Mode và quyền tự trị agent

Approval theo từng công cụ là quy tắc tĩnh: cùng một công cụ luôn hỏi, luôn chạy, hoặc luôn bị chặn. Hai cài đặt khác tương tác với nó. Auto Mode thay thế cờ tĩnh Requires approval bằng bộ phân loại xem xét từng lần ghi so với những gì bạn đã yêu cầu:
Cài đặt công cụAuto Mode tắtAuto Mode bật
Tự động phê duyệtChạy không cần hỏiChạy không cần hỏi
Yêu cầu phê duyệtLuôn hỏiBộ phân loại quyết định từng trường hợp
Vô hiệu hóaKhông bao giờ chạyKhông bao giờ chạy — Auto Mode không bao giờ bật công cụ đã bị vô hiệu hóa
Tắt Auto Mode và các quy tắc theo từng công cụ của bạn được khôi phục không thay đổi. Quyền tự trị agent áp dụng khi agent tự chạy, ngoài chat trực tiếp:
Chế độHoạt động
ManualAgent đề xuất hành động và chờ người dùng phê duyệt trước khi thực thi.
AutoAgent tự thực thi hành động và báo cáo kết quả.
Approval theo từng công cụ quản lý các lần gọi công cụ riêng lẻ; chế độ tự trị quản lý liệu các hành động được đề xuất của agent có chờ người duyệt hay không.

Câu hỏi thường gặp

Khi lần đầu kết nối dịch vụ mới, đặt tất cả công cụ ghi yêu cầu phê duyệt. Khi bạn xây dựng sự tin tưởng vào hành vi agent, hãy chọn lọc tự động phê duyệt các vận hành thường xuyên.
Có. Mọi phê duyệt đều được ghi lại, hiển thị ai đã phê duyệt thay đổi nào và tại sao — một hồ sơ quản lý thay đổi mà không cần chi phí của quy trình ITSM đầy đủ.
Bạn có thể hủy vận hành từ prompt phê duyệt trước khi nó chạy. Khi đã phê duyệt, lệnh thực thi như hiển thị trong Details.
Các cờ Requires approval bị tạm dừng trong khi bộ phân loại quyết định từng trường hợp. Các công cụ đã vô hiệu hóa vẫn bị vô hiệu hóa. Tắt Auto Mode khôi phục các quy tắc của bạn đúng như đã cấu hình.

Liên quan

Auto Mode

Để bộ phân loại tự động phê duyệt các hành động agent an toàn giúp chat không bị gián đoạn

Agents

Tìm hiểu cách agent hoạt động và cộng tác

Connections

Thiết lập kết nối đám mây và dịch vụ