面向人類和智慧體的基於角色的訪問控制

Modal 近日宣佈，面向所有 Team 和 Enterprise 計劃使用者推出基於角色的訪問控制（RBAC）功能，旨在幫助團隊更安全地管理人類和 AI 智慧體對雲端資源的訪問。

隨著 AI 智慧體不僅編寫程式碼，還開始自主部署應用、管理基礎設施，傳統的全有或全無的許可權模型已無法滿足需求。Modal 的 RBAC 系統以“環境（Environments）”為核心構建。環境是 Modal 工作區（Workspace）的子分割槽，每個環境可擁有獨立的儲存（Volumes、Dicts、Secrets）和應用，並支援單獨檢視使用資料、設定併發和 GPU 限制。團隊可以根據開發流程自由劃分環境，例如經典的開發-預釋出-生產三級結構，或按開發者、按變更建立獨立環境。

RBAC 將環境強化為可執行的安全邊界。在受限環境（Restricted Environments）中，工作區成員預設只有只讀許可權，只有被明確授權的使用者或服務使用者才能在環境中建立、部署和管理資源。日誌和金鑰的訪問也僅限於環境內的使用者和智慧體。同時，跨環境查詢被嚴格限制：一個受限環境中的金鑰、應用和卷僅對該環境內執行的程式碼可見。

Modal 為不同角色推薦了預設訪問模型：人類開發者作為工作區使用者，在開發環境擁有貢獻許可權，在生產環境為檢視者或貢獻者；AI 智慧體作為服務使用者，專屬環境設為貢獻者，用於自主迭代；CI 部署工具作為服務使用者，在生產環境擁有貢獻許可權，負責受控部署；外部呼叫者透過代理認證令牌，僅能呼叫關聯 Web Function 環境的端點。

RBAC 基於一套全新的許可權架構，已在生產環境中執行數月。它是 Modal 未來一系列智慧體開發工具的基礎。即將推出的功能包括：按智慧體設定花費和時間限制、許可權原語的程式設計介面、基於資源的許可權，以及預設啟用受限環境。

使用者現在可以在設定的工作區管理部分的環境標籤頁中啟用 RBAC。Modal 團隊表示，他們正在招聘，以繼續構建安全的智慧體基礎設施。