Cloud 权限
Appaloft Cloud 组织权限、可分配角色与 plan 可用性。
Cloud
Cloud 权限
Appaloft Cloud 的组织权限由后端 operation guard 强制执行。成员页面、邀请对话框和下拉选项只负责展示可选动作;真正的允许或拒绝来自 Cloud 权限策略。
Plan 可用性
| Plan | 可分配组织权限 | 说明 |
|---|---|---|
| Free | owner、developer | 兼容最小团队模型;邀请成员默认是 developer。 |
| Basic | owner、developer | 和 Free 一样保留基础协作,不解锁细分权限。 |
| Team | owner、admin、developer、billing、viewer | 解锁 Basic RBAC,允许把组织治理、交付、账务查看和只读观察分开。 |
| Business | owner、admin、developer、billing、viewer | 继承 Team 的 Basic RBAC。 |
| Enterprise | owner、admin、developer、billing、viewer | 继承 Basic RBAC;自定义角色、项目级角色、SSO/SCIM 和细粒度自定义策略仍属于后续 Enterprise 范围。 |
组织权限模型
| 权限 | 适合谁 | 能做什么 |
|---|---|---|
owner | 创始人、组织最终负责人 | 拥有全部组织能力,包括组织删除、ownership transfer、成员邀请、角色变更、资源与部署管理。 |
admin | 团队负责人、平台管理员 | 管理非 owner 成员和大多数产品操作;不能转移所有权、删除组织或变更/移除 owner。 |
developer | 开发、运维、交付工程师 | 创建和管理项目、资源、部署、运行时动作;不能管理组织成员或账务设置。 |
billing | 财务、采购、FinOps | 读取项目、资源和账务相关信息;不执行部署、资源变更或成员治理。 |
viewer | 审计、支持、外部协作者 | 只读查看项目、资源、部署、成员和配置摘要;没有变更权限。 |
权限矩阵摘要
| 能力域 | owner | admin | developer | billing | viewer |
|---|---|---|---|---|---|
| 项目、资源、部署读取 | 允许 | 允许 | 允许 | 允许 | 允许 |
| 项目生命周期管理 | 允许 | 允许 | 允许 | 拒绝 | 拒绝 |
| 交付与运行时操作 | 允许 | 允许 | 允许 | 拒绝 | 拒绝 |
| Blueprint 市场安装 | 允许 | 允许 | 允许 | 拒绝 | 拒绝 |
| 成员邀请、角色变更、移除、恢复 | 允许 | 允许非 owner 成员 | 拒绝 | 拒绝 | 拒绝 |
| 所有权转移与组织删除 | 允许 | 拒绝 | 拒绝 | 拒绝 | 拒绝 |
| 实例维护 | 仅 instance super admin | 仅 instance super admin | 仅 instance super admin | 仅 instance super admin | 仅 instance super admin |
默认与兼容规则
- 新邀请成员默认授予
developer,因为交付协作是 Cloud 的主要工作流。 - Better Auth 历史
owner、admin会映射到同名 Cloud 权限;历史member会兼容映射为developer。 - 无法识别的角色字符串会按最小权限映射为
viewer。 owner治理不能通过普通角色变更绕过;设置 owner、转移 owner、变更或移除 owner 成员必须走 ownership transfer 约束。
后端强制
Cloud 权限不是 UI 装饰。每个产品 operation 都有 CASL policy,拒绝时会返回 authorization error,并携带可审计的 trace 属性,例如 appaloft.cloud.authz.denied 与拒绝原因。API、CLI、worker 和 Web console 共享同一套 operation guard。