Doanh nghiệp · Quản trị Agent

Agent của bạn có tên, chủ sở hữu
và công tắc tắt nguồn.

Đến năm 2027, các đội (fleets) — và một đội các tiến trình ẩn danh là rủi ro. LeanCTX biến mọi agent thành một danh tính đã đăng ký: duy nhất, thuộc về con người, được quản lý vòng đời, chứng thực và có thể thu hồi — với mọi chuyển đổi trong nhật ký kiểm toán chống giả mạo.

Mô hình

Danh tính là bên trả lời. Vai trò là thứ vận hành.

Vai trò vẫn là các hồ sơ quyền hạn có thể tái sử dụng. Danh tính gắn trách nhiệm giải trình ở cấp cao hơn: agent_id, owner, status, key binding, attestation, heartbeat. Bốn thuộc tính tạo nên một đội có khả năng quản trị.

Danh tính đã đăng ký

Mọi agent là một bản ghi: agent_id ổn định, vai trò, liên kết khóa Ed25519, ngày tạo. Không còn đoán mò tiến trình nào làm gì — sổ đăng ký là nguồn sự thật về những ai tồn tại.

Thuộc sở hữu, luôn luôn

Đăng ký mà không có chủ sở hữu con người sẽ bị từ chối. Trách nhiệm giải trình mang tính cấu trúc: mọi mục kiểm toán, mọi sự kiện vòng đời, mọi gói bằng chứng đều truy vết đến một người chịu trách nhiệm về agent.

Thu hồi trong một giao dịch

Tạm dừng một agent, hoặc loại bỏ chủ sở hữu và tạm dừng toàn bộ đội của họ theo nguyên tử — mỗi lần tạm dừng được kiểm toán riêng lẻ. Ngừng hoạt động là cuối cùng và ghi vào mục đóng nhật ký kiểm toán.

Chứng thực, trung thực

Băm nhị phân và băm cấu hình vai trò khi đăng ký và mọi heartbeat. Sự sai lệch được phát hiện ngay lập tức (exit code 3) — nâng cấp, chỉnh sửa cấu hình hoặc giả mạo. Chúng tôi ghi lại những gì điều này KHÔNG bảo vệ chống lại.

Trong thực tế

Một đội, năm lệnh.

Mọi thứ đều ưu tiên CLI và trung thực về mã thoát, vì vậy các pipeline và giám sát của bạn có thể hành động dựa trên đó.

$ lean-ctx agent register --id ci-reviewer-1 --role reviewer --owner alice@org
registered: ci-reviewer-1 (role reviewer, owner alice@org)
spiffe id: spiffe://org.example/agent/reviewer/ci-reviewer-1

$ lean-ctx agent heartbeat ci-reviewer-1     # liveness + drift; exit 3 on drift

$ lean-ctx agent offboard-owner alice@org --reason "left company"
suspended 2 agent(s): ci-coder-1, ci-reviewer-1

$ lean-ctx agent check ci-reviewer-1         # enforce-path decision point
ci-reviewer-1: DENIED — suspended: left company   # exit 1

Mọi chuyển đổi đều ghi lại một mục kiểm toán chống giả mạo — registered, suspended, resumed, decommissioned là các loại sự kiện tiêu chuẩn (OCP Part 4), vì vậy lịch sử danh tính sẽ tự động nằm trong các gói bằng chứng. Mô hình và mô hình mối đe dọa đầy đủ: tài liệu về danh tính agent.

"Điều gì xảy ra khi ai đó rời đi?"

Các agent của họ ngừng hoạt động. Về mặt cơ học. Việc loại bỏ chủ sở hữu sẽ tạm dừng mọi agent đang hoạt động của chủ sở hữu đó trong một giao dịch khóa duy nhất — được kết nối với luồng deprovisioning SCIM của bạn hoặc chạy từ danh sách kiểm tra người rời đi. Các agent mồ côi là các tài khoản dịch vụ bị lãng quên của kỷ nguyên agent; LeanCTX khiến chúng bất khả thi về mặt cấu trúc.

FAQ

Những gì đội ngũ nền tảng hỏi.

Tại sao agent cần danh tính khi chúng đã có vai trò?

Vai trò cho biết một quy trình có thể làm gì; danh tính cho biết ai chịu trách nhiệm về nó. Với các fleet, những câu hỏi quan trọng là vận hành: ai sở hữu agent này, lần cuối cùng nó hoạt động là khi nào, ai đã tắt nó và tại sao, quyền của nó sẽ ra sao khi chủ sở hữu rời đi? Sổ đăng ký trả lời chúng một cách cơ học — danh tính (ai) được tách biệt khỏi vai trò (cái gì), vì vậy các vai trò vẫn là hồ sơ có thể tái sử dụng.

Vấn đề agent mồ côi là gì?

Một agent mà chủ sở hữu con người đã rời công ty nhưng nó vẫn tiếp tục chạy bằng thông tin xác thực của mình — phiên bản tài khoản dịch vụ bị lãng quên trong kỷ nguyên agent, ngoại trừ việc nó đọc mã và chạy lệnh. LeanCTX đóng lại vấn đề này về mặt cấu trúc: chủ sở hữu là bắt buộc khi đăng ký, và một lệnh duy nhất (hoặc luồng deprovisioning SCIM của bạn) sẽ tạm dừng toàn bộ fleet đang hoạt động của chủ sở hữu trong một giao dịch khóa duy nhất, mọi việc tạm dừng đều được kiểm toán.

Vòng đời hoạt động như thế nào?

active → suspended ⇄ active → decommissioned. Tạm dừng mang theo lý do và có thể đảo ngược; ngừng hoạt động là cuối cùng theo thiết kế — bản ghi không bao giờ bị xóa và không bao giờ được kích hoạt lại, bởi vì danh tính là một phần của lịch sử kiểm toán. Mọi chuyển đổi đều ghi lại một mục kiểm toán chống giả mạo bằng cách sử dụng các loại sự kiện tiêu chuẩn (agent_registered, agent_suspended, agent_resumed, agent_decommissioned — OCP Part 4), vì vậy các thay đổi danh tính sẽ tự động xuất hiện trong các gói bằng chứng.

Chứng nhận thực sự chứng minh điều gì?

Đăng ký và mọi hash nhịp tim đều băm tệp nhị phân đang chạy và tệp vai trò đang hoạt động. Một hash thay đổi có nghĩa là có thứ gì đó đã thay đổi — một bản nâng cấp, chỉnh sửa cấu hình, hoặc giả mạo — và xuất hiện dưới dạng độ lệch với mã thoát khác 0 mà hệ thống giám sát của bạn có thể cảnh báo. Đây là phát hiện độ lệch, không phải chứng nhận từ xa: kẻ tấn công với quyền kiểm soát host đầy đủ có thể làm giả các hash, và mô hình mối đe dọa của chúng tôi nói rõ điều đó. Nó bổ sung, chứ không thay thế, việc tăng cường host và ký mã nguồn.

Điều này tích hợp với IAM của chúng tôi như thế nào?

Ba hook. SPIFFE: mọi bản ghi đều ánh xạ tới spiffe://<trust-domain>/agent/<role>/<agent_id>, vì vậy danh tính workload K8s (SPIRE) và LeanCTX là cùng một tên. SCIM: kết nối luồng deprovisioning của bạn với lệnh loại bỏ chủ sở hữu. Chế độ thực thi: API kiểm tra là một điểm quyết định duy nhất — các agent chưa đăng ký hoặc bị tạm dừng sẽ bị từ chối; bắt đầu ở chế độ giám sát, chuyển sang chế độ thực thi khi fleet được đăng ký.

Quản lý lực lượng lao động agent.

Đăng ký agent đầu tiên của bạn trong vòng một phút, cục bộ và miễn phí — hoặc nói chuyện với chúng tôi về triển khai fleet bằng SCIM và SPIFFE.