Ana içeriğe geç

Bölüm 10: Access Management

Access Management Yaklaşımı

Access Management, Arceris'in "kim neyi hangi kapsamda kullanabilir" sorusuna verdiği merkezi cevaptır. Bu ekran, güvenlik kurallarını (PII, prompt guard, model erişimi vb.) doğrudan kullanıcı veya grup hedeflerine bağlayarak canlı politika oluşturmayı sağlar.

Sayfa iki ana bölümden oluşur: solda hedef listesi (Targets), sağda seçilen hedefin atamalarını gösteren detay paneli. Üstte ise üç eylem butonu bulunur: Create Assignment, Rule Library ve Add LDAP User.

Sayfa Düzeni

Sol Panel — Targets: Sistemdeki tüm kullanıcı ve grup hedeflerini listeler. Arama çubuğu ile etiket, ID veya açıklamaya göre filtreleme yapılabilir. "All Targets", "Users" ve "Groups" butonları ile hedef türüne göre daraltma yapılır. Bir hedef seçildiğinde sağ panel o hedefin detaylarını ve atamalarını gösterir.

Sağ Panel — Target Detail: Seçilen hedefin üzerindeki tüm aktif atamaları kural türüne göre gruplar halinde gösterir. Her atama için kural adı, etki (allow/deny), kapsam ve öncelik bilgisi görüntülenir. Atama silmek için sağındaki çöp kutusu ikonu kullanılır.

Hedef Türleri

Arceris'te atamalar iki temel hedef türüne bağlanır:

  • User: Bireysel kullanıcıya özel atama. Kullanıcı adı (username) ile hedeflenir. Özellikle istisna yönetimi veya bireysel özel durumlar için kullanılır.
  • Group: Gruba özel atama. LDAP grup DN'si veya yerel grup adı ile hedeflenir. Kurumsal ortamlarda kalıcı ve ölçeklenebilir politika yönetimi için önerilen yaklaşımdır.

İyi bir yönetişim modeli, kullanıcı düzeyindeki istisnaları mümkün olduğunca azaltıp grup temelli yönetimi öne çıkarır.

Create Assignment (Atama Oluşturma)

"Create Assignment" butonu ile açılan modal, yeni bir kural ataması oluşturmak için kullanılır. Modal üç adımdan oluşur:

1. Hedef ve Kural Türü Seçimi:

  • Target Type: User veya Group seçilir.
  • Target: User seçildiyse kullanıcı adı yazılarak aranır (LDAP'den otomatik import da yapılabilir). Group seçildiyse grup adı veya DN yazılarak aranır.
  • Rule Type: Atanacak kural türü seçilir. Kullanılabilir kural türleri:
  • PII — Kişisel bilgi eşleştiricilerini ACL kapsamında modele bağlar.
  • Prompt Guard — Prompt injection politikalarını doğrudan kullanıcı prompt'ları ve getirilen içeriklere uygular.
  • Model Access — Belirli model ve araç kombinasyonlarına erişim izni (allow/deny) verir.
  • System Prompt — Eşleşen isteklere yönetici tanımlı sistem prompt'ları enjekte eder.
  • Path Filter — Dosya sistemi veya yol düzeyinde erişim kontrolleri uygular.
  • MIME Filter — Transparent proxy üzerinden belirli dosya türlerini (görsel, video, ses) engeller veya izin verir.
  • OCR Filter — Dosya içeriklerini OCR ile tarar ve hassas veri kalıplarıyla eşleşen yüklemeleri engeller.
  • Cost Limit — Kullanıcı bazlı token, prompt ve aylık maliyet sınırları tanımlar.

2. Atama Modu:

  • Existing Rule: Kural kütüphanesinden daha önce tanımlanmış bir kural seçilip hedefe atanır.
  • New Rule: Yeni bir kural doğrudan bu modal içinde oluşturulup hedefe atanır. Kural aynı zamanda kütüphaneye de kaydedilir.

3. Atama Bağlamı (Kural Türüne Göre Değişir):

Kural türüne göre farklı ek parametreler görünür:

  • Model Access / System Prompt: Effect (allow/deny), Scope (All / API / Browser Proxy) ve Priority alanları.
  • Prompt Guard: Action (block/sanitize/detect_only) ve Priority.
  • PII: Scope ve kural bazlı action override (mask/block/log).
  • MIME Filter / OCR Filter: Effect (block/allow).
  • Path Filter: Permission (write/read/none).

Scope (Kapsam) kavramı tüm kural türlerinde ortaktır ve üç değer alır: - All — Hem API hem Browser Proxy trafiğine uygulanır. - API — Yalnızca doğrudan API çağrılarına uygulanır. - Browser Proxy — Yalnızca transparent proxy üzerinden gelen tarayıcı trafiğine uygulanır.

Rule Library (Kural Kütüphanesi)

"Rule Library" butonu ile açılan panel, tüm kural türlerindeki kayıtlı kuralların merkezi görünümüdür. Her kural türü (PII, Prompt Guard, Model Access vb.) ayrı bir sekme olarak listelenir. Bu panelden:

  • Mevcut kurallar görüntülenebilir ve düzenlenebilir
  • Yeni kurallar oluşturulabilir
  • Kurallar silinebilir

Kütüphane yaklaşımının avantajı, aynı kuralın birden fazla hedefe atanabilmesidir. Kuralda yapılan bir değişiklik, o kurala bağlı tüm atamaları otomatik olarak etkiler.

Add LDAP User (LDAP Kullanıcısı İçeri Aktarma)

"Add LDAP User" butonu ile açılan modal, bir LDAP kullanıcısını henüz giriş yapmadan önce Arceris'e önceden tanımlamayı (pre-provision) sağlar. Kullanıcı adı girildiğinde Arceris, LDAP dizininde arama yapar ve kullanıcıyı hedef listesine ekler. Bu sayede kullanıcı ilk giriş yapmadan önce de kendisine kural atamaları yapılabilir.

Aynı şekilde, Create Assignment modalı içinde kullanıcı veya grup ararken de LDAP'den anlık import yapılabilir. Arama alanında yazılan isim yerel hedeflerde bulunamazsa "Search in LDAP" seçeneği sunulur.

Atama Silme

Bir atamayı silmek için, sağ detay panelinde ilgili atamanın yanındaki çöp kutusu ikonuna tıklanır. Onay diyaloğunda "Remove" seçildiğinde atama kalıcı olarak kaldırılır ve hedef üzerindeki politika anında güncellenir.

Etkin Politika Görünümü

Bir hedef seçildiğinde sağ panel, o hedef üzerinde gerçekten hangi kuralların etkili olduğunu gösterir. Bu görünüm, hangi kuralların tanımlı olduğundan ziyade "şu an bu kullanıcı veya grup üzerinde ne uygulanıyor" sorusunun cevabıdır. Kurallar türlerine göre gruplandırılarak sunulur.

Kullanım İpuçları

  • Kalıcı politika değişiklikleri için grup hedefleri tercih edilmeli, kullanıcı hedefleri yalnızca istisna durumlar için kullanılmalıdır.
  • Yeni bir kural oluşturmadan önce Rule Library'de benzer bir kuralın olup olmadığı kontrol edilmelidir.
  • Kural türü değiştirildiğinde, seçili kural ve bağlam alanları sıfırlanır; bu nedenle kural türü önce seçilmeli, ardından diğer alanlar doldurulmalıdır.
  • LDAP kullanıcıları henüz giriş yapmamış olsa bile "Add LDAP User" ile önceden tanımlanarak atama yapılabilir.

Access Management, Arceris'in hedef bazlı yönetişim merkezidir. Ürün içindeki farklı kural ailelerini yalnızca kütüphane olarak tutmakla kalmaz; bunların kullanıcılar ve gruplar üzerinde nasıl uygulandığını da merkezi biçimde yönetmeyi sağlar.

Bu nedenle bu ekran, ürünün "kim neyi hangi kapsamda kullanabilir" sorusuna verilen ana cevaptır.

Hedef Türleri

Ürünün arka planında birden fazla hedef tipi desteklenebilse de, müşteri yüzeyinde asıl operasyon odağı genellikle kullanıcı ve grup hedefleridir. Bu tercih, günlük yönetimi sadeleştirir ve en sık kullanılan yönetişim akışlarını öne çıkarır.

Operasyon ekipleri açısından hedef tipi, kuralın kime uygulanacağını belirleyen temel bağlamdır.

Kullanıcı ve Grup Hedefleri

Kullanıcı hedefleri daha bireysel, grup hedefleri ise daha ölçeklenebilir yönetim sağlar. Kurumsal ortamlarda kalıcı politika yaklaşımı çoğu zaman grup bazlı olur; kullanıcı bazlı atamalar ise istisna veya özel durum yönetimi için kullanılır.

Bu nedenle iyi bir yönetişim modeli, kullanıcı düzeyindeki istisnaları mümkün olduğunca azaltıp grup temelli yönetimi öne çıkarır.

Reusable Rule Library Mantığı

Arceris'te birçok kural tipi önce reusable kütüphane kaydı olarak tanımlanır, sonra hedeflere atanır. Bu yaklaşım aynı kural mantığının tekrar tekrar yeniden yazılmasını önler.

Bu modelin operasyonel faydası; standartlaşma, tekrar kullanılabilirlik ve merkezi değişiklik yönetimidir.

Atama Modeli

Kural tanımlamak ile kuralı etkin hale getirmek aynı şey değildir. Etkinlik, atama ile oluşur. Access Management bu ayrımı açık tutar ve operatörün hangi kuralın hangi hedefte aktif olduğunu takip etmesini kolaylaştırır.

Bu yapı sayesinde kütüphane düzeni ile canlı politika etkisi birbirine karışmaz.

Etkin Politika Görünümü

Hedef üzerinde gerçekten hangi kuralların etkili olduğunu görmek, yönetim ekranlarının en kritik operasyon ihtiyaçlarından biridir. Effective policy mantığı bu ihtiyacı karşılar.

Operasyon ekipleri için bu görünüm, "hangi kural tanımlı" sorusundan daha değerlidir; çünkü asıl önemli olan "şu an bu kullanıcı veya grup üzerinde ne uygulanıyor" sorusudur.

Hedef Bazlı Yetki İnceleme

Belirli bir kullanıcı veya grubun neden bir erişime sahip olduğunu ya da neden engellendiğini anlamak çoğu zaman kural yönetiminin en önemli kısmıdır. Hedef bazlı inceleme, sorun giderme ve denetim açısından vazgeçilmezdir.

Bu alan özellikle erişim uyuşmazlığı, yetki çakışması ve beklenmeyen politika davranışı senaryolarında kullanılır.

Library Kayıtları ile Assignment Kayıtlarının Ayrımı

Bu ayrımın korunması ürünün yönetilebilirliği için önemlidir. Kütüphane kaydı reusable mantığı temsil ederken, assignment kaydı canlı hedef bağlamını temsil eder. Operasyon ekiplerinin bu iki katmanı ayırarak düşünmesi, hem düzen hem de değişiklik güvenliği açısından daha doğru bir çalışma modeli oluşturur.