Mode avec élévation
Mode avec élévation
Section intitulée « Mode avec élévation »Lorsqu’un agent s’exécute dans un sandbox, ses commandes exec sont confinées à l’environnement
sandbox. Le mode avec élévation permet à l’agent de s’en échapper et d’exécuter des commandes
sur l’hôte de la passerelle à la place, avec des barrières d’approbation configurables.
Directives
Section intitulée « Directives »Contrôlez le mode avec élévation par session avec les commandes slash :
| Directive | Ce qu’elle fait |
|---|---|
/elevated on | Exécuter sur l’hôte de la passerelle, conserver les approbations exec |
/elevated ask | Identique à on (alias) |
/elevated full | Exécuter sur l’hôte de la passerelle et ignorer les approbations exec |
/elevated off | Retourner à l’exécution confinée au sandbox |
Également disponible sous la forme /elev on|off|ask|full.
Envoyez /elevated sans argument pour voir le niveau actuel.
Fonctionnement
Section intitulée « Fonctionnement »Vérifier la disponibilité
La fonctionnalité Elevated doit être activée dans la configuration et l’expéditeur doit figurer sur la liste d’autorisation (allowlist) :
{tools: {elevated: {enabled: true,allowFrom: {discord: ["user-id-123"],whatsapp: ["+15555550123"],},},},}Définir le niveau
Envoyez un message contenant uniquement une directive pour définir la valeur par défaut de la session :
/elevated fullOu utilisez-la en ligne (s’applique uniquement à ce message) :
/elevated on run the deployment scriptLes commandes s'exécutent sur l'hôte
Lorsque le mode avec élévation est actif, les appels
execsont routés vers l’hôte de la passerelle au lieu du sandbox. En modefull, les approbations exec sont ignorées. En modeon/ask, les règles d’approbation configurées s’appliquent toujours.
Ordre de résolution
Section intitulée « Ordre de résolution »- Directive en ligne sur le message (s’applique uniquement à ce message)
- Remplacement de session (défini en envoyant un message contenant uniquement une directive)
- Valeur par défaut globale (
agents.defaults.elevatedDefaultdans la configuration)
Disponibilité et listes d’autorisation
Section intitulée « Disponibilité et listes d’autorisation »- Portail global :
tools.elevated.enabled(doit êtretrue) - Liste d’autorisation de l’expéditeur :
tools.elevated.allowFromavec des listes par canal - Portail par agent :
agents.list[].tools.elevated.enabled(ne peut que restreindre davantage) - Liste d’autorisation par agent :
agents.list[].tools.elevated.allowFrom(l’expéditeur doit correspondre à la fois au global + par agent) - Repli Discord : si
tools.elevated.allowFrom.discordest omis,channels.discord.allowFromest utilisé comme solution de repli - Tous les portails doivent être réussis ; sinon, le mode élevé est traité comme indisponible
Formats des entrées de la liste d’autorisation :
| Préfixe | Correspondances |
|---|---|
| (aucun) | ID d’expéditeur, E.164 ou champ De |
name: | Nom d’affichage de l’expéditeur |
username: | Nom d’utilisateur de l’expéditeur |
tag: | Balise de l’expéditeur |
id:, from:, e164: | Ciblage d’identité explicite |
Ce que le mode élevé ne contrôle pas
Section intitulée « Ce que le mode élevé ne contrôle pas »- Stratégie d’outil : si
execest refusé par la stratégie d’outil, le mode élevé ne peut pas le remplacer - Distinct de
/exec: la directive/execajuste les valeurs par défaut d’exécution par session pour les expéditeurs autorisés et ne nécessite pas le mode élevé
Connexes
Section intitulée « Connexes »- Outil Exec — exécution de commandes shell
- Approbations Exec — système d’approbation et de liste d’autorisation
- Bac à sable (Sandboxing) — configuration du bac à sable
- Bac à sable vs Stratégie d’outil vs Mode élevé