> ## Documentation Index
> Fetch the complete documentation index at: https://enterprise-docs.dify.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 権限

> ロールとリソースアクセスを組み合わせて、各メンバーができることを制御します

メンバーの権限は、2 つの要素で決まります。保持する **ロール** と、個々のアプリやナレッジベースに対して付与された **リソースアクセス** です。

## 権限の仕組み

ロールには 2 種類の権限が含まれます。

* **ワークスペース権限**：プラグインのインストール、メンバーの管理、アプリの作成など、ワークスペース全体でメンバーが実行できる操作です。
* **リソース権限**：プレビュー、編集、エクスポート、削除など、**既存の** アプリやナレッジベースに対してメンバーが実行できる操作です。

  <Tip>
    どの権限がリソース権限に当たるかを正確に確認するには、**設定** > **権限セット** を開き、そのリソースタイプの全権限を含む **完全制御** を確認します。
  </Tip>

ワークスペース権限はグローバルです。ロールが付与すると、ワークスペース全体に適用されます。リソース権限は、メンバーがアクセスできる範囲に限定されます。ロールがアプリの編集を許可していても、メンバーはアクセス権のあるアプリしか編集できません。

リソースアクセスは各アプリ・ナレッジベースで個別に設定し、メンバーがそのリソースにアクセスできるかどうかを決めます。リソースアクセスは部屋の鍵、ロールは部屋に入った後にできることだと考えてください。

## 管理できること

* **[各メンバーができることを決める](#各メンバーができることを決める)**：ロールを作成してメンバーに割り当てます。ロールの権限が、部屋に入った後にメンバーができることを決めます。
* **[各リソースにアクセスできる人を選ぶ](#各リソースにアクセスできる人を選ぶ)**：リソースアクセスが部屋に入れる人を決めます。入った後にできることは、引き続きロールで決まります。
* **[例外を設定する](#例外を設定する)**：メンバーが部屋に入った後、その中でできることを変更します。この設定は、そのリソースに限ってロールを上書きします。

### 例

Maya は編集者ロールを持っているため、ワークスペース全体でアプリを作成・編集できます。（ロール）

Q4 Revenue アプリには機密データが含まれるため、公開範囲を **指定メンバーのみ** に設定し、Maya をリストから外します。Maya は編集者であっても、このアプリは表示されません。（リソースアクセス）

Maya を追加すると、アプリが表示され、他のアプリと同じように編集できます。変更させずに閲覧だけを許可するには、閲覧のみに制限する個別権限を設定します。（例外）

## 各メンバーができることを決める

各メンバーにロールを割り当てます。ロールは **設定** > **ロールと権限** で管理し、**設定** > [**メンバー**](/ja/3.11.x/use/workspace/team-members-management) で割り当てます。1 人のメンバーは複数のロールを保持でき、その権限はすべてのロールを組み合わせたものになります。

### システムロール

すべてのワークスペースには、一連のシステムロールが用意されています。ロールが付与する権限をすべて確認するには、ロールを開いて **表示** をクリックします。

各システムロールには、アプリとナレッジベースに対するデフォルトのリソース権限セットも用意されています。**設定** > **権限セット** ページを開くと、各権限セットに含まれる権限を確認できます。

| ロール      | アプリ     | ナレッジベース    |
| :------- | :------ | :--------- |
| オーナー、管理者 | 完全制御    | 完全制御       |
| 編集者      | 完全制御    | コンテンツ編集    |
| メンバー     | 監視データ閲覧 | ナレッジをプレビュー |
| 制限付きメンバー | なし      | なし         |

### カスタムロール

システムロールがチームの働き方に合わない場合は、カスタムロールを作成し、含める権限を細かく選択できます。新しいワークスペースには、システム管理者が管理コンソールであらかじめ定義したカスタムロールも用意されます。

カスタムロールを削除すると、そのロールが割り当てられていたすべてのメンバーから削除されます。

## 各リソースにアクセスできる人を選ぶ

すべてのアプリとナレッジベースには、アクセスできる人を制御する独自のリソースアクセス設定があります。リソースを開き、**リソース公開範囲** を設定します。

* **ロール権限を持つすべてのメンバー**：この種類のリソースに対する権限をロールが付与しているすべてのメンバーです。新しいアプリとナレッジベースは、デフォルトでこの範囲を使用します。
* **指定メンバーのみ**：追加したメンバーだけが対象です。それ以外の人には表示されません。

どちらの場合も、各メンバーがアクセス後にできることは、引き続きロールで決まります。たとえば、すべてのメンバーに公開されたアプリでは、次のようになります。

* 編集者はアプリを編集できます。
* メンバーは閲覧のみ可能です。
* 制限付きメンバーはロールがアプリ権限を付与していないため、個別権限設定で個別に追加されない限り、アプリ自体が表示されません。

## 例外を設定する

あるリソースで、メンバーにロールとは異なる権限が必要な場合は、そのリソースのリソースアクセス設定にある **個別権限設定** で上書きします。

メンバーを追加し、権限セットを選択します。**ロール権限に従う** はロールの権限を維持します。それ以外の権限セットを選ぶと、そのリソースに限ってロールを上書きします。「コンテンツ編集」や「アプリをプレビュー」などのシステム権限セットを適用するか、カバーしきれないケースに合わせて **設定** > **権限セット** でカスタム権限セットを作成できます。

リソースを作成した人がそのリソースのメンテナーになり、常に完全制御を保持します。メンテナーがワークスペースを離れた場合は、オーナーがそのリソースのメンテナーになります。

<Note>
  公開範囲を変更すると、そのリソースの個別権限設定がリセットされます。
</Note>
