> ## Documentation Index
> Fetch the complete documentation index at: https://enterprise-docs.dify.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 权限

> 组合角色与资源访问，控制每位成员可执行的操作

成员的权限来自两个方面：所持有的 **角色**，以及在各个应用和知识库上获得的 **资源访问**。

## 权限如何运作

角色包含两类权限：

* **工作空间权限**：成员在整个工作空间范围内可执行的操作，例如安装插件、管理成员或创建应用。
* **资源权限**：成员对 **已有** 应用或知识库可执行的操作，例如预览、编辑、导出或删除。

  <Tip>
    如需确认哪些权限属于资源权限，打开 **设置** > **权限集**，查看 **完全控制**，它包含该资源类型的全部权限。
  </Tip>

工作空间权限是全局的：角色一旦授予，便在整个工作空间生效。资源权限的作用范围取决于成员能访问到哪些资源：即使角色授予了应用编辑权限，成员也只能编辑自己有权访问的应用。

资源访问在每个应用和知识库上单独设置，决定成员能否访问该资源。可将资源访问理解为进入房间的钥匙，而角色决定进入房间后能做的事。

## 你可以控制的内容

* **[决定谁能做什么](#决定谁能做什么)**：创建角色并分配给成员。角色的权限决定成员进入房间后能做什么。
* **[决定谁能访问各项资源](#决定谁能访问各项资源)**：资源访问决定谁能进入房间，而进入后能做什么仍由角色决定。
* **[设置例外](#设置例外)**：成员进入房间后，调整其在房间内可执行的操作。这会针对该项资源覆盖其角色权限。

### 示例

Maya 持有编辑者角色，因此可在整个工作空间中创建和编辑应用。（角色）

你的 Q4 Revenue 应用包含敏感数据，因此你将其访问范围设为 **指定成员**，并未将 Maya 加入名单。即使她是编辑者，该应用也不会对她显示。（资源访问）

将她加入后，应用便会显示，她可像操作其他应用一样编辑它。若只想让她查看而不能修改，可为她设置一项个人权限，将其限制为仅查看。（例外）

## 决定谁能做什么

为每位成员分配角色。在 **设置** > **角色与权限** 中管理角色，在 **设置** > [**成员**](/zh/3.11.x/use/workspace/team-members-management) 中进行分配。一位成员可持有多个角色，其权限为所有角色的合集。

### 系统角色

每个工作空间都内置了一组系统角色。如需查看某个角色授予的全部权限，打开该角色并点击 **查看**。

每个系统角色还为应用和知识库预设了默认的资源权限集。打开 **设置** > **权限集** 页面，可查看每个权限集包含的权限。

| 角色      | 应用   | 知识库   |
| :------ | :--- | :---- |
| 所有者、管理者 | 完全控制 | 完全控制  |
| 编辑者     | 完全控制 | 编辑内容  |
| 普通成员    | 查看监测 | 预览知识库 |
| 受限成员    | 无    | 无     |

### 自定义角色

当系统角色无法契合团队的工作方式时，可创建自定义角色，精确选择其包含的权限。新工作空间还会包含系统管理员在管理后台中预定义的自定义角色。

删除自定义角色后，该角色会从所有已分配它的成员中移除。

## 决定谁能访问各项资源

每个应用和知识库都有各自的资源访问设置，用于控制谁能访问它。打开资源，设置其 **访问范围**：

* **全部成员**：凡是角色对该类资源授予了权限的成员。新建的应用和知识库默认使用此范围。
* **指定成员**：仅你添加的成员，其他人无法看到该资源。

无论采用哪种方式，每位成员进入后能做什么，仍由其角色决定。例如，在一个对全部成员开放的应用上：

* 编辑者可编辑该应用。
* 普通成员只能查看。
* 受限成员的角色未授予任何应用权限，因此完全看不到该应用，除非在个人权限设置中被单独添加。

## 设置例外

当某位成员在某个资源上需要与其角色不同的权限时，在该资源的资源访问设置中通过 **个人权限设置** 进行覆盖。

添加该成员并选择一个权限集。**按角色权限** 会保留其角色权限；选择其他权限集则仅在该资源上覆盖其角色权限。可套用「编辑内容」「预览应用」等系统权限集，或在 **设置** > **权限集** 中创建自定义权限集，以应对系统权限集未覆盖的情况。

创建资源的人会成为该资源的维护者，并始终保留完全控制权限。若维护者离开工作空间，所有者将成为该资源的维护者。

<Note>
  更改访问范围会重置该资源上的个人权限设置。
</Note>
