运行时权限门控 | 模板 | FlowZap

欢迎使用 FlowZap，快速、清晰、掌控的绘图应用。

运行时权限门控

架构运营安全与保密合规

最小权限 AI 智能体架构，包含策略引擎评估、JIT 访问、短时凭证以及工具执行前的动作级授权。

下载 .fz 文件

完整 FlowZap 代码

Agent { # AI Agent
n1: circle label:"Start"
n2: rectangle label:"Request tool action"
n3: rectangle label:"Receive grant"
n4: rectangle label:"Execute scoped action"
n5: circle label:"Done"
n1.handle(right) -> n2.handle(left)
n2.handle(bottom) -> PolicyEngine.n6.handle(top) [label="Action + context"]
n3.handle(right) -> n4.handle(left)
n4.handle(right) -> n5.handle(left)
}

PolicyEngine { # Policy Engine
n6: rectangle label:"Evaluate RBAC + ABAC"
n7: rectangle label:"Issue JIT grant request"
n8: rectangle label:"Receive JIT credential"
n9: rectangle label:"Return scoped grant"
n6.handle(right) -> n7.handle(left)
n7.handle(bottom) -> JITManager.n10.handle(top) [label="Grant request"]
n8.handle(right) -> n9.handle(left)
n9.handle(top) -> Agent.n3.handle(bottom) [label="Scoped grant"]
}

JITManager { # JIT Access Manager
n10: rectangle label:"Create short-lived credential"
n11: rectangle label:"Return JIT credential"
n10.handle(right) -> n11.handle(left)
n11.handle(top) -> PolicyEngine.n8.handle(bottom) [label="JIT credential"]
}

相关模板

零信任智能体身份管道

零信任 AI 智能体身份架构，包含 JWT 验证、受限 OBO 令牌交换、SPIFFE/SVID 工作负载身份以及 MCP 工具授权。

MCP 零信任边界

MCP 安全网关架构，对工具调用进行认证，将执行路由到隔离沙箱，清洗响应，并向 AI 智能体返回干净结果。

分级风险人工在环

人工在环审批架构，按风险对智能体动作评分，将高风险请求路由给审核人，并写入不可变审计记录。

安全多智能体通信

多智能体安全架构，包含受限令牌、API 网关策略执行、mTLS 保护的 worker 调用，以及由编排器完成的结果聚合。

微服务 API 网关架构

微服务 API 网关架构图，展示请求路由、JWT 身份验证、速率限制、服务发现以及跨分布式后端服务的响应聚合。该模板模拟微服务生态系统中所有客户端流量的入口点，在请求到达内部服务之前执行安全策略。适合设计具有集中式横切关注点的可扩展 API 基础设施的平台工程师。

微服务服务网格架构

服务网格架构图，展示 Istio 或 Linkerd 边车代理处理 mTLS 加密、流量策略、熔断器和跨微服务的分布式追踪。该模板可视化服务网格如何将网络关注点从应用代码中抽象出来，实现服务间的零信任通信。对于采用服务网格基础设施以提升可观测性和安全性的团队至关重要。

返回所有模板