> ## Documentation Index
> Fetch the complete documentation index at: https://docs.twenty.com/llms.txt
> Use this file to discover all available pages before exploring further.

# 权限

> 使用基于角色的权限来控制对对象、字段和设置的访问。

Twenty 的权限系统允许您控制对三个主要区域的访问：

* **对象和字段**：控制谁可以查看、编辑或删除记录和单个字段
* **设置**：管理对工作区配置和管理功能的访问
* **操作**：控制一般工作区操作，如导入数据或发送邮件

## 创建角色

要创建新角色：

1. 转到 **设置 → 成员 → 角色**
2. 在 **所有角色** 下，单击 **+ 创建角色**
3. 输入角色名称
4. 在默认的 **权限** 选项卡中，[配置权限](#customize-permissions)
5. 单击 **保存** 完成

## 删除角色

要删除角色：

1. 转到 **设置 → 成员 → 角色**
2. 单击您要删除的角色
3. 打开 **设置** 选项卡，然后单击 **删除角色**
4. 在模态框中单击 **确认**

<Note>
  如果删除某个角色，分配到该角色的任何工作区成员将会自动重新分配到默认角色。 除了 **管理员** 角色外，所有角色都可以被删除。 必须始终至少有一个成员分配到 **管理员** 角色。
</Note>

## 将角色分配给成员

### 查看当前分配

* 转到 **设置 → 成员 → 角色**
* 查看所有角色以及分配给每个角色的成员数
* 查看哪些成员具有哪些角色

### 将角色分配给成员

1. 转到 **设置 → 成员 → 角色**
2. 单击您要分配的角色
3. 打开 **分配** 选项卡
4. 单击 **+ 分配给成员**
5. 从列表中选择工作区成员
6. 确认分配

### 设置默认角色

1. 转到 **设置 → 成员 → 角色**
2. 在 **选项** 部分，找到 **默认角色**
3. 选择新成员应该自动接收的角色
4. 新工作区成员加入时将被分配此角色

<Note>
  您只能将角色分配给现有的工作区成员。 要邀请新成员，请使用 [成员管理](/l/zh/user-guide/settings/capabilities/member-management)。
</Note>

## 自定义权限

权限决定每个角色在您的工作区中可以访问或修改的内容，包括工作区对象记录、设置和操作。

### 对象权限

**Objects** 部分控制此角色在整个工作区中对记录可以执行的操作。

#### 设置默认权限（所有对象）

首先，配置默认适用于**所有对象**的基线权限：

| 权限             | 描述           |
| -------------- | ------------ |
| **查看所有对象上的记录** | 在列表和详情页中查看记录 |
| **编辑所有对象上的记录** | 修改现有记录       |
| **删除所有对象上的记录** | 软删除记录（可恢复）   |
| **销毁所有对象上的记录** | 永久删除记录       |

根据该角色的默认行为应为何来勾选或取消勾选。

<Note>
  **示例 — 实习生角色**：默认情况下，实习生应该可以查看所有对象，但不能编辑它们。 启用 "在所有对象上查看记录"，但保持 "在所有对象上编辑记录" 未勾选。
</Note>

#### 添加对象级例外

设置默认值后，使用 **Object-Level** 子部分添加规则，以覆盖特定对象的默认设置。

点击 **+ Add rule** 并选择一个对象以创建例外。

**实习生角色的示例规则：**

| 规则                        | 效果                           |
| ------------------------- | ---------------------------- |
| Opportunities → 禁用 "查看记录" | 实习生完全无法查看 Opportunities 对象   |
| People → 启用 "编辑记录"        | 实习生可以编辑 People 记录（但不能编辑其他对象） |

### 行级权限

<Note>
  行级权限是 **Premium 功能**，可在 **Organization** 方案（云端和自托管）中使用。
</Note>

行级权限可以根据动态条件，限制某个角色可以查看或编辑的具体记录。 与对象权限（适用于整个对象类型）不同，行级权限会独立评估每条记录。

**示例用例:**

* 销售代表只能查看自己的销售机会
* 经理可以查看其所在区域的所有记录
* 客服人员只能查看分配给他们的工单

要配置行级权限，打开某个角色，导航到 **Objects** 选项卡，并使用 **Row-Level** 区域为特定对象定义筛选条件。

### 字段权限

在每个对象级规则内，您还可以进一步配置**字段级权限**，以控制对特定字段的访问。

| 权限        | 描述       |
| --------- | -------- |
| **查看字段**  | 查看该字段的值  |
| **编辑字段**  | 修改该字段的值  |
| **无访问权限** | 字段将被完全隐藏 |

**示例 — 限制敏感字段：**

对于具有 People 编辑权限的实习生角色，您可能希望限制某些字段：

* People → Email → 仅**查看字段**（不可编辑）
* People → Address → **无访问权限**（完全隐藏）

这使得实习生可以编辑大多数 People 字段，同时保护敏感信息。

### 权限继承如何工作

权限从全局到具体逐级生效：

1. **所有对象** → 为所有对象设定基线
2. **对象级规则** → 覆盖特定对象的基线设置
3. **字段级规则** → 覆盖特定字段的对象级设置

更具体的设置始终优先生效。

### 管理权限覆盖

要覆盖继承的权限：

1. 单击 **X** 以移除继承的规则
2. 选择您想要的具体权限
3. 单击橙色 **撤销** 图标（圆形箭头）以还原更改

完成后，单击 **完成**，然后在重定向到角色页面后单击 **保存**。

### 工作区设置权限

有两种方式控制对工作区设置的访问：

* 切换 **设置全访问** 以授予完全访问权限
* 或者启用特定权限（例如，API 密钥生成、工作区首选项、角色分配、数据模型配置、安全设置和工作流管理）

<Note>
  **当前限制**：目前需要具有工作流管理的访问权限才能手动触发工作流。 此行为可能会在未来的版本中发生变化。
</Note>

### 工作区操作权限

控制对一般工作区操作的访问：

* 切换 **应用全访问** 以授予所有权限
* 或者启用个人操作，例如 **发送电子邮件**、**导入 CSV** 和 **导出 CSV**

## 将角色分配给 API 密钥和 AI 代理

除了工作区成员之外，还可以将角色分配给 **API Keys** 和 **AI Agents**。 这对于希望精确控制在其工作区中 "谁" 可以执行哪些操作的团队特别有用——包括自动化流程和集成。

### 为什么要将角色分配给 API 密钥和 AI 代理？

* **安全性**：限制自动化流程可以访问或修改的内容
* **合规性**：确保集成仅接触其所需的数据
* **可控性**：防止因自动化配置错误而导致的数据意外更改
* **可审计性**：追踪由哪个集成或代理执行了哪些操作

### 将角色分配给 API 密钥

1. 转到 **设置 → 成员 → 角色**
2. 单击您要分配的角色
3. 打开 **分配** 选项卡
4. 在 **API Keys** 下，点击 **+ Assign to API key**
5. 从列表中选择该 API 密钥
6. 确认分配

该 API 密钥现在将继承该角色定义的所有权限。 使用该密钥发起的任何 API 调用都将相应受限。

<Note>
  未分配角色的 API 密钥将使用默认权限。 为提高安全性，请始终为生产环境的 API 密钥分配特定角色。
</Note>

### 将角色分配给 AI 代理

1. 转到 **设置 → 成员 → 角色**
2. 单击您要分配的角色
3. 打开 **分配** 选项卡
4. 在 **AI Agents** 下，点击 **+ Assign to AI agent**
5. 从列表中选择该 AI 代理
6. 确认分配

该 AI 代理只能访问其被分配角色所允许的数据并执行相应操作。

<Note>
  对于在工作流中运行的 AI 代理，这可确保其无法访问或修改超出其预期范围的数据——即使该工作流具有更广泛的权限。
</Note>
