このページでわかること
このガイドでは、ワークスペースの「ポリシー」の役割と、基本的な運用方法を説明します。 ログの確認・ダウンロードについては、こちらをご参照ください: ワークスペースログ概要
ポリシーは、AIエージェントやワークフロー、外部連携などによる「自動的な書き込み」が、社内ルールに沿っているかを実行前に検証するための仕組みです。例:- 「必須項目が入っていないレコード作成を防ぐ」
- 「金額が一定以上の場合は承認が必要」
- 「特定のステータス遷移だけ許可する」
ポリシーの適用順(基本)
1回の判定で使われるポリシーは1つです。対象の操作(オブジェクト / アクション)に対して、次の順で選ばれます。- プリンシパルにバインドされたポリシー(あれば優先)
- ワークスペースのデフォルトポリシー(なければこちら)
- どちらもない場合は、その操作に対するポリシーが見つからない状態になります
- ポリシーは、対象範囲を限定しながら段階的に対応を広げています(対象外の操作は、ポリシーがまだ適用されない場合があります)。
- ルール条件の詳細設定(例: 上限金額、必須項目など)は、順次拡張していきます。
ポリシー画面を開く
- Sanka を開きます
- 左サイドバーの「ワークスペース」を開きます
- 「ポリシー & ログ」をクリックします
- 画面上部で「ポリシー」タブを選びます
ポリシーを作成する
- 「ポリシー」タブで「ポリシーを追加」を開きます
- 主要な入力項目を設定します
- ポリシーキー: ワークスペース内で一意の識別子です(ログや自動化で参照されることがあるため、基本は後から変更しません。変えたい場合は新しいキーで作り直すのがおすすめです)
- 名前: 管理用の表示名です
- 対象(オブジェクト / アクション): どの操作に対するポリシーかを指定します
- 優先度: 複数のポリシーが対象になり得る場合に、どれを先に評価するかを決めます(数値が小さいほど優先)
- 「作成」をクリックします
- 作成直後のポリシーは、**ルールなし(= 許可)**から始まります
- まずは「どの操作をポリシーで扱うか」を整理し、次のフェーズで条件(ルール)を追加していく想定です
有効/無効と優先度
有効/無効の切り替え
- Active(有効): 検証に使われます
- Inactive(無効): 無視されます
- いきなり厳しくすると運用が止まることがあるため、最初は少数の対象(例: 仕訳や請求書の作成)から始めるのがおすすめです
優先度(Priority)
候補が複数ある場合(例: 同じプリンシパルに複数のバインディングがある、誤って複数デフォルトが設定されている等)、優先度の数値が小さいものが優先されます。デフォルト(ワークスペースの基本ポリシー)
デフォルトは、そのオブジェクト/アクションに対する「基本ルール」です。プリンシパルのバインディングがない場合に、デフォルトが適用されます。設定方法:- 「ポリシー」タブの一覧で、対象のポリシーの「デフォルト」列を確認します
- デフォルトにしたいポリシーで「設定」をクリックします
プリンシパル別のバインディング
特定の実行主体(プリンシパル)だけ、デフォルトとは別のポリシーを適用したい場合は、バインディングを作成します。- 画面上部の「プリンシパル」タブを開きます
- 「プリンシパル追加」で、対象のプリンシパルを作成します
- UIユーザーは
ui:user:<id> - APIトークンは
token:api:<api_id>
- UIユーザーは
- 「バインディング」で、プリンシパルとポリシーを紐づけて保存します
- 必要に応じて「プレビュー」で、どのポリシーが選ばれるか(選択理由)を確認します
policy_selected_principal_binding: プリンシパルのバインディングが使われたpolicy_selected_workspace_default: デフォルトが使われたno_policy_found: ポリシーが見つからない
運用ポイント
- ポリシーは「自動的な書き込み」を安全にするための仕組みです。日常の画面操作には影響しない場合があります。
- 「ポリシーが見えない/操作できない」場合は、ワークスペースの権限をご確認ください。
- ログは「ポリシー & ログ」内の「ログ」タブ、および ワークスペースログ のガイドで確認できます。
- まずは「デフォルト」を整備し、例外(特定のAPIトークンや統合アプリなど)だけをプリンシパルのバインディングで上書きする運用がシンプルです。