Zarządzanie enterprise i zgodność

Twój zespół bezpieczeństwa chce wiedzieć: kto uruchomił co, kiedy, na jakim repozytorium i jaki model został użyty. Twój zespół compliance potrzebuje logów audytowych eksportowalnych do SIEM. Twój CTO chce dashboardy adopcji. A twoi programiści chcą, żeby to wszystko działo się bez spowalniania ich. Ten artykuł opisuje warstwę zarządzania, która czyni Codex gotowym na enterprise.

Czego się nauczysz

Kompletna checklista konfiguracji enterprise: włączanie lokalnego i chmurowego Codex, konfiguracja konektorów GitHub i zarządzanie środowiskami
Konfiguracja RBAC z wykorzystaniem ról i grup workspace ChatGPT
Trzy podejścia do monitorowania użycia: Analytics Dashboard, Analytics API i Compliance API
Kontrole bezpieczeństwa w tym requirements.toml, allowlisting MCP i zerowe przechowywanie danych

Checklista konfiguracji enterprise

Włącz Codex local w Workspace Settings > Settings and Permissions. Włącz “Allow members to use Codex Local.”
Włącz Codex cloud włączając ChatGPT GitHub Connector i “Allow members to use Codex cloud.”
Skonfiguruj allowlistę IP GitHub Connector z zakresami egress ChatGPT i zakresami egress kontenerów Codex.
Utwórz pierwsze środowisko podłączając repozytorium i dodając adresy email współpracowników.
Skonfiguruj RBAC do kontroli, kto ma dostęp do funkcji lokalnych, chmurowych i administracyjnych.
Skonfiguruj integrację ze Slackiem, jeśli twój zespół używa Slacka, i skonfiguruj polityki publikowania odpowiedzi.
Włącz code review w Settings > Code review.
Wdróż Team Config ze współdzielonym config.toml, regułami i skills w całej organizacji.

Kontrola dostępu oparta na rolach (RBAC)

Codex integruje się z systemem RBAC ChatGPT. Przejdź do Settings & Permissions > Custom Roles na stronie administratora.

Utwórz role dla różnych poziomów dostępu:

Rola	Dostęp lokalny	Dostęp chmurowy	Dostęp administracyjny
Developer	Tak	Tak	Nie
Senior Engineer	Tak	Tak	Edycja środowisk
Platform Team	Tak	Tak	Pełny admin
Security Auditor	Nie	Nie	Analytics + Compliance API

Przypisuj role do grup utworzonych w zakładce Groups. Kontroluje to, kto może używać Codex lokalnie, kto może uruchamiać zadania chmurowe i kto może administrować środowiskami i przeglądać analityki.

Team Config

Standaryzuj Codex w całej organizacji za pomocą Team Config, który dystrybuuje współdzielone domyślne ustawienia bez powielania konfiguracji:

Typ	Ścieżka	Przeznaczenie
Config	`config.toml`	Tryb sandboxa, polityka zatwierdzania, model, intensywność rozumowania
Rules	`rules/`	Jakie polecenia Codex może uruchamiać poza sandboxem
Skills	`skills/`	Współdzielone skills dostępne dla wszystkich członków zespołu

Wdrażaj Team Config przez istniejące zarządzanie konfiguracją (Chef, Puppet, Ansible) lub dołącz go do konfiguracji środowiska deweloperskiego.

Wymagania wymuszane przez administratora

requirements.toml ogranicza wrażliwe ustawienia bezpieczeństwa, których użytkownicy nie mogą nadpisać:

# Only allow these sandbox modes
allowed_sandbox_modes = ["read-only", "workspace-write"]

# Only allow these approval policies
allowed_approval_policies = ["untrusted", "on-failure", "on-request"]

# Restrict MCP servers to approved list
[mcp_servers.linear]
identity = { url = "https://mcp.linear.app/mcp" }

# Enforce command rules
[[rules.prefix_rules]]
pattern = [{ token = "rm" }, { token = "-rf" }]
decision = "forbidden"
justification = "Recursive force delete is not allowed"

Zarządzanie i obserwowalność

Analytics Dashboard

Dashboard analityczny zapewnia widoczność w czasie rzeczywistym:

Dzienni użytkownicy wg powierzchni (CLI, IDE, Cloud, Code Review)
Dzienne code review i wnioski wg priorytetu
Wolumen i współczynnik ukończenia zadań chmurowych
Liczba sesji i wiadomości na użytkownika

Eksportuj dane w CSV lub JSON do integracji z twoimi narzędziami BI.

Analytics API

Automatyzuj raportowanie z Analytics API:

Dzienne metryki time-series z opcjonalnym podziałem per-użytkownik
Aktywność code review: przejrzane PR-y, wygenerowane komentarze, podział wg severity
Zaangażowanie użytkowników: odpowiedzi, reakcje i feedback na komentarze Codex

Compliance API

Compliance API dostarcza logi na poziomie audytowym:

Tekst promptu wysłanego do Codex
Wygenerowane odpowiedzi
Identyfikatory: workspace, użytkownik, timestamp, model
Zużycie tokenów i metadane żądania

Przekieruj je do swojego pipeline’u SIEM, eDiscovery lub DLP.

Kontrole bezpieczeństwa

Zerowe przechowywanie danych (ZDR)

Codex obsługuje organizacje z włączonym ZDR. CLI i rozszerzenie IDE mają domyślnie zerowe przechowywanie danych. Funkcje chmurowe podlegają twoim polityk retencji ChatGPT Enterprise.

Kontrole dostępu do internetu

Jako administrator kontrolujesz, czy użytkownicy mogą włączyć dostęp agenta do internetu w środowiskach chmurowych. Włącz Allow Codex agent to access the internet w ustawieniach workspace. Następnie użytkownicy konfigurują allowlisty domen i ograniczenia metod HTTP per środowisko.

Szyfrowanie danych

W spoczynku: AES 256
W tranzycie: TLS 1.2+
Sekrety w środowiskach chmurowych: dodatkowa warstwa szyfrowania, usuwana przed fazą agenta

Gdy coś nie działa

Użytkownicy dostają “403 Unauthorized”: Administrator nie włączył “Allow members to use Codex Local” lub “Allow members to use Codex cloud” dla ich grupy.
Codex nie pojawia się w ChatGPT: Po włączeniu w ustawieniach workspace poczekaj do 10 minut, aż Codex się pojawi.
Zmiany RBAC nie działają: Zmiany ról propagują się w ciągu minut, ale mogą wymagać od użytkowników wylogowania i ponownego zalogowania.
Compliance API zwraca puste wyniki: Zweryfikuj, że token API ma odpowiednie scope i że okno czasowe obejmuje aktywne sesje.
requirements.toml nie jest wymuszany: Plik musi być w prawidłowej ścieżce systemowej. Sprawdź kolejność: wymagania pobierane z chmury nadpisują lokalne pliki dla użytkowników Business i Enterprise.

Co dalej

Zarządzanie kosztami — Budżetuj i optymalizuj w całym enterprise
Integracja ze Slackiem i Linear — Konfiguruj kontrole danych enterprise dla integracji
Środowiska chmurowe — Zarządzanie środowiskami i cache’owanie dla zespołów