本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# ACLs 在知识库中进行管理的最佳实践
<a name="acl-best-practices-kb"></a>

将知识库与访问控制列表 (ACLs) 一起使用时，您有责任保持用户身份和权限的准确性。这样可以确保合适的人员可以访问正确的文档。默认情况下，Quick 每 24 小时自动同步一次身份和文档级 ACL 更改。除非您为知识库配置了不同的刷新计划，否则对用户或权限的任何更新最多需要一天的时间才能显示在系统中。

有关为特定数据源 ACLs 进行配置的更多信息，请参阅[Amazon S3 集成](s3-integration.md)。

**注意**  
Quick 将所有电子邮件地址视为不区分大小写。 `JohnDoe@example.com`、`johndoe@example.com`、和`JOHNDOE@example.com`都被视为同一个用户。

## 重要的用户管理场景
<a name="acl-user-management-scenarios"></a>

**了解电子邮件绑定**

当用户发起聊天互动时，电子邮件地址会动态绑定到 Quick 用户。这种绑定遵循一种 first-come-first-serve方法。第一个与给定电子邮件地址聊天的用户在命名空间中为该身份建立绑定。

**当员工离开您的组织时**

当员工离开时，请立即清理其访问权限：

1. 更新 ACL 配置文件以删除对其电子邮件地址的引用。例如，在 Amazon S3 中，更新全局 ACL 文件或元数据文件。

1. 刷新知识库以应用更改。

这样可以防止以后将电子邮件重新分配给其他人时出现潜在的安全问题。

**将电子邮件地址重新分配给新员工时**
+ ACL 感知知识库的访问权限会自动锁定重新分配的电子邮件地址，以保护数据安全。
+ 在新员工可以访问与该电子邮件关联的文档之前，请联系 Quick Support 以清理先前用户的访问权限。

## 限制
<a name="acl-limitations"></a>

 ACLs 为知识库配置文档级别时，请注意以下限制：
+ **文档级 ACL 配置是永久性的** — 您无法 ACLs 在没有 ACL 支持的情况下创建的知识库中启用。启用 ACLs 后也无法禁用。要更改 ACL 配置，请从一开始就使用所需的设置创建一个新的知识库。
+ **命名空间内的共享电子邮件地址-如果多个 Quick 用户在一个**命名空间内共享同一个电子邮件地址，则系统会拒绝所有使用该共享电子邮件的用户进行访问。这种保护措施可防止意外向错误的人授予文档访问权限。
+ **ACL 解析范围**-所有解析范围 ACLs 均在知识库创建者的快速命名空间中进行解析。无论 ACLs 是通过电子邮件地址还是群组名称指定，这都适用。在创作者的组织环境中快速查找身份，以确保一致的身份解析。
+ **电子邮件地址回收时机** — 如果您的组织将电子邮件地址从一名员工重新分配给另一名员工，则需要考虑一个重要的时机。如果之前的员工从未使用过 Quick 进行聊天或 AI 互动，并且在下一次 ACL 刷新之前重新分配了电子邮件，则新员工可以临时访问为前任员工准备的文档。

  为避免这种情况，请按顺序完成以下步骤：

  1. 更新您的 ACLs （如果适用，例如在 Amazon S3 中），以删除旧用户并添加新用户。

  1. 手动刷新您的知识库，或者等待每日自动刷新。

  1. 将电子邮件地址分配给新员工。

  这样可以确保在新用户开始使用 Quick 之前正确同步访问权限。
+ **研究兼容性**- ACLs 启用文档级别的知识库目前与 Quick Research 不兼容。如果您需要将启用 ACL 的知识库中的文档用于研究目的，请为这些文档创建一个不包含这些文档 ACLs 的单独知识库。