ファイル / 外部ストレージ
社内ファイルや外部ストレージを扱い、ナレッジ化・パイプライン処理に利用します。アクセス制御(ACL)の仕組みもここで説明します。
対象:一般ユーザー / 管理者
置き場所の種類
| 種類 | 表示 | 意味 |
|---|---|---|
| 個人 | マイファイル | 自分専用。本人のみアクセス。 |
| 共有 | 共有 | 全社共有。フォルダ単位でタグによるアクセス制御。 |
| 外部 | 外部: <ラベル> | 管理者が .env で許可したディレクトリ。参照のみが基本。 |
これらに加え、SFTP / S3 / Google Drive などの接続を登録して、同じ画面から扱えます。
補足
共有領域(shared)の直下にファイルは置けません。アクセス制御がフォルダ単位のため、裸のファイルだと制御対象外になり全員に見えてしまうためです。先にタグ付きフォルダを作成してから、その中に置きます(アップロード・リネームとも直下は拒否されます)。
外部ストレージを繋ぐ
接続(認証情報を登録)
接続を作成すると、外部ストレージを参照できます。対応プロトコル:
| 種別 | 備考 |
|---|---|
| SFTP | 秘密鍵対応。ホストフィンガープリントで MITM 対策 |
| SMB | DOMAIN\user を自動分解(AD 統合環境向け)。文字コード選択可 |
| FTP | 平文のみ(暗号化が必要なら SFTP / WebDAV を推奨) |
| S3 | AWS / MinIO / R2 / Wasabi / B2 / DigitalOcean / Ceph |
| GCS / Azure Blob | クラウドストレージ |
| WebDAV / HTTP | 汎用 |
| OAuth 連携 | Google Drive / OneDrive / Dropbox / Box / SharePoint |
認証情報は暗号化して保存され、一覧では伏字表示されます。接続は作成者のみが利用できます(編集・削除は作成者または管理者)。
外部ディレクトリ(管理者)
管理者は .env でローカルの任意ディレクトリを許可できます。読み取り専用は EXTERNAL_DATA_DIRS_READ、書き込み可は EXTERNAL_DATA_DIRS_WRITE を使います。ラベル=パス 形式・カンマ区切りで、登録したラベルが「外部: <ラベル>」として表示されます。詳しくは外部データソース接続を参照してください。
アクセス制御(ACL)
ロール
ADMIN / SUPER / USER の 3 ロールがあります(ユーザー・権限管理)。
共有(shared)のフォルダ ACL
共有はフォルダ単位でタグを割り当てて制御します。
| 操作 | 誰ができるか |
|---|---|
| 閲覧 | ADMIN は常に可。タグ未設定のフォルダは全員可。タグ設定済みは、そのタグを持つユーザーのみ。 |
| 変更(作成・編集・削除) | ADMIN は常に可。タグ設定済み+SUPER+該当タグ保有なら可。USER はタグを持っていても共有を変更できません。 |
- 共有の第一階層フォルダの作成には SUPER 以上 と タグ指定 が必要です。フォルダ名は半角英数・
_・-のみ(AI ツール名に使われるため)。 - 共有へのアップロード・保存は ADMIN のみです。
- マイファイルと共有の間でのファイル移動はできません。
外部・接続
- 外部: 管理者が許可したものを参照のみ(書き込みは WRITE 登録が必要)。
- 接続(SFTP / S3 など)・OAuth: 作成者のみが利用できます(組織共有は今後対応)。
操作の制約
| 操作 | 主な制約 |
|---|---|
| アップロード | 共有は ADMIN のみ。共有直下は不可。同名は自動で連番付与。 |
| 保存 | 共有は ADMIN のみ。既定はマイファイル内。 |
| フォルダ作成 | 共有第一階層は SUPER 以上+タグ+英数字名。 |
| リネーム / 移動 | 元・先の両方に変更権限が必要。マイファイル↔共有の移動は不可。共有直下へは不可。 |
| 削除 | 変更権限が必要。中身のあるフォルダは再帰削除の明示が必要。 |
関連
- ナレッジ(RAG) — ファイルからナレッジを作成
- パイプライン(ETL) — 接続 URI でファイルを取得・保存
- 外部データソース接続