Kiro CLI Enterprise Governance 让管理员控制团队可用能力。默认用户可以访问 Kiro 支持的模型和 MCP servers，但管理员可以在 Kiro console 的 Shared settings 中限制模型、配置 MCP allow-list、启用 API keys 或关闭 web tools。

Kiro CLI Enterprise Governance：控制模型、MCP、API Key 和 Web Tools

企业团队使用 Kiro CLI 时，管理员通常不希望所有用户都能随意使用所有模型、MCP servers、API keys 和 web tools。Kiro 的 governance controls 通过 Kiro console 管理，位置在：

Settings > Shared settings

这些设置可以帮助团队在效率和安全之间取得平衡。

Model governance

默认情况下，用户可以访问 Kiro 支持的任意模型。

管理员可以开启 model access management，然后选择批准的模型列表。也可以设置 default model，让所有 Kiro clients 默认使用指定模型。

适合场景：

• 控制模型成本。
• 避免团队使用未经批准的模型。
• 让不同账号或团队统一默认模型。

MCP governance

默认情况下，用户可以在 Kiro client 中使用任意 MCP server。

管理员可以选择：

• 完全禁用 MCP。
• 通过 MCP registry 配置 vetted MCP servers allow-list。
• 在 organization level 设置默认策略。
• 在 account level 覆盖组织策略。

MCP governance 很重要，因为 MCP servers 可能访问外部系统、数据库、代码托管平台或内部服务。

更多配置见 Kiro CLI Enterprise MCP Governance。

API key governance

默认情况下，用户不能生成 Kiro CLI API keys。

管理员可以启用用户生成 API keys，用于本地自动化脚本或 CI/CD pipelines。

更多见 Kiro CLI Enterprise API Keys。

Web tools governance

默认情况下，用户可以使用 web_search 和 web_fetch：

• web_search：搜索网络内容。
• web_fetch：抓取 URL 内容。

管理员可以为整个 account 或 organization 禁用 web tools。

适合禁用的场景：

• 严格内网开发环境。
• 项目禁止向外部网页发送上下文。
• 法务或安全团队要求限制外部网络访问。

治理策略建议

• 模型：先设默认模型，再按团队需要开放高级模型。
• MCP：不要默认开放全部 MCP，优先 allow-list。
• API keys：只在明确需要自动化时开启，并配合审计。
• Web tools：敏感团队可禁用，普通研发团队可按合规要求开放。
• Account override：对不同团队设置不同策略，而不是一刀切。

常见问题

Q: Kiro 企业版默认允许所有 MCP 吗？

A: 默认用户可以使用任意 MCP server，但管理员可以关闭 MCP 或配置 allow-list。

Q: Kiro CLI API keys 默认开启吗？

A: 不开启。管理员需要在 Kiro console 中显式允许用户生成 API keys。

Q: 可以关闭 web_search 和 web_fetch 吗？

A: 可以。管理员可以在 account 或 organization 层面禁用 web tools。