{
  "version": "1.2.0",
  "policy_kind": "web_zone_access_boundary",
  "summary": {
    "public_zones": ["site", "access", "api-static"],
    "shell_zones": ["app", "aio"],
    "restricted_zones": ["admin", "architect"],
    "immersive_routes": ["/aio/"],
    "legacy_routes": ["/app/aio/"]
  },
  "zones": {
    "site": {
      "access_mode": "public",
      "description": "Публичная поверхность проекта"
    },
    "app": {
      "access_mode": "public_shell",
      "description": "Открытая рабочая оболочка без внутреннего privileged runtime"
    },
    "aio": {
      "access_mode": "public_shell",
      "description": "Installable AIO web-space с живой surface materialization и app-shell поведением"
    },
    "admin": {
      "access_mode": "private_network",
      "description": "Административная зона доступна только из локальной или частной сети",
      "future_authority": "subject_level_grants"
    },
    "architect": {
      "access_mode": "private_network",
      "description": "Архитектурная зона доступна только из локальной или частной сети",
      "future_authority": "subject_level_grants"
    },
    "access": {
      "access_mode": "public",
      "description": "Пояснение текущей модели доступа"
    }
  },
  "routes": {
    "/aio/": {
      "access_mode": "public_shell",
      "purpose": "aio_space",
      "description": "Primary installable AIO space с app-shell, manifest, state-driven focus и spatial transitions"
    },
    "/app/aio/": {
      "access_mode": "public_shell",
      "purpose": "legacy_redirect",
      "description": "Legacy route kept only as redirect seam to /aio/"
    }
  },
  "notes": [
    "Политика не использует оплату, карту или биллинг как обязательный gate",
    "Network boundary — первый слой, authority grants — следующий lawful слой",
    "backend HTTP runtime surfaces не materialized и не объявляются публично"
  ]
}