Arxi بوابة القرار أصل أساسي
Docs
وثائق أصول Core

توثيق محرك حالة العالم الحتمي ومراجع API.

وثائق بوابة القرار

إعداد RBAC لمستأجر

هذا الدليل يوضح كيفية إعداد RBAC بشكل عملي باستخدام ACCTL كواجهة تشغيل رئيسية. تركز الخطوات على التحقق والوصول بأقل امتيازات حتى تتمكن من التأكد من أن النظام يعمل تمامًا كما هو مقصود.

تتوقف سير العمل المحدد لتوفير الرموز على نشر النظام الخاص بك، ولكن خطوات التحقق وفحوصات الوصول تظل كما هي عبر البيئات.

الخطوة 1: تأكيد إمكانية الوصول إلى الـ daemon

استخدم ACCTL للتحقق من الاتصال بخدمة الكتابة قبل تكوين الأذونات:

acctl auth whoami

يجب أن تعيد السياق الرئيسي الحالي. إذا فشلت، قم بإصلاح الاتصال أو تكوين الرمز المميز قبل المتابعة.

الخطوة 2: فحص الأذونات الفعالة

استخدم نقطة نهاية الأذونات لرؤية العمليات التي يمكن للمستخدم الحالي تنفيذها:

acctl auth permissions --namespace-id 5001

هذا الناتج هو الحقيقة الأساسية لما يمكن أن يفعله الرمز المميز في مساحة الأسماء المحددة. إذا كانت هناك عملية مطلوبة مفقودة، قم بضبط الأدوار أو ACLs مساحة الأسماء قبل المتابعة.

إذا كنت تخطط للسماح بالتزامات عكسية، تحقق من أن عملية الالتزام العكسي مُعطاة بشكل صريح في هذه القائمة.

الخطوة 3: تحقق من أقل الامتيازات من خلال عملية اختبار

اختر عملية ذات مخاطر منخفضة يجب أن تنجح للدور الذي تختبره (على سبيل المثال، قائمة المساحات الاسمية أو استعلام بيانات الحاوية). استخدم ACCTL أو curl للتحقق من النتيجة.

acctl namespaces list --limit 5

إذا فشلت العملية مع 403، فإن تعيين الدور صارم للغاية. إذا نجحت عندما لا ينبغي أن تنجح، قم بتشديد الدور أو روابط ACL.

الخطوة 4: تدوير أو إلغاء الوصول

RBAC آمن فقط عندما يمكنك إلغاء أو تدوير الرموز بسرعة. استخدم سير عمل إدارة الرموز في نشراتك، ثم أعد تشغيل خطوات التحقق المذكورة أعلاه على الفور لتأكيد الإلغاء.

ملفات تعريف الأدوار الشائعة

فيما يلي ملفات تعريف الأدوار العملية التي يمكنك استخدامها لإعدادات الحد الأدنى من الامتيازات. تعتمد أسماء الأدوار الدقيقة على كتالوج النشر الخاص بك، لكن الهدف يبقى ثابتًا.

  • قارئ: وصول للقراءة فقط إلى الإسقاطات والحداثة.
  • كاتب: الوصول إلى الالتزام بالإضافة إلى رؤية القراءة.
  • المشغل: الوصول إلى دورة حياة مساحة الأسماء وحالة التشغيل.
  • المسؤول: وصول كامل على مستوى المستأجر (استخدمه بحذر).

الخطوات التالية