Per què s’ha denegat l’accés
Les denegacions d’accés són intencionals i predecibles a Asset Core. Aquesta guia t’ajuda a identificar ràpidament les causes més comunes i a verificar la solució correcta sense haver de fer suposicions.
Pas 1: Identificar el codi d’estat
Comenceu per enregistrar el codi d’estat HTTP i el server_correlation_id de la resposta d’error. El codi d’estat us indica quina categoria de fallada esteu tractant.
- 401 No autoritzat: La autenticació ha fallat o el token falta/ha caducat.
- 403 Forbidden: Autenticat, però permisos insuficients o porta de classe de política.
- 404 No Trobat: El recurs no existeix o és intencionadament no revelat.
- 429 Massa de Sol·licituds: Aplicació de la quota o límit de taxa.
Pas 2: Verifica el context principal
Utilitzeu ACCTL per confirmar el principal actual:
acctl auth whoami
Si el principal no és el que esperaves, ajusta la provisió de tokens o la configuració del directori abans d’avaluar l’RBAC.
Pas 3: Inspeccionar permisos efectius
Comproveu quines operacions estan permeses per al principal i l’espai de noms actuals:
acctl auth permissions --namespace-id 5001
Si falta l’operació requerida, ajusteu els rols o les vinculacions ACL de l’espai de noms.
Pas 4: Validar l’estat de l’espai de noms
Un espai de noms pot rebutjar operacions perquè està desactivat, s’està eliminant, està congelat o és només de lectura. Inspeccioneu el registre de l’espai de noms i l’estat operatiu:
acctl namespaces show --namespace-id 5001
Si el cicle de vida o l’estat operatiu bloqueja la sol·licitud, resol això abans de tornar a intentar-ho.
Pas 5: Correlacionar registres i mètriques
Utilitzeu el server_correlation_id per rastrejar la sol·licitud a través dels registres. Per a problemes crònics, observeu els comptadors d’errors auth o ingress en les mètriques per confirmar si el problema és sistèmic o aïllat.
Patrons de fallada comuns
- Espai de noms incorrecte: El token és vàlid però la ID de l’espai de noms és incorrecta.
- Rol insuficient: El principal existeix però manca de drets de compromís o d’administrador.
- Namespace ACL deny: Un vincle de denegació substitueix el rol del llogater.
- Classe de política de porta: Els espais de noms de producció requereixen rols més alts per a certes operacions.
- Restricció del cicle de vida: L’espai de noms està desactivat o s’està eliminant.
Properes passes
- Model d’Autorització per a les regles conceptuals.
- Configura RBAC per a un inquilí per a passos correctius.
- Guia de l’Operador ACCTL per a fluxos de treball forenses més profunds.