Arxi Decision Gate Asset Core
Docs
Documentació d'Asset Core

Documentació del motor d'estat del món determinista i referències de l'API.

Decision Gate docs

Configura RBAC per a un inquilí

Aquesta guia explica una configuració pràctica de RBAC utilitzant ACCTL com a interfície principal de l’operador. Els passos se centren en la verificació i l’accés amb el mínim privilegi, de manera que pugueu confirmar que el sistema es comporta exactament com es pretenia.

El flux de treball exacte per a la provisió de tokens depèn del vostre desplegament, però els passos de verificació i les comprovacions d’accés es mantenen iguals a través dels entorns.

Pas 1: Confirmeu que el daemon és accessible

Utilitzeu ACCTL per verificar la connectivitat amb el daemon d’escriptura abans de configurar els permisos:

acctl auth whoami

Això hauria de retornar el context principal actual. Si falla, arregleu la connectivitat o la configuració del token abans de continuar.

Pas 2: Inspeccionar permisos efectius

Utilitzeu el punt d’endpoint de permisos per veure quines operacions pot realitzar el principal actual:

acctl auth permissions --namespace-id 5001

Aquesta sortida és la veritat fonamental del que el token pot fer per a l’espai de noms seleccionat. Si falta alguna operació requerida, ajusteu els rols o les ACL de l’espai de noms abans de continuar.

Si planegeu permetre compromisos inversos, verifiqueu que l’operació de compromís invers estigui explícitament concedida en aquesta llista.

Pas 3: Valida el mínim privilegi amb una operació de prova

Trieu una operació de baix risc que hauria de tenir èxit per al rol que esteu provant (per exemple, llistar espais de noms o consultar metadades de contenidors). Utilitzeu ACCTL o curl per verificar el resultat.

acctl namespaces list --limit 5

Si l’operació falla amb 403, el mapeig de rols és massa restrictiu. Si té èxit quan no hauria de ser així, ajusteu els vincles de rol o ACL.

Pas 4: Rotar o revocar l’accés

RBAC només és segur quan podeu revocar o rotar tokens ràpidament. Utilitzeu el flux de treball de gestió de tokens del vostre desplegament, després torneu a executar immediatament els passos de verificació anteriors per confirmar la revocació.

Perfils de rol comuns

A continuació es presenten perfils de rol pràctics que podeu utilitzar per a configuracions de mínim privilegi. Els noms exactes dels rols depenen del vostre catàleg de desplegament, però la intenció és coherent.

  • Lectura: Accés només de lectura a les projeccions i frescor.
  • Escriptor: Accés de compromís més visibilitat de lectura.
  • Operador: Accés al cicle de vida de l’espai de noms i estat operatiu.
  • Admin: Accés complet a nivell de llogater (utilitzar amb moderació).

Properes passes