Arxi Puerta de Decisión Asset Core
Docs
Documentos de Asset Core

Documentación del motor de estado mundial determinista y referencias de API.

Documentos de Decision Gate

Por qué se denegó el acceso

Los denegaciones de acceso son intencionales y predecibles en Asset Core. Esta guía te ayuda a identificar rápidamente las causas más comunes y verificar la solución correcta sin conjeturas.

Paso 1: Identificar el código de estado

Comience registrando el código de estado HTTP y el server_correlation_id de la respuesta de error. El código de estado le indica qué categoría de fallo está tratando.

  • 401 No autorizado: La autenticación ha fallado o el token está ausente/ha expirado.
  • 403 Prohibido: Autenticado, pero permisos insuficientes o puerta de clase de política.
  • 404 No Encontrado: El recurso no existe o se ha ocultado intencionadamente.
  • 429 Demasiadas Solicitudes: Aplicación de cuota o límite de tasa.

Paso 2: Verificar contexto del principal

Utilice ACCTL para confirmar el principal actual:

acctl auth whoami

Si el principal no es lo que esperas, corrige la provisión de tokens o la configuración del directorio antes de evaluar RBAC.

Paso 3: Inspeccionar permisos efectivos

Verifique qué operaciones están permitidas para el principal y el espacio de nombres actuales:

acctl auth permissions --namespace-id 5001

Si falta la operación requerida, ajuste los roles o las vinculaciones de ACL del espacio de nombres.

Paso 4: Validar el estado del espacio de nombres

Un espacio de nombres puede rechazar operaciones porque está deshabilitado, en proceso de eliminación, congelado o es de solo lectura. Inspeccione el registro del espacio de nombres y el estado operativo:

acctl namespaces show --namespace-id 5001

Si el ciclo de vida o el estado operativo bloquea la solicitud, resuélvelo antes de volver a intentar.

Paso 5: Correlacionar registros y métricas

Utilice el server_correlation_id para rastrear la solicitud a través de los registros. Para problemas crónicos, observe los contadores de errores de auth o ingress en las métricas para confirmar si el problema es sistémico o aislado.

Patrones de fallo comunes

  • Espacio de nombres incorrecto: El token es válido, pero el ID del espacio de nombres es incorrecto.
  • Rol insuficiente: El principal existe pero carece de derechos de commit o de administrador.
  • Namespace ACL deny: Un enlace de denegación anula el rol del inquilino.
  • Puerta de clase de política: Los espacios de nombres de producción requieren roles más altos para ciertas operaciones.
  • Restricción de ciclo de vida: El espacio de nombres está deshabilitado o se está eliminando.

Próximos pasos