Arxi Puerta de Decisión Asset Core
Docs
Documentos de Asset Core

Documentación del motor de estado mundial determinista y referencias de API.

Documentos de Decision Gate

Configurar RBAC para un inquilino

Esta guía describe un proceso práctico de configuración de RBAC utilizando ACCTL como la interfaz principal del operador. Los pasos se centran en la verificación y el acceso con el menor privilegio posible para que pueda confirmar que el sistema se comporta exactamente como se pretende.

El flujo de trabajo exacto para la provisión de tokens depende de su implementación, pero los pasos de verificación y las comprobaciones de acceso permanecen iguales en todos los entornos.

Paso 1: Confirmar que el daemon es accesible

Utilice ACCTL para verificar la conectividad con el daemon de escritura antes de configurar los permisos:

acctl auth whoami

Esto debería devolver el contexto principal actual. Si falla, solucione la conectividad o la configuración del token antes de continuar.

Paso 2: Inspeccionar permisos efectivos

Utilice el endpoint de permisos para ver qué operaciones puede realizar el principal actual:

acctl auth permissions --namespace-id 5001

Esta salida es la verdad fundamental de lo que el token puede hacer para el espacio de nombres seleccionado. Si falta una operación requerida, ajuste los roles o las ACL del espacio de nombres antes de continuar.

Si planea permitir commits inversos, verifique que la operación de commit inverso esté explícitamente concedida en esta lista.

Paso 3: Validar el menor privilegio con una operación de prueba

Elija una operación de bajo riesgo que debería tener éxito para el rol que está probando (por ejemplo, listar espacios de nombres o consultar metadatos de contenedor). Utilice ACCTL o curl para verificar el resultado.

acctl namespaces list --limit 5

Si la operación falla con 403, el mapeo de roles es demasiado restrictivo. Si tiene éxito cuando no debería, ajusta el rol o las vinculaciones de ACL.

Paso 4: Rotar o revocar acceso

RBAC solo es seguro cuando puedes revocar o rotar tokens rápidamente. Utiliza el flujo de trabajo de gestión de tokens de tu implementación y luego vuelve a ejecutar inmediatamente los pasos de verificación anteriores para confirmar la revocación.

Perfiles de rol comunes

A continuación se presentan perfiles de roles prácticos que puede utilizar para configuraciones de privilegios mínimos. Los nombres exactos de los roles dependen de su catálogo de implementación, pero la intención es consistente.

  • Lector: Acceso de solo lectura a proyecciones y frescura.
  • Escritor: Acceso de compromiso más visibilidad de lectura.
  • Operador: Acceso al ciclo de vida del espacio de nombres y al estado operativo.
  • Admin: Acceso completo a nivel de inquilino (usar con moderación).

Próximos pasos