Hakların ve politikaların mirası

1) Ekosistemin neden mirasa ihtiyacı var?

• Ölçekleme hızı: Yeni düğümler/ürünler kutudan çıkar çıkmaz standart politikalar alır.
• Tekdüzelik ve uyum: Üst düzey korkuluklar otomatik olarak çocuk kaynaklarına etki eder.
• Şeffaflık ve denetim: öngörülebilir uygulama sırası, istisnaları en aza indirmek.

2) Temel erişim ontolojisi

2. 1 Hiyerarşik düzeyler

1. Organizasyon/Ekosistem - Küresel Güvenlik/Veri/RG Politikaları.
2. Kiracı/İş Ortağı - kotalar, yetki alanları, veri sınırları, SLO kısıtlamaları.
3. Etki alanı (içerik, ödemeler, KYC, bağlı kuruluşlar, analizler, etkinlikler) - erişim profili ve ağ çevreleri.
4. Hizmet/Uygulama> API/Topikal/Depolama.
5. Kaynak> tablo/konu/uç nokta/gizli/akış.

2. 2 Yetkilendirme modelleri

RBAC (roller): hızlı, şeffaf, iyi kalıtsal (rol> izin seti).
ABAC (nitelikleri): esneklik (coğrafi, yargı, risk oranı, zaman).
ReBAC (ilişkiler): "Varlıklarımla ilişkili kaynaklara erişim" (operatör ↔ kampanya ↔ verileri).
Uygulama: RBAC + ABAC hibrid, ReBAC - mülkiyet/kampanya grafikleri için.

3) Politikalar, kapsamlar ve öncelikler

3. 1 Politika türleri

İzin Ver/Reddet: Açık İzin Ver/Reddet.
Korkuluklar: zorunlu kısıtlamalar (PII kapsam dışı, ihracat sınırları, zamana dayalı).
Kotalar/Oran: Kiracı/kanal/bölgeye göre rps/txn/stream/event limitleri.
Bağlamsal: geo/ASN/cihaz/zaman/doğrulama/risk puanlama koşulları.
Delegasyon: Sınırlı kapsam/TTL ile hakların bir kısmının delegasyonu.

3. 2 Miras ve başvuru sırası

İnkar-İlk: Yasaklama çözümden daha güçlüdür.
Öncelik: 'Korkuluklar (kök)> Reddet (ebeveyn)> İzin ver (ebeveyn)> Reddet (çocuk)> İzin ver (çocuk)'.
Gölgelendirme: Yan Kuruluş İzin Ver, üst Guardirail/Deny'yi iptal etmez.
Exception tarafından geçersiz kılma: Sadece TTL ve Autofit ile "gerekçeli istisnalar" yazılır.

3. 3 Kapsamlar

Org/Kiracı: küresel kurallar ve kotalar.
Ortam: prod/stage/sandbox - sertlik, prod için artar.
Yargı: veri yerelleştirme, RG kısıtlamaları.
Veri Sınıfı: 'Genel/Dahili/Gizli/PII-Duyarlı/Finansal'.
İşlem: okuma/yazma/yönetici/dışa aktarma/kimliğe bürünme.

4) Politika ağaçları

4. 1 Yapı

/org
/tenants/{tenantId}
/domains/{payments    kyc    content    affiliates    analytics    events}
/services/{api    broker    db    storage    sfu}
/resources/{endpoint    topic    table    bucket    secret}

Her düğümde: politikaların listesi (izin ver/reddet/korkuluk/kota/bağlam). Yukarıdan aşağıya miras, yerel politikalar kısıtlamalar ekler, ancak küresel yasakları kaldırmaz.

4. 2 Örnekler

Guardrail org-level: "PII, ülkelerin beyaz listesi dışındaki web kitaplarına alınamaz".
Kiracı seviyesi: "X ülkelerinden KYC operatörleri yasaktır; Raporları yalnızca toplu olarak dışa aktarın.
Etki alanı ödemeleri: "Yalnızca mTLS'li bir hizmet hesabı ve 24 saatlik bir ≤ anahtarı aracılığıyla yazın".
Service api: "Sadece 'Idempotency-Key'ile POST/deposit".

Kaynak konusu: "Sadece 'KYC rolüne sahip hizmetlere' kyc _ status 'okuyun. Moderasyon' и ABAC' doğrulandı = doğru '"

5) Delegasyon ve geçici haklar

Tam Zamanında (JIT) Erişim TTL (tek kullanımlık).
Break-Glass: Anında denetim ve ardından ayrıştırma ile acil durum erişimi.
Kapsamlı Belirteçler: minimum 'kapsam' kümesi (okuma: konu/kyc; write: api/deposit) + audience/issuer.
Güven Zinciri: Bir cihaza/ASN/alt ağa bağlı çapraz hizmet belirteçleri.
Kimliğe bürünme: yalnızca günlük ve sınırları olan bir proxy hizmeti aracılığıyla.

6) Etki alanlarındaki kalıtım

6. 1 Ödemeler (PSP/APM)

Ebeveyn korkuluğu: 'tüm çağrılar - mTLS + JWS, zaman aşımı ≤ N, jitter ile retras; Ters ibraz kancası zorunlu"

Çocuk servisi AWP/bölgeye kota/başlık ekleyebilir. Orkestrayı bypass ederek doğrudan çağrıları reddet.

6. 2 KYC/AML

Ebeveyn Reddi: "Ham bir belge analitiğe yazılamaz".
Yan Kuruluş İzin Ver: "Yalnızca özet/karar/risk kategorilerini aktarın".

6. 3 İçerik/Akış

Org korkuluğu: "minimum bit hızı ve gecikme süresi-SLO".
Kiracı geçersiz kılma: "dolaşımda düşük kalite, ancak SLO'dan daha düşük değil".
Kaynak: belirli bir canlı tabloya erişim - yalnızca RG-OK ile segmentler.

6. 4 Etkinlik/EDA

Root: schemes/versions in-registry, iş anlamında tam olarak bir kez.
Alan adı: parti anahtarları, dedup politikası.
Hizmet: konuyu yazabilen/okuyabilen; kotalar/gecikme bütçesi.

7) Gizlilik ve Sıfır Güven

PII minimizasyonu ve tokenizasyonu varsayılan olarak, politika "güvenli bölgeler dışında tokenleştirilemez".
Ağ segmentasyonu: satıcı-VPC, çıkış-izin-listesi, bölgeler arası örgü ilkeleri.
S2S ve webhook'lar için mTLS/JWS/HMAC, kısa ömürlü anahtarlar (JWKS/rotasyon).
SoD (Segregation of Duties): Rolleri ≠ yönetim rollerini ≠ kilit serbest bırakma rollerini okuyun.
Yargı bölgeleri: devralınan yerelleştirme kuralları, DPA/DPIA olmadan kişisel verilerin sınır ötesi ihracatının yasaklanması.

8) Mirasın gözlemlenebilirliği ve denetimi

Politika Değerlendirme Trace: Dergi "traceId'ile" nerede politika çalıştı ".
Diff günlüğü: politika ağacını kim/ne zaman değiştirdi; WORM depolama.
Uygunluk testleri: erişim senaryolarının düzenli olarak çalıştırılması (izin ver/reddet; İhracat; Taklit).
Uyarılar: inkar/korkuluk tetikleyicileri, kota aşımları, bypass girişimleri.

9) Çatışmalar ve çözümü

Sınıfı tanımla: Allow/Deny çarpışma, korkuluk ihlali, ABAC kesişimi.
Öncelik sırasını uygulayın (bkz. § 3. 2).
İstisnayı sınıflandırın: geçici (TTL), kalıcı (kural), hatalı (geri alma).
Eserler ekleyin: RFC/CR isteği, risk değerlendirmesine bağlantı, CI'da otomatik kontroller.

10) Anti-desenler

TTL'siz manuel verilen haklar ("sonsuza kadar").
Varsayılan ve sessiz istisnalara izin ver.
Görünür korkuluklar olmadan kalıtım - çocuk dalları güvenli kurallarla örtüşür.
Rol harmanlama (admin = analist = operatör) - SoD yok.
Ham kişisel verilerin üçüncü taraf hizmetlere, imza olmadan "geçici" web kitaplarına aktarılması.
Kırık cam ile devre dışı denetim.
Şemaların yüzen sürümleri: analitik/EDA seyahatleri, inkar yeni alanlarda çalışmıyor.

11) Politika Ağacı Tasarım Kontrol Listesi

1. Verilerin sınıflandırılması (Public/Internal/Confidential/PII/Financial).
2. Hiyerarşi düzeylerini ve düğüm sahiplerini (RACI) tanımlayın.
3. Korkulukları kökten ayarlayın (Sıfır Güven, PII, RG, yargı bölgeleri).
4. Form RBAC rolleri ve ABAC nitelikleri; SoD'yi etkinleştir.
5. Kapsamları tanımlayın (org/tenant/env/jurisdiction/data class/operation).
6. Denetim döngüsü ile delegasyon/TTL ve kırılma camını etkinleştirin.
7. Öncelik ve çakışmayı yazın (önce reddet, geçersiz kılma işlemi).
8. Gözlemlenebilirliği ayarlama: değerlendirme-izleme, diff-log, uyarılar.
9. Uyumlu arama ve düzenli istisna incelemelerini çalıştırın.
10. Belge: politika portalı, örnekler, sanal alanlar, simülatörler.

12) Olgunluk metrikleri

Kapsam: Eski politikaların ve uygunluk testlerinin kapsadığı kaynakların payı.
Sürüklenme: yerel istisna sayısı/100 kaynak; Ortalama TTL istisnası.
SoD Puanı: Sorumlulukları paylaşan kullanıcıların paylaşımı.
PII Maruziyeti: Güvenli bölgeler dışındaki ihracat sayısı (hedef = 0).
Denetlenebilirlik: Değerlendirme-izleme ile taleplerin %'si; Erişim çekişmesine göre MTTR.
Değişim Hızı: Miras göz önünde bulundurularak politikaya göre CR zamanı.

13) Örnek desenler (şematik)

• Deny: 'export: PII' if 'destination. Ülke ∉ beyaz liste '
• Gerekli: 'mTLS & & JWS' 'webhook:' için
• Kota: 'okumak: olay: ≤ X rps başına tenant'

• Allow: 'write: api/deposit' if 'verified & & & risk_score
• İnkar: 'doğrudan: psp/'

• İzin ver: Rol 'KYC için' oku '. Moderasyon 'nerede' yargı = = kaynak. Yargı yetkisi '
• Reddet: 'yaz' hizmet dışında 'kyc-orkestra'

14) Evrim yol haritası

V1 (Vakıf): politika ağacı, kökteki korkuluklar, RBAC, önce inkar, denetim değişiklikleri.
V2 (Entegrasyon): ABAC, delegasyon/TTL, uygunluk-set, değerlendirme-iz.
V3 (Otomasyon): Yetki alanına/verilere göre otomatik kapsam, kod olarak politika, CI/CD'de otomatik kontroller, otomatik karantina ihlalleri.
V4 (Networked Governance): Ortaklar arası politikalar federasyonu, kripto imza ile kiracılar arası delegasyon, hakların verilmesi için öngörücü istemler (risk oranı).

Kısa Özet

Hakların ve politikaların mirası, güvenli ve hızlı bir ekosistemin çerçevesidir. Kök üzerinde korkulukları olan bir ilke ağacı oluşturun, önce reddetme ve öncelik kullanın, RBAC + ABAC + ReBAC'yi birleştirin, TTL ile yetkilendirme ve sıkı denetim kullanın. Denetimleri ve istisna yönetimini otomatikleştirin; tüm katılımcı ağınız için ölçeklenebilir, uyumlu ve öngörülebilir bir erişim modeliniz olsun.