Roles y permisos (RBAC)
ShieldAgent aplica control de acceso basado en roles en toda la plataforma. Esta página documenta los roles integrados y la matriz de permisos.
Descripción general
Cada solicitud autenticada se comprueba contra el rol del llamador en el tenant objetivo. Los permisos siguen un patrón resource:action (p. ej. agent:write). Los administradores de plataforma tienen acceso completo en todos los tenants. Los roles con ámbito de tenant se asignan por tenant, por lo que un usuario puede ser auditor en un tenant y tenant_admin en otro.
Roles integrados
ShieldAgent incluye seis roles del sistema. Los roles personalizados aún no son compatibles — las asignaciones usan estos roles integrados.
| Rol | Ámbito | Descripción |
|---|---|---|
| platform_admin | Plataforma | Acceso completo a la plataforma en todos los tenants. Reservado para operadores de ShieldAgent. |
| tenant_admin | Tenant | Gestión completa de un tenant: usuarios, configuración, facturación, todos los subrecursos. |
| security_operator | Tenant | Monitorización, triaje de incidentes, gestión de alertas, revisión de riesgos. |
| auditor | Tenant | Acceso de solo lectura a informes de cumplimiento, registro de auditoría y exportación. |
| aiops_engineer | Tenant | Ciclo de vida de agentes, gestión de servidores MCP, autoría de políticas. |
| viewer | Tenant | Panel de solo lectura y datos de resumen. |
Matriz de permisos
La matriz siguiente muestra cada permiso y qué roles lo incluyen. platform_admin y tenant_admin tienen todos los permisos y se omiten para mayor legibilidad.
| Permiso | Descripción | sec_op | auditor | aiops | viewer |
|---|---|---|---|---|---|
| agent:read | Ver / listar agentes | ✓ | ✓ | ✓ | ✓ |
| agent:write | Crear o actualizar agentes | — | — | ✓ | — |
| agent:delete | Eliminar agentes | — | — | ✓ | — |
| agent:configure | Modificar configuración de agente | — | — | ✓ | — |
| policy:read | Ver / listar políticas | ✓ | ✓ | ✓ | ✓ |
| policy:write | Crear o actualizar políticas | — | — | ✓ | — |
| policy:delete | Eliminar políticas | — | — | ✓ | — |
| audit:read | Ver eventos del registro de auditoría | ✓ | ✓ | ✓ | — |
| audit:export | Exportar datos de auditoría | — | ✓ | — | — |
| compliance:read | Ver informes de cumplimiento | ✓ | ✓ | — | — |
| compliance:write | Crear o actualizar registros de cumplimiento | — | — | — | — |
| compliance:export | Exportar datos de cumplimiento | — | ✓ | — | — |
| risk:read | Ver puntuaciones de riesgo y tendencias | ✓ | ✓ | ✓ | ✓ |
| risk:configure | Modificar umbrales de riesgo | ✓ | — | ✓ | — |
| incident:read | Ver incidentes | ✓ | ✓ | — | — |
| incident:write | Crear o actualizar incidentes | ✓ | — | — | — |
| incident:triage | Reconocer, asignar o resolver | ✓ | — | — | — |
| mcp_server:read | Ver registros de servidores MCP | ✓ | — | ✓ | ✓ |
| mcp_server:write | Crear o actualizar servidores MCP | — | — | ✓ | — |
| mcp_server:delete | Eliminar servidores MCP | — | — | ✓ | — |
| alert:read | Ver alertas | ✓ | ✓ | ✓ | ✓ |
| alert:write | Crear o actualizar reglas de alerta | ✓ | — | ✓ | — |
| alert:delete | Eliminar reglas de alerta | — | — | — | — |
| alert:triage | Reconocer o resolver eventos de alerta | ✓ | — | — | — |
| review:read | Ver revisiones pendientes | ✓ | ✓ | ✓ | — |
| review:triage | Aprobar o rechazar revisiones | ✓ | — | — | — |
| user:read | Ver cuentas de usuario | — | — | — | — |
| user:write | Crear o actualizar usuarios y roles | — | — | — | — |
| user:delete | Eliminar cuentas de usuario | — | — | — | — |
| tenant:read | Ver configuración del tenant | ✓ | ✓ | ✓ | ✓ |
| tenant:write | Modificar configuración del tenant / facturación | — | — | — | — |
| export:read | Ver configuraciones de exportación | — | ✓ | — | — |
| export:write | Crear o actualizar configuraciones de exportación | — | — | — | — |
| dashboard:read | Ver datos del panel agregado | ✓ | ✓ | ✓ | ✓ |
Gestión de roles en el panel
Invita usuarios y asigna roles directamente desde el panel:
- 1Ve a Configuración → Equipo en la barra lateral izquierda.
- 2Haz clic en Invitar usuario e introduce su dirección de correo electrónico.
- 3Elige un rol en el desplegable (viewer, auditor, aiops_engineer, security_operator o tenant_admin).
- 4Haz clic en Enviar invitación — el usuario recibirá un correo y se le asignará el rol al aceptar.
- 5Para cambiar el rol de un usuario existente, encuéntralo en la lista Equipo y haz clic en su rol actual para abrir el selector de roles.
Asignación de roles
Los roles se asignan por usuario por tenant. Un usuario puede tener diferentes roles en diferentes tenants, lo que permite un control de acceso flexible en toda su organización.