¿Qué es Control de acceso basado en roles?
El control de acceso basado en roles (RBAC) es un modelo de control de acceso en el que los permisos se asignan a roles —como administrador, editor o lector— y los usuarios obtienen permisos al ser asignados a esos roles, en lugar de concederles permisos directamente a cuentas individuales.
También conocido como: RBAC, role based access control
El RBAC simplifica la gestión de accesos creando una capa de abstracción entre los usuarios y los permisos. En lugar de mantener una matriz de permisos para cada par usuario-recurso, los administradores definen roles que representan funciones de trabajo, asignan los permisos adecuados a cada rol y luego asignan los usuarios a los roles. Cuando un empleado cambia de puesto, su acceso cambia actualizando sus asignaciones de rol en lugar de reconfigurar permisos individuales.
El modelo RBAC consta de unos pocos conceptos básicos: roles (colecciones de permisos con nombre), permisos (la aprobación para realizar operaciones específicas sobre recursos específicos), usuarios (personas o cuentas de servicio) y sesiones (asignaciones de rol activas). Las implementaciones avanzadas de RBAC admiten jerarquías de roles (un rol superior hereda los permisos de los roles inferiores), separación de funciones (ciertas combinaciones de roles están prohibidas para evitar conflictos de intereses) y restricciones temporales (roles activos solo durante determinadas horas).
El RBAC es el modelo de control de acceso dominante en el software empresarial, las plataformas en la nube y los sistemas de bases de datos. AWS IAM, el RBAC de Kubernetes y los roles de PostgreSQL implementan variantes de este modelo. El principal reto es la proliferación de roles: a medida que las organizaciones crecen, el número de roles puede dispararse, generando complejidad de gestión. Las revisiones de acceso periódicas y la consolidación de roles son esenciales para mantener el RBAC manejable.
Cómo usa Vaulted Control de acceso basado en roles
Vaulted no implementa RBAC porque funciona sin cuentas de usuario ni identidad persistente. Sin embargo, las credenciales de RBAC —como los tokens de cuentas de servicio, las configuraciones de roles de IAM y las contraseñas de roles de bases de datos— se encuentran entre los datos sensibles que más se comparten en las organizaciones. Vaulted proporciona un canal seguro para compartir estas credenciales durante la incorporación, los cambios de rol o la respuesta a incidentes, garantizando que no queden en hilos de correo o registros de chat.