Usuarios y Roles
PowerWAF te permite invitar miembros a tu equipo para colaborar en la gestión de tus sitios web protegidos. A cada miembro del equipo se le asigna un rol que determina qué acciones puede realizar dentro de tu cuenta.
Descripción General
Cuando creas una cuenta en PowerWAF, automáticamente te conviertes en el Propietario de esa organización. Como propietario, puedes invitar a otros usuarios a unirse a tu equipo y asignarles roles específicos según sus responsabilidades.
Este control de acceso basado en roles asegura que:
- Las operaciones sensibles estén restringidas a usuarios autorizados
- Los miembros del equipo tengan los permisos que necesitan para hacer su trabajo
- Tu configuración de seguridad permanezca protegida de cambios accidentales
Roles Disponibles
PowerWAF ofrece cuatro roles distintos, cada uno con diferentes niveles de acceso:
| Rol | Descripción |
|---|---|
| Propietario | Control total sobre la cuenta, incluyendo gestión del equipo. |
| Administrador | Puede realizar todas las operaciones excepto transferir la propiedad. |
| Editor | Puede ver y modificar recursos existentes, pero no puede crear ni eliminar. |
| Solo lectura | Solo puede ver recursos. No se permiten modificaciones. |
Matriz de Permisos
La siguiente tabla muestra lo que puede hacer cada rol:
| Acción | Propietario | Admin | Editor | Solo lectura |
|---|---|---|---|---|
| Ver sitios y configuraciones | ✅ | ✅ | ✅ | ✅ |
| Ver certificados SSL | ✅ | ✅ | ✅ | ✅ |
| Ver reglas WAF | ✅ | ✅ | ✅ | ✅ |
| Ver registros DNS | ✅ | ✅ | ✅ | ✅ |
| Ver estadísticas y logs | ✅ | ✅ | ✅ | ✅ |
| Modificar configuración de sitios | ✅ | ✅ | ✅ | ❌ |
| Modificar reglas WAF | ✅ | ✅ | ✅ | ❌ |
| Modificar registros DNS | ✅ | ✅ | ✅ | ❌ |
| Asignar certificados SSL | ✅ | ✅ | ✅ | ❌ |
| Configurar redirección HTTP | ✅ | ✅ | ✅ | ❌ |
| Modificar zonas de control de acceso | ✅ | ✅ | ✅ | ❌ |
| Crear nuevos sitios | ✅ | ✅ | ❌ | ❌ |
| Eliminar sitios | ✅ | ✅ | ❌ | ❌ |
| Agregar certificados SSL | ✅ | ✅ | ❌ | ❌ |
| Eliminar certificados SSL | ✅ | ✅ | ❌ | ❌ |
| Agregar dominios | ✅ | ✅ | ❌ | ❌ |
| Crear zonas de control de acceso | ✅ | ✅ | ❌ | ❌ |
| Eliminar zonas de control de acceso | ✅ | ✅ | ❌ | ❌ |
| Invitar miembros al equipo | ✅ | ❌ | ❌ | ❌ |
| Eliminar miembros del equipo | ✅ | ❌ | ❌ | ❌ |
| Cambiar roles de miembros | ✅ | ❌ | ❌ | ❌ |
| Promover a propietario | ✅ | ❌ | ❌ | ❌ |
| Gestionar facturación y pagos | ✅ | ❌ | ❌ | ❌ |
| Eliminar cuenta | ✅ | ❌ | ❌ | ❌ |
Detalle de Roles
Propietario
El Propietario es el creador original de la cuenta y tiene control completo sobre todos los aspectos de la organización.
Características principales:
- Puede haber múltiples propietarios por organización
- Puede promover a otros miembros al rol de propietario
- Puede eliminar a otros miembros del equipo, incluyendo otros propietarios
- Tiene acceso a facturación y gestión de suscripción
- Puede eliminar toda la cuenta
Ten cuidado al promover usuarios al rol de propietario, ya que tendrán control total sobre la cuenta, incluyendo la capacidad de eliminar a otros propietarios.
Administrador
Los Administradores tienen control casi total y pueden gestionar todos los recursos.
Los administradores pueden:
- Crear, modificar y eliminar todos los sitios protegidos
- Gestionar certificados SSL
- Configurar reglas WAF y ajustes de seguridad
- Agregar y gestionar dominios
- Crear y eliminar zonas de control de acceso
Los administradores no pueden:
- Gestionar miembros del equipo (invitar, eliminar o cambiar roles)
- Gestionar facturación y pagos
- Promover usuarios a propietario
- Eliminar la cuenta
Asigna el rol de Administrador a miembros de confianza del equipo que necesiten control total sobre la infraestructura técnica sin acceso a la gestión del equipo.
Editor
Los Editores pueden modificar recursos existentes pero no pueden crearlos ni eliminarlos.
Los editores pueden:
- Modificar configuraciones de sitios (IP destino, protocolo, puerto)
- Actualizar reglas WAF y configuración del modo monitor
- Editar registros DNS
- Asignar o cambiar certificados SSL en sitios existentes
- Configurar redirecciones HTTP
- Modificar configuraciones de zonas de control de acceso
Los editores no pueden:
- Crear nuevos sitios o dominios
- Eliminar sitios, certificados o dominios
- Gestionar miembros del equipo o invitaciones
- Crear o eliminar zonas de control de acceso
El rol de Editor es ideal para desarrolladores o personal de operaciones que necesitan mantener configuraciones existentes sin la capacidad de agregar o eliminar recursos.
Solo Lectura
Los usuarios de Solo Lectura pueden ver todos los recursos pero no pueden hacer ningún cambio.
Los usuarios de solo lectura pueden:
- Ver todos los sitios protegidos y sus configuraciones
- Ver certificados SSL y sus detalles
- Ver reglas WAF y su estado actual
- Ver registros DNS
- Ver estadísticas y logs de seguridad
- Ver configuraciones de control de acceso
Los usuarios de solo lectura no pueden:
- Modificar ningún recurso o configuración
- Crear o eliminar ningún recurso
- Gestionar miembros del equipo
El rol de Solo Lectura es perfecto para auditores, gerentes o miembros del equipo que necesitan visibilidad de la configuración de seguridad sin la capacidad de hacer cambios.
Gestión de tu Equipo
Invitar Miembros del Equipo
Para invitar a un nuevo miembro del equipo:
- Ve a Configuración → Equipo
- Haz clic en Invitar Miembro
- Ingresa el correo electrónico de la persona que deseas invitar
- Selecciona el rol que deseas asignar
- Haz clic en Enviar Invitación
El usuario invitado recibirá un correo electrónico con un enlace para unirse a tu organización. Una vez que acepte la invitación, tendrá acceso según su rol asignado.
Cambiar Roles
Solo el Propietario puede cambiar el rol de los miembros del equipo:
- Ve a Configuración → Equipo
- Encuentra el miembro del equipo que deseas modificar
- Haz clic en el menú desplegable de rol junto a su nombre
- Selecciona el nuevo rol
- Confirma el cambio
Los cambios de rol tienen efecto inmediato. El usuario verá sus nuevos permisos en su próxima acción.
Eliminar Miembros del Equipo
Para eliminar un miembro del equipo:
- Ve a Configuración → Equipo
- Encuentra el miembro del equipo que deseas eliminar
- Haz clic en el botón Eliminar
- Confirma la eliminación
Eliminar un miembro del equipo es inmediato y no se puede deshacer. Siempre puedes invitarlo de nuevo si es necesario.
Notificaciones y Anuncios
Todos los miembros del equipo, independientemente de su rol, reciben notificaciones y anuncios. Esto incluye:
- Notificaciones del sistema: Actualizaciones importantes sobre tus sitios protegidos
- Alertas de seguridad: Notificaciones sobre amenazas detectadas o anomalías
- Anuncios del servicio: Actualizaciones de la plataforma, ventanas de mantenimiento y nuevas funcionalidades
Cada usuario puede:
- Ver sus propias notificaciones
- Marcar notificaciones como leídas o no leídas
- Descartar anuncios
Las notificaciones son personales para cada usuario. Marcar una notificación como leída no afecta a otros miembros del equipo.
Mejores Prácticas
Principio de Mínimo Privilegio
Asigna a los usuarios el rol mínimo necesario para su trabajo:
- Usa Solo Lectura para usuarios que solo necesitan monitorear
- Usa Editor para usuarios que mantienen configuraciones
- Reserva Administrador para usuarios que necesitan gestionar recursos y equipo
- Mantén el acceso de Propietario limitado a los administradores de la cuenta
Revisiones de Acceso Regulares
Revisa periódicamente los miembros de tu equipo y sus roles:
- Elimina usuarios que ya no necesitan acceso
- Degrada roles cuando el acceso elevado ya no es necesario
- Asegúrate de que las operaciones críticas tengan la supervisión adecuada
Prácticas Seguras de Invitación
Al invitar nuevos miembros:
- Verifica que el correo electrónico pertenece a la persona correcta
- Comienza con un rol menor y actualiza si es necesario
- Comunica el acceso otorgado a los nuevos miembros del equipo
Preguntas Frecuentes
¿Puedo tener múltiples propietarios?
Sí, puedes tener múltiples propietarios en una organización. Todos los propietarios tienen el mismo nivel de acceso y pueden gestionar el equipo y la configuración de la cuenta.
¿Qué pasa si un propietario deja la empresa?
Si hay otros propietarios en la organización, pueden eliminar al propietario saliente del equipo.
Si el último propietario se va, la empresa debe conservar acceso al correo electrónico del propietario para recuperar la contraseña de la cuenta a través del proceso estándar de recuperación de contraseña. Por razones de seguridad, el soporte de PowerWAF no puede otorgar acceso de propietario a otros usuarios.
Recomendamos tener al menos dos propietarios en tu organización para evitar problemas de acceso si un propietario no está disponible.
¿Puede un usuario de solo lectura ver datos sensibles?
Los usuarios de solo lectura pueden ver configuraciones y logs pero no pueden ver datos sensibles como claves privadas SSL. Los detalles de certificados mostrados se limitan a información pública (dominios, expiración, emisor).
¿Cambiar el rol de un usuario lo desconectará?
No, los cambios de rol tienen efecto en la próxima acción del usuario. No necesitan cerrar sesión y volver a iniciar.
¿Puedo crear roles personalizados?
Actualmente, PowerWAF ofrece cuatro roles predefinidos. Los roles personalizados no están disponibles en este momento.