Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
El agente puede investigar problemas, realizar acciones en la infraestructura de producción y acceder a datos confidenciales en todo el entorno. El control de acceso determina quién puede solicitar acciones, quién puede aprobarlas y quién puede modificar la configuración del agente.
Información general sobre el control de acceso
El control de acceso funciona en tres capas:
| Nivel | Controles | Configurado en |
|---|---|---|
| Roles de usuario (esta página) | Qué pueden hacer los usuarios con el agente | Azure IAM en el recurso del agente |
| Modos de ejecución | Si el agente pregunta antes de actuar | Por plan de respuesta y por tarea programada |
| Permisos del agente | ¿A qué el agente puede acceder en Azure | Roles de RBAC en grupos de recursos |
Tres roles integrados
| Función | Se puede | No se puede |
|---|---|---|
| Lector de SRE Agent | Visualización de hilos, registros, incidentes | Chat, solicitar acciones, modificar cualquier cosa |
| Usuario estándar del agente SRE | Chat, ejecución de diagnósticos, acciones de solicitud | Aprobar acciones, eliminar recursos, modificar conectores |
| Administrador del agente de SRE | Aprobar acciones, administrar conectores, eliminar recursos | — |
El usuario que crea el agente recibe automáticamente el rol Administrador del agente de SRE .
¿Quién debe tener qué rol?
| Función | Dar a |
|---|---|
| Lector de SRE Agent | Auditores, equipos de cumplimiento, partes interesadas que necesitan visibilidad |
| Usuario estándar del agente SRE | Ingenieros L1/L2, primeros respondedores, cualquiera que diagnostique problemas |
| Administrador del agente de SRE | Administradores de SRE, administradores en la nube, comandantes de incidentes |
Cómo aplica el portal los permisos
El portal comprueba las asignaciones de roles de Azure al acceder al agente. El acceso se asegura en dos niveles.
Sin acceso al agente
Cuando no tiene ninguna asignación de roles del SRE Agent, en el portal saldrá la pantalla Acceso obligatorio con el icono de un escudo y el botón Ir al control de acceso que abre la sección de Azure IAM. Si es propietario de Azure o colaborador en el recurso, también verá un banner que ofrece asignar automáticamente el rol de Administrador.
Validación obligatoria en el back-end
Cuando tiene un rol agente SRE pero intenta realizar una acción más allá de los permisos, el back-end bloquea la acción con un error 403. El portal puede permitirle navegar a una página o seleccionar un botón, pero la operación produce un error de permiso cuando llega al servidor.
Nota:
Algunas características del portal deshabilitan de forma proactiva los botones cuando no tiene permisos de escritura. Sin embargo, esto aún no es coherente en todas las características: el back-end siempre aplica los permisos correctos independientemente de lo que se muestre en la interfaz de usuario.
A qué puede acceder cada rol
| Area | Reader | Usuario estándar | Administrator |
|---|---|---|---|
| Chat | Ver hilos (solo lectura) | Enviar mensajes, iniciar subprocesos | Acceso completo y aprobación de acciones, eliminación de hilos |
| Canvas del Agente | Visualización de agentes personalizados | Visualización de agentes personalizados | Creación, edición y eliminación de agentes personalizados |
| Knowledge Base | Examinar documentos | Cargar documentos | Cargar y eliminar documentos |
| Conectores | Visualización de conectores | Visualización de conectores | Agregar, editar, eliminar conectores |
| Planes de respuesta | Ver planes | Ver planes | Crear, editar, eliminar planes |
| Recursos administrados | Ver recursos | Ver recursos | Agregar, quitar recursos |
| Settings | Ver configuración | Ver configuración | Modificar la configuración, detener o eliminar agente |
Asignación de roles
Asigne roles a través del portal de Azure (Access control (IAM)>Asignación de roles) o CLI de Azure:
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <agent-resource-id>
Reemplace el nombre del rol por SRE Agent Standard User o SRE Agent Reader según sea necesario.
Cómo funcionan juntos los roles
| Paso | Quién | Acción |
|---|---|---|
| 1 | Ingeniero (usuario estándar) | "Corrección del problema de configuración" |
| 2 | Agente | Plan de remediación en borrador |
| 3 | Agente | No se puede ejecutar (necesita aprobación de administrador) |
| 4 | Gerente (Administrador) | Revisiones y aprobaciones |
| 5 | Agente | Ejecuta la corrección mediante la identidad administrada. |