|
Documentación
Agenda una demoPlataforma
Plataforma
MCPCLIAPIFlujos de trabajo
GuíasRegistro de cambios

Primeros pasos

  • Introducción
  • Conecta tu motor

Motor de localización

  • Descripción general
  • Voces de marca
  • Instrucciones
  • Glosarios
  • Modelos LLM
  • Tokens de caché
  • Resolución de idioma

Calidad

  • Informes
  • Evaluadores de IA
  • Playground
  • Sugerencias del motor

Administración

  • Claves API
  • Equipo
  • Roles y permisos
  • Registros de auditoría

Roles y permisos

El control de acceso basado en roles (RBAC) te permite definir roles personalizados y asignar permisos granulares a los miembros de tu equipo. Disponible en el plan Enterprise.

Cuando RBAC está activado, los permisos de cada miembro dependen del rol que tenga asignado: un miembro sin rol puede iniciar sesión, pero no administrar nada. Sin RBAC, todos los miembros tienen acceso total de forma predeterminada (consulta Team).

Permisos#

Cada rol se compone de cinco permisos:

PermisoAlcancePermite
org:manage_teamOrganizaciónInvitar o eliminar miembros, crear o editar roles y asignar roles
org:manage_settingsOrganizaciónEditar el nombre de la organización, la zona horaria y las integraciones
org:manage_billingOrganizaciónVer y cambiar la facturación, el plan y las facturas
org:deleteOrganizaciónEliminar toda la organización
engine:accessMotorVer, editar, eliminar y administrar miembros en los motores de localización

org:manage_billing y org:delete son exclusivos de Owner: solo el Owner actual puede otorgarlos asignando un rol que los incluya.

Roles#

Hay tres tipos de roles:

  • Owner — rol del sistema con todos los permisos. La persona que crea la organización es el primer Owner; un Owner existente puede nombrar Owners adicionales. El rol en sí no se puede editar ni eliminar, y la organización siempre debe tener al menos un Owner.
  • Full Access — se crea automáticamente al crear una organización con org:manage_team, org:manage_settings y engine:access. Se puede editar como cualquier rol personalizado; es una opción predeterminada segura para compañeros de equipo de confianza.
  • Roles personalizados — cualquier rol que crees. Elige un nombre y cualquier subconjunto del catálogo de permisos.

Los roles son paquetes de permisos

Un usuario tiene exactamente un rol a nivel de organización. Para dar acceso parcial, crea un rol con ese subconjunto exacto de permisos y asígnalo. No puedes otorgar permisos individuales por fuera de un rol.

Asignar un rol#

Abre la página Team, elige un miembro y selecciona un rol. Si le quitas el rol, seguirá siendo miembro de la organización, pero sin permisos: podrá mantener la sesión iniciada, pero no acceder a ningún motor, ajuste ni opción de facturación.

Solo un Owner existente puede ascender a otro miembro a Owner o quitarle ese rol; esos cambios requieren contar con el propio conjunto de permisos de Owner.

Acceso a motores#

De forma predeterminada, cualquier miembro cuyo rol incluya engine:access ve todos los motores de localización de la organización.

Para acotar el acceso, agrega usuarios específicos a motores específicos desde la pestaña Members de ese motor. Los permisos por motor son aditivos: un permiso de engine:access a nivel de organización siempre prevalece. Para limitar a un usuario a un solo motor, asígnale un rol sin engine:access y luego agrégalo individualmente a ese motor.

Las claves API de servicio siguen el mismo modelo: una clave puede tener un rol (permisos generales), un alcance por motor, ambos o ninguno. Las protecciones contra la escalación se aplican al crear y al editar: las claves de servicio están limitadas a roles cuyo conjunto de permisos sea solo engine:access.

Claves API de servicio#

Las claves de servicio son una función exclusiva de RBAC. Las claves personales existen en todos los planes y heredan el rol de quien las crea; las claves de servicio solo existen cuando el derecho de RBAC está activo y llevan su propia autoridad.

  • Crear una clave de servicio requiere org:manage_team, el mismo alcance que rige la asignación de roles.
  • Una clave de servicio sin rol es válida: su acceso proviene por completo de los motores incluidos en la clave.
  • Si el plan Enterprise termina, todas las claves de servicio de la organización se desactivan con un 403 tipado que nombra el derecho, para que quien opera el sistema sepa que debe restaurar el plan o cambiar a una clave personal, en lugar de perseguir un bug fantasma de alcance por motor.

Administra roles y alcance por motor de las claves de servicio desde la página API Keys.

Transferir la propiedad#

Si eres el único Owner y quieres dejar ese rol, usa "Transfer ownership" desde la página Team. Elige al nuevo Owner y el rol que quieres tener después (o ningún rol): el ascenso y tu propia salida del rol se confirman en una sola transacción, por lo que la organización nunca se queda sin un Owner.

Este flujo está pensado específicamente para dejar ese rol. Si solo quieres compartir las responsabilidades de Owner, asciende a un segundo usuario a Owner desde el selector de roles habitual.

Siguientes pasos#

Team
Invita miembros y administra la lista de tu organización
API Keys
Genera claves con alcance para tu organización
Engines
Configura motores de localización por configuración regional

¿Te resultó útil esta página?

Max PrilutskiyMax Prilutskiy·Actualizado hace alrededor de 2 meses·4 min de lectura