{"id":3332,"date":"2017-04-24T11:30:54","date_gmt":"2017-04-24T18:30:54","guid":{"rendered":"https:\/\/www.couchbase.com\/blog\/?p=3332"},"modified":"2025-06-13T19:29:03","modified_gmt":"2025-06-14T02:29:03","slug":"authentication-authorization-rbac-part-2","status":"publish","type":"post","link":"https:\/\/www.couchbase.com\/blog\/es\/authentication-authorization-rbac-part-2\/","title":{"rendered":"Autorizaci\u00f3n y autenticaci\u00f3n con RBAC (Parte 2)"},"content":{"rendered":"
\n

La autorizaci\u00f3n y la autenticaci\u00f3n son importantes para Couchbase. En marzo, He publicado en el blog algunas de las nuevas funciones de control de acceso basado en roles (RBAC)<\/a> que estamos mostrando en las Couchbase Server 5.0 Developer Builds. Este mes, me gustar\u00eda entrar un poco m\u00e1s en detalle ahora que el April Couchbase Server 5.0 Developer Build est\u00e1 disponible<\/a> (aseg\u00farate de hacer clic en la pesta\u00f1a \"Desarrollador\").<\/p>\n<\/div>\n

\n

Autenticaci\u00f3n y autorizaci\u00f3n<\/h2>\n
\n
\n

En versiones anteriores de Couchbase, los buckets estaban protegidos por una contrase\u00f1a. En 5.0, las contrase\u00f1as de cubo para la autorizaci\u00f3n han desaparecido. Ya no se puede crear una \"contrase\u00f1a de cubo\" para la autorizaci\u00f3n. En su lugar, debes crear uno (o m\u00e1s) usuarios que tengan diferentes niveles de autorizaci\u00f3n para ese bucket. Observe que ya no hay ning\u00fan campo de \"contrase\u00f1a\" (ni siquiera en la \"Configuraci\u00f3n avanzada de cubos\"):<\/p>\n<\/div>\n

\n

\"Create<\/span><\/p>\n<\/div>\n

\n

De este modo, ya no tiene que dar una contrase\u00f1a que d\u00e9 acceso completo a un cubo. Puede ajustar la autorizaci\u00f3n de los cubos y proporcionar varios conjuntos de credenciales con distintos niveles de acceso. Esto le ayudar\u00e1 a reforzar la seguridad y a reducir su exposici\u00f3n.<\/p>\n<\/div>\n

\n

Nota: El usuario administrador todav\u00eda existe, y tiene permiso para hacer todo. As\u00ed que todav\u00eda puedo ejecutar consultas N1QL (por ejemplo) en ese bucket mientras estoy conectado como cuenta de administrador. Sin embargo, esta no es la cuenta que deber\u00edas estar usando desde tus clientes.<\/em><\/p>\n<\/div>\n<\/div>\n<\/div>\n

\n

Crear un usuario autorizado<\/h2>\n
\n
\n

Para crear un nuevo usuario, debes iniciar sesi\u00f3n como administrador (o como un usuario que tenga el rol de Admin). Ve a la pesta\u00f1a \"Seguridad\" y podr\u00e1s ver una lista de usuarios y a\u00f1adir otros nuevos.<\/p>\n<\/div>\n

\n

Cree un nuevo usuario haciendo clic en \"A\u00d1ADIR USUARIO\". Introduzca la informaci\u00f3n del usuario. Puede que desee crear un usuario para una persona (por ejemplo, \"Matt\"), o puede que desee crear un usuario para un servicio (por ejemplo, \"MyAspNetApplication\"). Aseg\u00farese de introducir una contrase\u00f1a segura y, a continuaci\u00f3n, seleccione las funciones adecuadas para el usuario que desea crear.<\/p>\n<\/div>\n

\n

Por ejemplo, creemos un usuario \"Matt\" que s\u00f3lo tenga acceso para ejecutar SELECCIONE<\/code> en el cubo que acabo de crear. En \"Roles\", despliego \"Query Roles\", luego \"Query Select\", y marco la casilla de \"mynewbucket\", y luego \"Save\" para finalizar el usuario.<\/p>\n<\/div>\n

\n

\"Create<\/span><\/p>\n<\/div>\n<\/div>\n<\/div>\n

\n

Autorizaci\u00f3n en acci\u00f3n<\/h2>\n
\n
\n

Cuando salgo de la cuenta de administrador, y vuelvo a entrar como \"Matt\", puedo ver que el nivel de autorizaci\u00f3n que tengo est\u00e1 severamente restringido. S\u00f3lo son visibles \"Panel de control\", \"Servidores\", \"Configuraci\u00f3n\" y \"Consulta\". Si voy a \"Consulta\" puedo ejecutar SELECCIONAR 1<\/code>;<\/p>\n<\/div>\n

\n

\"Execute<\/span><\/p>\n<\/div>\n

\n

Si intento algo m\u00e1s complejo, como SELECT COUNT(1) FROM mynewbucket<\/code>me aparecer\u00e1 un mensaje de error del tipo:<\/p>\n<\/div>\n

\n
\n
[\r\n  {\r\n    \"code\": 13014,\r\n    \"msg\": \"User does not have credentials to access privilege cluster.bucket[mynewbucket].data.docs!read. Add role Data Reader[mynewbucket] to allow the query to run.\"\r\n  }\r\n]<\/code><\/pre>\n<\/div>\n<\/div>\n
\n
Por lo tanto, parece que tengo la autenticaci\u00f3n correcta para iniciar sesi\u00f3n, y tengo la autorizaci\u00f3n correcta para ejecutar un SELECCIONE<\/code>pero no tengo la autorizaci\u00f3n correcta para leer los datos. Volver\u00e9 a entrar como administrador y a\u00f1adir\u00e9 la autorizaci\u00f3n de lector de datos.<\/p>\n<\/div>\n
\n
\"User<\/span><\/p>\n<\/div>\n
\n
En este momento, cuando me conecto con \"Matt\", SELECT COUNT(1) FROM mynewbucket;<\/code> funcionar\u00e1. Si nos est\u00e1 siguiendo, intente SELECT * FROM mynewbucket;<\/code>. Aparecer\u00e1 un mensaje de error que indica que no hay ning\u00fan \u00edndice disponible. Pero, si intenta CREAR \u00cdNDICE<\/code> necesitar\u00e1s otro permiso para hacerlo. Ya te haces una idea.<\/p>\n<\/div>\n<\/div>\n<\/div>\n
\n
Nueva funcionalidad N1QL<\/h2>\n
\n
\n
Adem\u00e1s de las nuevas funciones de autenticaci\u00f3n y autorizaci\u00f3n, N1QL incorpora otras nuevas.<\/p>\n<\/div>\n
\n
conceder y revocar funciones<\/h3>\n
\n
Puedes otorgar y revocar roles con comandos N1QL. Para ello se necesita acceso de administrador.<\/p>\n<\/div>\n
\n
He aqu\u00ed un ejemplo r\u00e1pido de concesi\u00f3n SELECCIONE<\/code> autorizaci\u00f3n de consulta a un usuario llamado \"Matt\" en un bucket llamado \"mynewbucket\":<\/p>\n<\/div>\n
\n
GRANT ROLE query_select(`mynewbucket<\/code>) TO Matt;`<\/p>\n<\/div>\n
\n
Y del mismo modo, puedes REVOCAR un rol haciendo algo similar:<\/p>\n<\/div>\n
\n
REVOKE ROLE query_select(`mynewbucket<\/code>) FROM Matt;`<\/p>\n<\/div>\n<\/div>\n
\n
Creaci\u00f3n de usuarios con REST<\/h3>\n
\n
No hay forma (actualmente) de crear usuarios con N1QL, pero puedes usar la API REST para hacerlo. La documentaci\u00f3n completa vendr\u00e1 m\u00e1s adelante, pero aqu\u00ed est\u00e1 c\u00f3mo se puede crear un usuario con la API REST:<\/p>\n<\/div>\n
\n