Menu
Feedback
Comece aqui
Tutoriales
Portal del desarrollador
Problemas Conocidos
Directrices de Soporte
Troubleshooting
Preguntas Frecuentes
Anuncios
Anuncios
2024
2023
2022
2021
2020
2019
2018
2017
Anuncios
El rol Owner (Admin Super) ya no tiene permiso para crear usuarios
Photo of the author
PedroAntunesCosta
Publicado en 3/2/2023
Última actualización 6/2/2023

Owner (Admin Super) es un rol que abarca todos los recursos necesarios para acceder a información y realizar tareas cotidianas en tu tienda VTEX.

Para mejorar las prácticas de seguridad de nuestro ecosistema, hemos redefinido los permisos predeterminados de usuarios y claves en la plataforma. Las claves son equivalentes a las contraseñas y se deben proteger con el mismo rigor.

El objetivo de estas medidas es facilitar a los administradores de la tienda la restricción de la cantidad de usuarios con el recurso Save user y, así, proporcionar mayor control sobre acciones sensibles y, por lo tanto, mayor seguridad para su tienda VTEX.

Qué cambió?

A partir de hoy, el rol Owner (Admin Super) dejará de incluir el recurso Save user. Esto significa que los usuarios que solo tengan este rol perderán la capacidad de:

Además, a partir de hoy, VTEX tiene el rol User Administrator - RESTRICTED, que incluye únicamente el recurso Save user descrito anteriormente.

¿Por qué realizamos este cambio?

Esto es necesario para reducir las posibilidades de que personas malintencionadas realicen cambios en la plataforma que puedan causar daños a tu tienda, como cambios en el checkout y gestión de usuarios administrativos.

A partir de ahora, los roles de usuarios administrativos y claves de aplicación tendrán permisos predeterminados más limitados, y algunas acciones, como la creación de usuarios administrativos y claves de aplicación, estarán restringidas a un rol específico. De esta manera, facilitamos a nuestros clientes el monitoreo y control de quién puede realizar cambios en la plataforma VTEX.

Sabemos que estos cambios afectan las operaciones de nuestros clientes, pero la adopción de las mejores prácticas de seguridad siempre es necesaria y un beneficio para todo el ecosistema.

¿Qué se necesita hacer?

Este cambio afecta de forma diferente la gestión de permisos de usuarios y de claves de aplicación.

Usuarios

El rol User Administrator - RESTRICTED se asignará automáticamente a todos los usuarios que ya tengan el rol Owner (Admin Super). Por lo tanto, no habrá pérdida de permisos para usuarios existentes, ya que tendrán ambos roles.

Sin embargo, recomendamos que revises los usuarios de tu tienda y remuevas el rol User Administrator - RESTRICTED de cada usuario que no necesite realizar acciones asociadas al recurso Save user según descrito anteriormente.

Los usuarios que, a partir de ahora, reciban el rol de usuario Owner (Admin Super), no tendrán el recurso Save user y no podrán realizar las acciones asociadas, como crear y editar usuarios y claves de aplicación.

Si deseas que algún usuario de tu tienda pueda realizar las acciones asociadas al recurso Save user antes mencionadas, debes asegurarte de que el usuario tenga el rol User Administrator - RESTRICTED o crear un rol de usuario personalizado que incluya el recurso Save user.

Claves de aplicación

Las claves de aplicación con el rol de usuario Owner (Admin Super) no recibirán el rol User Administrator - RESTRICTED automáticamente. Por lo tanto, si deseas que alguna clave de aplicación pueda realizar las acciones asociadas al recurso Save user antes mencionadas, debes asegurarte de que la clave tenga el rol User Administrator - RESTRICTED o crear un rol de usuario personalizado que incluya el recurso Save user.

Ten en cuenta que con los cambios descritos anteriormente, las claves de aplicación dejarán de tener el recurso Save user y será necesario que un usuario con este recurso se lo asigne, de ser necesario.

¿Cómo proteger las llaves de tu tienda?

Sigue las buenas prácticas para el uso de claves de aplicación.

Los incidentes ocurren cuando las claves de aplicacón de nuestros clientes se exponen a internet o se capturan mediante phishing. La fuga de estas claves puede tener distintas causas, como por ejemplo:

  • Claves incluidas en el código fuente y proporcionadas en repositorios públicos.
  • Uso compartido de claves a través de medios inseguros, como email a grupos de personas, canales de Slack u otros medios corporativos de comunicación en masa.
  • Compartir claves de acceso con terceros.
  • Posible uso indebido de credenciales por parte de empleados o subcontratistas.
  • Ausencia de un proceso periódico de rotación de claves.
  • Ausencia de una revisión periódica de usuarios y roles.

Reforzamos la importancia de cambiar periódicamente todas las contraseñas de los usuarios y las claves de aplicación, así como de constantemente revisar los usuarios que tienen acceso a la plataforma.

Más información

Consulta la siguiente documentación para saber más sobre la gestión de usuarios y permisos en tu tienda:

¿Te ha parecido útil?
No
Sugerir cambios (GitHub)
On this page
¿Todavía tienes dudas?
Pregunte a la comunidad
Encuentra solucciones y comparte ideas en la comunidad de VTEX.
Únete a nuestra comunidad
Solicite soporte a VTEX
Para asistencia personalizada, contacte a nuestros expertos.
Abra un ticket de soporte
GithubDeveloper portalCommunityFeedback