O que é controle de acesso baseado em papéis? Permissões por meio de papéis
O controle de acesso baseado em papéis (RBAC) concede permissões a papéis e depois atribui papéis a identidades, de modo que o acesso siga a função de trabalho em vez de exceções individuais.
O controle de acesso baseado em papéis, ou RBAC, é a forma mais comum de organizar a autorização em escala. Em vez de conceder permissões a cada usuário um por um, você define papéis (admin, developer, viewer), associa permissões a esses papéis e atribui papéis a pessoas ou serviços. Isso mantém o acesso gerenciável à medida que as equipes e os pipelines crescem.
Como o RBAC é estruturado
As permissões descrevem ações sobre recursos. Os papéis agrupam permissões relacionadas. As identidades (usuários ou serviços) recebem um ou mais papéis. Para mudar o que alguém pode fazer, você muda o papel dessa pessoa em vez de editar concessões individuais espalhadas.
Por que as equipes o usam
- Consistência: todos em um papel têm o mesmo acesso.
- Auditabilidade: é fácil ver quem pode fazer o quê.
- Onboarding e offboarding: atribua ou revogue um papel, não dezenas de permissões.
RBAC em CI/CD
Hosts de código-fonte e plataformas de CI usam RBAC para acesso humano: quem pode fazer merge, quem pode gerenciar segredos, quem pode alterar as configurações do pipeline. Provedores de nuvem usam papéis tanto para pessoas quanto para workloads. Um pipeline frequentemente assume um papel para obter exatamente as permissões de nuvem de que precisa.
RBAC e privilégio mínimo
O RBAC funciona melhor quando os papéis têm escopo estreito. Um erro comum é um papel admin genérico distribuído com facilidade demais. Definir papéis estreitos e alinhados a tarefas reais mantém intacto o princípio do privilégio mínimo e limita o dano de um comprometimento.
Limites do RBAC
O RBAC pode ter dificuldade quando o acesso precisa depender do contexto (hora do dia, dono do recurso, origem da requisição). Quando as regras ficam tão granulares, o controle de acesso baseado em atributos pode se encaixar melhor. Muitos sistemas combinam os dois.
RBAC e runners
O papel que um pipeline assume determina o que seu runner pode acessar. Delimitar esse papel a um único ambiente limita a exposição. Em runners efêmeros (como os runners gerenciados da Latchkey), o contexto do papel assumido não persiste entre jobs.
Principais conclusões
- O RBAC atribui permissões a papéis e papéis a identidades, simplificando o acesso em escala.
- Ele melhora a consistência, a auditabilidade e o onboarding ou offboarding.
- Papéis estreitos e alinhados a tarefas mantêm o acesso de pipeline próximo do privilégio mínimo.