Volver al blog
Seguridad tecnica

Cloudflare Workers y Pages no tienen control de acceso por recurso

Experiencia directa con una brecha RBAC estructural y por que los atajos no bastan.

Author
ALAisha Lalli
Published
Mar 11, 2026
Reading Time
9 min de lectura

Resumen

El artículo documenta una brecha estructural de RBAC en Cloudflare Workers y Pages: no se puede limitar bien un rol o token a un solo proyecto.

Por qué importa

Los equipos con varios proyectos necesitan mínimo privilegio. Accesos amplios complican agencias, clientes, auditorías e incidentes.

Puntos clave

  • El problema afecta roles UI y scopes de API tokens.
  • Cuentas separadas o rodeos de CI/CD reducen riesgo sin resolverlo.
  • Permisos amplios dificultan onboarding, offboarding e investigación.
  • La solución real es control por recurso.

Acciones recomendadas

  1. Separar proyectos de alto riesgo y revisar accesos.
  2. Limitar y rotar API tokens.
  3. Monitorear deployments, secretos y DNS.
  4. Solicitar roles y scopes por proyecto a Cloudflare.

Conclusión

Los workarounds no reemplazan RBAC nativo por Worker o Pages.

Fuentes

Las fuentes y los nombres de productos se conservan como en el original para que los lectores puedan verificar con precisión estándares, avisos de proveedores y referencias citadas.