Volver al blog
Seguridad tecnica
Cloudflare Workers y Pages no tienen control de acceso por recurso
Experiencia directa con una brecha RBAC estructural y por que los atajos no bastan.
Author
ALAisha Lalli
Published
Mar 11, 2026
Reading Time
9 min de lectura
Resumen
El artículo documenta una brecha estructural de RBAC en Cloudflare Workers y Pages: no se puede limitar bien un rol o token a un solo proyecto.
Por qué importa
Los equipos con varios proyectos necesitan mínimo privilegio. Accesos amplios complican agencias, clientes, auditorías e incidentes.
Puntos clave
- El problema afecta roles UI y scopes de API tokens.
- Cuentas separadas o rodeos de CI/CD reducen riesgo sin resolverlo.
- Permisos amplios dificultan onboarding, offboarding e investigación.
- La solución real es control por recurso.
Acciones recomendadas
- Separar proyectos de alto riesgo y revisar accesos.
- Limitar y rotar API tokens.
- Monitorear deployments, secretos y DNS.
- Solicitar roles y scopes por proyecto a Cloudflare.
Conclusión
Los workarounds no reemplazan RBAC nativo por Worker o Pages.
Fuentes
Las fuentes y los nombres de productos se conservan como en el original para que los lectores puedan verificar con precisión estándares, avisos de proveedores y referencias citadas.