Recibo un error de permiso denegado
VaultPAM aplica control de acceso en cada capa: pertenencia a Safe, permisos de rol, políticas de sesión y alcances de token API. Un error de "permiso denegado" significa que la cuenta de usuario actual no posee el privilegio requerido para la acción solicitada. La resolución correcta es siempre solicitar el acceso apropiado a un administrador — no existe un atajo legítimo.
Síntomas
- Un banner de error lee
Permission denied,Access deniedoYou do not have permission to perform this action. - Hacer clic en un botón Launch Session, Check out, Approve o Edit devuelve un error.
- Una llamada API devuelve
403 Forbidden. - Una característica o elemento de menú es visible pero hacer clic en él produce un error de acceso.
Causas
1. Asignación de rol faltante
La causa más común. Su cuenta de usuario no ha sido asignada a un rol que incluya el permiso necesario para la acción solicitada.
Verificación: Abra Profile → My Access para ver sus asignaciones de rol actuales. Confirme que se enumera un rol para el Safe o recurso al que intenta acceder.
Solución: Póngase en contacto con un administrador de Safe o un administrador de VaultPAM y solicítele que le asigne un rol que incluya el permiso requerido para el Safe específico. La asignación de rol se realiza a través de Safes → pick Safe → Members → Add member.
2. Rol limitado al Safe incorrecto
Los roles en VaultPAM están limitados a Safes individuales. Tener un rol de Operator en Safe A no otorga acceso a Safe B. Si intenta acceder a un recurso que pertenece a un Safe diferente al que cubre su rol, recibirá un error de permiso denegado.
Verificación: Confirme a qué Safe pertenece el recurso o sesión de destino, luego abra Profile → My Access y verifique que su asignación de rol cubra ese Safe específico.
Solución: Solicite a un administrador de Safe que le agregue al Safe correcto con un rol apropiado.
3. Restricción de política de sesión
Algunos Safes aplican políticas de sesión que restringen el acceso en función de la ventana de tiempo, atributos del solicitante o requisitos de aprobación. Una restricción de política se aplica en el momento de la solicitud de sesión, incluso si posee un rol que normalmente permite el acceso.
Verificación: Abra la vista de detalle del Safe y busque un badge Policy o una sección Access policy. Las restricciones activas como "Requires approval" u "Outside allowed hours" se describirán allí.
Solución: Si una política requiere aprobación, envíe una solicitud de sesión y espere a que un aprobador actúe sobre ella. Si la política tiene restricción de tiempo, reinténtelo durante la ventana permitida. Si cree que la política está mal configurada, pida a un administrador de Safe que la revise.
4. Alcance de token API insuficiente
Si accede a VaultPAM a través de la API y recibe una respuesta 403 Forbidden, el token API en uso puede haber sido creado con un alcance restringido que no incluye la operación requerida.
Verificación: Revise el alcance asignado al token API. Los tokens se crean en Profile → API Tokens. Confirme que el alcance del token incluye el permiso que requiere la llamada API.
Solución: Cree un nuevo token API con el alcance apropiado, o pida a un administrador de VaultPAM que actualice el alcance en el token existente. No reutilice tokens entre aplicaciones ni otorgue alcances más amplios que el mínimo necesario.
Pasos de resolución
- Anote el mensaje de error exacto y la acción que intentaba realizar.
- Abra Profile → My Access y confirme que tiene una asignación de rol para el Safe específico al que pertenece el recurso. Si no se enumera ningún rol, póngase en contacto con un administrador.
- Confirme que el recurso pertenece al Safe que cubre su rol — un rol en un Safe no se transfiere a otro.
- Si el Safe muestra una política de sesión activa, verifique sus requisitos (aprobación, ventana de tiempo) y cumpla con ellos.
- Si utiliza la API, verifique el alcance del token en Profile → API Tokens y cree un token de reemplazo con el alcance correcto si es necesario.
- Después de un cambio de rol o política, reintente la acción — los cambios de permiso entran en vigor inmediatamente sin necesidad de cerrar sesión.
Ruta de escalación
Si después de revisar sus roles y políticas el error persiste:
- Anote el mensaje de error exacto, el nombre del Safe, el nombre del recurso y la acción intentada.
- Pida a un administrador de VaultPAM que revise sus asignaciones de rol y confirme qué permisos están adjuntos a su rol actual.
- Abra un ticket de soporte con: nombre de usuario afectado, nombre del Safe, mensaje de error exacto y los hallazgos del administrador de la revisión de rol.