gonzalezpazmonica/rbac-management
.claude/skills/rbac-management/SKILL.md
Role management skill — grant, revoke, audit, and verify user permissions
$ install --global
skillsauthnpx skillsauth add gonzalezpazmonica/pm-workspace rbac-managementInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 17, 2026, 2:49 AM11.5s2 files scanned
SKILL.md
- name:
- rbac-management
- description:
- Role management skill — grant, revoke, audit, and verify user permissions
- summary:
- |
- Control de acceso basado en roles:
- grant, revoke, audit.
- Output:
- matriz de permisos + log de cambios.
- maturity:
- stable
- context:
- fork
- agent:
- architect
- category:
- governance
- tags:
- ["rbac", "permissions", "roles", "access-control"]
- priority:
- high
Skill: RBAC Management
Orquestación de flujos de gestión de roles y permisos Regla: @docs/rules/domain/rbac-model.md
Flujo 1: Grant role
Asignar un rol a un usuario con auditoría.
Entradas:
user_handle: nombre del usuariorole: Admin | PM | Contributor | Viewerscope: "global" o JSON list ["proj-a", "proj-b"]granter_handle: quién asigna (debe ser Admin)
Pasos:
- Validar que
grantertiene rol Admin - Verificar que el usuario existe en
.claude/profiles/{user} - Escribir
.claude/profiles/{user}/role.mdcon los datos - Registrar la acción en
output/rbac-audit.jsonl - Confirmar: "✅ {user} ahora es {role} (scope: {scope})"
Ejemplo output:
✅ carlos-mendoza asignado como PM (scope: global)
Rol anterior: Contributor
Cambio: 2026-03-05T10:15:00Z por monica-gonzalez
Flujo 2: Revoke role
Revocar rol (degradar a Viewer).
Entradas:
user_handle: nombre del usuarioreason: motivo de revocación
Pasos:
- Leer rol actual de
.claude/profiles/{user}/role.md - Guardar rol actual como
previous_role - Escribir nuevo rol:
Viewerconrevoked_attimestamp - Registrar en audit con
reason - Confirmar: "✅ {user} revocado de {previous_role} → Viewer. Motivo: {reason}"
Restricción: No se puede revocar a Admin (requiere eliminación manual de perfil).
Flujo 3: Audit
Consultar el log de auditoría con filtros.
Parámetros:
--user {handle}: acciones del usuario--date-from {YYYY-MM-DD}: desde fecha--date-to {YYYY-MM-DD}: hasta fecha--action grant|revoke|execute: tipo de acción
Salida:
Tabla con resultados:
| Timestamp | User | Command | Allowed | Role | Reason |
|-----------|------|---------|---------|------|--------|
| 2026-03-05T10:00 | monica | sprint-plan | true | PM | — |
| 2026-03-05T10:30 | carlos | infra-create | false | Contributor | Admin only |
Estadísticas:
- Total acciones auditadas: 1.247
- Acciones denegadas: 23 (1.8%)
- Usuario con + denegaciones: carlos-mendoza (8)
Flujo 4: Check
Verificar si un usuario puede ejecutar un comando.
Parámetros:
user: handle del usuariocommand: nombre del comandoproject: (opcional) si es scope-limited
Salida:
✅ monica-gonzalez CAN sprint-plan
Rol: PM | Scope: global | Permiso: PM+
❌ carlos-mendoza CANNOT infra-create
Rol: Contributor | Requerido: Admin | Motivo: Deploy only
Sugerencia: Solicitar permiso a admin
Sección Errors
Errores manejados:
- User not found → "❌ Usuario {handle} no existe en perfiles"
- Invalid role → "❌ Rol {role} no válido (Admin|PM|Contributor|Viewer)"
- Permission denied → "❌ Solo Admin puede asignar roles"
- Role.md malformed → "❌ Fichero {path} corrompido, contactar admin"
- Audit.jsonl no accesible → "❌ Permiso insuficiente en output/rbac-audit.jsonl"
Sección Security
- NUNCA escribir rol.md sin validar granter es Admin
- NUNCA loguear datos sensibles en audit (solo handles y comandos)
- Audit trail es append-only: NUNCA modificar líneas existentes
- Si se detecta modificación manual de role.md → alerta al humano
- Rotación de audit: cuando audit.jsonl > 10MB → mover a histórico
Restricción: Este skill se ejecuta en contexto fork aislado, no contamina
el contexto principal. El output se resume en <100 tokens para el PM.
Related Skills
gonzalezpazmonica/skill-creator
testing
VerifiedTrustedCommunity
Create new skills, modify and improve existing skills, and measure skill performance. Use when users want to create a skill from scratch, edit, or optimize an existing skill, run evals to test a skill, benchmark skill performance with variance analysis, or optimize a skill's description for better triggering accuracy.
40SKILL.mdUpdated May 24, 2026
gonzalezpazmonica/mcp-builder
tools
VerifiedTrustedCommunity
Guide for creating high-quality MCP (Model Context Protocol) servers that enable LLMs to interact with external services through well-designed tools. Use when building MCP servers to integrate external APIs or services, whether in Python (FastMCP) or Node/TypeScript (MCP SDK).
40SKILL.mdUpdated May 24, 2026
gonzalezpazmonica/wellbeing-guardian
tools
VerifiedTrustedCommunity
Sistema proactivo de bienestar individual
33SKILL.mdUpdated Apr 17, 2026
gonzalezpazmonica/web-research
development
VerifiedTrustedCommunity
Search the web to resolve context gaps — documentation, versions, CVEs, best practices. Auto-starts SearxNG Docker if available, falls back to WebSearch.
33SKILL.mdUpdated Apr 17, 2026