Skip to main content
Sign in →

Tu primera política

Escribe una regla de permitir/denegar para controlar qué herramientas MCP puede invocar tu agente.

Comportamiento por defecto: denegación implícita

Si ninguna política coincide con un par (agentId, toolName) , la solicitud es bloqueada. Debes permitir explícitamente cada herramienta que tu agente necesite.

En el panel

La forma más rápida de crear tu primera política, sin llamadas a la API:

  1. 1En el panel de ShieldAgent, ve a Políticas en la barra lateral izquierda.
  2. 2Haz clic en Nueva política.
  3. 3Establece el Nombre de herramienta (p. ej. read_file), la Acción en permitir y, opcionalmente, limita el alcance a un agente concreto.
  4. 4Haz clic en Guardar — la política surte efecto automáticamente.

Todos los cambios se reflejan en el registro de auditoría. Usa el panel para iterar rápidamente; automatiza con la API para CI/CD o IaC.

Vía SDK

Cómo se evalúan las políticas

RequestAuthPolicy ← hereSecurity ScanRate LimitUpstream MCP

Solo las solicitudes tools/call se comprueban con las políticas. Los demás métodos MCP (tools/list, resources/read) pasan sin revisión.

Permitir una herramienta

Permite a tu agente llamar a read_file en cualquier ruta:

typescript
import ShieldAgent from '@shieldagent/sdk';

const client = new ShieldAgent();

await client.policies.create({
  agentId: "<agent-id>",
  toolName: "read_file",
  action: "allow",
});

Denegar con una condición

Bloquea llamadas a bash que contengan rm -rf:

policy — bash rm-rf block
{
  "tenantId": "<tenant-id>",
  "agentId": "<agent-id>",
  "toolName": "bash",
  "action": "deny",
  "conditions": [
    {
      "type": "param_contains",
      "param": "arguments.command",
      "value": "rm -rf"
    }
  ]
}

Todas las condiciones usan lógica AND — cada condición debe coincidir para que la regla se aplique. Si una condición falla, el evaluador pasa a la siguiente regla.

Política a nivel de tenant

Establece agentId en null para aplicar la regla a todos los agentes del tenant. Las reglas específicas por agente siempre prevalecen sobre las reglas a nivel de tenant.

policy — tenant-wide allow
{
  "tenantId": "<tenant-id>",
  "agentId": null,
  "toolName": "tools_list",
  "action": "allow"
}

Acciones de política

AcciónComportamiento
allowPermite la llamada a la herramienta (sujeta a condiciones)
denyBloquea la llamada a la herramienta y devuelve un error al agente
shadowRegistra la llamada sin bloquearla; útil para observar nuevas herramientas antes de aplicar la política

Próximos pasos

Ejemplo de políticas de seguridad

Reglas en capas para inyección, DLP y detección de drift

Integración de agentes

Registra múltiples agentes con políticas por agente

Tu primera política