Configuración de IAM

importante

Las prácticas recomendadas de IAM sugieren que exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales, en lugar de utilizar usuarios de IAM con credenciales a largo plazo.

AWS Identity and Access Management (IAM) le ayuda a controlar de forma segura el acceso a Amazon Web Services (AWS) y a los recursos de su cuenta. IAM también puede mantener la privacidad de sus credenciales de inicio de sesión. No es preciso registrarse específicamente para utilizar IAM. No se cobra por utilizar IAM.

Utilice IAM para dar a las identidades, como usuarios y roles, acceso a los recursos de su cuenta. Por ejemplo, puede utilizar IAM con usuarios existentes en su directorio corporativo que administra de forma externa a AWS o puede crear usuarios en AWS con AWS IAM Identity Center. Las identidades federadas asumen roles de IAM definidos para acceder a los recursos que necesitan. Para obtener más información, consulte What is IAM Identity Center? (¿Qué es el Centro de identidades de IAM?) en la Guía del usuario de AWS IAM Identity Center.

nota

IAM está integrada con varios productos de AWS. Para obtener una lista de los servicios compatibles con IAM, consulte Servicios de AWS que funcionan con IAM.

Temas

• Registro para obtener una Cuenta de AWS
• Crear un usuario administrativo
• Preparación para los permisos de privilegio mínimo
• Métodos de administración de IAM
• ID y alias de su cuenta de Cuenta de AWS

Registro para obtener una Cuenta de AWS

Si no dispone de una Cuenta de AWS, siga estos pasos para crear una.

Creación de una Cuenta de AWS

1. Abra https://portal.aws.amazon.com/billing/signup.

2. Siga las instrucciones que se le indiquen.

   Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

   Al registrarse en una Cuenta de AWS, se crea un Usuario raíz de la cuenta de AWS. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario administrativo y utilice únicamente el usuario raíz para realizar tareas que requieran acceso de usuario raíz.

AWS le enviará un correo electrónico de confirmación después de completar el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/ y seleccionando Mi cuenta.

Crear un usuario administrativo

Después de registrarse para obtener una Cuenta de AWS, proteja su Usuario raíz de la cuenta de AWS, habilite AWS IAM Identity Center y cree un usuario administrativo para no utilizar el usuario raíz en las tareas cotidianas.

Protección de su Usuario raíz de la cuenta de AWS

1. Inicie sesión en AWS Management Console como propietario de cuenta eligiendo Usuario raíz e introduzca el correo electrónico de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

   Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In.

2. Active la autenticación multifactor (MFA) para el usuario raíz.

   Para obtener instrucciones, consulte Habilitar un dispositivo MFA virtual para el usuario raíz Cuenta de AWS (consola) en la Guía del usuario de IAM.

Creación de un usuario administrativo

1. Activar IAM Identity Center

   Para obtener instrucciones, consulte Activación de AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.

2. En el Centro de identidades de IAM, conceda acceso administrativo a un usuario administrativo.

   Para ver un tutorial sobre cómo utilizar Directorio de IAM Identity Center como origen de identidad, consulte Configuración del acceso de los usuarios con el Directorio de IAM Identity Center predeterminado en la Guía del usuario de AWS IAM Identity Center.

Cómo iniciar sesión como usuario administrativo

• Para iniciar sesión con el usuario del Centro de identidades de IAM, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario del IAM Identity Center.

  Para obtener ayuda para iniciar sesión con un usuario del IAM Identity Center, consulte Iniciar sesión en el portal de acceso de AWS en la Guía del usuario de AWS Sign-In.

Preparación para los permisos de privilegio mínimo

El uso de permisos de privilegio mínimo es una recomendación de prácticas recomendadas de IAM. El concepto de permisos de privilegio mínimo consiste en conceder a los usuarios solo los permisos necesarios para realizar una tarea y ningún permiso adicional. Mientras lleva a cabo la configuración, considere cómo admitirá los permisos de privilegio mínimo. Tanto el usuario raíz como el usuario administrador tienen permisos potentes que no son necesarios para las tareas cotidianas. Mientras aprende acerca de AWS y prueba diferentes servicios, le recomendamos crear, al menos, un usuario adicional en IAM Identity Center con menos permisos que pueda utilizar en diferentes escenarios. Puede utilizar las políticas de IAM para definir las acciones que se pueden realizar en recursos específicos en condiciones específicas y luego, conectarse a los recursos con su cuenta con menos privilegios.

Si utiliza IAM Identity Center, considere la posibilidad de utilizar los conjuntos de permisos de IAM Identity Center para comenzar. Para obtener más información, consulte Crear un conjunto de permisos en la Guía del usuario de IAM Identity Center.

Si no utiliza IAM Identity Center, use los roles de IAM para definir los permisos de las diferentes entidades de IAM. Para obtener más información, consulte Creación de roles de IAM.

Los roles de IAM y los conjuntos de permisos de IAM Identity Center pueden utilizar políticas administradas por AWS basadas en funciones de trabajo. Para obtener más información acerca de los permisos que otorgan estas políticas, consulte Managed Policies de AWS para funciones de trabajo.

importante

Tenga presente que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para sus casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Una vez que haya finalizado la configuración, se recomienda utilizar el Analizador de acceso de IAM para generar políticas de privilegio mínimo en función de la actividad de acceso que se haya registrado en AWS CloudTrail. Para obtener más información acerca de la generación de políticas, consulte Generación de políticas de IAM Access Analyzer.