Configuración de IAM
importante
Las prácticas recomendadas de IAM sugieren que exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales, en lugar de utilizar usuarios de IAM con credenciales a largo plazo.
AWS Identity and Access Management (IAM) le ayuda a controlar de forma segura el acceso a Amazon Web Services (AWS) y a los recursos de su cuenta. IAM también puede mantener la privacidad de sus credenciales de inicio de sesión. No es preciso registrarse específicamente para utilizar IAM. No se cobra por utilizar IAM.
Utilice IAM para dar a las identidades, como usuarios y roles, acceso a los recursos de su cuenta. Por ejemplo, puede utilizar IAM con usuarios existentes en su directorio corporativo que administra de forma externa a AWS o puede crear usuarios en AWS con AWS IAM Identity Center. Las identidades federadas asumen roles de IAM definidos para acceder a los recursos que necesitan. Para obtener más información, consulte What is IAM Identity Center? (¿Qué es el Centro de identidades de IAM?) en la Guía del usuario de AWS IAM Identity Center.
Utilice IAM para dar a las identidades, como usuarios y roles, acceso a los recursos de su cuenta. Por ejemplo, puede utilizar IAM con usuarios existentes en su directorio corporativo que administra de forma externa a AWS. Las identidades federadas asumen roles de IAM definidos para acceder a los recursos que necesitan.
nota
IAM está integrada con varios productos de AWS. Para obtener una lista de los servicios compatibles con IAM, consulte Servicios de AWS que funcionan con IAM.
Temas
Registro en una Cuenta de AWS
Si no dispone de una Cuenta de AWS, siga los pasos que figuran a continuación para crear una.
Para registrarse en Cuenta de AWS
Siga las instrucciones en línea.
Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.
Al registrase en una Cuenta de AWS, se crea un Usuario raíz de la cuenta de AWS. El usuario raíz tiene acceso a todos los recursos y Servicios de AWS de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario administrativo y utilice únicamente el usuario raíz para realizar la ejecución tareas que requieren acceso de usuario raíz.
AWS le enviará un email de confirmación luego de completar el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/
Crear un usuario administrativo
Después de registrarse para obtener una Cuenta de AWS, cree un usuario administrativo para que no utilice el usuario raíz en las tareas cotidianas.
Proteger su Usuario raíz de la cuenta de AWS
-
Inicie sesión en AWS Management Console
como propietario de cuenta eligiendo Usuario raíz e ingrese el email de su Cuenta de AWS. En la siguiente página, escriba su contraseña. Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Signing in as the root user (Iniciar sesión como usuario raíz) en la Guía del usuario de AWS Sign-In.
-
Active la autenticación multifactor (MFA) para el usuario raíz.
Para obtener instrucciones, consulte Habilitar un dispositivo MFA virtual para el usuario raíz Cuenta de AWS (consola) en la Guía del usuario de IAM.
Crear un usuario administrativo
-
Para las tareas administrativas diarias, conceda acceso administrativo a un usuario administrativo en AWS IAM Identity Center.
Para obtener instrucciones, consulte Introducción en la Guía del usuario de AWS IAM Identity Center.
Iniciar sesión como usuario administrativo
-
Para iniciar sesión con el usuario del Centro de identidades de IAM, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario del Centro de identidades de IAM.
Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte Iniciar sesión en el portal de acceso de AWS en la Guía del usuario de AWS Sign-In.
Preparación para los permisos de privilegio mínimo
El uso de permisos de privilegio mínimo es una recomendación de prácticas recomendadas de IAM. El concepto de permisos de privilegio mínimo consiste en conceder a los usuarios solo los permisos necesarios para realizar una tarea y ningún permiso adicional. Mientras lleva a cabo la configuración, considere cómo admitirá los permisos de privilegio mínimo. Tanto el usuario raíz como el usuario administrador tienen permisos potentes que no son necesarios para las tareas cotidianas. Mientras aprende acerca de AWS y prueba diferentes servicios, le recomendamos crear, al menos, un usuario adicional en IAM Identity Center con menos permisos que pueda utilizar en diferentes escenarios. Puede utilizar las políticas de IAM para definir las acciones que se pueden realizar en recursos específicos en condiciones específicas y luego, conectarse a los recursos con su cuenta con menos privilegios.
Si utiliza IAM Identity Center, considere la posibilidad de utilizar los conjuntos de permisos de IAM Identity Center para comenzar. Para obtener más información, consulte Crear un conjunto de permisos en la Guía del usuario de IAM Identity Center.
Si no utiliza IAM Identity Center, use los roles de IAM para definir los permisos de las diferentes entidades de IAM. Para obtener más información, consulte Creación de roles de IAM.
Los roles de IAM y los conjuntos de permisos de IAM Identity Center pueden utilizar políticas administradas por AWS basadas en funciones de trabajo. Para obtener más información acerca de los permisos que otorgan estas políticas, consulte Managed Policies de AWS para funciones de trabajo.
importante
Tenga presente que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para sus casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Una vez que haya finalizado la configuración, se recomienda utilizar el Analizador de acceso de IAM para generar políticas de privilegio mínimo en función de la actividad de acceso que se haya registrado en AWS CloudTrail. Para obtener más información acerca de la generación de políticas, consulte Generación de políticas de IAM Access Analyzer.
