Introducción a IAM - AWS Identity and Access Management

Introducción a IAM

Aproveche este tutorial para comenzar con AWS Identity and Access Management (IAM). Aprenderá a crear roles, usuarios y políticas mediante la AWS Management Console.

AWS Identity and Access Management es una característica de su Cuenta de AWS que se ofrece sin cargo adicional. Solo se le cobrará por otros productos de AWS que utilicen los usuarios de IAM. Para obtener información acerca de los precios de otros productos de AWS, consulte la Página de precios de Amazon Web Services.

nota

Este juego de documentación aborda principalmente el servicio de IAM. Para obtener información acerca de cómo empezar a utilizar AWS y varios servicios para solucionar un problema, como crear y lanzar su primer proyecto, consulte Centro de recursos introductorios.

Requisitos previos

Antes de comenzar, asegúrese de que ha realizado los pasos que se detallan en Configuración de IAM. En este tutorial se utiliza la cuenta de administrador que creó en ese procedimiento.

Cree su primer usuario de IAM

Un usuario de IAM es una identidad dentro de su Cuenta de AWS que dispone de permisos específicos para una sola persona o aplicación. Los usuarios se pueden organizar en grupos que comparten los mismos permisos.

nota

Como práctica recomendada de seguridad, le recomendamos que proporcione acceso a los recursos mediante la federación de identidades en lugar de crear usuarios de IAM. Para obtener más información acerca de situaciones específicas en las que se requiere un usuario de IAM, consulte Cuándo crear un usuario de IAM (en lugar de un rol).

Para que se familiarice con el proceso de creación de un usuario de IAM, este tutorial explica cómo crear un grupo y un usuario de IAM para obtener acceso de emergencia.

Para crear su primer usuario de IAM

  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación, seleccione Usuarios y luego, elija Agregar usuarios.

    nota

    Si tiene habilitado el IAM Identity Center, la AWS Management Console muestra un recordatorio de que es mejor administrar el acceso de los usuarios en IAM Identity Center. En este tutorial, el usuario de IAM que cree se utilizará únicamente cuando las credenciales del usuario de IAM Identity Center no estén disponibles.

  4. En Nombre de usuario, escriba EmergencyAccess. Los nombres no pueden contener espacios.

  5. Seleccione la casilla de verificación junto a Proporcionar al usuario acceso a la AWS Management Console: optional y luego, elija Quiero crear un usuario de IAM.

  6. En Contraseña de la consola, seleccione Contraseña generada de manera automática.

  7. Desmarque la casilla de verificación junto a El usuario debe crear una contraseña nueva la próxima vez que inicie sesión (recomendado). Dado que este usuario de IAM es para acceso de emergencia, un administrador de confianza conserva la contraseña y solo la proporciona cuando es necesario.

  8. En la página Establecer permisos, en Opciones de permisos, seleccione Agregar usuario al grupo. Luego, en Grupos de usuarios, seleccione Crear grupo.

  9. En la página Crear grupo de usuarios, en Nombre del grupo de usuarios, ingrese EmergencyAccessGroup. Luego, en Políticas de permisos, seleccione AdministratorAccess.

  10. Seleccione Crear grupo de usuarios para volver a la página Establecer permisos.

  11. En Grupos de usuarios, seleccione el nombre del EmergencyAccessGroup que creó anteriormente.

  12. Seleccione Siguiente para dirigirse a la página Revisar y crear.

  13. En la página Revisar y crear, revise la lista de suscripciones a grupos de usuarios que se agregarán al usuario nuevo. Cuando esté listo para continuar, seleccione Crear usuario.

  14. En la página Recuperar contraseña, seleccione Descargar archivo .csv para guardar un archivo .csv con la información de las credenciales del usuario (URL de conexión, nombre del usuario y contraseña).

  15. Guarde este archivo para usarlo si necesita iniciar sesión en IAM y no tiene acceso a su proveedor de identidad federada.

El usuario de IAM nuevo aparece en la lista Usuarios. Seleccione el enlace Nombre del usuario para ver los detalles del usuario. En Resumen, copie el ARN del usuario en el portapapeles. Pegue el ARN en un documento de texto para poder usarlo en el siguiente procedimiento.

Cree su primer rol

Los roles de IAM son una forma segura de conceder permisos a las entidades en las que confía. Un rol de IAM tiene algunas similitudes con un usuario de IAM. Los roles y los usuarios son entidades principales con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. El uso de roles le ayuda a seguir las prácticas recomendadas de IAM. Puede usar un rol para:

  • Permitir que las identidades de los trabajadores y las aplicaciones habilitadas para Identity Center accedan a la AWS Management Console mediante AWS IAM Identity Center.

  • Delegar el permiso a un servicio de AWS para que lleve a cabo acciones en su nombre.

  • Habilitar el código de la aplicación que se ejecuta en una instancia de Amazon EC2 para acceder a los recursos de AWS o modificarlos.

  • Otorgamiento de acceso a otra Cuenta de AWS.

nota

Puede usar Roles de AWS Identity and Access Management en cualquier lugar para dar acceso a identidades de máquinas. El uso de Roles de IAM en cualquier lugar significa que no es necesario administrar credenciales a largo plazo para cargas de trabajo que se ejecutan fuera de AWS. Para obtener más información, consulte ¿Qué es Roles de AWS Identity and Access Management en cualquier lugar? en la Guía del usuario de Roles de AWS Identity and Access Management en cualquier lugar.

IAM Identity Center y otros servicios de AWS crean de forma automática roles para sus servicios. Si utiliza usuarios de IAM, le recomendamos que cree roles para que los usuarios los asuman cuando inicien sesión. De esta manera, se les concederán permisos temporales durante la sesión en lugar de permisos a largo plazo.

El asistente de la AWS Management Console que lo guía en la creación de un rol muestra pasos que varían ligeramente en función de si se crea un rol para un usuario de IAM, un servicio de AWS o un usuario federado. El acceso regular a las Cuentas de AWS dentro de una organización debe proporcionarse mediante acceso federado. Si crea usuarios de IAM para fines específicos, como acceso de emergencia o acceso programático, solo conceda a esos usuarios de IAM permiso para que asuman un rol y coloque a esos usuarios de IAM en grupos específicos de roles.

En este procedimiento, crea un rol que proporciona acceso SupportUser para el usuario de IAM EmergencyAccess. Antes de iniciar el procedimiento, copie el ARN del usuario de IAM en el portapapeles.

Para crear un rol para un usuario de IAM

  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación de la consola de IAM, elija Roles y, a continuación, elija Crear rol.

  4. Elija el tipo de rol de Cuenta de AWS.

  5. En Seleccionar entidad de confianza, en Tipo de entidad de confianza, elija Política de confianza personalizada.

  6. En la sección Política de confianza personalizada, revise la política de confianza básica. Es la que utilizaremos para este rol. Utilice el editor Editar instrucción para actualizar la política de confianza:

    1. En Agregar acciones para STS, seleccione Asumir rol.

    2. Junto a Agregar una entidad principal, seleccione Agregar. Se abrirá la ventana Agregar entidad principal.

      En Tipo de entidad principal, seleccione Usuarios de IAM.

      En ARN, pegue el ARN del usuario de IAM que copió en el portapapeles.

      Seleccione Agregar entidad principal.

    3. Compruebe que la línea Principal de la política de confianza ahora contenga el ARN que especificó:

      "Principal": { "AWS": "arn:aws:iam::123456789012:user/username" }

  7. Resuelva las advertencias de seguridad, errores o advertencias generales generadas durante la validación de política y luego elija Next.

  8. En Agregar permisos, seleccione la casilla de verificación junto a la política de permisos que desea aplicar. Para este tutorial seleccionaremos la política de confianza SupportUser. Puede utilizar este rol para solucionar problemas con la Cuenta de AWS y abrir casos de soporte con AWS. No vamos a establecer un límite de permisos en este momento.

  9. Elija Siguiente.

  10. En Nombrar, revisar y crear complete los siguientes ajustes:

    • En Nombre del rol, ingrese un nombre que identifique al rol, como SupportUserRole.

    • En Descripción, explique el uso previsto del rol.

    Dado que es posible que otros recursos de AWS hagan referencia al rol, no se puede editar el nombre del rol después de crearlo.

  11. Seleccione Crear rol.

    Una vez creado el rol, comparta la información del rol con las personas que lo necesiten. Puede compartir la información del rol de la siguiente manera:

    • Enlace de rol: envíe a los usuarios un enlace que los lleve a la página Switch Role (Cambiar el rol) con todos los detalles ya completados.

    • ID de cuenta o alias: proporcione a cada usuario el nombre de la función junto con el número de ID de cuenta o alias de cuenta. El usuario se dirige a la página Switch Role (Cambiar rol) y agrega los detalles manualmente.

    • La información del enlace del rol se puede guardar junto con las credenciales del usuario EmergencyAccess.

    Para más información, consulte Proporcionar información al usuario.

Cree su primera política de IAM

Las políticas de IAM se asocian a identidades de IAM (usuarios, grupos de usuarios o roles) o a recursos de AWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus permisos.

Para crear su primera política de IAM

  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación, seleccione Policies (Políticas).

    Si es la primera vez que elige Policies (Políticas), aparecerá la página Welcome to Managed Policies (Bienvenido a políticas administradas). Elija Get Started (Comenzar).

  4. Elija Create Policy (Crear política).

  5. En la página Crear política, elija Acciones y, a continuación, elija Importar política.

  6. En la ventana Importar política, en el cuadro Buscar políticas, ingrese power para reducir la lista de políticas. Seleccione la política PowerUserAccess.

  7. Seleccione Importar política. La política se muestra en la pestaña JSON.

  8. Elija Siguiente.

  9. En la página Revisar y crear, en Nombre de la política, ingrese PowerUserExamplePolicy. En Description (Descripción), escriba Allows full access to all services except those for user management. Luego, elija Crear política para guardar la política.

Puede asociar esta política a un rol y así proporcionar a los usuarios que asumirán el rol los permisos asociados a la política. La política PowerUserAccess se utiliza normalmente para proporcionar acceso a los desarrolladores.

Acceso programático

Los usuarios necesitan acceso programático si desean interactuar con AWS fuera de la AWS Management Console. La forma de conceder el acceso programático depende del tipo de usuario que acceda a AWS:

  • Si administra las identidades en el IAM Identity Center, las API de AWS requieren un perfil y AWS Command Line Interface requiere un perfil o una variable de entorno.

  • Si tiene usuarios de IAM, las API de AWS y AWS Command Line Interface requieren claves de acceso. En la medida de lo posible, cree credenciales temporales que incluyan un ID de clave de acceso y una clave de acceso secreta, pero, además, un token de seguridad que indique cuándo caducan las credenciales.

Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.

¿Qué usuario necesita acceso programático? Para Mediante

Identidad del personal

(Usuarios administrados en el IAM Identity Center)

Utilice credenciales a corto plazo para firmar las solicitudes programáticas a las API de AWS CLI o AWS (directamente o mediante los AWS SDK).

Siga las instrucciones de la interfaz que desea utilizar:

  • Para la AWS CLI, siga las instrucciones que se indican en Getting IAM role credentials for CLI access (Obtener las credenciales de rol de IAM para el acceso a la CLI) de la Guía del usuario de AWS IAM Identity Center.

  • Para las API de AWS, siga las instrucciones en credenciales de SSO de la Guía de referencia de SDK y herramientas de AWS.

IAM Utilice credenciales a corto plazo para firmar las solicitudes programáticas a la AWS CLI o las API de AWS (directamente o mediante los SDK de AWS). Siga las instrucciones que se detallan en Uso de credenciales temporales con recursos de AWS.
IAM Utilice credenciales a largo plazo para firmar las solicitudes programáticas a las API de AWS CLI o AWS (directamente o mediante los AWS SDK).

(no recomendado)

Siga las instrucciones que se detallan en Administración de las claves de acceso de los usuarios de IAM.