AWS Identity and Access Management
Guía del usuario

Creación del primer grupo y usuario administrador de IAM

importante

Si ha llegado a esta página intentando habilitar Amazon Advertising para su aplicación o sitio web, consulte Becoming a Product Advertising API Developer.

Como práctica recomendada, no utilice el Usuario de la cuenta raíz de AWS para realizar ninguna tarea en la que no sea necesario usarlo. En lugar de ello, cree un nuevo usuario de IAM para cada persona que necesite acceso de administrador. A continuación, haga a esos usuarios administradores colocándolos en un grupo de "Administradores" al que asociará la política administrada AdministratorAccess.

A partir de ese momento, los usuarios del grupo de administradores ya deben configurar los grupos, usuarios, etc. para la cuenta de AWS. Todas las interacciones futuras deben realizarse a través de los usuarios de la cuenta de AWS y con sus propias claves, en lugar de hacerlo a través del usuario raíz. Sin embargo, para realizar algunas tareas de administración de servicios y de cuenta, debe iniciar sesión con las credenciales de usuario usuario raíz. Para ver las tareas que requieren el inicio de sesión como usuario raíz, consulte Tareas de AWS que requieren un usuario raíz de la cuenta.

Creación de un grupo y usuario administrador de IAM (consola)

Este procedimiento describe cómo utilizar la Consola de administración de AWS para crearse usted mismo un usuario de IAM y agregarlo a un grupo con permisos administrativos de una política administrada asociada.

Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores (consola)

  1. Utilice la dirección de correo electrónico y la contraseña de su cuenta de AWS para iniciar sesión como Usuario de la cuenta raíz de AWS en la consola de IAM en https://console.aws.amazon.com/iam/.

    nota

    Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAM Administrator como se indica a continuación y guardar de forma segura las credenciales de usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas de administración de servicios y de cuentas.

  2. Habilite el acceso a los datos de facturación para el usuario administrador de IAM que creará.

    1. En la barra de navegación, elija el nombre de la cuenta y, a continuación, elija My Account (Mi cuenta).

    2. Junto a IAM User and Role Access to Billing Information (Acceso de los roles y usuarios de IAM a la información de facturación), elija Edit (Editar).

    3. Seleccione la casilla de verificación para Activate IAM Access (Activar acceso a IAM) y elija Update (Actualizar).

    4. En la barra de navegación, elija Services (Servicios) y, a continuación, IAM para volver al panel de IAM.

  3. En el panel de navegación, elija Users (Usuarios) y, a continuación, elija Add user (Añadir usuario).

  4. En User name, escriba Administrator.

  5. Seleccione la casilla de verificación situada junto a Consola de administración de AWS access (Acceso a la Consola de administración de AWS), seleccione Custom password (Contraseña personalizada) y escriba la nueva contraseña en el cuadro de texto. De forma predeterminada, AWS obliga al nuevo usuario a crear una nueva contraseña la primera vez que inicia sesión. Opcionalmente, puede borrar la casilla de verificación situada junto a User must create a new password at next sign-in (El usuario debe crear una nueva contraseña en el siguiente inicio de sesión) para permitir al nuevo usuario restablecer su contraseña después de iniciar sesión.

  6. Elija Next: Permissions.

  7. En la página Set permissions (Establecer permisos), elija Add user to group (Añadir usuario al grupo).

  8. Elija Create group.

  9. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre del grupo) escriba Administrators.

  10. Elija Filter policies (Filtrar políticas) y, a continuación, seleccione AWS managed-job function (Función de trabajo administrada por AWS) para filtrar el contenido de la tabla.

  11. En la lista de políticas, active la casilla de verificación AdministratorAccess. A continuación, elija Create group.

  12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si es necesario para ver el grupo en la lista.

  13. Elija Next: Tags (Siguiente: Etiquetas).

  14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM.

  15. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario. Cuando esté listo para continuar, elija Create user (Crear usuario).

Puede usar este mismo proceso para crear más grupos y usuarios y para conceder a los usuarios acceso a los recursos de la cuenta de AWS. Para obtener información sobre el uso de las políticas que restringen a los usuarios los permisos de acceso a determinados recursos de AWS, consulte Administración de accesos y Ejemplos de políticas basadas en identidad de IAM. Para agregar usuarios adicionales al grupo después de crearlo, consulte Agregar y eliminar usuarios de un grupo de IAM.

Creación de un grupo y usuario de IAM (AWS CLI)

Si ha seguido los pasos indicados en la sección anterior, ha utilizado la Consola de administración de AWS para configurar un grupo de administradores al crear un usuario de IAM en la cuenta de AWS. Este procedimiento muestra una alternativa para crear un grupo.

Información general: configuración de un grupo de administradores

  1. Cree un grupo y asígnele un nombre (por ejemplo, Admins). Para obtener más información, consulte Creación de un grupo (AWS CLI).

  2. Asocie una política que conceda permisos administrativos al grupo —acceso a todos los recursos y acciones de AWS. Para obtener más información, consulte Asociación de una política a un grupo (AWS CLI).

  3. Agregue al menos un usuario al grupo. Para obtener más información, consulte Creación de un usuario de IAM en su cuenta de AWS.

Creación de un grupo (AWS CLI)

En esta sección se muestra cómo crear un grupo en el sistema de IAM.

Para crear un grupo de administradores (AWS CLI)

  1. Escriba el comando aws iam create-group con el nombre que ha elegido para el grupo. De forma opcional, puede incluir una ruta de acceso como parte del nombre del grupo. Para obtener más información sobre las rutas de acceso, consulte Nombres fáciles de recordar y rutas. El nombre puede constar de letras, dígitos y los siguientes caracteres: signo más (+), signo igual (=), coma (,), punto (.), arroba (@), carácter de subrayado (_) y guion (-). El nombre no distingue entre mayúsculas y minúsculas y debe tener 128 caracteres como máximo.

    En este ejemplo, debe crear un grupo denominado Admins.

    aws iam create-group --group-name Admins { "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
  2. Escriba el comando aws iam list-groups para enumerar los grupos de la cuenta de AWS y confirmar que se ha creado el grupo.

    aws iam list-groups { "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }

    La respuesta incluye el Nombre de recurso de Amazon (ARN) para su nuevo grupo. El ARN es un formato estándar que AWS utiliza para identificar los recursos. El número de 12 dígitos del ARN es su ID de la cuenta de AWS. El nombre fácil de recordar que ha asignado al grupo (Admins) aparece al final del ARN del grupo.

Asociación de una política a un grupo (AWS CLI)

En esta sección se muestra cómo asociar una política que permita a cualquier usuario del grupo llevar a cabo cualquier acción en cualquier recurso de la cuenta de AWS. Para ello, asocie la política administrada por AWS denominada AdministratorAccess al grupo Admins. Para obtener más información acerca de las políticas de , consulte Administración de accesos.

Para agregar una política que conceda permisos de administrador completos (AWS CLI)

  1. Escriba el comando aws iam attach-group-policy para asociar la política denominada AdministratorAccess al grupo Admins. El comando utiliza el ARN de la política administrada por AWS denominada AdministratorAccess.

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    Si el comando se realiza correctamente, no hay respuesta.

  2. Escriba el comando aws iam list-attached-group-policies para confirmar que la política se asocia al grupo Admins.

    aws iam list-attached-group-policies --group-name Admins

    La respuesta incluye los nombres de las políticas asociadas al grupo Admins. Una respuesta parecida a la siguiente le indica que la política denominada AdministratorAccess se ha asociado al grupo Admins:

    { "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false }

Puede confirmar el contenido de una política en concreto con el comando aws iam get-policy.

importante

Después de configurar el grupo de administradores, debe agregar al menos un usuario a dicho grupo. Para obtener más información sobre cómo agregar usuarios a un grupo, consulte Creación de un usuario de IAM en su cuenta de AWS.

Recursos relacionados

Para obtener información relacionada en la Referencia general de Amazon Web Services, consulte los siguientes recursos:

Para obtener información relacionada en la Guía del usuario de IAM, consulte los siguientes recursos: