Creación de un usuario de IAM en su Cuenta de AWS - AWS Identity and Access Management
Creación de usuarios de IAM (consola)Creación de usuarios de IAM (AWS CLI)Creación de usuarios de IAM (API de AWS)

Creación de un usuario de IAM en su Cuenta de AWS

importante

Las prácticas recomendadas de IAM sugieren que exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales, en lugar de utilizar usuarios de IAM con credenciales a largo plazo.

nota

Si ha encontrado esta página porque está buscando información sobre Product Advertising API para vender productos de Amazon en su sitio web, consulte la documentación de la API de publicidad de productos 5.0.

Si ha llegado a esta página desde la consola de IAM, es posible que su cuenta no incluya usuarios de IAM aunque haya iniciado sesión. Podría haber iniciado sesión como usuario Usuario raíz de la cuenta de AWS utilizando un rol o haber iniciado sesión con credenciales temporales. Para obtener más información acerca de las identidades de IAM consulte Identidades de IAM (usuarios, grupos de usuarios y roles).

El proceso para crear un usuario y habilitarlo para que realice tareas de trabajo consta de los pasos siguientes:

  1. Cree el usuario en el AWS Management Console, el AWS CLI, Tools for Windows PowerShell o utilizar una Operación de la API AWS. Si crea el usuario en la AWS Management Console, los pasos 1 a 4 se realizan automáticamente de acuerdo con sus preferencias. Si crea los usuarios de forma programada, debe ejecutar individualmente cada uno de los pasos.

  2. Cree las credenciales del usuario en función del tipo de acceso que este requiera:

    • Habilitar el acceso a la consola: opcional: si el usuario necesita acceder a la AWS Management Console, cree una contraseña para el usuario. Al desactivar el acceso a la consola para un usuario, se impide que inicien sesión en la AWS Management Console con su nombre de usuario y contraseña. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido.

    sugerencia

    Cree solo las credenciales que necesite el usuario. Por ejemplo, en el caso de un usuario que necesite obtener acceso únicamente mediante la AWS Management Console, no cree claves de acceso.

  3. Dé al usuario permisos para realizar las tareas necesarias añadiendo el usuario a uno o varios grupos. También puede otorgar permisos asociando políticas de permisos directamente al usuario. No obstante, le recomendamos que en su lugar ponga a los usuarios en grupos y que administre los permisos mediante las políticas asociadas a dichos grupos. Asimismo, puede utilizar un límite de permisos para limitar los permisos que puede tener un usuario, aunque esto no es frecuente.

  4. (Opcional) Añadir metadatos al usuario asociando etiquetas. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM.

  5. Proporcione al usuario la información de inicio de sesión necesaria. Esto incluye la contraseña y la URL de la consola de la página de inicio de sesión de la cuenta en la que el usuario proporciona esas credenciales. Para obtener más información, consulte Cómo inician sesión los usuarios de IAM en AWS.

  6. (Opcional) Configure la autenticación multifactor (MFA) para el usuario. MFA requiere que el usuario proporcione un código de un solo uso cada vez que inicia sesión en la AWS Management Console.

  7. (Opcional) Conceda a los usuarios permisos para administrar sus propias credenciales de seguridad. (De forma predeterminada, los usuarios no tienen permisos para administrar sus propias credenciales). Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

Para obtener información sobre los permisos que necesita para poder crear un usuario, consulte Permisos obligatorios para obtener acceso a recursos de IAM.

Creación de usuarios de IAM (consola)

Puede utilizar la AWS Management Console para crear usuarios de IAM.

Para crear un usuario de IAM (consola)

  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación, seleccione Usuarios y luego, elija Agregar usuarios.

  4. En la página Especificar detalles del usuario, en Detalles del usuario, en Nombre del usuario, ingrese el nombre del usuario nuevo. Este es el nombre de inicio de sesión para AWS.

    nota

    El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS. Los nombres de usuario pueden ser una combinación de un máximo de 64 letras, dígitos y los siguientes caracteres: más (+), igual (=), coma (,), punto (.), arroba (@), guion bajo (_) y guion (-). Los nombres deben ser únicos dentro de una cuenta. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear dos usuarios llamados TESTUSER y testuser. Cuando se utiliza un nombre de usuario en una política o como parte de un ARN, el nombre distingue entre mayúsculas y minúsculas. Cuando los clientes ven un nombre de usuario en la consola, por ejemplo, durante el proceso de inicio de sesión, el nombre del usuario no distingue entre mayúsculas y minúsculas.

  5. Seleccione Proporcionar al usuario acceso a la AWS Management Console opcional. Se generan credenciales de inicio de sesión en la AWS Management Console para el usuario nuevo.

    Se le pregunta si proporciona acceso a la consola a una persona. Le recomendamos que cree usuarios en IAM Identity Center en lugar de en IAM.

    • Para comenzar a crear usuarios en IAM Identity Center, seleccione Especificar un usuario en Identity Center.

      Si no habilitó IAM Identity Center, cuando seleccione esta opción, accederá a la página de servicio de la consola para que pueda habilitar el servicio. Para obtener más información acerca de este procedimiento, consulte https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html en la Guía del usuario de AWS IAM Identity Center.

      Si habilitó IAM Identity Center, cuando seleccione esta opción, accederá a la página Especificar detalles del usuario en IAM Identity Center. Para obtener más información acerca de este procedimiento, consulte https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html en la Guía del usuario de AWS IAM Identity Center.

    • Si no puede utilizar IAM Identity Center, seleccione Quiero crear un usuario de IAM y continúe con este procedimiento.

    1. En Contraseña de la consola, seleccione una de las siguientes opciones:

      • Contraseña generada de manera automática: el usuario obtiene una contraseña generada de forma aleatoria que cumple con la política de contraseñas de la cuenta. Si ingresa a la página Recuperar contraseña, puede ver o descargar la contraseña.

      • Contraseña personalizada: al usuario se le asigna la contraseña que usted ingresa en el cuadro.

    2. (Opcional) Los usuarios deben crear una contraseña nueva la próxima vez que inicien sesión (recomendada) está seleccionada de forma predeterminada para garantizar que el usuario cambie la contraseña la primera vez que inicie sesión.

      nota

      Si un administrador habilita la configuración de política de contraseñas de cuentas Permitir a los usuarios cambiar su contraseña, esta casilla de verificación no hace nada. De lo contrario, se asociará automáticamente una política de AWS administrada denominada IAMUserChangePassword a los nuevos usuarios. La política les otorga permiso para cambiar sus propias contraseñas.

  6. Seleccione Siguiente.

  7. En la página Establecer permisos, especifique cómo quiere asignar permisos a este usuario. Seleccione una de las siguientes tres opciones:

    • Agregar usuario al grupo: seleccione esta opción si desea asignar el usuario a un grupo o a varios grupos que ya tienen políticas de permisos. IAM muestra una lista de los grupos de la cuenta, junto con sus políticas asociadas. Puede seleccionar un grupo o varios grupos existentes, o seleccionar Crear grupo para crear un grupo nuevo. Para obtener más información, consulte Cambio de los permisos de un usuario de IAM.

    • Copiar permisos: seleccione esta opción para copiar todas las suscripciones a grupos, las políticas administradas asociadas, las políticas insertadas integradas y los límites de permisos de un usuario existente al usuario nuevo. IAM muestra una lista de los usuarios de la cuenta. Seleccione un usuario cuyos permisos se ajusten más a las necesidades del usuario nuevo.

    • Asociar políticas de manera directa: seleccione esta opción para ver una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de su cuenta. Seleccione las políticas que desea asociar al usuario o seleccione Crear política para abrir una pestaña nueva del navegador y crear una política nueva. Para obtener más información, consulte el paso 4 del procedimiento Crear políticas de IAM. Una vez creada la política, cierre la pestaña y vuelva a la pestaña original para agregar la política al usuario.

      sugerencia

      Siempre que sea posible, adjunte sus políticas a un grupo y, a continuación, haga a los usuarios miembros de los grupos apropiados.

  8. (Opcional) Configure un límite de permisos. Esta es una característica avanzada.

    Abra la sección Límite de permisos y seleccione Utilizar un límite de permisos para controlar los permisos máximos. IAM muestra una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de la cuenta. Seleccione la política que desea utilizar para el límite de permisos o seleccione Crear política para abrir una pestaña nueva del navegador y crear una política nueva. Para obtener más información, consulte el paso 4 del procedimiento Crear políticas de IAM. Una vez creada la política, cierre la pestaña y vuelva a la pestaña original para seleccionar la política que va a utilizar para el límite de permisos.

  9. Seleccione Siguiente.

  10. (Opcional) En la página Revisar y crear, en Etiquetas, seleccione Agregar una etiqueta nueva para agregar metadatos al usuario mediante la asociación de etiquetas como pares de clave-valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM.

  11. Revise todas las opciones que ha seleccionado hasta ahora. Cuando esté listo para continuar, seleccione Crear usuario.

  12. En la página Recuperar contraseña, obtendrá la contraseña que se le asignó al usuario:

    • Seleccione Mostrar junto a la contraseña para ver la contraseña del usuario y poder registrarla de forma manual.

    • Seleccione Descargar .csv para descargar las credenciales de inicio de sesión del usuario como un archivo .csv que puede guardar en una ubicación segura.

  13. Seleccione Instrucciones de inicio de sesión por correo electrónico. Su cliente de correo local se abrirá con un borrador que usted puede personalizar y enviar al usuario. La plantilla de correo electrónico contiene los detalles siguientes por cada usuario:

    • Nombre de usuario

    • URL de la página de inicio de sesión de la cuenta. Utilice el ejemplo siguiente y realice la sustitución con el número de ID o de alias de cuenta correcto:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console
    importante

    La contraseña del usuario no está incluida en el correo electrónico. Debe proporcionar la contraseña al usuario de una manera que cumpla con las directrices de seguridad de la organización.

  14. Si el usuario también necesita claves de acceso, consulte Administración de las claves de acceso de los usuarios de IAM.

Creación de usuarios de IAM (AWS CLI)

Puede utilizar la AWS CLI para crear un usuario de IAM.

Para crear un usuario de IAM (AWS CLI)

  1. Crear un usuario.

  2. (Opcional) Dar al usuario acceso a la AWS Management Console. Esto requiere una contraseña. También debe dar a los usuarios la URL de la página de inicio de sesión de su cuenta.

  3. (Opcional) Dar al usuario acceso mediante programación. Esto requiere claves de acceso.

    • aws iam create-access-key

    • Tools for Windows PowerShell: New-IAMAccessKey

    • API de IAM: CreateAccessKey

      importante

      Esta es la única oportunidad que tiene para ver o descargar las claves de acceso secretas, y debe proporcionar dicha información a los usuarios para que puedan utilizar la API de AWS. Guarde el nuevo ID de clave de acceso del usuario y la clave de acceso secreta en un lugar seguro. No volverá a tener acceso a la clave de acceso secreta después de este paso.

  4. Añadir el usuario a uno o varios grupos. Los grupos que especifique deben tener políticas asociadas que concedan los permisos pertinentes para el usuario.

  5. (Opcional) Asociar una política al usuario que defina los permisos del usuario. Nota: le recomendamos que administre los permisos de usuario añadiendo el usuario a un grupo y asociando una política al grupo en lugar de asociarla directamente a un usuario.

  6. (Opcional) Añadir los atributos personalizados al usuario asociando etiquetas. Para obtener más información, consulte Administrar etiquetas en usuarios de IAM (AWS CLI o API de AWS).

  7. (Opcional) Dar al usuario permiso para administrar sus propias credenciales de seguridad. Para obtener más información, consulte AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página Credenciales de seguridad.

Creación de usuarios de IAM (API de AWS)

Puede utilizar la API de AWS para crear un usuario de IAM.

Para crear un usuario de IAM desde la (API de AWS)

  1. Crear un usuario.

  2. (Opcional) Dar al usuario acceso a la AWS Management Console. Esto requiere una contraseña. También debe dar a los usuarios la URL de la página de inicio de sesión de su cuenta.

  3. (Opcional) Dar al usuario acceso mediante programación. Esto requiere claves de acceso.

    • CreateAccessKey

      importante

      Esta es la única oportunidad que tiene para ver o descargar las claves de acceso secretas, y debe proporcionar dicha información a los usuarios para que puedan utilizar la API de AWS. Guarde el nuevo ID de clave de acceso del usuario y la clave de acceso secreta en un lugar seguro. No volverá a tener acceso a la clave de acceso secreta después de este paso.

  4. Añadir el usuario a uno o varios grupos. Los grupos que especifique deben tener políticas asociadas que concedan los permisos pertinentes para el usuario.

  5. (Opcional) Asociar una política al usuario que defina los permisos del usuario. Nota: le recomendamos que administre los permisos de usuario añadiendo el usuario a un grupo y asociando una política al grupo en lugar de asociarla directamente a un usuario.

  6. (Opcional) Añadir los atributos personalizados al usuario asociando etiquetas. Para obtener más información, consulte Administrar etiquetas en usuarios de IAM (AWS CLI o API de AWS).

  7. (Opcional) Dar al usuario permiso para administrar sus propias credenciales de seguridad. Para obtener más información, consulte AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página Credenciales de seguridad.