Identidades de IAM (usuarios, grupos de usuarios y roles) - AWS Identity and Access Management
Usuario raíz de la Cuenta de AWSUsuarios de IAMGrupos de usuarios de IAMRoles de IAMCredenciales temporales en IAM¿Cuándo se utilizan los usuarios de IAM Identity Center?Cuándo crear un usuario de IAM (en lugar de un rol)Cuándo crear un rol de IAM (en lugar de un usuario)Comparar Usuario raíz de la cuenta de AWS con un usuario de IAM

Identidades de IAM (usuarios, grupos de usuarios y roles)

sugerencia

¿Tiene problemas para iniciar sesión en AWS? Asegúrese de que está en la página de inicio de sesión correcta.

  • Para iniciar sesión como el Usuario raíz de la cuenta de AWS (propietario de la cuenta), utilice las credenciales que configuró cuando creó la Cuenta de AWS.

  • Para iniciar sesión como usuario de IAM, utilice las credenciales que le brindó el administrador de su cuenta para iniciar sesión en AWS.

  • Para iniciar sesión con el usuario del Centro de identidades de IAM, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

    Para obtener ayuda para iniciar sesión con un usuario del IAM Identity Center, consulte Iniciar sesión en el portal de acceso de AWS en la Guía del usuario de AWS Sign-In.

Para ver los tutoriales de inicio de sesión, consulte Cómo iniciar sesión en AWS en la Guía del usuario de AWS Sign-In.

nota

Si necesita solicitar soporte técnico, no utilice el enlace de Comentarios de esta página. Los comentarios que ingrese los recibe el equipo de documentación de AWS, no AWS Support. En su lugar, seleccione el enlace Contáctenos en la parte superior de esta página. Allí encontrará enlaces a recursos que le ayudarán a obtener el apoyo que necesita.

El Usuario raíz de la cuenta de AWS o un usuario administrativo de la cuenta puede crear identidades de IAM. Una identidad de IAM proporciona acceso a una Cuenta de AWS. Un grupo de usuarios de IAM es una colección de usuarios de IAM administrados como una unidad. Una identidad de IAM representa a un usuario o carga de trabajo programática, se puede autenticar y, a continuación, autorizar para realizar acciones en AWS. Cada identidad de IAM se puede asociar a una o varias políticas. Las políticas determinan qué acciones puede realizar un usuario, un rol o un miembro de un grupo de usuarios, en qué recursos de AWS y en qué condiciones.

Usuario raíz de la Cuenta de AWS

Cuando crea por primera vez una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los Servicios de AWS y recursos de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS, y se accede a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizó para crear la cuenta.

importante

Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para obtener la lista completa de tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz.

Usuarios de IAM

Un usuario de IAM es una identidad de la Cuenta de AWS que dispone de permisos específicos para una sola persona o aplicación. Siempre que sea posible, las prácticas recomendadas sugieren emplear credenciales temporales, en lugar de crear usuarios de IAM con credenciales a largo plazo como contraseñas y claves de acceso. Antes de crear claves de acceso, revise las alternativas a las claves de acceso a largo plazo. Si hay casos de uso específicos que requieren claves de acceso, le recomendamos actualizar las claves de acceso cuando sea necesario. Para obtener más información, consulte Actualizar las claves de acceso cuando sea necesario para casos de uso que requieren credenciales de larga duración. Para agregar usuarios de IAM a su Cuenta de AWS, consulte Creación de un usuario de IAM en su Cuenta de AWS.

nota

Como práctica recomendada de seguridad, le recomendamos que proporcione acceso a sus recursos mediante la federación de identidades en lugar de crear usuarios de IAM. Para obtener más información acerca de situaciones específicas en las que se requiere un usuario de IAM, consulte Cuándo crear un usuario de IAM (en lugar de un rol).

Grupos de usuarios de IAM

Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesión como grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los grupos facilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, puedes tener un grupo llamado IAMPublishers y conceder a ese grupo los tipos de permisos que las cargas de trabajo de publicación suelen necesitar.

Roles de IAM

Un rol de IAM es una identidad de su Cuenta de AWS que dispone de permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una persona determinada. Puede asumir temporalmente un rol de IAM en la AWS Management Console cambiando de roles. Puede asumir un rol llamando a una operación de la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Si necesita más información sobre los métodos de uso de los roles, consulte Uso de roles de IAM.

Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

  • Acceso de usuario federado: para asignar permisos a una identidad federada, puede crear un rol y definir permisos para este. Cuando se autentica una identidad federada, se asocia la identidad al rol y se le conceden los permisos define el rol. Para obtener información acerca de roles para federación, consulte Creación de un rol para un proveedor de identidades de terceros en la Guía del usuario de IAM. Si utiliza IAM Identity Center, debe configurar un conjunto de permisos. IAM Identity Center correlaciona el conjunto de permisos con un rol en IAM para controlar a qué pueden acceder las identidades después de autenticarse. Para obtener información acerca de los conjuntos de permisos, consulte Conjuntos de permisos en la Guía del usuario de AWS IAM Identity Center.

  • Permisos de usuario de IAM temporales: un usuario de IAM puede asumir un rol de IAM para recibir temporalmente permisos distintos que le permitan realizar una tarea concreta.

  • Acceso entre cuentas: puede utilizar un rol de IAM para permitir que alguien (una entidad principal de confianza) de otra cuenta acceda a los recursos de la cuenta. Los roles son la forma principal de conceder acceso entre cuentas. No obstante, con algunos Servicios de AWS se puede adjuntar una política directamente a un recurso (en lugar de utilizar un rol como representante). Para conocer la diferencia entre la utilización de roles y políticas basadas en recursos para el acceso entre cuentas, consulte Acceso a recursos entre cuentas en IAM.

  • Acceso entre servicios: algunos Servicios de AWS utilizan características de otros Servicios de AWS. Por ejemplo, cuando realiza una llamada en un servicio, es común que ese servicio ejecute aplicaciones en Amazon EC2 o almacene objetos en Amazon S3. Es posible que un servicio haga esto usando los permisos de la entidad principal, usando un rol de servicio o usando un rol vinculado a servicios.

    • Reenviar sesiones de acceso (FAS): cuando utiliza un rol o un usuario de IAM para llevar a cabo acciones en AWS, se le considera una entidad principal. Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en un servicio diferente. FAS utiliza los permisos de la entidad principal para llamar a un Servicio de AWS, combinados con el Servicio de AWS solicitante para realizar solicitudes a servicios posteriores. Las solicitudes de FAS solo se realizan cuando un servicio recibe una solicitud que requiere interacciones con otros Servicios de AWS o recursos para completarse. En este caso, debe tener permisos para realizar ambas acciones. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte Reenviar sesiones de acceso.

    • Rol de servicio: un rol de servicio es un rol de IAM que adopta un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.

    • Rol vinculado a los servicios: un rol vinculado a servicios es un tipo de rol de servicio que está vinculado a un Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios aparecen en la Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.

  • Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM que le permita administrar credenciales temporales para las aplicaciones que se ejecutan en una instancia de EC2 y realizan solicitudes a la AWS CLI o a la API de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de EC2. Para asignar un rol de AWS a una instancia de EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia adjuntado a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la instancia de EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Credenciales temporales en IAM

Como práctica recomendada, utilice credenciales temporales tanto para usuarios humanos como para cargas de trabajo. Las credenciales temporales se utilizan principalmente con los roles de IAM, pero también tiene otros usos. Puede solicitar credenciales temporales que tienen un conjunto de permisos más restringido que el usuario de IAM estándar. Esto evita que lleve a cabo de forma no intencionada tareas no permitidas por las credenciales más restrictivas. Una ventaja de las credenciales temporales es que vencen después de un periodo de tiempo determinado. Usted controla la duración de la validez de las credenciales.

¿Cuándo se utilizan los usuarios de IAM Identity Center?

Se recomienda que todos los usuarios humanos utilicen IAM Identity Center para acceder a los recursos de AWS. IAM Identity Center permite mejoras significativas sobre el acceso a los recursos de AWS como usuario de IAM. IAM Identity Center proporciona:

  • Un conjunto central de identidades y asignaciones

  • Acceso a las cuentas de toda la organización de AWS

  • Conexión con su proveedor de identidad actual

  • Credenciales temporales

  • Autenticación multifactor (MFA)

  • Configuración de MFA de autoservicio para usuarios finales

  • Aplicación administrativa del uso de la MFA

  • Acceso único a todos los derechos de la Cuenta de AWS

Para más información, consulte ¿Qué es IAM Identity Center? en la Guía del usuario de AWS IAM Identity Center.

Cuándo crear un usuario de IAM (en lugar de un rol)

Le recomendamos que utilice únicamente usuarios de IAM para los casos de uso no admitidos por los usuarios federados. Estos son algunos de los casos de uso:

  • Cargas de trabajo que no pueden utilizar roles de IAM: puede ejecutar una carga de trabajo desde una ubicación que necesite acceder a AWS. En algunas situaciones, no se pueden utilizar roles de IAM para proporcionar credenciales temporales; por ejemplo, en el caso de los complementos de WordPress. En esas situaciones, utilice claves de acceso a largo plazo de usuarios de IAM para que la carga de trabajo se autentique en AWS.

  • Clientes de externos de AWS: si utiliza herramientas que no admiten el acceso con IAM Identity Center, como clientes externos de AWS o proveedores que no están alojados en AWS, utilice claves de acceso a largo plazo de usuarios de IAM.

  • Acceso a AWS CodeCommit: si utiliza CodeCommit para almacenar el código, puede emplea un usuario de IAM con claves SSH o credenciales específicas del servicio para que CodeCommit se autentique en los repositorios. Se recomienda hacer esto además de utilizar un usuario de IAM Identity Center para la autenticación normal. Los usuarios de IAM Identity Center son el personal que necesita acceso a sus Cuentas de AWS o a sus aplicaciones en la nube. Para dar acceso a los usuarios a los repositorios de CodeCommit sin configurar usuarios de IAM, puede configurar la utilidad git-remote-codecommit. Para obtener más información sobre IAM y CodeCommit, consulte Uso de IAM con CodeCommit: credenciales de Git, claves SSH y claves de acceso de AWS. Para obtener más información sobre cómo configurar la utilidad git-remote-codecommit, consulte Conexión a repositorios de AWS CodeCommit con credenciales rotativas en la Guía del usuario de AWS CodeCommit.

  • Acceso a Amazon Keyspaces (para Apache Cassandra): en una situación en la que no pueda utilizar usuarios de IAM Identity Center, como por ejemplo, para probar la compatibilidad con Cassandra, puede utilizar un usuario de IAM con credenciales específicas del servicio para realizar la autenticación en Amazon Keyspaces. Los usuarios de IAM Identity Center son el personal que necesita acceso a sus Cuentas de AWS o a sus aplicaciones en la nube. También puede conectarse a Amazon Keyspaces con credenciales temporales. Para obtener más información, consulte Uso de credenciales temporales para conectarse a Amazon Keyspaces mediante un rol de IAM y el complemento SigV4 en la Guía para desarrolladores de Amazon Keyspaces (para Apache Cassandra).

  • Acceso de emergencia: en caso de que no pueda acceder a su proveedor de identidad y deba realizar alguna acción en su Cuenta de AWS. Puede establecer usuarios de IAM de acceso de emergencia como parte de su plan de resiliencia. Recomendamos que las credenciales de usuario de emergencia estén estrictamente controladas y protegidas mediante autenticación multifactor (MFA).

Cuándo crear un rol de IAM (en lugar de un usuario)

Cree un rol de IAM cuando se encuentre en las siguientes situaciones:

Está por crear una aplicación que se ejecuta en una instancia de Amazon Elastic Compute Cloud (Amazon EC2) y dicha aplicación realiza solicitudes a AWS.

No cree ningún usuario de IAM ni transfiera las credenciales del usuario a la aplicación o incruste las credenciales en la aplicación. En cambio, cree un rol de IAM para adjuntarlo a la instancia EC2 para proporcionar credenciales de seguridad temporales a las aplicaciones que se ejecutan en la instancia. Cuando una aplicación utiliza estas credenciales en AWS, puede realizar todas las operaciones permitidas por las políticas asociadas al rol. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2.

Va a crear una aplicación que se ejecuta en un teléfono móvil y que realiza solicitudes a AWS.

No cree ningún usuario de IAM ni distribuya la clave de acceso del usuario con la aplicación. En cambio, utilice un proveedor de identidad, como Login with Amazon, Amazon Cognito, Facebook o Google, para autenticar a los usuarios y asignar los usuarios a un rol de IAM. La aplicación puede utilizar el rol para obtener credenciales de seguridad temporales que tengan los permisos especificados por las políticas asociadas al rol. Para obtener más información, consulte lo siguiente:

Los usuarios de su compañía se autentican en la red de la compañía y quieren poder utilizar AWS sin necesidad de iniciar sesión de nuevo, es decir, que desea permitir a los usuarios federarse en AWS.

No cree usuarios de IAM. Configure una relación de federación entre el sistema de identidades de la compañía y AWS. Puede hacerlo de dos formas:

  • Si el sistema de identidad de su compañía es compatible con SAML 2.0, puede establecer una relación de confianza entre su sistema de identidad y AWS. Para obtener más información, consulte Federación SAML 2.0.

  • Cree y utilice un servidor proxy personalizado que convierta las identidades de los usuarios de la empresa en roles de IAM que proporcionen credenciales de seguridad temporales de AWS. Para obtener más información, consulte Permitir el acceso del agente de identidades personalizadas a la consola de AWS.

Comparar las credenciales de Usuario raíz de la cuenta de AWS con las credenciales de usuario de IAM

El usuario raíz es el propietario de la cuenta y se crea cuando se crea la Cuenta de AWS. Otros tipos de usuarios (incluidos los usuarios de IAM) y los usuarios de AWS IAM Identity Center los crea el usuario raíz o un administrador de la cuenta. Todos los usuarios de AWS tienen credenciales de seguridad.

Credenciales de usuario raíz

Las credenciales del propietario de la cuenta permiten el acceso completo a todos los recursos en la cuenta. No puede utilizar las políticas de IAM para denegar al usuario raíz el acceso a los recursos de forma explícita. Solo puede usar una política de control de servicio (SCP) de AWS Organizations para limitar los permisos del usuario raíz de una cuenta miembro. Por ello, le recomendamos crear un usuario administrativo en IAM Identity Center para utilizarlo en las tareas diarias de AWS. A continuación, proteja las credenciales de usuario raíz y utilícelas para realizar solo las pocas tareas de administración de cuentas y servicios que requieren que inicie sesión como usuario raíz. Para ver la lista de esas tareas, consulte Tareas que requieren credenciales de usuario raíz. Para obtener información sobre cómo configurar un administrador para uso diario en IAM Identity Center, consulte Introducción en la Guía del usuario de IAM Identity Center.

Credenciales de IAM

Un usuario de IAM es una entidad que se crea en AWS para representar a la persona o servicio que utiliza el usuario de IAM para interactuar con recursos de AWS. Estos usuarios son identidades dentro de su Cuenta de AWS, que tienen permisos personalizados específicos. Por ejemplo, puede crear usuarios de IAM y darles permisos para crear un directorio en IAM Identity Center. Los usuarios de IAM disponen de credenciales a largo plazo que pueden utilizar para acceder a AWS mediante la AWS Management Console, o mediante el uso de la programación de la AWS CLI o las API de AWS. Para obtener instrucciones paso a paso sobre cómo los usuarios de IAM inician sesión en AWS Management Console, consulte Inicie sesión en la AWS Management Console como usuario de IAM en la Guía del usuario para iniciar sesión en AWS.

En general, le recomendamos que evite crear usuarios de IAM, porque tienen credenciales a largo plazo, como un nombre de usuario y una contraseña. En su lugar, solicite a los usuarios humanos que utilicen credenciales temporales cuando accedan a AWS. Puede utilizar un proveedor de identidades para los usuarios humanos a fin de proporcionar acceso federado a las Cuentas de AWS asumiendo roles de IAM, que proporcionan credenciales temporales. Si desea administrar el acceso de manera centralizada, le recomendamos utilizar IAM Identity Center para administrar el acceso a las cuentas y los permisos dentro de esas cuentas. Puede administrar las identidades de los usuarios con IAM Identity Center, o bien administrar los permisos de acceso para las identidades de los usuarios en IAM Identity Center de un proveedor de identidades externo. Para obtener más información, consulte ¿Qué es IAM Identity Center? en la Guía del usuario de IAM Identity Center.