Identidades de IAM (usuarios, grupos de usuarios y roles) - AWS Identity and Access Management

Identidades de IAM (usuarios, grupos de usuarios y roles)

¿Tiene problemas para iniciar sesión en AWS? Asegúrese de que está en la página de inicio de sesión de AWS correcta para su tipo de usuario. Si es el Cuenta de AWS (propietario de la cuenta), puede iniciar sesión en AWS utilizando las credenciales que configuró al crear la cuenta de AWS. Si es usuario de IAM, el administrador de su cuenta puede proporcionarle las credenciales que puede utilizar para iniciar sesión en AWS.

nota

Si necesita solicitar soporte técnico, no utilice el enlace de Feedback (Comentarios) de esta página. Los comentarios que ingrese los recibe el equipo de documentación de AWS, no AWS Support. En su lugar, seleccione el enlace Contact Us (Contáctenos) en la parte superior de esta página. Allí encontrará enlaces a recursos que le ayudarán a obtener el apoyo que necesita.

El usuario raíz de Cuenta de AWS o un administrador de IAM de la cuenta puede crear Identidades de IAM. Una identidad de IAM proporciona acceso a una cuenta de AWS. Un grupo de usuario es una colección de usuarios de IAM administrados como una unidad. Una identidad de IAM representa a un usuario, se puede autenticar y, a continuación, autorizar para realizar acciones en AWS. Cada identidad de IAM se puede asociar a una o varias políticas. Las políticas determinan qué acciones puede realizar un usuario, un rol o un miembro de un grupo de usuarios, en qué recursos de AWS y en qué condiciones.

usuario raíz de la cuenta de AWS

Cuando se crea por primera vez una cuenta de Amazon Web Services (AWS), se comienza con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la cuenta de AWS y se accede a ella iniciando sesión con la dirección de email y la contraseña que utilizó para crear la cuenta.

importante

Le recomendamos encarecidamente que no utilice el usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar el usuario final exclusivamente para crear al primer usuario de IAM. A continuación, guarde las credenciales del usuario raíz en un lugar seguro y utilícelas tan solo para algunas tareas de administración de cuentas y servicios. Para ver las tareas que requieren que inicie sesión como usuario raíz, consulte Tareas de AWS que exigen un usuario raíz de la cuenta.

Usuarios de IAM

Un usuario de IAM es una entidad que se crea en AWS. El usuario de IAM representa a la persona o servicio que utiliza el usuario de IAM para interactuar con AWS. El uso principal de los usuarios de IAM consiste en proporcionar a las personas la posibilidad de iniciar sesiones en la AWS Management Console para realizar tareas interactivas y para realizar solicitudes programáticas a los servicios de AWS mediante la API o la CLI. Un usuario en AWS se compone de un nombre y una contraseña para iniciar sesión en la AWS Management Console y un máximo de dos claves de acceso que se pueden utilizar con la API o la CLI. Al crear un usuario de IAM, le concede los permisos convirtiéndole en miembro de un grupo de usuarios que tiene asociadas políticas de permisos adecuados (recomendado) o directamente adjuntándole políticas a dicho usuario. También puede clonar los permisos de un usuario de IAM existente, lo que automáticamente hace que el nuevo usuario sea miembro de los mismos grupos de usuario y le asocia las mismas políticas. Para agregar usuarios de IAM a su cuenta de IAM, consulte Creación de un usuario de IAM en su cuenta de AWS.

Grupos de usuarios de IAM

Un grupo de usuarios de IAM es un conjunto de usuarios de IAM. Los grupos de usuarios le permiten especificar permisos para un grupo de usuarios, lo que puede facilitar la administración de dichos permisos para dichos usuarios. Por ejemplo, podría tener un grupo de usuarios denominado Admins y proporcionar a dicho grupo de usuarios los tipos de permisos que los administradores suelen necesitar. Un usuario de dicho grupo de usuarios dispone automáticamente de los permisos que tiene asignados el grupo de usuarios. Si un usuario nuevo se une a su organización y necesita privilegios de administrador, puede asignarle los permisos adecuados agregando al usuario a dicho grupo de usuarios. Asimismo, si una persona cambia de trabajo dentro de su organización, en lugar de editar los permisos de dicho usuario, puede eliminarlo de los grupos de usuarios antiguos y agregarlo a los nuevos grupos de usuarios correspondientes. Un grupo de usuarios no se puede identificar como una Principal en una política basada en recursos. Un grupo de usuarios es una forma de asociar políticas a varios usuarios al mismo tiempo. Cuando asocia una política basada en identidades a un grupo de usuarios, todos los usuarios del grupo de usuarios reciben los permisos de este. Para obtener más información acerca de estos tipos de políticas, consulte Políticas basadas en identidad y políticas basadas en recursos.

Roles de IAM

Un rol de IAM es muy similar a un usuario, ya que se trata de una identidad con políticas de permisos que determinan lo que la identidad puede hacer y lo que no en AWS. Sin embargo, un rol no tiene ninguna credencial (contraseña o claves de acceso). Por ello, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir el rol que necesite. Un usuario de IAM puede asumir una función para disponer temporalmente de diferentes permisos para una tarea específica. Un rol se puede asignar a un usuario federado que inicia sesión utilizando un proveedor de identidad externo en lugar de IAM. AWS utiliza los detalles aprobados por el proveedor de identidad para determinar qué rol se asigna al usuario federado.

Credenciales temporales en IAM

Las credenciales temporales se utilizan principalmente con los roles de IAM, pero también tiene otros usos. Puede solicitar credenciales temporales que tienen un conjunto de permisos más restringido que el usuario de IAM estándar. Esto evita que lleve a cabo de forma inintencionada tareas no permitidas por las credenciales más restrictivas. Una ventaja de las credenciales temporales es que vencen después de un periodo de tiempo determinado. Usted controla la duración de la validez de las credenciales.

Cuándo crear un usuario de IAM (en lugar de un rol)

Dado que un usuario de IAM es tan solo una identidad con permisos específicos en la cuenta, es posible que no sea necesario crear un usuario de IAM cada vez que necesite credenciales. En muchos casos, puede aprovechar los roles de IAM y sus credenciales de seguridad temporales en lugar de utilizar las credenciales a largo plazo asociadas con un usuario de IAM.

  • Ha creado una cuenta de AWS y es la única persona que trabaja en su cuenta.

    Puede trabajar en AWS utilizando las credenciales de usuario raíz de su cuenta de AWS, pero no se lo recomendamos. En cambio, le recomendamos encarecidamente crear un usuario de IAM para usted y utilizar las credenciales para ese usuario cuando trabaje con AWS. Para obtener más información, consulte Prácticas recomendadas de seguridad en IAM .

  • Otras personas del grupo de usuarios tienen que trabajar en su cuenta de AWS y su grupo de usuarios no utiliza ningún otro mecanismo de identidad.

    Cree usuarios de IAM para las personas que necesitan acceso a sus recursos de AWS, asigne los permisos adecuados a cada usuario y proporcione a cada usuario sus propias credenciales. Recomendamos encarecidamente que no comparta credenciales entre varios usuarios.

Cuándo crear un rol de IAM (en lugar de un usuario)

Cree un rol de IAM cuando se encuentre en las siguientes situaciones:

Está por crear una aplicación que se ejecuta en una instancia de Amazon Elastic Compute Cloud (Amazon EC2) y dicha aplicación realiza solicitudes a AWS.

No cree ningún usuario de IAM ni transfiera las credenciales del usuario a la aplicación o incruste las credenciales en la aplicación. En cambio, cree un rol de IAM para adjuntarlo a la instancia EC2 para proporcionar credenciales de seguridad temporales a las aplicaciones que se ejecutan en la instancia. Cuando una aplicación utiliza estas credenciales en AWS, puede realizar todas las operaciones permitidas por las políticas asociadas al rol. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2.

Va a crear una aplicación que se ejecuta en un teléfono móvil y que realiza solicitudes a AWS.

No cree ningún usuario de IAM ni distribuya la clave de acceso del usuario con la aplicación. En cambio, utilice un proveedor de identidad, como Login with Amazon, Amazon Cognito, Facebook o Google, para autenticar a los usuarios y asignar los usuarios a un rol de IAM. La aplicación puede utilizar el rol para obtener credenciales de seguridad temporales que tengan los permisos especificados por las políticas asociadas al rol. Para obtener más información, consulte los siguientes enlaces:

Los usuarios de su compañía se autentican en la red de la compañía y quieren poder utilizar AWS sin necesidad de iniciar sesión de nuevo, es decir, que desea permitir a los usuarios federarse en AWS.

No cree usuarios de IAM. Configure una relación de federación entre el sistema de identidades de la compañía y AWS. Puede hacerlo de dos formas: