Administración de las claves de acceso de los usuarios de IAM

importante

Como práctica recomendada, utilice credenciales de seguridad temporales (por ejemplo, roles de IAM) en lugar de crear credenciales a largo plazo como claves de acceso. Antes de crear claves de acceso, revise las alternativas a las claves de acceso a largo plazo.

Las claves de acceso son credenciales a largo plazo para un usuario de IAM o el Usuario raíz de la cuenta de AWS. Puede utilizar las claves de acceso para firmar solicitudes mediante programación a la AWS CLI o a la API de AWS (directamente o mediante el SDK de AWS). Para obtener más información, consulte Firma de solicitudes API de AWS.

Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo, AKIAIOSFODNN7EXAMPLE) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Debe utilizar el ID de clave de acceso y la clave de acceso secreta juntos, como un nombre de usuario y contraseña, para autenticar sus solicitudes.

Cuando cree un par de claves de acceso, guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de su creación. Si pierde su clave de acceso secreta, debe eliminar la clave de acceso y crear una nueva. Para obtener más información, consulte Restablecimiento de claves de acceso o contraseñas perdidas u olvidadas para AWS.

Puede tener un máximo de dos claves de acceso por usuario.

importante

Administre las claves de acceso de forma segura. No proporcione sus claves de acceso a terceros no autorizados, ni siquiera para que le ayuden a buscar sus identificadores de cuenta. Si lo hace, podría conceder a otra persona acceso permanente a su cuenta.

En las siguientes secciones, se detallan las tareas de administración asociadas a las claves de acceso.

Permisos requeridos para administrar claves de acceso

nota

iam:TagUser es un permiso opcional para agregar y editar las descripciones de la clave de acceso. Para obtener más información, consulte Etiquetado de usuarios de IAM

Para crear claves de acceso para su usuario de IAM, debe contar con los permisos de la siguiente política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Para actualizar claves de acceso para su propio usuario de IAM, debe contar con los permisos de la siguiente política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Administración de claves de acceso (consola)

Puede utilizar la AWS Management Console para administrar las claves de acceso de un usuario de IAM.

Para crear, modificar o eliminar sus propias claves de acceso (consola)

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la consola de IAM.

   nota

   Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija Iniciar sesión en otra cuenta cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

2. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, Security credentials (Credenciales de seguridad).

   

Realice una de las acciones siguientes:

Para crear una clave de acceso

1. En la sección Claves de acceso, haga clic en Crear clave de acceso. Si ya dispone de dos claves de acceso, este botón estará desactivado y deberá eliminar una clave de acceso antes de poder crear una nueva.

2. En la página Access key best practices & alternatives (Prácticas recomendadas y alternativas para la clave de acceso), elija su caso de uso para conocer las opciones adicionales que pueden ayudarle a evitar la creación de una clave de acceso de larga duración. Si determina que su caso de uso aún requiere una clave de acceso, elija Other (Otro) y, a continuación, Next (Siguiente).

3. (Opcional) Establezca un valor de etiqueta de descripción para la clave de acceso. Esto agrega un par clave-valor de etiqueta a su usuario de IAM. Esto puede ayudarlo a identificar y actualizar claves de acceso más adelante. La clave de la etiqueta se establece en el ID de la clave de acceso. El valor de la etiqueta se establece en la descripción de la clave de acceso que especifique. Cuando haya terminado, seleccione Create access key (Crear clave de acceso).

4. En la página Retrieve access keys (Recuperar claves de acceso), elija Show (Mostrar) para revelar el valor de la clave de acceso secreta de su usuario o Download .csv file (Descargar archivo .csv). Esta es su única oportunidad de guardar su clave de acceso secreta. Una vez guardada la clave de acceso secreta en un lugar seguro, seleccione Done (Listo).

Para desactivar una clave de acceso

• En la sección Access keys (Claves de acceso), busque la clave que desea desactivar, seleccione Actions (Acciones) y, a continuación, seleccione Deactivate (Desactivar). Cuando se le pida confirmación, elija Deactivate (Desactivar). Una clave de acceso desactivada sigue contando para el límite de dos claves de acceso.

Para activar una clave de acceso

• En la sección Access keys (Claves de acceso), busque la clave que desea activar, seleccione Actions (Acciones) y, a continuación, Activate (Activar).

Para eliminar una clave de acceso cuando ya no la necesite

• En la sección Access keys (Claves de acceso), busque la clave que desea eliminar, seleccione Actions (Acciones) y, a continuación, Eliminar. Siga las instrucciones del cuadro de diálogo para, en primer lugar, Deactivate (Desactivar) y, a continuación, confirmar la eliminación. Le recomendamos que compruebe que la clave de acceso ya no se utilice antes de eliminarla definitivamente.

Para crear, modificar o eliminar claves de acceso de otro usuario de IAM (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Usuarios.

3. Seleccione el nombre del usuario cuyas claves de acceso que desee administrar y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).

4. En la sección Access Keys (Claves de acceso), ejecute una de las acciones siguientes:

   • Para crear una clave de acceso, elija Create access key (Crear clave de acceso). Si el botón se encuentra desactivado, deberá borrar una de las claves existentes antes de poder crear una nueva. En la página Access key best practices & alternatives (Prácticas recomendadas y alternativas para la clave de acceso), revise las prácticas recomendadas y las alternativas. Elija su caso de uso para conocer las opciones adicionales que pueden ayudarle a evitar la creación de una clave de acceso a largo plazo. Si determina que su caso de uso aún requiere una clave de acceso, elija Other (Otro) y, a continuación, Next (Siguiente). En la página Retrieve access key page (Recuperar clave de acceso), elija Show (Mostrar) para revelar el valor de la clave de acceso secreta de su usuario. Para guardar el ID de la clave de acceso y la clave de acceso secreta en un archivo .csv en una ubicación segura de su ordenador, seleccione el botón Download .csv file (Descargar archivo .csv). Cuando se crea una clave de acceso para un usuario, el par de claves se activa de forma predeterminada y el usuario puede utilizarlo inmediatamente.

   • Para desactivar una clave de acceso activa, seleccione Actions (Acciones) y, a continuación, Deactivate (Desactivar).

   • Para activar una clave de acceso inactiva, seleccione Actions (Acciones) y, a continuación, Activate (Activar).

   • Para eliminar una clave de acceso, seleccione Actions (Acciones) y, a continuación, Delete (Eliminar). Siga las instrucciones del diálogo para primero Deactivate (Desactivar) y, a continuación, confirmar la eliminación. AWS recomienda que, antes de hacerlo, desactive la clave y compruebe que ya no se usa. Cuando utilice la AWS Management Console, deberá desactivar la clave antes de eliminarla.

Para obtener una lista de las claves de acceso de un usuario de IAM (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Usuarios.

3. Elija el nombre del usuario que desee y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad). En la sección Access keys (Claves de acceso), verá las claves de acceso del usuario y el estado de cada una.

   nota

   Solo se ve el ID de clave de acceso del usuario. La clave de acceso secreta solo se puede recuperar cuando se crea la clave.

Para generar una lista de los ID de clave de acceso de varios usuarios de IAM (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Usuarios.

3. Si es necesario, añada la columna Access key ID (ID de clave de acceso) a la tabla de usuarios ejecutando los siguientes pasos:

   1. Encima de la tabla, en el extremo derecho, elija el icono de configuración ( ).

   2. En Manage columns (Administrar columnas), seleccione Access key ID (ID de clave de acceso).

   3. Seleccione Close (Cerrar) para volver a la lista de usuarios.

4. La columna Access key ID (ID de clave de acceso) muestra los ID de clave de acceso seguidos de su estado; por ejemplo, 23478207027842073230762374023 (Active) (Activo) o 22093740239670237024843420327 (Inactive) (Inactivo).

   Puede utilizar esta información para ver y copiar las claves de acceso de los usuarios que tengan una o dos claves de acceso. La columna muestra None (Ninguna) cuando los usuarios no tienen clave de acceso.

   nota

   Solo se ve el ID de clave de acceso y el estado del usuario. La clave de acceso secreta solo se puede recuperar cuando se crea la clave.

Para saber qué usuario de IAM posee una clave de acceso específica (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Usuarios.

3. En el campo de búsqueda, escriba o pegue el ID de clave de acceso del usuario que desea encontrar.

4. Si es necesario, añada la columna Access key ID (ID de clave de acceso) a la tabla de usuarios ejecutando los siguientes pasos:

   1. Encima de la tabla, en el extremo derecho, elija el icono de configuración ( ).

   2. En Manage columns (Administrar columnas), seleccione Access key ID (ID de clave de acceso).

   3. Elija Close (Cerrar) para volver a la lista de usuarios y confirmar que el usuario filtrado posee la clave de acceso especificada.

Administración de las claves de acceso (AWS CLI)

Para administrar las claves de acceso de un usuario de IAM con la AWS CLI, ejecute los siguientes comandos.

• Para crear una clave de acceso: aws iam create-access-key

• Para desactivar o activar una clave de acceso: aws iam update-access-key

• Para generar una lista de las claves de acceso de un usuario: aws iam list-access-keys

• Para determinar cuándo se utilizó por última vez una clave de acceso: aws iam get-access-key-last-used

• Para eliminar una clave de acceso: aws iam delete-access-key

Administración de las claves de acceso (API de AWS)

Para administrar las claves de acceso de un usuario de IAM con la API de AWS, ejecute las siguientes operaciones.

• Para crear una clave de acceso: CreateAccessKey

• Para desactivar o activar una clave de acceso: UpdateAccessKey

• Para generar una lista de las claves de acceso de un usuario: ListAccessKeys

• Para determinar cuándo se utilizó por última vez una clave de acceso: GetAccessKeyLastUsed

• Para eliminar una clave de acceso: DeleteAccessKey

Actualización de las claves de acceso

Como práctica recomendada de seguridad, se recomienda actualizar las claves de acceso de usuario de IAM cuando sea necesario; por ejemplo, cuando un empleado deje la empresa. Los usuarios de IAM pueden actualizar sus propias claves de acceso si se les han concedido los permisos necesarios.

Para obtener más información sobre cómo conceder a sus usuarios de IAM permisos para actualizar sus propias claves de acceso, consulte AWS: permite a los usuarios de IAM administrar su propia contraseña, sus claves de acceso y sus claves públicas SSH en la página Credenciales de seguridad. También puede aplicar una política de contraseñas a su cuenta para solicitarles a todos los usuarios de IAM que actualicen sus contraseñas periódicamente, e informarles cuán seguido deben hacerlo. Para obtener más información, consulte Configuración de una política de contraseñas de la cuenta para usuarios de IAM.

Temas

• Actualización de las claves de acceso de usuario de IAM (consola)
• Actualización de las claves de acceso (AWS CLI)
• Actualización de las claves de acceso (API de AWS)

Actualización de las claves de acceso de usuario de IAM (consola)

Puede actualizar las claves de acceso desde la AWS Management Console.

Para actualizar las claves de acceso de un usuario de IAM sin interrumpir sus aplicaciones (consola)

1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso.

   1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

   2. En el panel de navegación, seleccione Usuarios.

   3. Elija el nombre del usuario que desee y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).

   4. En la sección Claves de acceso, haga clic en Crear clave de acceso. En la página Access key best practices & alternatives (Prácticas recomendadas y alternativas para la clave de acceso), seleccione Other (Otros) y, a continuación, Next (Siguiente).

   5. (Opcional) Establezca un valor de etiqueta de descripción para la clave de acceso para agregar un par clave-valor de etiqueta a este usuario de IAM. Esto puede ayudarlo a identificar y actualizar claves de acceso más adelante. La clave de la etiqueta se establece en el ID de la clave de acceso. El valor de la etiqueta se establece en la descripción de la clave de acceso que especifique. Cuando haya terminado, seleccione Create access key (Crear clave de acceso).

   6. En la página Retrieve access keys (Recuperar claves de acceso), elija Show (Mostrar) para revelar el valor de la clave de acceso secreta de su usuario o Download .csv file (Descargar archivo .csv). Esta es su única oportunidad de guardar su clave de acceso secreta. Una vez guardada la clave de acceso secreta en un lugar seguro, seleccione Done (Listo).

      Cuando se crea una clave de acceso para un usuario, el par de claves se activa de forma predeterminada y el usuario puede utilizarlo inmediatamente. En este punto, el usuario tiene dos claves de acceso activas.

2. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

3. Para determinar si la primera clave de acceso todavía está en uso, consulte la información Last used (Último uso) de la clave de acceso más antigua. Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

4. Aunque la información de Last used (Último uso) indique que la clave antigua nunca se ha utilizado, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, elija Actions (Acciones) y, a continuación, seleccione Deactivate (Desactivar) para desactivar la primera clave de acceso.

5. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si encuentra una aplicación o herramienta de este tipo, puede reactivar la primera clave de acceso. A continuación, vuelva a Paso 3 y actualice esta aplicación para utilizar la nueva clave.

6. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso:

   1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

   2. En el panel de navegación, seleccione Usuarios.

   3. Elija el nombre del usuario que desee y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).

   4. En la sección Access keys (Claves de acceso) de la clave de acceso que desea eliminar, seleccione Actions (Acciones) y, a continuación, Delete (Eliminar). Siga las instrucciones del cuadro de diálogo para, en primer lugar, Deactivate (Desactivar) y, a continuación, confirmar la eliminación.

Para determinar qué claves de acceso deben actualizarse o eliminarse (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Usuarios.

3. Si es necesario, añada la columna Access key age (Antigüedad de la clave de acceso) a la tabla de usuarios ejecutando los siguientes pasos:

   1. Encima de la tabla, en el extremo derecho, elija el icono de configuración ( ).

   2. En Manage columns (Administrar columnas), seleccione Access key age (Antigüedad de la clave de acceso).

   3. Seleccione Close (Cerrar) para volver a la lista de usuarios.

4. La columna Access key age (Antigüedad de la clave de acceso) muestra el número de días que han transcurrido desde la creación de la clave de acceso activa más antigua. Puede utilizar esta información para encontrar usuarios con claves de acceso que deban actualizarse o eliminarse. La columna muestra None (Ninguna) cuando los usuarios no tienen clave de acceso.

Actualización de las claves de acceso (AWS CLI)

Puede actualizar las claves de acceso desde la AWS Command Line Interface.

Para actualizar las claves de acceso sin interrumpir sus aplicaciones (AWS CLI)

1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso que, de forma predeterminada, está activa. Ejecute el siguiente comando:

   • aws iam create-access-key

     En este punto, el usuario tiene dos claves de acceso activas.

2. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

3. Determine si la primera clave de acceso todavía está en uso utilizando este comando:

   • aws iam get-access-key-last-used

   Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

4. Aunque el paso Paso 3 indique que la clave antigua no se usa, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, cambie el estado de la primera clave de acceso a Inactive utilizando este comando:

   • aws iam update-access-key

5. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede cambiar de nuevo su estado a Active para volver a activar la primera clave de acceso. A continuación, vuelva al paso Paso 2 y actualice esta aplicación para utilizar la nueva clave.

6. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso con este comando:

   • aws iam delete-access-key

Actualización de las claves de acceso (API de AWS)

Puede actualizar las claves de acceso con la API de AWS.

Para actualizar claves de acceso sin interrumpir sus aplicaciones (API de AWS)

1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso que, de forma predeterminada, está activa. Llame a la operación siguiente:

   • CreateAccessKey

     En este punto, el usuario tiene dos claves de acceso activas.

2. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

3. Determine si la primera clave de acceso todavía está en uso llamando a esta operación:

   • GetAccessKeyLastUsed

   Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

4. Aunque el paso Paso 3 indique que la clave antigua no se usa, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, cambie el estado de la primera clave de acceso a Inactive llamando a esta operación:

   • UpdateAccessKey

5. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede cambiar de nuevo su estado a Active para volver a activar la primera clave de acceso. A continuación, vuelva al paso Paso 2 y actualice esta aplicación para utilizar la nueva clave.

6. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso llamando a esta operación:

   • DeleteAccessKey

Protección de las claves de acceso

Cualquier persona que tenga su clave de acceso disfrutará del mismo nivel de acceso a los recursos de AWS que usted. Por lo tanto, AWS adopta importantes medidas para proteger las claves de acceso y, en consonancia con nuestro modelo de responsabilidad compartida, también usted debería adoptarlas.

Amplíe las siguientes secciones para obtener orientación que lo ayude a proteger sus claves de acceso.

nota

Puede que su organización tenga políticas y requisitos de seguridad distintos de los descritos en este tema. Las sugerencias proporcionadas aquí pretenden ser directrices generales.

Eliminar (o no generar) claves de acceso Usuario raíz de la cuenta de AWS

Una de las mejores formas de proteger su cuenta es no tener una clave de acceso para su Usuario raíz de la cuenta de AWS. A menos que necesite tener una clave de acceso de usuario raíz (lo que es poco frecuente), es mejor no generarla. En su lugar, cree un usuario administrativo en AWS IAM Identity Center para las tareas administrativas diarias. Para obtener más información sobre cómo crear un usuario administrativo en IAM Identity Center, consulte Introducción en la Guía del usuario de IAM Identity Center.

Si ya tiene una clave de acceso de usuario raíz para su cuenta, le recomendamos hacer lo siguiente: buscar lugares en las aplicaciones donde utiliza dicha clave actualmente (si procede) y sustituir la clave de acceso de usuario raíz por una clave de acceso de usuario de IAM. Luego deshabilite y elimine la clave de acceso de usuario raíz. Para obtener más información sobre cómo actualizar claves de acceso, consulte Actualización de las claves de acceso.

Utilice credenciales de seguridad temporales (roles de IAM) en lugar de claves de acceso a largo plazo

En muchos casos, no necesita claves de acceso a largo plazo que nunca caducan (como sucede con un usuario de IAM). En su lugar, puede crear roles de IAM y generar credenciales de seguridad temporales. Las credenciales de seguridad temporales se componen de un ID de clave de acceso y una clave de acceso secreta, pero, además, incluyen un token de seguridad que indica cuándo caducan las credenciales.

Las claves de acceso a largo plazo, como las asociadas a los usuarios de IAM y al usuario raíz, siguen siendo válidas hasta que se revocan manualmente. No obstante, las credenciales de seguridad temporales obtenidas a través de roles de IAM y otras características de AWS Security Token Service caducan tras un breve periodo de tiempo. Utilice las credenciales de seguridad temporales para ayudar a reducir el riesgo en caso de se vean expuestas accidentalmente.

Utilice un rol de IAM y credenciales de seguridad temporales en las siguientes situaciones:

• Si tiene una aplicación o scripts de AWS CLI que se ejecutan en una instancia EC2. No utilice claves de acceso directamente en su aplicación. No transfiera una clave de acceso a la aplicación, no la integre en la aplicación y no deje que la aplicación lea claves de cualquier origen. En cambio, defina un rol de IAM que tenga los permisos adecuados para su aplicación y lance la instancia Amazon Elastic Compute Cloud (Amazon EC2) con roles para EC2. Al hacerlo, se asocia un rol de IAM a la instancia de Amazon EC2. Esta práctica también habilita a la aplicación para obtener credenciales de seguridad temporales que, a su vez, puede usar para realizar llamadas mediante programación a AWS. AWS SDK y AWS Command Line Interface (AWS CLI) pueden obtener credenciales temporales del rol automáticamente.

• Debe conceder acceso entre cuentas. Utilice un rol de IAM para establecer la confianza entre cuentas y, a continuación, conceder a los usuarios de una cuenta permisos limitados para acceder a la cuenta de confianza. Para obtener más información, consulte Tutorial de IAM: delegación del acceso entre cuentas de AWS mediante roles de IAM.

• Tiene una aplicación móvil. No integre una clave de acceso en la aplicación, ni siquiera en el almacenamiento cifrado. En su lugar, utilice Amazon Cognito para administrar identidades de los usuarios en su aplicación. Este servicio permite autenticar a los usuarios mediante Login with Amazon, Facebook, Google o cualquier proveedor de identidad compatible con OpenID Connect (OIDC). A continuación, puede utilizar el proveedor de credenciales de Amazon Cognito a fin de administrar las credenciales que la aplicación utiliza para realizar solicitudes a AWS.

• Desea utilizar la federación en AWS y su organización admite SAML 2.0. Si trabaja para una organización que tiene un proveedor de identidad compatible con SAML 2.0, configure el proveedor para que use SAML. Puede utilizar SAML para intercambiar información de autenticación con AWS y recuperar un conjunto de credenciales de seguridad temporales. Para obtener más información, consulte Federación SAML 2.0.

• Desea utilizar la federación en AWS y su organización tiene un almacén de identidades local. Si los usuarios pueden autenticarse dentro de su organización, puede escribir una aplicación que emita credenciales de seguridad temporales para obtener acceso a los recursos de AWS. Para obtener más información, consulte Permitir el acceso del agente de identidades personalizadas a la consola de AWS.

nota

¿Está utilizando una instancia de Amazon EC2 con una aplicación que requiere acceso a los recursos de AWS? Si es así, utilice roles de IAM para EC2.

Administración correcta de las claves de acceso de usuario de IAM

Si debe crear claves de acceso para el acceso mediante programación a AWS, créelas para los usuarios de IAM y conceda a los usuarios solo los permisos que necesitan.

Tenga en cuenta estas precauciones para ayudar a proteger las claves de acceso de usuario de IAM:

• No integre las claves de acceso directamente en el código. Los AWS SDK de y las Herramientas de línea de comandos de AWS le permiten colocar las claves de acceso en ubicaciones conocidas para que no tenga que mantenerlas en código.

  Ponga las claves de acceso en una de las siguientes ubicaciones:

  • El archivo de credenciales de AWS. Los SDK de AWS y la AWS CLI utilizan automáticamente las credenciales que se guardan en el archivo de credenciales de AWS.

    Para obtener información acerca de cómo utilizar el archivo de credenciales de AWS, consulte la documentación del SDK. Los ejemplos incluyen Conjunto de AWS credenciales y región en la Guía de desarrollo de AWS SDK for Java y Archivos de configuración y credenciales en la Guía del usuario de AWS Command Line Interface.

    Para almacenar las credenciales para AWS SDK for .NET y AWS Tools for Windows PowerShell, recomendamos utilizar la tienda del SDK. Para obtener más información, consulte Uso de la tienda del SDK en la Guía de desarrollo de AWS SDK for .NET.

  • Variables de entorno. En un sistema multitenencia, opte por las variables de entorno de usuario, en lugar de las variables de entorno de sistema.

    Para obtener más información acerca de cómo utilizar las variables de entorno para almacenar credenciales, consulte Variables de entorno en la Guía del usuario de AWS Command Line Interface.

• Utilice claves de acceso distintas para las diferentes aplicaciones. Hacer esto le permitirá aislar los permisos y revocar las claves de acceso para aplicaciones individuales si se ven expuesta. Tener claves de acceso separadas para diferentes aplicaciones también genera entradas distintas en los archivos de registro de AWS CloudTrail. Esta configuración hace más sencillo determinar qué aplicación realizó acciones concretas.

• Actualice las claves de acceso cuando sea necesario. Si existe el riesgo de que la clave de acceso se vea comprometida, actualícela y elimine la anterior. Para obtener más información, consulte Actualización de las claves de acceso

• Elimine las claves de acceso no utilizadas. Si un usuario deja la organización, elimine el usuario de IAM correspondiente, de tal forma que ya no pueda obtener acceso a los recursos. Para saber cuándo se utilizó por última vez una clave de acceso, utilice la API GetAccessKeyLastUsed (comando de AWS CLI: aws iam get-access-key-last-used).

• Utilice las credenciales temporales y configure la autenticación multifactor para las operaciones de API más confidenciales. Con las políticas de IAM, puede especificar qué operaciones de API puede llamar un usuario. En algunos casos, es posible que quiera la seguridad adicional de exigir a los usuarios que se autentiquen con MFA de AWS antes de permitirles llevar a cabo acciones especialmente confidenciales. Por ejemplo, es posible que tenga una política que permita a un usuario realizar las acciones de Amazon EC2 RunInstances, DescribeInstances y de StopInstances. Sin embargo, es posible que quiera restringir una acción destructiva, como TerminateInstances y asegurarse de que los usuarios solo pueden realizar esta acción si se autentican mediante un dispositivo MFA de AWS. Para obtener más información, consulte Configuración del acceso a una API protegido por MFA.

Acceder a la aplicación móvil usando claves de acceso de AWS

Puede acceder a un conjunto limitado de servicios y características de AWS mediante la aplicación móvil de AWS. La aplicación móvil le ayuda a dar soporte a la respuesta frente a incidentes mientras está en movimiento. Para obtener más información y descargar la aplicación, consulte Aplicación móvil de la consola de AWS.

Puede iniciar sesión en la aplicación móvil con la contraseña de la consola o las claves de acceso. Como práctica recomendada, no utilice las clave de acceso de usuario raíz. En su lugar, le recomendamos encarecidamente que, además de utilizar una contraseña o un bloqueo biométrico en su dispositivo móvil, cree un usuario de IAM específicamente para administrar los recursos de AWS mediante la aplicación móvil. Si pierde su dispositivo móvil, puede eliminar el acceso del usuario de IAM.

Para iniciar sesión con las teclas de acceso (aplicación móvil)

1. Abra la aplicación en su dispositivo móvil.

2. Si es la primera vez que agrega una identidad al dispositivo, elija Add an identity (Agregar una identidad) y, a continuación, elija Access keys (Teclas de acceso).

   Si ya ha iniciado sesión con otra identidad, elija el icono de menú y elija Switch identity (Cambiar identidad). A continuación, elija Sign in as a different identity (Iniciar sesión con una identidad diferente) y, a continuación, Access keys (Teclas de acceso).

3. En la página Access keys (Claves de acceso) introduzca su información:

   • ID de clave de acceso: introduzca el ID de clave de acceso.

   • Clave de acceso secreta: introduzca la clave de acceso secreta.

   • Nombre de identidad: introduzca el nombre de la identidad que aparecerá en la aplicación móvil. No es necesario que coincida con su nombre de usuario de IAM.

   • PIN de identidad: cree un número de identificación personal (PIN) que utilizará en los futuros inicios de sesión.

     nota

     Si habilita la biometría para la aplicación móvil de AWS, se le pedirá que utilice su huella digital o reconocimiento facial para la verificación en lugar del PIN. Si la biometría falla, es posible que se le pida el PIN en su lugar.

4. Elija Verify and add keys (Verificar y agregue claves).

   Ahora puede acceder a un conjunto selecto de sus recursos mediante la aplicación móvil.

Información relacionada

En las siguientes secciones, se proporciona información sobre cómo configurar los AWS SDK y la AWS CLI para utilizar claves de acceso:

• Conjunto de AWS credenciales y región en la Guía para desarrolladores de AWS SDK for Java

• Uso de la tienda del SDK en la Guía para desarrolladores de AWS SDK for .NET.

• Proporcione credenciales al SDK en la Guía para desarrolladores de AWS SDK for PHP.

• Configuración en la documentación de Boto 3 (AWS SDK para Python).

• Using AWS Credentials en la Guía del usuario de AWS Tools for Windows PowerShell

• Archivos de configuración y credenciales en la Guía del usuario de AWS Command Line Interface.

• Conceder acceso mediante un rol de IAM en la Guía AWS SDK for .NETpara desarrolladores

• Configure los roles de IAM para Amazon EC2 en el AWS SDK for Java 2.x

Auditoría de las claves de acceso

Puede revisar las claves de acceso de AWS en su código para determinar si las claves proceden de una cuenta de su propiedad. Puede transferir un ID de clave de acceso mediante el comando de la AWS CLI aws sts get-access-key-info o la operación de la API de AWS GetAccessKeyInfo.

Las operaciones de AWS CLI y de la API de AWS devuelven el ID de la cuenta de Cuenta de AWS a la que pertenece la clave de acceso. Los ID de clave de acceso que comienzan por AKIA son credenciales a largo plazo para un usuario de IAM o un Usuario raíz de la cuenta de AWS. Los ID de clave de acceso que comienzan por ASIA son credenciales temporales que se crean mediante operaciones de AWS STS. Si la cuenta de la respuesta le pertenece, puede iniciar sesión como usuario raíz y revisar las claves de acceso de usuario raíz. A continuación, puede extraer un informe de credenciales para saber qué usuario de IAM es el propietario de las claves. Para saber quién solicitó las credenciales temporales para una clave de acceso ASIA, consulte los eventos de AWS STS en los registros de CloudTrail.

Por motivos de seguridad, puede revisar los registros de AWS CloudTrail para saber quién realizó una acción en AWS. Puede utilizar la clave de condición de sts:SourceIdentity en la política de confianza de rol para exigir a los usuarios que especifiquen una identidad cuando asuman un rol. Por ejemplo, puede requerir que los usuarios de IAM especifiquen su propio nombre de usuario como su identidad de origen. Esto puede ayudarle a determinar qué usuario realizó una acción específica en AWS. Para obtener más información, consulte sts:SourceIdentity.

Esta operación no indica el estado de la clave de acceso. La clave podría estar activa, inactiva o eliminada. Es posible que las claves activas no tengan permisos para realizar una operación. Proporcionar una clave de acceso eliminada podría devolver un error que indicara que la clave no existe.