AWS Identity and Access Management
Guía del usuario

Administración de las claves de acceso de los usuarios de IAM

nota

Si ha encontrado este tema porque está intentando configurar la API de publicidad de productos para vender productos de Amazon en su sitio web, consulte los siguientes temas:

Las claves de acceso son las credenciales a largo plazo para un usuario de IAM o Usuario de la cuenta raíz de AWS. Puede utilizar las claves de acceso para firmar solicitudes mediante programación a la AWS CLI o a la API de AWS (directamente o mediante el SDK de AWS). Para obtener más información, consulte Firma de solicitudes de la API de AWS en la Referencia general de Amazon Web Services.

Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo, AKIAIOSFODNN7EXAMPLE) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como un nombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con el mismo nivel de seguridad que para el nombre de usuario y la contraseña.

importante

No proporcione las claves de acceso a terceras personas, ni siquiera para que le ayuden a buscar el ID de usuario canónico. Si lo hace, podría conceder a otra persona acceso permanente a su cuenta.

Como práctica recomendada, utilice credenciales de seguridad temporales (roles de IAM) en lugar de claves de acceso y desactivar cualquier clave de acceso de Usuario de la cuenta raíz de AWS. Para obtener más información, consulte Prácticas recomendadas para administrar las claves de acceso de AWS en la Referencia general de Amazon Web Services.

Si aún tiene que usar claves de acceso a largo plazo, puede crear, modificar, ver o rotar sus claves de acceso (ID de clave de acceso y claves de acceso secretas). Puede tener un máximo de dos claves de acceso. Esto le permite rotar las claves activas de acuerdo con las prácticas recomendadas.

Cuando cree un par de claves de acceso, guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de su creación. Si pierde su clave de acceso secreta, debe eliminar la clave de acceso y crear una nueva. Para obtener más información, consulte Restablecimiento de claves de acceso o contraseñas perdidas u olvidadas.

Permisos necesarios

Para crear claves de acceso para su usuario de IAM, debe contar con los permisos de la siguiente política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:GetUser", "iam:ListAccessKeys" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

Para rotar claves de acceso para su usuario de IAM, debe contar con los permisos de la siguiente política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:GetAccessKeyLastUsed", "iam:GetUser", "iam:ListAccessKeys", "iam:UpdateAccessKey" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

Administración de claves de acceso (Consola)

Puede utilizar la Consola de administración de AWS para administrar claves de acceso de usuarios de IAM.

Para crear, modificar o eliminar sus propias claves de acceso de usuario de IAM (consola)

  1. Utilice su ID de cuenta de AWS o alias de cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la consola de IAM.

    nota

    Para su comodidad, la página de inicio de sesión de AWS utiliza una cookie de navegador para recordar el nombre de usuario de IAM y la información de la cuenta. Si ya ha iniciado sesión con otro nombre de usuario distinto, elija Sign in to a different account cerca de la parte inferior de la página para volver a la página principal de inicio de sesión. Aquí podrá escribir su ID de cuenta de AWS o alias de cuenta para que se le redirija a la página de inicio de sesión de usuario IAM de su cuenta.

    Obtener el ID de cuenta de AWS, póngase en contacto con su administrador.

  2. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, elija My Security Credentials (Mis credenciales de seguridad).

    
                  Enlace My Security Credentials de la consola de administración de AWS
  3. En la pestaña AWS IAM Credentials (Credenciales de AWS IAM), en la sección Access keys for CLI, SDK, and API access (Claves de acceso para el acceso a la CLI, SDK Y API), haga lo siguiente:

    • Para crear una clave de acceso, elija Create access key (Crear clave de acceso). A continuación, elija Download .csv file (Descargar archivo .csv) para guardar el ID de clave de acceso y la clave de acceso secreta en un archivo .csv de su equipo. Guarde el archivo en un lugar seguro. No podrá obtener acceso de nuevo a la clave de acceso secreta cuando este cuadro de diálogo se cierre. Cuando haya acabado de descargar el archivo .csv, seleccione Close (Cerrar). Cuando cree una clave de acceso, el par de claves se activa de forma predeterminada, y puede utilizar el par de inmediato.

    • Para deshabilitar una clave de acceso activa, elija Make inactive (Desactivar).

    • Para volver a habilitar una clave de acceso inactiva, elija Make Active (Activar).

    • Para eliminar una clave de acceso, elija su botón X en el extremo derecho de la línea. A continuación, elija Delete (Eliminar) para confirmar. Cuando elimina una clave de acceso, desaparece para siempre y ya no se puede recuperar. Sin embargo, siempre puede crear claves nuevas.

Para crear, modificar o eliminar otras claves de acceso del usuario de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Seleccione el nombre del usuario cuyas claves de acceso que desee administrar y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).

  4. En la sección Access Keys (Claves de acceso), ejecute una de las acciones siguientes:

    • Para crear una clave de acceso, elija Create access key (Crear clave de acceso). A continuación, elija Download .csv file (Descargar archivo .csv) para guardar el ID de clave de acceso y la clave de acceso secreta en un archivo CSV de su equipo. Guarde el archivo en un lugar seguro. No podrá obtener acceso de nuevo a la clave de acceso secreta cuando este cuadro de diálogo se cierre. Cuando descargue el archivo CSV, elija Close (Cerrar). Cuando cree una clave de acceso, el par de claves se activa de forma predeterminada, y puede utilizar el par de inmediato.

    • Para deshabilitar una clave de acceso activa, elija Make inactive (Desactivar).

    • Para volver a habilitar una clave de acceso inactiva, elija Make Active (Activar).

    • Para eliminar una clave de acceso, elija su botón X en el extremo derecho de la línea. A continuación, elija Delete (Eliminar) para confirmar. Cuando elimina una clave de acceso, desaparece para siempre y ya no se puede recuperar. Sin embargo, siempre puede crear claves nuevas.

Para obtener una lista de las claves de acceso de un usuario de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Elija el nombre del usuario que desee y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad). Se muestran las claves de acceso del usuario y el estado de cada una.

    nota

    Solo se ve el ID de clave de acceso del usuario. La clave de acceso secreta solo se puede recuperar cuando se crea la clave.

Para generar una lista de los ID de clave de acceso de varios usuarios de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Si es necesario, añada la columna Access key ID (ID de clave de acceso) a la tabla de usuarios ejecutando los siguientes pasos:

    1. Encima de la tabla, en el extremo derecho, elija el icono de configuración ( 
                           Settings icon
                        ).

    2. En Manage columns (Administrar columnas), seleccione Access key ID (ID de clave de acceso).

    3. Seleccione Close (Cerrar) para volver a la lista de usuarios.

  4. La columna Access key ID (ID de clave de acceso) muestra los ID de clave de acceso seguidos de su estado; por ejemplo, 23478207027842073230762374023 (Active) (Activo) o 22093740239670237024843420327 (Inactive) (Inactivo).

    Puede utilizar esta información para ver y copiar las claves de acceso de los usuarios que tengan una o dos claves de acceso. La columna muestra None (Ninguna) cuando los usuarios no tienen clave de acceso.

    nota

    Solo se ve el ID de clave de acceso y el estado del usuario. La clave de acceso secreta solo se puede recuperar cuando se crea la clave.

Para saber qué usuario de IAM posee una clave de acceso específica (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. En el campo de búsqueda, escriba o pegue el ID de clave de acceso del usuario que desea encontrar.

  4. Si es necesario, añada la columna Access key ID (ID de clave de acceso) a la tabla de usuarios ejecutando los siguientes pasos:

    1. Encima de la tabla, en el extremo derecho, elija el icono de configuración ( 
                           Settings icon
                        ).

    2. En Manage columns (Administrar columnas), seleccione Access key ID (ID de clave de acceso).

    3. Elija Close (Cerrar) para volver a la lista de usuarios y confirmar que el usuario filtrado posee la clave de acceso especificada.

Administración de las claves de acceso (AWS CLI)

Para administrar las claves de acceso de un usuario de IAM con la AWS CLI, ejecute los siguientes comandos.

Administración de las claves de acceso (API de AWS)

Para administrar las claves de acceso de un usuario de IAM con la API de AWS, ejecute las siguientes operaciones.

Rotación de las claves de acceso

Como práctica recomendada de seguridad, le recomendamos que rote (cambie) con regularidad las claves de acceso de usuario de IAM. Si el administrador le ha otorgado los permisos necesarios, puede rotar sus propias claves de acceso.

Administradores: para obtener información sobre cómo otorgar a sus usuarios permisos para rotar sus propias claves de acceso, consulte AWS: permite a los usuarios de IAM administrar su propia contraseña, claves de acceso y claves públicas SSH en la página My Security Credentials (Mis credenciales de seguridad). También puede aplicar una política de contraseñas para que su cuenta exija a todos sus usuarios de IAM que roten periódicamente sus contraseñas. Puede elegir la frecuencia con la que esta operación debe realizarse. Para obtener más información, consulte Configuración de una política de contraseñas de la cuenta para usuarios de IAM.

importante

Como práctica recomendada, no utilice su Usuario de la cuenta raíz de AWS. Si utiliza las credenciales de usuario Usuario de la cuenta raíz de AWS, le recomendamos que también las rote con regularidad. La política de contraseñas de la cuenta no se aplica a la credenciales de usuario raíz. Los usuarios de IAM no pueden administrar las credenciales de la cuenta de Usuario de la cuenta raíz de AWS, por lo que debe utilizar las credenciales de usuario raíz (no un usuario) para cambiar las credenciales de usuario raíz. Tenga en cuenta que no recomendamos que use el usuario raíz para el trabajo diario en AWS.

Rotación de claves de acceso del usuario de IAM (Consola)

Puede rotar claves de acceso desde la Consola de administración de AWS.

Para rotar las claves de acceso de un usuario de IAM sin interrumpir sus aplicaciones (consola)

  1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso.

    1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

    2. En el panel de navegación, seleccione Users.

    3. Elija el nombre del usuario que desee y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).

    4. Elija Create access key (Crear clave de acceso) y, a continuación, Download .csv file (Descargar archivo .csv) para guardar el ID de clave de acceso y la clave de acceso secreta en un archivo .csv de su equipo. Guarde el archivo en un lugar seguro. No podrá obtener acceso de nuevo a la clave de acceso secreta cuando este cuadro de diálogo se cierre. Cuando haya acabado de descargar el archivo .csv, seleccione Close (Cerrar).

      La nueva clave de acceso está activa de forma predeterminada. En este punto, el usuario tiene dos claves de acceso activas.

  2. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

  3. Determine si la primera clave de acceso todavía está en uso consultando la columna Last used (Último uso) de la clave de acceso más antigua. Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

  4. Aunque el valor de la columna Last used (Último uso) indique que la clave antigua nunca se ha utilizado, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, seleccione Make inactive (Desactivar) para desactivar la primera clave de acceso.

  5. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede elegir Make active (Activar) para volver a habilitar la primera clave de acceso. A continuación, vuelva a Paso 3 y actualice esta aplicación para utilizar la nueva clave.

  6. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso:

    1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

    2. En el panel de navegación, seleccione Users.

    3. Elija el nombre del usuario que desee y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).

    4. Localice la clave de acceso que desea eliminar y elija su botón X en el extremo derecho de la línea. A continuación, elija Delete (Eliminar) para confirmar.

Para determinar cuándo las claves de acceso deben rotarse (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Si es necesario, añada la columna Access key age (Antigüedad de la clave de acceso) a la tabla de usuarios ejecutando los siguientes pasos:

    1. Encima de la tabla, en el extremo derecho, elija el icono de configuración ( 
                              Settings icon
                           ).

    2. En Manage columns (Administrar columnas), seleccione Access key age (Antigüedad de la clave de acceso).

    3. Seleccione Close (Cerrar) para volver a la lista de usuarios.

  4. La columna Access key age (Antigüedad de la clave de acceso) muestra el número de días que han transcurrido desde la creación de la clave de acceso activa más antigua. Puede utilizar esta información para encontrar usuarios con claves de acceso que necesiten una rotación. La columna muestra None (Ninguna) cuando los usuarios no tienen clave de acceso.

Rotación de las claves de acceso (AWS CLI)

Puede rotar claves de acceso desde la AWS Command Line Interface.

Para rotar claves de acceso sin interrumpir sus aplicaciones (AWS CLI)

  1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso que, de forma predeterminada, está activa. Ejecute el comando siguiente:

  2. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

  3. Determine si la primera clave de acceso todavía está en uso utilizando este comando:

    Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

  4. Aunque el paso Paso 3 indique que la clave antigua no se usa, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, cambie el estado de la primera clave de acceso a Inactive utilizando este comando:

  5. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede cambiar de nuevo su estado a Active para volver a habilitar la primera clave de acceso. A continuación, vuelva al paso Paso 2 y actualice esta aplicación para utilizar la nueva clave.

  6. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso con este comando:

Para obtener más información, consulte los siguientes temas:

Rotación de las claves de acceso (API de AWS)

Puede rotar claves de acceso utilizando la API de AWS.

Para rotar claves de acceso sin interrumpir sus aplicaciones (API de AWS)

  1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso que, de forma predeterminada, está activa. Llame a la operación siguiente:

    • CreateAccessKey

      En este punto, el usuario tiene dos claves de acceso activas.

  2. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

  3. Determine si la primera clave de acceso todavía está en uso llamando a esta operación:

    Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

  4. Aunque el paso Paso 3 indique que la clave antigua no se usa, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, cambie el estado de la primera clave de acceso a Inactive llamando a esta operación:

  5. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede cambiar de nuevo su estado a Active para volver a habilitar la primera clave de acceso. A continuación, vuelva al paso Paso 2 y actualice esta aplicación para utilizar la nueva clave.

  6. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso llamando a esta operación:

Para obtener más información, consulte los siguientes temas:

Auditar claves de acceso

Puede revisar las claves de acceso de AWS en su código para determinar si las claves proceden de una cuenta de su propiedad. Puede transferir un ID de clave de acceso utilizando el comando aws sts get-access-key-info de AWS CLI o la operación GetAccessKeyInfo de la API de AWS.

Las operaciones de AWS CLI y de la API de AWS devuelven el ID de la cuenta de AWS a la que pertenece la clave de acceso. Los ID de clave de acceso que comienzan por AKIA son credenciales a largo plazo para un usuario de IAM o un Usuario de la cuenta raíz de AWS. Los ID de clave de acceso que comienzan por ASIA son credenciales temporales que se crean mediante operaciones de AWS STS. Si la cuenta de la respuesta le pertenece, puede iniciar sesión como usuario usuario raíz y revisar sus claves de acceso de usuario raíz. A continuación, puede extraer un informe de credenciales para saber qué usuario de IAM es el propietario de las claves. Para saber quién solicitó las credenciales temporales para una clave de acceso ASIA, consulte los eventos de AWS STS en los registros de CloudTrail.

Esta operación no indica el estado de la clave de acceso. La clave podría estar activa, inactiva o eliminada. Es posible que las claves activas no tengan permisos para realizar una operación. Proporcionar una clave de acceso eliminada podría devolver un error que indicara que la clave no existe.