Actualización de las claves de acceso - AWS Identity and Access Management

Actualización de las claves de acceso

Como práctica recomendada de seguridad, se recomienda actualizar las claves de acceso de usuario de IAM cuando sea necesario; por ejemplo, cuando un empleado deje la empresa. Los usuarios de IAM pueden actualizar sus propias claves de acceso si se les han concedido los permisos necesarios.

Para obtener más información sobre cómo conceder a sus usuarios de IAM permisos para actualizar sus propias claves de acceso, consulte AWS: permite a los usuarios de IAM administrar su propia contraseña, sus claves de acceso y sus claves públicas SSH en la página Credenciales de seguridad. También puede aplicar una política de contraseñas a su cuenta para solicitarles a todos los usuarios de IAM que actualicen sus contraseñas periódicamente, e informarles cuán seguido deben hacerlo. Para obtener más información, consulte Configuración de una política de contraseñas de la cuenta para usuarios de IAM.

nota

Utilice este procedimiento para desactivar y reemplazar las claves de acceso perdidas por credenciales nuevas.

Actualización de las claves de acceso de usuario de IAM (consola)

Puede actualizar las claves de acceso desde la AWS Management Console.

Para actualizar las claves de acceso de un usuario de IAM sin interrumpir sus aplicaciones (consola)
  1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso.

    1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

    2. En el panel de navegación, seleccione Usuarios.

    3. Elija el nombre del usuario que desee y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).

    4. En la sección Claves de acceso, haga clic en Crear clave de acceso. En la página Access key best practices & alternatives (Prácticas recomendadas y alternativas para la clave de acceso), seleccione Other (Otros) y, a continuación, Next (Siguiente).

    5. (Opcional) Establezca un valor de etiqueta de descripción para la clave de acceso para agregar un par clave-valor de etiqueta a este usuario de IAM. Esto puede ayudarlo a identificar y actualizar claves de acceso más adelante. La clave de la etiqueta se establece en el ID de la clave de acceso. El valor de la etiqueta se establece en la descripción de la clave de acceso que especifique. Cuando haya terminado, seleccione Create access key (Crear clave de acceso).

    6. En la página Retrieve access keys (Recuperar claves de acceso), elija Show (Mostrar) para revelar el valor de la clave de acceso secreta de su usuario o Download .csv file (Descargar archivo .csv). Esta es su única oportunidad de guardar su clave de acceso secreta. Una vez guardada la clave de acceso secreta en un lugar seguro, seleccione Done (Listo).

      Cuando se crea una clave de acceso para un usuario, el par de claves se activa de forma predeterminada y el usuario puede utilizarlo inmediatamente. En este punto, el usuario tiene dos claves de acceso activas.

  2. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

  3. Para determinar si la primera clave de acceso todavía está en uso, consulte la información Last used (Último uso) de la clave de acceso más antigua. Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

  4. Aunque la información de Last used (Último uso) indique que la clave antigua nunca se ha utilizado, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, elija Actions (Acciones) y, a continuación, seleccione Deactivate (Desactivar) para desactivar la primera clave de acceso.

  5. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si encuentra una aplicación o herramienta de este tipo, puede reactivar la primera clave de acceso. A continuación, vuelva a Paso 3 y actualice esta aplicación para utilizar la nueva clave.

  6. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso:

    1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

    2. En el panel de navegación, seleccione Usuarios.

    3. Elija el nombre del usuario que desee y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).

    4. En la sección Access keys (Claves de acceso) de la clave de acceso que desea eliminar, seleccione Actions (Acciones) y, a continuación, Delete (Eliminar). Siga las instrucciones del cuadro de diálogo para, en primer lugar, Deactivate (Desactivar) y, a continuación, confirmar la eliminación.

Para determinar qué claves de acceso deben actualizarse o eliminarse (consola)
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Usuarios.

  3. Si es necesario, añada la columna Access key age (Antigüedad de la clave de acceso) a la tabla de usuarios ejecutando los siguientes pasos:

    1. Encima de la tabla, en el extremo derecho, elija el icono de configuración ( Settings icon ).

    2. En Manage columns (Administrar columnas), seleccione Access key age (Antigüedad de la clave de acceso).

    3. Seleccione Close (Cerrar) para volver a la lista de usuarios.

  4. La columna Access key age (Antigüedad de la clave de acceso) muestra el número de días que han transcurrido desde la creación de la clave de acceso activa más antigua. Puede utilizar esta información para encontrar usuarios con claves de acceso que deban actualizarse o eliminarse. La columna muestra None (Ninguna) cuando los usuarios no tienen clave de acceso.

Actualización de las claves de acceso (AWS CLI)

Puede actualizar las claves de acceso desde la AWS Command Line Interface.

Para actualizar las claves de acceso sin interrumpir sus aplicaciones (AWS CLI)
  1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso que, de forma predeterminada, está activa. Ejecute el siguiente comando:

  2. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

  3. Determine si la primera clave de acceso todavía está en uso utilizando este comando:

    Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

  4. Aunque el paso Paso 3 indique que la clave antigua no se usa, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, cambie el estado de la primera clave de acceso a Inactive utilizando este comando:

  5. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede cambiar de nuevo su estado a Active para volver a activar la primera clave de acceso. A continuación, vuelva al paso Paso 2 y actualice esta aplicación para utilizar la nueva clave.

  6. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso con este comando:

Actualización de las claves de acceso (API de AWS)

Puede actualizar las claves de acceso con la API de AWS.

Para actualizar claves de acceso sin interrumpir sus aplicaciones (API de AWS)
  1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso que, de forma predeterminada, está activa. Llame a la operación siguiente:

    • CreateAccessKey

      En este punto, el usuario tiene dos claves de acceso activas.

  2. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

  3. Determine si la primera clave de acceso todavía está en uso llamando a esta operación:

    Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

  4. Aunque el paso Paso 3 indique que la clave antigua no se usa, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, cambie el estado de la primera clave de acceso a Inactive llamando a esta operación:

  5. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede cambiar de nuevo su estado a Active para volver a activar la primera clave de acceso. A continuación, vuelva al paso Paso 2 y actualice esta aplicación para utilizar la nueva clave.

  6. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso llamando a esta operación: