AWS Identity and Access Management
Guía del usuario

Búsqueda de credenciales no utilizadas

Para aumentar la seguridad de su cuenta de AWS, elimine las credenciales de usuario de IAM (es decir, contraseñas y claves de acceso) que no sean necesarias. Por ejemplo, cuando los usuarios dejen su organización o ya no necesiten obtener acceso a AWS, busque las credenciales que utilizaron y asegúrese de que ya no sean operativas. Lo ideal es eliminar las credenciales si ya no son necesarias. Siempre puede volver a crearlas más tarde, en caso de que surja la necesidad. Como mínimo, debe cambiar la contraseña o desactivar las claves de acceso para que los antiguos usuarios ya no puedan obtener acceso.

Por supuesto, la definición de sin utilizar puede variar y normalmente significa una credencial que no se ha utilizado en un periodo de tiempo especificado.

Búsqueda de contraseñas no utilizadas

Puede utilizar la Consola de administración de AWS para ver la información de uso de la contraseña por parte de sus usuarios. Si tiene una gran cantidad de usuarios, puede utilizar la consola para descargar un informe de credenciales que le indique cuándo cada usuario utilizó por última vez su contraseña de la consola. También puede obtener acceso a la información desde la AWS CLI o la API de IAM.

Para encontrar contraseñas no utilizadas (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Si es necesario, añada la columna Console last sign-in (Último inicio de sesión de la consola) a la tabla de usuarios:

    1. Encima de la tabla, en el extremo derecho, elija el icono de configuración ( 
                  Settings icon
                ).

    2. En Manage Columns (Administrar columnas), seleccione Console last sign-in (Último inicio de sesión de la consola).

    3. Seleccione Close (Cerrar) para volver a la lista de usuarios.

  4. La columna Console last sign-in (Último inicio de sesión de la consola) muestra el número de días que ha transcurrido desde la última vez que el usuario inició sesión en AWS a través de la consola. Puede utilizar esta información para encontrar usuarios que tengan contraseñas y que no hayan iniciado sesión en un periodo de tiempo superior al especificado. La columna muestra Never (Nunca) para los usuarios que tengan contraseñas y que nunca hayan iniciado sesión. None (Ninguna) indica los usuarios sin contraseñas. Las contraseñas que no se hayan utilizado recientemente probablemente deban eliminarse.

    importante

    Debido a un problema de servicio, los datos de la última vez que se utilizó la contraseña no incluyen el uso de la contraseña desde el 3 de mayo de 2018 22:50 PDT al 23 de mayo de 2018 14:08 PDT. Esto afecta a las fechas del último inicio de sesión mostradas en la consola de IAM y las fechas de la última vez que se utilizó la contraseña en el Informe de credenciales de IAM y devueltas mediante la Operación de la API GetUser. Si los usuarios han iniciado sesión durante el tiempo afectado, la fecha de la última vez que se utilizó la contraseña que se devuelve es la fecha en que el usuario inició sesión antes del 3 de mayo de 2018. Para los usuarios que iniciaron sesión después del 23 de mayo de 2018 14:08 PDT, la fecha devuelta de la última vez que se utilizó la contraseña es precisa.

    Si utiliza la información de la última vez que se utilizó la contraseña para identificar las credenciales de no utilizados para su eliminación, como, por ejemplo, eliminar los usuarios que no iniciaron sesión en AWS en los últimos 90 días, recomendamos ajustar la ventana de evaluación para incluir fechas después del 23 de mayo de 2018. De forma alternativa, si los usuarios utilizan claves de acceso para acceder a AWS mediante programación puede hacer referencia a la información de la última vez que se utilizó la clave de acceso ya que es precisa para todas las fechas.

Para encontrar contraseñas no utilizadas descargando el informe de credenciales (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En panel de navegación, elija Credential report (Informe de credenciales).

  3. Seleccione Download Report (Descargar informe) para descargar un archivo de valores separados por comas (CSV) denominado status_reports_<date>T<time>.csv. La quinta columna es la columna password_last_used con las fechas o uno de los títulos siguientes:

    • N/A – Usuarios que no tienen una contraseña asignada en absoluto.

    • no_information (sin_información) – Usuarios que no han utilizado la contraseña desde que IAM comenzó a hacer un seguimiento del tiempo de la contraseña, el 20 de octubre de 2014.

Para encontrar contraseñas no utilizadas (AWS CLI)

Ejecute el siguiente comando para encontrar contraseñas no utilizadas:

  • aws iam list-users devuelve una lista de usuarios, cada uno con un valor PasswordLastUsed. Si el valor no aparece significa que el usuario no tiene contraseña o no la ha utilizado desde que IAM comenzó a hacer un seguimiento de la antigüedad de las contraseñas, el 20 de octubre de 2014.

Para encontrar contraseñas no utilizadas (API de AWS)

Llame a la siguiente operación para encontrar contraseñas no utilizadas:

  • ListUsers devuelve una colección de usuarios; cada uno con un valor <PasswordLastUsed>. Si el valor no aparece significa que el usuario no tiene contraseña o no la ha utilizado desde que IAM comenzó a hacer un seguimiento de la antigüedad de las contraseñas, el 20 de octubre de 2014.

Para obtener más información sobre los comandos de descarga del informe de credenciales, consulte Obtención de informes de credenciales (AWS CLI).

Búsqueda de claves de acceso no utilizadas

Puede utilizar la Consola de administración de AWS para ver la información de uso de la clave de acceso de sus usuarios. Si tiene una gran cantidad de usuarios, puede utilizar la consola para descargar un informe de credenciales para saber cuándo cada usuario utilizó por última vez sus claves de acceso de la consola. También puede obtener acceso a la información desde la AWS CLI o la API de IAM.

Para encontrar claves de acceso no utilizadas (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Si es necesario, añada la columna Access key last used (Último uso de la clave de acceso) a la tabla de usuarios:

    1. Encima de la tabla, en el extremo derecho, elija el icono de configuración ( 
                  Settings icon
                ).

    2. En Manage Columns (Administrar columnas), seleccione Access key last used (Último uso de la clave de acceso).

    3. Seleccione Close (Cerrar) para volver a la lista de usuarios.

  4. La columna Access key last used (Último uso de la clave de acceso) muestra el número de días que ha pasado desde que el usuario obtuvo acceso por última vez a AWS mediante programación. Puede utilizar esta información para encontrar usuarios con claves de acceso que no se han usado por más días que un periodo de tiempo especificado. La columna muestra None (Ninguna) cuando los usuarios no tienen claves de acceso. Las claves de acceso que no se han utilizado recientemente probablemente deban eliminarse.

Para encontrar claves de acceso no utilizadas descargando el informe de credenciales (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En panel de navegación, elija Credential Report (Informe de credenciales).

  3. Seleccione Download Report (Descargar informe) para descargar un archivo de valores separados por comas (CSV) denominado status_reports_<date>T<time>.csv. Las columnas 11 a 13 contienen la información sobre la fecha de última utilización, la región y el servicio de la clave de acceso 1. Las columnas 16 a 18 contienen la misma información sobre la clave de acceso 2. El valor es N/A si el usuario no tiene una clave de acceso o no ha utilizado la clave de acceso desde que IAM comenzó a realizar el seguimiento de la antigüedad de la clave de acceso, el 22 de abril de 2015.

Para encontrar claves de acceso no utilizadas (AWS CLI)

Ejecute los siguientes comandos para encontrar claves de acceso no utilizadas:

  • aws iam list-access-keys devuelve información sobre las claves de acceso de un usuario, incluido el AccessKeyID.

  • aws iam get-access-key-last-used toma un ID de clave de acceso y devuelve una salida que incluye la LastUsedDate, la Region en la que se utilizó la clave de acceso por última vez y el ServiceName del último servicio solicitado. Si LastUsedDate no existe, la clave de acceso no se ha utilizado desde que IAM comenzó a realizar el seguimiento de la clave de acceso, el 22 de abril de 2015.

Para encontrar claves de acceso no utilizadas (API de AWS)

Llame a las siguientes operaciones para encontrar claves de acceso no utilizadas:

  • ListAccessKeys devuelve una lista de valores AccessKeyID de las claves de acceso que están asociadas al usuario especificado.

  • GetAccessKeyLastUsed toma un ID de clave de acceso y devuelve una colección de valores. Se incluyen la LastUsedDate, la Region en la que se utilizó por última vez la clave de acceso y el ServiceName del último servicio solicitado. Si el valor no aparece, el usuario no tiene una clave de acceso o no la ha utilizado desde que IAM comenzó a realizar el seguimiento de la antigüedad de la clave de acceso, el 22 de abril de 2015.

Para obtener más información sobre los comandos de descarga del informe de credenciales, consulte Obtención de informes de credenciales (AWS CLI).