Generación de informes de credenciales para su Cuenta de AWS
Puede generar y descargar un informe de credenciales que contenga una lista de todos los usuarios de su cuenta y el estado de sus credenciales, tales como contraseñas, claves de acceso y dispositivos MFA. Puede obtener un informe de credenciales de la AWS Management Console, los SDK de AWS
Puede utilizar los informes de credenciales para fines de auditoría y conformidad. Puede utilizar el informe para auditar los efectos de los requisitos del ciclo de vida de la credencial, como las actualizaciones de contraseñas y claves de acceso. Puede proporcionar el informe a un auditor externo o conceder permisos a un auditor, para que pueda descargar el informe directamente.
Puede generar un informe de credenciales cada cuatro horas. Al solicitar un informe, IAM comprueba primero si se ha generado algún informe para la cuenta de Cuenta de AWS en las últimas cuatro horas. En caso afirmativo, se descarga el informe más reciente. Si el informe más reciente de la cuenta es de hace más de cuatro horas, o si no hay informes anteriores de la cuenta, IAM genera y descarga un nuevo informe.
Temas
Permisos necesarios
Se necesitan los siguientes permisos para crear y descargar informes:
-
Para crear un informe de credenciales:
iam:GenerateCredentialReport
-
Para descargar el informe:
iam:GetCredentialReport
Descripción del formato del informe
Los informes de credenciales tienen el formato de ficheros CSV (valores separados por comas). Puede abrir archivos CSV con software de hojas de cálculo comunes para analizar, o bien puede crear una aplicación que consuma los archivos CSV mediante programación y realice análisis personalizados.
El archivo CSV contiene las siguientes columnas:
- usuario
-
Es el nombre fácil de recordar del usuario.
- arn
-
Es el nombre de recurso de Amazon (ARN) del usuario. Para obtener más información sobre los ARN, consulte ARN de IAM.
- user_creation_time
-
Es la fecha y la hora en que se creó el usuario con el formato de fecha y hora ISO 8601
. - password_enabled
-
Cuando el usuario tiene una contraseña, el valor es
TRUE
. De lo contrario esFALSE
. - password_last_used
-
La fecha y la hora en que se utilizó por última vez la contraseña de Usuario raíz de la cuenta de AWS o de un usuario para iniciar sesión en un sitio web de AWS, con el formato fecha-hora ISO 8601
. Los sitios web de AWS que capturan el momento en que un usuario inició sesión por última vez son la AWS Management Console, los foros de debate de AWS y AWS Marketplace. Cuando una contraseña se utiliza más de una vez en un periodo de 5 minutos, solo se registra el primer uso en este campo. -
El valor de este campo es
no_information
en los siguientes casos:-
La contraseña del usuario no se ha utilizado nunca.
-
No hay datos de inicio de sesión asociados con la contraseña, como, por ejemplo, cuando la contraseña del usuario no se ha utilizado después de que IAM empezara a realizar el seguimiento de esta información a partir del 20 de octubre de 2014.
-
-
El valor en este campo es
N/A
(no aplicable) cuando el usuario no tiene ninguna contraseña.
-
importante
Debido a un problema de servicio, los datos de la última vez que se utilizó la contraseña no incluyen el uso de la contraseña desde el 3 de mayo de 2018 22:50 PDT al 23 de mayo de 2018 14:08 PDT. Esto afecta a las fechas del último inicio de sesión mostradas en la consola de IAM y las fechas de la última vez que se utilizó la contraseña en el Informe de credenciales de IAM y devueltas mediante la Operación de la API GetUser. Si los usuarios han iniciado sesión durante el tiempo afectado, la fecha de la última vez que se utilizó la contraseña que se devuelve es la fecha en que el usuario inició sesión antes del 3 de mayo de 2018. Para los usuarios que iniciaron sesión después del 23 de mayo de 2018 14:08 PDT, la fecha devuelta de la última vez que se utilizó la contraseña es precisa.
Si utiliza la información de la última vez que se utilizó la contraseña para identificar las credenciales de no utilizados para su eliminación, como, por ejemplo, eliminar los usuarios que no iniciaron sesión en AWS en los últimos 90 días, recomendamos ajustar la ventana de evaluación para incluir fechas después del 23 de mayo de 2018. De forma alternativa, si los usuarios utilizan claves de acceso para acceder a AWS mediante programación puede hacer referencia a la información de la última vez que se utilizó la clave de acceso ya que es precisa para todas las fechas.
- password_last_changed
-
Es la fecha y la hora en que se definió la contraseña del usuario por última vez con el formato de fecha y hora ISO 8601
. Si el usuario no tiene ninguna contraseña, el valor en este campo es N/A
(no aplicable). - password_next_rotation
-
Si la cuenta tiene una política de contraseñas que requiere la rotación de contraseñas, este campo contiene la fecha y la hora en formato de fecha y hora ISO 8601
, cuando el usuario debe definir una contraseña nueva. El valor de la cuenta de Cuenta de AWS (raíz) es siempre not_supported
. - mfa_active
-
Si se activa una autenticación multifactor (MFA) para el usuario, el valor será
TRUE
. De lo contrario esFALSE
. - access_key_1_active
-
Si el usuario tiene una clave de acceso y el estado de la clave de acceso es
Active
, el valor seráTRUE
. De lo contrario esFALSE
. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM. - access_key_1_last_rotated
-
Es la fecha y la hora en que se creó o modificó por última vez la clave de acceso del usuario con el formato de fecha y hora ISO 8601
. Si el usuario no tiene ninguna clave de acceso activa, el valor en este campo será N/A
(no aplicable). Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM. - access_key_1_last_used_date
-
Es la fecha y hora en que se utilizó la clave de acceso del usuario por última vez para iniciar sesión en una solicitud de la API de AWS con el formato de fecha y hora ISO 8601
. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM. El valor de este campo es
N/A
(no aplicable) en los siguientes casos:-
El usuario no tiene ninguna clave de acceso.
-
La clave de acceso no se ha utilizado nunca.
-
La clave de acceso no se ha utilizado después de que IAM empezara a realizar el seguimiento de esta información a partir del 22 de abril de 2015.
-
- access_key_1_last_used_region
-
Es la región de AWS en la que se ha utilizado por última vez la clave de acceso. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.
El valor de este campo es
N/A
(no aplicable) en los siguientes casos:-
El usuario no tiene ninguna clave de acceso.
-
La clave de acceso no se ha utilizado nunca.
-
La clave de acceso se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.
-
El último servicio utilizado no es específico de una región, como Amazon S3.
-
- access_key_1_last_used_service
-
Es el servicio de AWS al que se ha accedido más recientemente con la clave de acceso. El valor de este campo utiliza el espacio de nombres del servicio, por ejemplo,
s3
para Amazon S3 yec2
para Amazon EC2. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.El valor de este campo es
N/A
(no aplicable) en los siguientes casos:-
El usuario no tiene ninguna clave de acceso.
-
La clave de acceso no se ha utilizado nunca.
-
La clave de acceso se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.
-
- access_key_2_active
-
Si el usuario tiene una segunda clave de acceso y el estado de la segunda clave de acceso es
Active
, el valor seráTRUE
. De lo contrario esFALSE
. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.nota
Los usuarios pueden tener un máximo de dos claves de acceso para facilitar la rotación mediante la actualización de la clave en primer lugar y de la eliminación de la clave anterior en segundo lugar. Para obtener más información acerca de la actualización de las claves de acceso, consulte Actualización de las claves de acceso.
- access_key_2_last_rotated
-
Fecha y hora, en formato de fecha y hora ISO 8601
, en las que se creó o modificó por última vez la segunda clave de acceso del usuario. Si el usuario no tiene ninguna segunda clave de acceso activa, el valor en este campo será N/A
(no aplicable). Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM. - access_key_2_last_used_date
-
Es la fecha y hora en que se utilizó la segunda clave de acceso del usuario por última vez para iniciar sesión en una solicitud de la API de AWS con el formato de fecha y hora ISO 8601
. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM. El valor de este campo es
N/A
(no aplicable) en los siguientes casos:-
El usuario no tiene ninguna segunda clave de acceso.
-
La segunda clave de acceso del usuario no se ha utilizado nunca.
-
La segunda clave de acceso del usuario se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.
-
- access_key_2_last_used_region
-
Es la región de AWS en la que se ha utilizado por última vez la segunda clave de acceso. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM. El valor de este campo es
N/A
(no aplicable) en los siguientes casos:-
El usuario no tiene ninguna segunda clave de acceso.
-
La segunda clave de acceso del usuario no se ha utilizado nunca.
-
La segunda clave de acceso del usuario se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.
-
El último servicio utilizado no es específico de una región, como Amazon S3.
-
- access_key_2_last_used_service
-
Es el servicio de AWS al que se ha accedido más recientemente con la segunda clave de acceso del usuario. El valor de este campo utiliza el espacio de nombres del servicio, por ejemplo,
s3
para Amazon S3 yec2
para Amazon EC2. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM. El valor de este campo esN/A
(no aplicable) en los siguientes casos:-
El usuario no tiene ninguna segunda clave de acceso.
-
La segunda clave de acceso del usuario no se ha utilizado nunca.
-
La segunda clave de acceso del usuario se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.
-
- cert_1_active
-
Si el usuario dispone de un certificado de firma X.509 y el estado del certificado es
Active
, este valor esTRUE
. De lo contrario esFALSE
. - cert_1_last_rotated
-
Es la fecha y la hora en que se creó o modificó por última vez el certificado de firma del usuario con el formato de fecha y hora ISO 8601
. Si el usuario no tiene ningún certificado de firma activo, el valor en este campo será N/A
(no aplicable). - cert_2_active
-
Si el usuario dispone de un segundo certificado de firma X.509 y el estado del certificado es
Active
, este valor esTRUE
. De lo contrario esFALSE
.nota
Los usuarios pueden tener hasta dos certificados de firma X.509, para facilitar la rotación de los certificados.
- cert_2_last_rotated
-
Es la fecha y la hora en que se creó o modificó por última vez el segundo certificado de firma del usuario con el formato de fecha y hora ISO 8601
. Si el usuario no tiene ningún segundo certificado de firma activo, el valor en este campo será N/A
(no aplicable).
Obtención de informes de credenciales (consola)
Puede utilizar la AWS Management Console para descargar un informe de credenciales como archivo CSV (valores separados por comas).
Para descargar un informe de credenciales mediante la (consola)
Inicie sesión en AWS Management Console Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/
. -
En panel de navegación, elija Credential report (Informe de credenciales).
-
Elija Download Report (Descargar informe).
Obtención de informes de credenciales (AWS CLI)
Para descargar un informe de credenciales (AWS CLI)
-
Genere un informe de credenciales. AWS almacena un único informe. Si existe un informe, cuando se genera un nuevo informe de credenciales, se sobrescribe el anterior.
aws iam generate-credential-report
-
Ver el último informe que se generó:
aws iam get-credential-report
Obtención de informes de credenciales (API de AWS)
Para descargar un informe de credenciales (API de AWS)
-
Genere un informe de credenciales. AWS almacena un único informe. Si existe un informe, cuando se genera un nuevo informe de credenciales, se sobrescribe el anterior.
GenerateCredentialReport
-
Ver el último informe que se generó:
GetCredentialReport