AWS Identity and Access Management
Guía del usuario

Obtención de informes de credenciales para la cuenta de AWS

Puede generar y descargar un informe de credenciales que contenga una lista de todos los usuarios de su cuenta y el estado de sus credenciales, tales como contraseñas, claves de acceso y dispositivos MFA. Puede obtener un informe de credenciales de la Consola de administración de AWS, los SDK de AWS y las herramientas de línea de comandos o la API de IAM.

Puede utilizar los informes de credenciales para fines de auditoría y conformidad. Puede utilizar el informe para auditar los efectos de los requisitos del ciclo de vida de las credenciales, como la rotación de contraseñas y claves de acceso. Puede proporcionar el informe a un auditor externo o conceder permisos a un auditor, para que pueda descargar el informe directamente.

Puede generar un informe de credenciales cada cuatro horas. Al solicitar un informe, IAM primero comprueba si se ha generado algún informe para la cuenta de AWS en las últimas cuatro horas. En caso afirmativo, se descarga el informe más reciente. Si el informe más reciente de la cuenta es de hace más de cuatro horas, o si no hay informes anteriores de la cuenta, IAM genera y descarga un nuevo informe.

Permisos necesarios

Se necesitan los siguientes permisos para crear y descargar informes:

  • Para crear un informe de credenciales: GenerateCredentialReport

  • Para descargar el informe: GetCredentialReport

Descripción del formato del informe

Los informes de credenciales tienen el formato de ficheros CSV (valores separados por comas). Puede abrir archivos CSV con software de hojas de cálculo comunes para analizar, o bien puede crear una aplicación que consuma los archivos CSV mediante programación y realice análisis personalizados.

El archivo CSV contiene las siguientes columnas:

usuario

Es el nombre fácil de recordar del usuario.

arn

Es el nombre de recurso de Amazon (ARN) del usuario. Para obtener más información sobre los ARN, consulte ARN de IAM.

user_creation_time

Es la fecha y la hora en que se creó el usuario con el formato de fecha y hora ISO 8601.

password_enabled

Cuando el usuario tiene una contraseña, el valor es TRUE. En caso contrario, es FALSE.El valor de Usuario de la cuenta raíz de AWS es siempre not_supported.

password_last_used

La fecha y hora en que la contraseña de un Usuario de la cuenta raíz de AWS o un usuario de IAM se utilizó por última vez para iniciar sesión en un sitio web de AWS, con el formato fecha-hora ISO 8601. Los sitios web de AWS AWS que captan la hora del último inicio de sesión del usuario son la Consola de administración de AWS, los foros de debate de AWS y AWS Marketplace. Cuando una contraseña se utiliza más de una vez en un periodo de 5 minutos, solo se registra el primer uso en este campo.

  • El valor de este campo es no_information en los siguientes casos:

    • La contraseña del usuario no se ha utilizado nunca.

    • No hay datos de inicio de sesión asociados con la contraseña, como, por ejemplo, cuando la contraseña del usuario no se ha utilizado después de que IAM empezara a realizar el seguimiento de esta información a partir del 20 de octubre de 2014.

  • El valor en este campo es N/A (no aplicable) cuando el usuario no tiene ninguna contraseña.

importante

Debido a un problema de servicio, los datos de la última vez que se utilizó la contraseña no incluyen el uso de la contraseña desde el 3 de mayo de 2018 22:50 PDT al 23 de mayo de 2018 14:08 PDT. Esto afecta a las fechas del último inicio de sesión mostradas en la consola de IAM y las fechas de la última vez que se utilizó la contraseña en el Informe de credenciales de IAM y devueltas mediante la Operación de la API GetUser. Si los usuarios han iniciado sesión durante el tiempo afectado, la fecha de la última vez que se utilizó la contraseña que se devuelve es la fecha en que el usuario inició sesión antes del 3 de mayo de 2018. Para los usuarios que iniciaron sesión después del 23 de mayo de 2018 14:08 PDT, la fecha devuelta de la última vez que se utilizó la contraseña es precisa.

Si utiliza la información de la última vez que se utilizó la contraseña para identificar las credenciales de no utilizados para su eliminación, como, por ejemplo, eliminar los usuarios que no iniciaron sesión en AWS en los últimos 90 días, recomendamos ajustar la ventana de evaluación para incluir fechas después del 23 de mayo de 2018. De forma alternativa, si los usuarios utilizan claves de acceso para acceder a AWS mediante programación puede hacer referencia a la información de la última vez que se utilizó la clave de acceso ya que es precisa para todas las fechas.

password_last_changed

Es la fecha y la hora en que se definió la contraseña del usuario por última vez con el formato de fecha y hora ISO 8601. Si el usuario no tiene ninguna contraseña, el valor en este campo es N/A (no aplicable). El valor (del usuario raíz) de la cuenta de AWS es siempre not_supported.

password_next_rotation

Si la cuenta tiene una política de contraseñas que requiere la rotación de contraseñas, este campo contiene la fecha y la hora en formato de fecha y hora ISO 8601, cuando el usuario debe definir una contraseña nueva. El valor (del usuario raíz) de la cuenta de AWS es siempre not_supported.

mfa_active

Si se activa una autenticación multifactor (MFA) para el usuario, el valor será TRUE. De lo contrario es FALSE.

access_key_1_active

Si el usuario tiene una clave de acceso y el estado de la clave de acceso es Active, el valor será TRUE. De lo contrario es FALSE.

access_key_1_last_rotated

Es la fecha y la hora en que se creó o modificó por última vez la clave de acceso del usuario con el formato de fecha y hora ISO 8601. Si el usuario no tiene ninguna clave de acceso activa, el valor en este campo será N/A (no aplicable).

access_key_1_last_used_date

Es la fecha y hora en que se utilizó la clave de acceso del usuario por última vez para iniciar sesión en una solicitud de la API de AWS con el formato de fecha y hora ISO 8601. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo.

El valor de este campo es N/A (no aplicable) en los siguientes casos:

  • El usuario no tiene ninguna clave de acceso.

  • La clave de acceso no se ha utilizado nunca.

  • La clave de acceso no se ha utilizado después de que IAM empezara a realizar el seguimiento de esta información a partir del 22 de abril de 2015.

access_key_1_last_used_region

Es la región de AWS en la que se ha utilizado por última vez la clave de acceso. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo.

El valor de este campo es N/A (no aplicable) en los siguientes casos:

  • El usuario no tiene ninguna clave de acceso.

  • La clave de acceso no se ha utilizado nunca.

  • La clave de acceso se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.

  • El último servicio utilizado no es específico de una región, como Amazon S3.

access_key_1_last_used_service

Es el servicio de AWS al que se ha accedido más recientemente con la clave de acceso. El valor de este campo utiliza el espacio de nombres del servicio, —por ejemplo, s3 para Amazon S3 y ec2 para Amazon EC2. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo.

El valor de este campo es N/A (no aplicable) en los siguientes casos:

  • El usuario no tiene ninguna clave de acceso.

  • La clave de acceso no se ha utilizado nunca.

  • La clave de acceso se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.

access_key_2_active

Si el usuario tiene una segunda clave de acceso y el estado de la segunda clave de acceso es Active, el valor será TRUE. De lo contrario es FALSE.

nota

Los usuarios pueden tener un máximo de dos claves de acceso para facilitar la rotación. Para obtener más información acerca de la rotación de las claves de acceso, consulte Rotación de las claves de acceso.

access_key_2_last_rotated

Es la fecha y la hora en que se creó o modificó por última vez la segunda clave de acceso del usuario con el formato de fecha y hora ISO 8601. Si el usuario no tiene ninguna segunda clave de acceso activa, el valor en este campo será N/A (no aplicable).

access_key_2_last_used_date

Es la fecha y hora en que se utilizó la segunda clave de acceso del usuario por última vez para iniciar sesión en una solicitud de la API de AWS con el formato de fecha y hora ISO 8601. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo.

El valor de este campo es N/A (no aplicable) en los siguientes casos:

  • El usuario no tiene ninguna segunda clave de acceso.

  • La segunda clave de acceso del usuario no se ha utilizado nunca.

  • La segunda clave de acceso del usuario se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.

access_key_2_last_used_region

Es la región de AWS en la que se ha utilizado por última vez la segunda clave de acceso. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. El valor de este campo es N/A (no aplicable) en los siguientes casos:

  • El usuario no tiene ninguna segunda clave de acceso.

  • La segunda clave de acceso del usuario no se ha utilizado nunca.

  • La segunda clave de acceso del usuario se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.

  • El último servicio utilizado no es específico de una región, como Amazon S3.

access_key_2_last_used_service

Es el servicio de AWS al que se ha accedido más recientemente con la segunda clave de acceso del usuario. El valor de este campo utiliza el espacio de nombres del servicio, —por ejemplo, s3 para Amazon S3 y ec2 para Amazon EC2. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. El valor de este campo es N/A (no aplicable) en los siguientes casos:

  • El usuario no tiene ninguna segunda clave de acceso.

  • La segunda clave de acceso del usuario no se ha utilizado nunca.

  • La segunda clave de acceso del usuario se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.

cert_1_active

Si el usuario dispone de un certificado de firma X.509 y el estado del certificado es Active, este valor es TRUE. De lo contrario es FALSE.

cert_1_last_rotated

Es la fecha y la hora en que se creó o modificó por última vez el certificado de firma del usuario con el formato de fecha y hora ISO 8601. Si el usuario no tiene ningún certificado de firma activo, el valor en este campo será N/A (no aplicable).

cert_2_active

Si el usuario dispone de un segundo certificado de firma X.509 y el estado del certificado es Active, este valor es TRUE. De lo contrario es FALSE.

nota

Los usuarios pueden tener hasta dos certificados de firma X.509, para facilitar la rotación de los certificados.

cert_2_last_rotated

Es la fecha y la hora en que se creó o modificó por última vez el segundo certificado de firma del usuario con el formato de fecha y hora ISO 8601. Si el usuario no tiene ningún segundo certificado de firma activo, el valor en este campo será N/A (no aplicable).

Obtención de informes de credenciales (Consola)

Puede utilizar la Consola de administración de AWS para descargar un informe de credenciales como archivo CSV (valores separados por comas).

Para descargar un informe de credenciales mediante la (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En panel de navegación, elija Credential report (Informe de credenciales).

  3. Elija Download Report (Descargar informe).

Obtención de informes de credenciales (AWS CLI)

Ejecute los comandos siguientes:

Obtención de informes de credenciales (API de AWS)

Llame a las siguientes operaciones: