Configuración de una política de contraseñas de la cuenta para usuarios de IAM - AWS Identity and Access Management

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de una política de contraseñas de la cuenta para usuarios de IAM

Puede establecer una política de contraseñas personalizada en su cuenta de AWS para especificar los requisitos de complejidad y los periodos de rotación obligatorios de las contraseñas de los usuarios de IAM. Si no establece una política de contraseñas personalizada, las contraseñas de los usuarios de IAM deberán cumplir con la política de contraseñas predeterminada de AWS. Para obtener más información, consulte Opciones de la política de contraseñas personalizada.

Reglas para configurar una política de contraseñas

La política de contraseñas de IAM no se aplica a la contraseña de Usuario de la cuenta raíz de AWS ni a las claves de acceso de los usuarios de IAM. Si una contraseña vence, el usuario de IAM no podrá iniciar sesión en la Consola de administración de AWS, pero podrá seguir utilizando sus claves de acceso.

Al crear o cambiar una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Sin embargo, algunos de los ajustes se aplican de forma inmediata. Por ejemplo:

  • Cuando cambian los requisitos de longitud mínima y de tipos de caracteres, esta configuración se aplica la próxima vez que los usuarios cambian la contraseña. Los usuarios no están obligados a cambiar sus contraseñas, aunque las contraseñas existentes no cumplan la política de contraseñas actualizada.

  • Si configura el periodo de vencimiento de una contraseña, este se aplica de forma inmediata. Por ejemplo, supongamos que se establece un periodo de vencimiento de la contraseña de 90 días. En ese caso, la contraseña vence para todos los usuarios de IAM cuya contraseña existente tiene más de 90 días. Esos usuarios deberán cambiar su contraseña la próxima vez que inicien sesión.

No puede crear una “política de bloqueo” para bloquear a los usuarios el acceso a la cuenta después de un número específico de intentos fallidos de inicio de sesión. Para mejorar la seguridad, se recomienda combinar una política de contraseñas seguras con la autenticación multifactor (MFA). Para obtener más información acerca de MFA, consulte Uso de Multi-Factor Authentication (MFA) en AWS.

Permisos necesarios para establecer una política de contraseñas

Debe configurar permisos para permitir que una entidad (usuario o rol) de IAM vea o edite la política de contraseñas de cuenta. Puede incluir las siguientes acciones de política de contraseñas en una política de IAM:

  • iam:GetAccountPasswordPolicy –: permite a la entidad ver la política de contraseñas de su cuenta

  • iam:DeleteAccountPasswordPolicy –: permite a la entidad eliminar la política de contraseñas personalizada para su cuenta y volver a la política de contraseñas predeterminada

  • iam:UpdateAccountPasswordPolicy –: permite a la entidad crear o cambiar la política de contraseñas personalizada de su cuenta

La siguiente política permite el acceso total para ver y editar la política de contraseñas de la cuenta. Para obtener información acerca de cómo crear una política de IAM mediante el uso de este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessPasswordPolicy", "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy", "iam:DeleteAccountPasswordPolicy", "iam:UpdateAccountPasswordPolicy" ], "Resource": "*" } ] }

Para obtener información acerca de los permisos necesarios para que un usuario de IAM cambie su propia contraseña, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

Política de contraseñas predeterminada

Si un administrador no establece una política de contraseñas personalizada, las contraseñas de los usuarios de IAM deben cumplir con la política de contraseñas predeterminada de AWS. La política de contraseñas predeterminada aplica las siguientes condiciones:

  • tener una longitud mínima de contraseña de 8 caracteres y una longitud máxima de 128 caracteres

  • incluir al menos tres de los siguientes tipos de caracteres combinados: mayúsculas, minúsculas, números y símbolos ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • no ser idéntica al nombre de la cuenta de AWS ni a la dirección de email

Opciones de la política de contraseñas personalizada

Cuando configure una política de contraseñas personalizada para su cuenta, podrá especificar las siguientes condiciones:

  • Establecer la longitud mínima de la contraseña: – puede especificar un mínimo de 6 caracteres y un máximo de 128 caracteres.

  • Establecer la seguridad de la contraseña: – puede seleccionar cualquiera de las siguientes casillas de verificación para definir la seguridad de las contraseñas de los usuarios de IAM:

    • Exija al menos una letra mayúscula del alfabeto latino (A–Z).

    • Exija al menos una letra minúscula del alfabeto latino (a–z).

    • Exija al menos un número

    • Exija al menos un carácter no alfanumérico ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '.

  • Habilitar el vencimiento de la contraseña: – puede seleccionar y especificar un mínimo de 1 día y un máximo de 1095 días de validez de las contraseñas de los usuarios de IAM una vez establecidas. Por ejemplo, después de 90 días vence la contraseña de un usuario y este debe establecer una nueva antes de acceder a la Consola de administración de AWS. La Consola de administración de AWS advierte a los usuarios de IAM cuando les quedan 15 días para el vencimiento de la contraseña. Los usuarios de IAM pueden cambiarla en cualquier momento si tienen permiso para ello. Cuando establecen una contraseña nueva, el periodo de vencimiento para esa contraseña vuelve a comenzar. Un usuario de IAM solo puede tener una contraseña válida a la vez.

  • Establecer que el vencimiento de la contraseña requiera un restablecimiento por parte del administrador: seleccione esta opción para evitar que los usuarios de IAM actualicen sus propias contraseñas después de que venza la contraseña. Antes de seleccionar esta opción, confirme que su cuenta de AWS tenga más de un usuario con permisos administrativos para restablecer las contraseñas de los usuarios de IAM. También considere la posibilidad de proporcionar claves de acceso para permitir a los administradores restablecer las contraseñas de los usuarios de IAM mediante programación. Si desactiva esta casilla de verificación, los usuarios de IAM con contraseñas vencidas aún deberán establecer una nueva contraseña antes de poder acceder a la Consola de administración de AWS.

  • Permitir a los usuarios cambiar sus propias contraseñas: puede permitir a todos los usuarios de IAM en su cuenta utilizar la consola de IAM para cambiar sus propias contraseñas, como se describe en Autorización para que los usuarios de IAM cambien sus contraseñas. Como alternativa, puede permitir que solo algunos usuarios administren las contraseñas, ya sea para ellos mismos o para otras personas. Para ello, desactive esta casilla de verificación. Para obtener más información acerca del uso de políticas para limitar quién puede administrar contraseñas, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

  • Impedir la reutilización de las contraseñas: puede impedir que los usuarios de IAM reutilicen una cantidad específica de contraseñas anteriores. Puede especificar un número mínimo de 1 y un número máximo de 24 contraseñas anteriores que no se pueden repetir.

Configuración de una política de contraseñas (Consola)

Puede utilizar la Consola de administración de AWS para crear, cambiar o eliminar una política de contraseñas personalizada.

Para crear una política de contraseñas personalizada (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  3. En la sección Password policy (Política de contraseñas), elija Change password policy (Cambiar política de contraseñas).

  4. Seleccione las opciones que desee aplicar a su política de contraseñas y elija Save changes (Guardar cambios).

Para cambiar una política de contraseñas personalizada (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  3. En la sección Password policy (Política de contraseñas), elija Change (Cambiar).

  4. Seleccione las opciones que desee aplicar a su política de contraseñas y elija Save changes (Guardar cambios).

Para eliminar una política de contraseñas (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  3. En la sección Password policy (Política de contraseñas), elija Delete (Eliminar).

  4. Confirme que desea eliminar la política de contraseñas personalizada seleccionando Delete custom (Eliminar la política personalizada).

Configuración de una política de contraseñas (AWS CLI)

Puede utilizar la AWS Command Line Interface para establecer una política de contraseñas.

Para administrar la política personalizada de contraseñas de cuentas desde la AWS CLI

Ejecute los comandos siguientes:

Configuración de una política de contraseñas (API de AWS)

Puede utilizar las operaciones de la API de AWS para establecer una política de contraseñas.

Para administrar la política personalizada de contraseñas de cuentas desde la API de AWS

Llame a las siguientes operaciones: