AWS Identity and Access Management
Guía del usuario

Configuración de una política de contraseñas de la cuenta para usuarios de IAM

Puede definir una política de contraseñas en su cuenta de AWSpara especificar los requisitos de complejidad y periodos de rotación obligatorios de las contraseñas de los usuarios de IAM.

Puede utilizar una política de contraseñas para hacer estas cosas:

  • Establecer la longitud mínima de la contraseña.

  • Exija caracteres específicos: mayúsculas, minúsculas, números y símbolos no alfanuméricos. Asegúrese de recordar a los usuarios que las contraseñas distinguen entre mayúsculas y minúsculas.

  • Permita que todos los usuarios de IAM cambien sus contraseñas.

    nota

    Al permitir a los usuarios de IAM cambiar las contraseñas, IAM les permite ver la política de contraseñas automáticamente. Los usuarios de IAM necesitan permiso para ver la política de contraseñas de la cuenta y crear una contraseña que cumpla con la política.

  • Exija a los usuarios de IAM cambien las contraseñas después de un periodo de tiempo especificado (habilite la caducidad de las contraseñas).

  • Impida a los usuarios de IAM reutilizar contraseñas previas.

  • Exija a los usuarios de IAM que se pongan en contacto con un administrador de cuentas cuando un usuario deja que su contraseña caduque.

importante

Las opciones de contraseña que hemos descrito se aplican únicamente a las contraseñas asignadas a los usuarios de IAM y no afectan a ninguna clave de acceso que estos puedan tener. Si una contraseña vence, el usuario no puede iniciar sesión en la Consola de administración de AWS. No obstante, si el usuario dispone de claves de acceso válidas, puede ejecutar cualquier comando de la AWS CLI o las Herramientas para Windows PowerShell. Los usuarios también pueden llamar a cualquier operación de API mediante una aplicación que permiten los permisos del usuario.

Al crear o cambiar una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Sin embargo, algunos de los ajustes se aplican de forma inmediata. Por ejemplo:

  • Cuando establece los requisitos de longitud mínima y de tipos de caracteres, la configuración se aplica la siguiente vez que sus usuarios cambian de contraseña. Los usuarios no están obligados a cambiar sus contraseñas, aunque las contraseñas existentes no cumplan la política de contraseñas actualizada.

  • Si configura el periodo de vencimiento de una contraseña, este se aplica de forma inmediata. Por ejemplo, supongamos que se establece un periodo de vencimiento de la contraseña de 90 días. En ese caso, todos los usuarios de IAM que tengan actualmente una contraseña que tenga más de 90 días de antigüedad tienen que cambiar su contraseña en el próximo inicio de sesión.

Para obtener información sobre los permisos que necesita para poder establecer una política de contraseñas, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

La política de contraseñas de IAM no se aplica a la contraseña de usuario raíz de la cuenta de AWS.

Las opciones actualmente disponibles no le permiten crear lo que comúnmente se denomina una "política de bloqueo". Dicha política bloquea a un usuario de la cuenta después de un número especificado de intentos de inicio de sesión fallidos. Para obtener este tipo de seguridad avanzada, le recomendamos que combine las políticas de contraseñas con una autenticación multifactor (MFA). Para obtener más información acerca de MFA, consulte Uso de Multi-Factor Authentication (MFA) en AWS.

Opciones de la política de contraseñas

En la lista siguiente se describen las opciones disponibles cuando se configura una política de contraseñas para su cuenta.

Longitud mínima de la contraseña

Puede especificar el número mínimo de caracteres permitidos en una contraseña de usuario de IAM. Introduzca cualquier cantidad entre 6 y 128.

Exija al menos una letra mayúscula

Puede exigir que las contraseñas de los usuarios de IAM contengan al menos una letra en mayúsculas del alfabeto latino básico de la norma ISO (A a Z).

Exija al menos una letra minúscula

Puede exigir que las contraseñas de los usuarios de IAM contengan al menos una letra en minúsculas del alfabeto latino básico de la norma ISO (a a z).

Exija al menos un número

Puede exigir que las contraseñas de usuario de IAM contengan al menos un carácter numérico (0 a 9).

Exija al menos un carácter que no sea alfanumérico

Puede exigir que las contraseñas de los usuarios de IAM contengan al menos uno de los siguientes caracteres no alfanuméricos:

! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

Permita que los usuarios cambien sus propias contraseñas

Puede permitir a todos los usuarios de IAM de su cuenta que utilicen la consola de IAM para cambiar sus propias contraseñas, tal y como se describe en Autorización para que los usuarios de IAM cambien sus contraseñas.

De forma alternativa, puede permitir que solo algunos usuarios administren contraseñas, ya sea para ellos mismos o para otras personas. Para ello, quite la marca de la casilla Allow users to change their own password (Permitir a los usuarios cambiar su propia contraseña). Para obtener más información acerca del uso de políticas para limitar quién puede administrar contraseñas, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

nota

Si permite a los usuarios de IAM cambiar sus propias contraseñas, IAM les permite automáticamente ver la política de contraseñas. Lo usuarios de IAM necesitan permiso para ver la política de contraseñas de la cuenta para poder crear una contraseña que cumpla la política.

Habilite el vencimiento de contraseñas

Puede establecer las contraseñas de usuario de IAM para que sean válidas solamente el número de días especificado. Deberá especificar el número de días de validez de las contraseñas una vez que estén definidas. Por ejemplo, cuando se habilita el vencimiento de contraseñas y define el periodo de vencimiento de las contraseñas en 90 días, un usuario de IAM puede utilizar una contraseña durante un máximo de 90 días. Una vez transcurridos esos 90 días, la contraseña vence y el usuario de IAM debe establecer una nueva contraseña para obtener acceso a la Consola de administración de AWS. Puede elegir un periodo de vencimiento de contraseñas de entre 1 y 1095 días, incluidos.

nota

La Consola de administración de AWS advierte a los usuarios de IAM que quedan 15 para el vencimiento de la contraseña. Los usuarios de IAM pueden cambiar su contraseña en cualquier momento (siempre y cuando tengan permiso para ello). Cuando establecen una contraseña nueva, el periodo de rotación para esa contraseña vuelve a empezar. Un usuario de IAM solo puede tener una contraseña válida a la vez.

Evite la reutilización de la contraseña

Puede impedir que los usuarios de IAM reutilicen un número especificado de contraseñas anteriores. Puede establecer la cantidad de contraseñas anteriores en un número entre 1 y 24, incluido.

El vencimiento de la contraseña requiere un restablecimiento por parte del administrador

Puede impedir que los usuarios de IAM elijan una nueva contraseña una vez que su contraseña actual haya vencido. Por ejemplo, una política de contraseñas puede especificar un periodo de vencimiento de la contraseña. Si un usuario de IAM no elige una contraseña nueva antes de que finalice el periodo de vencimiento, el usuario de IAM no podrá establecer una nueva contraseña. En ese caso, el usuario de IAM debe solicitar un restablecimiento de la contraseña al administrador de la cuenta para recuperar el acceso a la Consola de administración de AWS. También puede dejar esta casilla de verificación sin marcar. Si un usuario de IAM deja que su contraseña venza, se le pedirá al usuario en esta situación que establezca una contraseña nueva para poder obtener acceso a la Consola de administración de AWS.

aviso

Antes de activar esta opción, asegúrese de que su cuenta de AWS tenga más de un usuario con permisos administrativos (es decir, permiso para restablecer las contraseñas de usuario de IAM). O bien, puede asegurarse de que los administradores también tengan claves de acceso que les permitan utilizar la AWS CLI o las Herramientas para Windows PowerShell por separado desde la Consola de administración de AWS. Cuando esta opción está habilitada y la contraseña de un administrador vence, se pide a otro administrador que inicie sesión en la consola para restablecer la contraseña vencida del primer administrador. Sin embargo, si el administrador de la contraseña que ha vencido tiene claves de acceso válidas, puede ejecutar un comando de la AWS CLI o las Herramientas para Windows PowerShell. Estos comandos pueden restablecer la contraseña del administrador. La exigencia de que haya otro administrador se aplica únicamente si una contraseña vence y el primer administrador no tiene claves de acceso.

Configuración de una política de contraseñas (Consola)

Puede utilizar la Consola de administración de AWS para crear, cambiar o eliminar una política de contraseñas. Como parte de las tareas de administración de la política de contraseñas, puede dejar que todos los usuarios administren sus propias contraseñas.

Para crear o cambiar una política de contraseñas (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, haga clic en Account Settings (Configuración de cuenta).

  3. En la sección Password Policy (Política de contraseñas), seleccione las opciones que quiere aplicar a su política de contraseñas.

  4. Haga clic en Apply Password Policy (Aplicar política de contraseñas).

Para eliminar una política de contraseñas

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, haga clic en Account Settings (Configuración de cuenta) y, a continuación, en la sección Password Policy (Política de contraseñas), haga clic en Delete Password Policy (Eliminar política de contraseñas).

Configuración de una política de contraseñas (AWS CLI)

Para administrar una política de contraseñas de una cuenta en la AWS CLI, ejecute los siguientes comandos:

Configuración de una política de contraseñas (API de AWS)

Para administrar una política de contraseñas de una API de AWS, llame a las siguientes operaciones: