Administrar las contraseñas de los usuarios de IAM - AWS Identity and Access Management
Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)Creación, cambio o eliminación de la contraseña de un usuario de IAM (AWS CLI)Creación, cambio o eliminación de la contraseña de un usuario de IAM (API de AWS)

Administrar las contraseñas de los usuarios de IAM

Los usuarios de IAM que utilizan la AWS Management Console para trabajar con los recursos de AWS deben tener una contraseña para poder iniciar sesión. Puede crear, cambiar o eliminar la contraseña de un usuario de IAM en su cuenta de AWS.

Una vez que haya asignado una contraseña a un usuario, el usuario puede iniciar sesión en la AWS Management Console con la URL de inicio de sesión de su cuenta, que tiene este aspecto: 

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Para obtener más información acerca de cómo los usuarios de IAM inician sesión en la AWS Management Console, consulte Cómo iniciar sesión en AWS en la Guía del usuario de AWS Sign-In.

Aunque los usuarios tengan sus propias contraseñas, deben seguir teniendo permisos para obtener acceso a los recursos de AWS. De forma predeterminada, un usuario no tiene permisos. Para conceder a los usuarios los permisos que necesitan, debe asignarles políticas o a los grupos a los que pertenezcan. Para obtener información sobre cómo crear usuarios y grupos, consulte Identidades de IAM . Para obtener información sobre cómo utilizar políticas para establecer permisos, consulte Cambio de los permisos de un usuario de IAM.

Puede conceder a los usuarios permiso para cambiar sus propias contraseñas. Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas. Para obtener más información acerca de cómo los usuarios acceden a la página de inicio de sesión de su cuenta, consulte Cómo iniciar sesión en AWS en la Guía del usuario de AWS Sign-In.

Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)

También puede utilizar la AWS Management Console para administrar contraseñas de los usuarios de IAM.

Cuando los usuarios dejen su organización o ya no necesiten acceso a AWS, es importante encontrar las credenciales que utilizaron y garantizar que no ya no estén operativas. Lo ideal es eliminar las credenciales si ya no son necesarias. Siempre puede volver a crearlas más tarde, en caso de que surja la necesidad. Al menos, debe cambiar las credenciales para que los antiguos usuarios ya no tengan acceso.

Para agregar una contraseña de un usuario de IAM (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Usuarios.

  3. Elija el nombre del usuario cuya contraseña desea crear.

  4. Elija la pestaña Credenciales de seguridad y luego, en Inicio de sesión en la consola, elija Habilitar el acceso a la consola.

  5. En Habilitar el acceso a la consola, para Contraseña de la consola, seleccione si IAM debe generar una contraseña o crear una contraseña personalizada:

    • Para que IAM genere una contraseña, elija Contraseña generada automáticamente.

    • Para crear una contraseña personalizada, elija Custom password (Contraseña personalizada) y escriba la contraseña.

      nota

      La contraseña que cree debe cumplir con la política de contraseñas de la cuenta.

  6. Para exigir al usuario que cree una contraseña nueva cuando inicie sesión, elija El usuario debe crear una contraseña nueva la próxima vez que inicie sesión. A continuación, seleccione Habilitar el acceso a la consola.

    importante

    Si selecciona la opción El usuario debe crear una contraseña nueva la próxima vez que inicie sesión, asegúrese de que el usuario tenga el permiso para cambiar la contraseña. Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

  7. Para ver la contraseña y poder compartirla con el usuario, seleccione Mostrar en el cuadro de diálogo Contraseña de la consola.

    importante

    Por motivos de seguridad, no puede obtener acceso a la contraseña después de completar este paso, pero puede crear una nueva contraseña en cualquier momento.

Para cambiar la contraseña de un usuario de IAM (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Usuarios.

  3. Elija el nombre del usuario cuya contraseña desea cambiar.

  4. Elija la pestaña Credenciales de seguridad y luego, en Inicio de sesión en la consola, elija Administrar el acceso a la consola.

  5. En Administrar el acceso a la consola, seleccione Restablecer contraseña si aún no lo ha seleccionado. Si el acceso a la consola está deshabilitado, no es necesario introducir ninguna contraseña.

  6. En Acceso a la consola, seleccione si IAM debe generar una contraseña o crear una contraseña personalizada:

    • Para que IAM genere una contraseña, elija Contraseña generada automáticamente.

    • Para crear una contraseña personalizada, elija Custom password (Contraseña personalizada) y escriba la contraseña.

      nota

      La contraseña que cree debe cumplir con la política de contraseñas de la cuenta, si hubiera alguna establecida.

  7. Para exigir al usuario que cree una contraseña nueva cuando inicie sesión, elija El usuario debe crear una contraseña nueva la próxima vez que inicie sesión.

    importante

    Si selecciona la opción El usuario debe crear una contraseña nueva la próxima vez que inicie sesión, asegúrese de que el usuario tenga el permiso para cambiar la contraseña. Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

  8. Para revocar las sesiones de consola activas del usuario, seleccione Revocar sesiones activas de la consola. A continuación, elija Aplicar.

    Cuando revoca las sesiones de consola activas de un usuario, IAM asocia una política insertada nueva al usuario que deniega todos los permisos para todas las acciones. Incluye una condición que aplica las restricciones solo si la sesión se creó antes del momento en que usted revocó los permisos, así como dentro de aproximadamente 30 segundos. Si el usuario crea una nueva sesión después de que usted revocara los permisos, la política de denegación no se aplica a ese usuario. Si un usuario revoca sus propias sesiones de consola activas mediante este método, se cerrará inmediatamente su sesión en la AWS Management Console.

    importante

    Para poder revocar correctamente las sesiones de consola activas de un usuario, debe tener el permiso PutUserPolicy para el usuario. Esto le permite asociar la política insertada AWSRevokeOlderSessions al usuario.

  9. Para ver la contraseña y poder compartirla con el usuario, seleccione Mostrar en el cuadro de diálogo Contraseña de la consola.

    importante

    Por motivos de seguridad, no puede obtener acceso a la contraseña después de completar este paso, pero puede crear una nueva contraseña en cualquier momento.

Para eliminar (desactivar) la contraseña de un usuario de IAM (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Usuarios.

  3. Elija el nombre del usuario cuya contraseña desea eliminar.

  4. Elija la pestaña Credenciales de seguridad y luego, en Inicio de sesión en la consola, elija Administrar el acceso a la consola.

  5. En Administrar el acceso a la consola, elija la opción Deshabilitar el acceso a la consola si aún no está seleccionada. Si el acceso a la consola está deshabilitado, no es necesario introducir ninguna contraseña.

  6. Para revocar las sesiones de consola activas del usuario, seleccione Revocar sesiones activas de la consola. A continuación, seleccione Deshabilitar el acceso.

    importante

    Para poder revocar correctamente las sesiones de consola activas de un usuario, debe tener el permiso PutUserPolicy para el usuario. Esto le permite asociar la política insertada AWSRevokeOlderSessions al usuario.

    Cuando revoca las sesiones de consola activas de un usuario, IAM incrusta una política insertada nueva al usuario de IAM que deniega todos los permisos para todas las acciones. Incluye una condición que aplica las restricciones solo si la sesión se creó antes del momento en que usted revocó los permisos, así como dentro de aproximadamente 30 segundos. Si el usuario crea una nueva sesión después de que usted revocara los permisos, la política de denegación no se aplica a ese usuario. Si un usuario revoca sus propias sesiones de consola activas mediante este método, se cerrará inmediatamente su sesión en la AWS Management Console.

importante

Puede desactivar el acceso de un usuario de IAM a la AWS Management Console eliminando su contraseña. Esto les impide iniciar sesión en la AWS Management Console utilizando sus credenciales de inicio de sesión. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de la AWS CLI, Tools for Windows PowerShell, API de AWS o Console Mobile Application de AWS.

Creación, cambio o eliminación de la contraseña de un usuario de IAM (AWS CLI)

También puede utilizar la API de la AWS CLI para administrar contraseñas de los usuarios de IAM.

Para crear una contraseña (AWS CLI)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile

  2. Para crear una contraseña, ejecute este comando: aws iam create-login-profile

Para cambiar la contraseña de un usuario (AWS CLI)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile

  2. Para cambiar una contraseña, ejecute este comando: aws iam update-login-profile

Para eliminar (deshabilitar) la contraseña de un usuario (AWS CLI)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile

  2. (Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: aws iam get-user

  3. Para eliminar una contraseña, ejecute este comando: aws iam delete-login-profile

importante

Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la AWS Management Console. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de AWS CLI, Tools for Windows PowerShell, o llamadas de función de API de AWS. Cuando se utiliza la AWS CLI, Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una Cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte Eliminación de un usuario de IAM (AWS CLI).

Revocación de las sesiones de consola activas de un usuario antes de una hora específica (AWS CLI)

  1. Para incrustar una política insertada que revoque las sesiones de consola activas de un usuario de IAM antes de una hora específica, utilice la siguiente política en línea y ejecute este comando: aws iam put-user-policy

    Esta política insertada deniega todos los permisos e incluye la clave de condición aws:TokenIssueTime. Revoca las sesiones de consola activas del usuario antes de la hora especificada en el elemento Condition de la política insertada. Reemplace el valor de la clave de condición aws:TokenIssueTime por su propio valor.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Opcional) Para mostrar los nombres de las políticas insertadas en el usuario de IAM, ejecute este comando: aws iam list-user-policies

  3. (Opcional) Para ver la política insertada con nombre incrustada en el usuario de IAM, ejecute este comando: aws iam get-user-policy

Creación, cambio o eliminación de la contraseña de un usuario de IAM (API de AWS)

También puede utilizar la API de la AWS para administrar contraseñas de los usuarios de IAM.

Para crear una contraseña (API de AWS)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: GetLoginProfile

  2. Para crear una contraseña, llame a esta operación: CreateLoginProfile

Para cambiar la contraseña de un usuario (API de AWS)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: GetLoginProfile

  2. Para cambiar una contraseña, llame a esta operación: UpdateLoginProfile

Para eliminar (deshabilitar) la contraseña de un usuario (API de AWS)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: GetLoginProfile

  2. (Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: GetUser

  3. Para eliminar una contraseña, ejecute este comando: DeleteLoginProfile

importante

Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la AWS Management Console. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de AWS CLI, Tools for Windows PowerShell, o llamadas de función de API de AWS. Cuando se utiliza la AWS CLI, Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una Cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte Eliminación de un usuario de IAM (AWS CLI).

Revocación de las sesiones de consola activas de un usuario antes de una hora específica (API de AWS)

  1. Para incrustar una política insertada que revoque las sesiones de consola activas de un usuario de IAM antes de una hora específica, utilice la siguiente política insertada y ejecute este comando: PutUserPolicy

    Esta política insertada deniega todos los permisos e incluye la clave de condición aws:TokenIssueTime. Revoca las sesiones de consola activas del usuario antes de la hora especificada en el elemento Condition de la política insertada. Reemplace el valor de la clave de condición aws:TokenIssueTime por su propio valor.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Opcional) Para mostrar los nombres de las políticas insertadas en el usuario de IAM, ejecute este comando: ListUserPolicies

  3. (Opcional) Para ver la política insertada con nombre incrustada en el usuario de IAM, ejecute este comando: GetUserPolicy