AWS Identity and Access Management
Guía del usuario

Administración de las contraseñas de los usuarios de IAM

Los usuarios de IAM que utilizan la Consola de administración de AWS para trabajar con los recursos de AWS deben tener una contraseña para poder iniciar sesión. Puede crear, cambiar o eliminar la contraseña de un usuario de IAM en su cuenta de AWS.

Una vez que haya asignado una contraseña a un usuario, el usuario puede iniciar sesión en la Consola de administración de AWS con la URL de inicio de sesión de su cuenta, que tiene este aspecto:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Para obtener más información sobre cómo los usuarios de IAM inician sesión en la Consola de administración de AWS, consulte La consola de IAM y la página de inicio de sesión.

Además de crear manualmente contraseñas individuales para los usuarios IAM puede crear una política de contraseñas que se aplique a todas las contraseñas de los usuarios de IAM de su cuenta de AWS.

Puede utilizar una política de contraseñas para hacer estas cosas:

  • Establecer la longitud mínima de la contraseña.

  • Exija caracteres específicos: mayúsculas, minúsculas, números y símbolos no alfanuméricos. Asegúrese de recordar a los usuarios que las contraseñas distinguen entre mayúsculas y minúsculas.

  • Permita que todos los usuarios de IAM cambien sus contraseñas.

    nota

    Al permitir a los usuarios de IAM cambiar las contraseñas, IAM les permite ver la política de contraseñas automáticamente. Los usuarios de IAM necesitan permiso para ver la política de contraseñas de la cuenta y crear una contraseña que cumpla con la política.

  • Exija a los usuarios de IAM cambien las contraseñas después de un periodo de tiempo especificado (habilite la caducidad de las contraseñas).

  • Impida a los usuarios de IAM reutilizar contraseñas previas.

  • Exija a los usuarios de IAM que se pongan en contacto con un administrador de cuentas cuando un usuario deja que su contraseña caduque.

Para obtener información sobre cómo administrar la política de contraseñas de su cuenta, consulte Configuración de una política de contraseñas de la cuenta para usuarios de IAM.

Aunque los usuarios tengan sus propias contraseñas, deben seguir teniendo permisos para obtener acceso a los recursos de AWS. De forma predeterminada, un usuario no tiene permisos. Para conceder a los usuarios los permisos que necesitan, debe asignarles políticas o a los grupos a los que pertenezcan. Para obtener información sobre cómo crear usuarios y grupos, consulte Identidades (usuarios, grupos y roles). Para obtener información sobre cómo utilizar políticas para establecer permisos, consulte Cambio de los permisos de un usuario de IAM.

Puede conceder a los usuarios permiso para cambiar sus propias contraseñas. Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas. Para obtener información sobre cómo los usuarios obtienen acceso a la página de inicio de sesión de la cuenta, consulte La consola de IAM y la página de inicio de sesión.

Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)

También puede utilizar la Consola de administración de AWS para administrar contraseñas de los usuarios de IAM.

Cuando los usuarios dejen su organización o ya no necesiten acceso a AWS, es importante encontrar las credenciales que utilizaron y garantizar que no ya no estén operativas. Lo ideal es eliminar las credenciales si ya no son necesarias. Siempre puede volver a crearlas más tarde, en caso de que surja la necesidad. Al menos, debe cambiar las credenciales para que los antiguos usuarios ya no tengan acceso.

Para añadir una contraseña de un usuario de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Elija el nombre del usuario cuya contraseña desea crear.

  4. Elija la pestaña Security credentials (Credenciales de seguridad) y en Sign-in credentials (Credenciales de inicio de sesión), seleccione Manage password (Administrar contraseña) junto a Console password (Contraseña de la consola).

  5. En Manage console access (Administrar el acceso a la consola), en Console access (Acceso a la consola) elija la opción Enable (Habilitar) si aún no está seleccionada. Si el acceso a la consola está deshabilitado, no es necesario introducir ninguna contraseña.

  6. En Set password (Establecer contraseña), seleccione si IAM debe generar una contraseña o crear una contraseña personalizada:

    • Para que IAM genere una contraseña, elija Autogenerated password (Contraseña autogenerada).

    • Para crear una contraseña personalizada, elija Custom password (Contraseña personalizada) y escriba la contraseña.

      nota

      La contraseña que cree debe cumplir con la política de contraseñas de la cuenta, si hubiera alguna establecida.

  7. Para exigir que el usuario cree una nueva contraseña al iniciar sesión, seleccione Require password reset (Exigir restablecimiento de contraseña). A continuación, elija Apply (Aplicar).

    importante

    Si selecciona la opción Require password reset (Exigir restablecimiento de contraseña), asegúrese de que el usuario tiene permiso de cambiar su contraseña. Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

  8. Si elige la opción de generar una contraseña, elija Show (Mostrar) en el cuadro de diálogo New password (Nueva contraseña). Esto le permite ver la contraseña para que pueda compartirla con el usuario.

    importante

    Por motivos de seguridad, no puede obtener acceso a la contraseña después de completar este paso, pero puede crear una nueva contraseña en cualquier momento.

Para cambiar la contraseña de un usuario de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Elija el nombre del usuario cuya contraseña desea cambiar.

  4. Elija la pestaña Security credentials (Credenciales de seguridad) y en Sign-in credentials (Credenciales de inicio de sesión), seleccione Manage password (Administrar contraseña) junto a Console password (Contraseña de la consola).

  5. En Manage console access (Administrar el acceso a la consola), en Console access (Acceso a la consola) elija la opción Enable (Habilitar) si aún no está seleccionada. Si el acceso a la consola está deshabilitado, no es necesario introducir ninguna contraseña.

  6. En Set password (Establecer contraseña), seleccione si IAM debe generar una contraseña o crear una contraseña personalizada:

    • Para que IAM genere una contraseña, elija Autogenerated password (Contraseña autogenerada).

    • Para crear una contraseña personalizada, elija Custom password (Contraseña personalizada) y escriba la contraseña.

      nota

      La contraseña que cree debe cumplir con la política de contraseñas de la cuenta, si hubiera alguna establecida.

  7. Para exigir que el usuario cree una nueva contraseña al iniciar sesión, seleccione Require password reset (Exigir restablecimiento de contraseña). A continuación, elija Apply (Aplicar).

    importante

    Si selecciona la opción Require password reset (Exigir restablecimiento de contraseña), asegúrese de que el usuario tiene permiso de cambiar su contraseña. Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

  8. Si elige la opción de generar una contraseña, elija Show (Mostrar) en el cuadro de diálogo New password (Nueva contraseña). Esto le permite ver la contraseña para que pueda compartirla con el usuario.

    importante

    Por motivos de seguridad, no puede obtener acceso a la contraseña después de completar este paso, pero puede crear una nueva contraseña en cualquier momento.

Para eliminar (deshabilitar) la contraseña de un usuario de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Elija el nombre del usuario cuya contraseña desea eliminar.

  4. Elija la pestaña Security credentials (Credenciales de seguridad) y en Sign-in credentials (Credenciales de inicio de sesión), seleccione Manage password (Administrar contraseña) junto a Console password (Contraseña de la consola).

  5. En Console access (Acceso a la consola), elija Disable (Deshabilitar) y, a continuación, elija Apply (Aplicar).

importante

Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la Consola de administración de AWS. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de las llamadas de función a la API de AWS, la AWS CLI o las Herramientas para Windows PowerShell.

Creación, cambio o eliminación de la contraseña de un usuario de IAM (AWS CLI)

También puede utilizar la API de la AWS CLI para administrar contraseñas de los usuarios de IAM.

Para crear una contraseña (AWS CLI)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile

  2. Para crear una contraseña, ejecute este comando: aws iam create-login-profile

Para cambiar la contraseña de un usuario (AWS CLI)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile

  2. Para cambiar una contraseña, ejecute este comando: aws iam update-login-profile

Para eliminar (deshabilitar) la contraseña de un usuario (AWS CLI)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile

  2. (Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: aws iam get-user

  3. Para eliminar una contraseña, ejecute este comando: aws iam delete-login-profile

importante

Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la Consola de administración de AWS. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de las llamadas de función a la API de AWS, la AWS CLI o las Herramientas para Windows PowerShell. Cuando se utiliza la AWS CLI, las Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte Eliminación de un usuario de IAM (AWS CLI).

Creación, cambio o eliminación de la contraseña de un usuario de IAM (API de AWS)

También puede utilizar la API de la AWS para administrar contraseñas de los usuarios de IAM.

Para crear una contraseña (API de AWS)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: GetLoginProfile

  2. Para crear una contraseña, llame a esta operación: CreateLoginProfile

Para cambiar la contraseña de un usuario (API de AWS)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: GetLoginProfile

  2. Para cambiar una contraseña, llame a esta operación: UpdateLoginProfile

Para eliminar (deshabilitar) la contraseña de un usuario (API de AWS)

  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: GetLoginProfile

  2. (Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: GetUser

  3. Para eliminar una contraseña, ejecute este comando: DeleteLoginProfile

importante

Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la Consola de administración de AWS. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de las llamadas de función a la API de AWS, la AWS CLI o las Herramientas para Windows PowerShell. Cuando se utiliza la AWS CLI, las Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte Eliminación de un usuario de IAM (AWS CLI).