Credenciales de seguridad temporales - AWS Identity and Access Management

Credenciales de seguridad temporales

Puede utilizar AWS Security Token Service (AWS STS) para crear credenciales de seguridad temporales que pueden controlar el acceso a sus recursos de AWS y proporcionárselas a usuarios de confianza. Las credenciales de seguridad temporales funcionan prácticamente igual que las credenciales de clave de acceso a largo plazo que sus usuarios de IAM pueden utilizar, con las siguientes diferencias:

  • Las credenciales de seguridad temporales son a corto plazo, tal como su nombre indica. Se pueden configurar para durar entre unos cuantos minutos y varias horas. Cuando las credenciales caduquen, AWS dejará de reconocerlas o permitirá todo tipo de acceso a las solicitudes realizadas desde API que las utilicen.

  • Las credenciales de seguridad temporales no se guardan con el usuario, sino que se generan de forma dinámica y se proporcionan al usuario cuando se solicitan. Cuando las credenciales de seguridad temporales caducan (o incluso antes), el usuario puede solicitar nuevas credenciales, siempre y cuando el usuario que las solicite tenga permiso para hacerlo.

Estas diferencias comportan las siguientes ventajas para el uso de credenciales temporales:

  • No tiene que distribuir ni incrustar credenciales de seguridad de AWS a largo plazo con una aplicación.

  • Puede proporcionar acceso a sus recursos de AWS a usuarios, sin necesidad de definir una identidad de AWS para ellos. Las credenciales temporales son la base de los roles y las identidades federadas.

  • Las credenciales de seguridad temporales tienen un ciclo de vida limitado, por lo que no tiene que rotarlas ni revocarlas de forma explícita cuando ya no las necesite. Cuando las credenciales de seguridad temporales caducan, ya no se pueden volver a utilizar. Puede especificar el tiempo de validez de las credenciales, hasta un límite máximo.

Regiones de AWS y AWS STS

AWS STS genera las credenciales de seguridad temporales;. De forma predeterminada, AWS STS es un servicio global con un único punto de enlace en https://sts.amazonaws.com. Sin embargo, también puede optar por realizar llamadas de API de AWS STS a puntos de enlace de cualquier otra región compatible. Esto puede reducir la latencia de servidor (retraso del servidor) enviando las solicitudes a servidores de una región que está más cerca de usted. No importa de qué región vienen sus credenciales, funcionan en todo el mundo. Para obtener más información, consulte Administración de AWS STS en una región de AWS.

Escenarios habituales en las credenciales temporales

Las credenciales temporales son útiles en escenarios en los que entren en juego las identidades federadas, la delegación, el acceso entre cuentas y los roles de IAM.

Identidad federada

Puede administrar sus identidades de usuario en un sistema externo situado fuera de AWS y conceder a los usuarios que inician sesión desde dichos sistemas acceso para realizar tareas de AWS y obtener acceso a sus recursos de AWS. IAM admite dos tipos de identidades federadas. En ambos casos, las identidades se almacenan fuera de AWS. La diferencia radica dónde reside el sistema externo, —en su centro de datos o un tercero externo en la web. Para obtener más información acerca de proveedores de identidades externos, consulte Federación y proveedores de identidades.

  • Identidad federada de empresa – Puede autenticar usuarios de la red de su organización y, a continuación, dar a dichos usuarios acceso a AWS sin tener que crearles nuevas identidades de AWS ni exigirles que inicien sesión con un nombre de usuario y una contraseña independientes. Este procedimiento se denomina inicio de sesión único (SSO) para el acceso temporal. AWS STS es compatible con estándares abiertos como Security Assertion Markup Language (SAML) 2.0, con el que puede utilizar Microsoft AD FS para aprovechar su Microsoft Active Directory. También puede utilizar SAML 2.0 para administrar su propia solución de identidades federadas de usuarios. Para obtener más información, consulte Acerca de la federación basada en SAML 2.0.

  • Identidad federada web – Puede dejar que los usuarios inicien sesión con un proveedor de identidades de terceros conocido, como Login with Amazon, Facebook, Google o cualquier otro proveedor que sea compatible con OpenID Connect (OICD) 2.0. Puede intercambiar las credenciales de dicho proveedor por permisos temporales para usar recursos de su cuenta de AWS. Este procedimiento se denomina identidad federada web para el acceso temporal. Si utiliza una identidad federada web en el móvil o una aplicación web, no necesita crear código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. La identidad federada web le permite tener una cuenta de AWS más segura, ya que no tiene que distribuir credenciales de seguridad a largo plazo, como claves de acceso de usuario de IAM, con su aplicación. Para obtener más información, consulte Acerca de identidades web federadas.

    La identidad federad web de AWS STS admite inicio de sesión con Amazon, Facebook, Google o cualquier proveedor de identidad compatible con OpenID Connect (OIDC).

    nota

    Para aplicaciones móviles, le recomendamos que utilice Amazon Cognito. Puede utilizar este servicio con el SDK para móviles de AWS para iOS y el SDK para móviles de AWS para Android y Fire OS para crear identidades exclusivas para usuarios y autenticarlos para proteger el acceso a sus recursos de AWS. Amazon Cognito es compatible con los mismos proveedores de identidad que AWS STS y con el acceso sin autenticar (invitado); además le permite migrar datos de usuario cuando un usuario inicia sesión. Amazon Cognito también ofrece operaciones de la API para sincronizar los datos del usuario de modo que se preserven cuando cambia de un dispositivo a otro. Para obtener más información, consulte los siguientes temas:

Roles para el acceso entre cuentas

Muchas organizaciones mantienen más de una cuenta de AWS. Con los roles y el acceso entre cuentas, puede definir identidades de usuarios en una cuenta y utilizar esas mismas identidades para obtener acceso a recursos de AWS de otras cuentas que pertenezcan a su organización. Este procedimiento se denomina delegación del acceso temporal. Para obtener más información sobre la creación de roles entre cuentas, consulte Creación de un rol para delegar permisos a un usuario de IAM. Para obtener información sobre si las entidades principales de las cuentas que no se encuentran en su zona de confianza (cuenta u organización de confianza) tienen acceso para asumir sus roles, consulte ¿Qué es IAM Access Analyzer?.

Roles para Amazon EC2

Si ejecuta aplicaciones en instancias de Amazon EC2 y dichas aplicaciones necesitan obtener acceso a recursos de AWS, puede proporcionar credenciales de seguridad temporales a las instancias cuando las lanza. Dichas credenciales de seguridad temporales están disponibles para todas las aplicaciones que se ejecutan en la instancia, por lo que no es necesario almacenar credenciales a largo plazo en ella. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2.

Otros servicios de AWS

Puede utilizar credenciales de seguridad temporales para obtener acceso a la mayoría de los servicios de AWS. Para obtener una lista de los servicios que aceptan credenciales de seguridad temporales, consulte Servicios de AWS que funcionan con IAM.