Usuarios de IAM - AWS Identity and Access Management

Usuarios de IAM

importante

Las prácticas recomendadas de IAM sugieren que exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales, en lugar de utilizar usuarios de IAM con credenciales a largo plazo.

Un usuario de AWS Identity and Access Management (IAM) es una entidad que se crea en AWS. El usuario de IAM representa al usuario humano o carga de trabajo que utiliza el usuario de IAM para interactuar con AWS. Un usuario de AWS consta de un nombre y credenciales.

Un usuario de IAM con permisos de administrador no es lo mismo que el Usuario raíz de la cuenta de AWS. Para obtener más información sobre el usuario raíz, consulte Usuario raíz de la cuenta de AWS.

¿Cómo AWS identifica un usuario de IAM?

Al crear un usuario de IAM, IAM crea estas formas de identificar dicho usuario:

  • Un “nombre fácil de recordar” para el usuario de IAM, que es el nombre que especificó al crear el usuario de IAM, como Richard o Anaya. Estos son los nombres que aparecen en la AWS Management Console.

  • Un Amazon Resource Name (Nombre de recurso de Amazon [ARN]) para el usuario de IAM. Puede utilizar el ARN cuando necesite identificar de forma inequívoca el usuario de IAM en todo AWS. Por ejemplo, puede utilizar un ARN para especificar el usuario de IAM como entidad Principal en una política de IAM para un bucket de Amazon S3. Un ARN para un usuario de IAM podría ser el siguiente:

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Un identificador único para el usuario de IAM. Este ID solo se devuelve cuando utilice la API, Tools for Windows PowerShell o la AWS CLI para crear el usuario de IAM; no podrá verlo en la consola.

Para obtener más información sobre estos identificadores, consulte Identificadores de IAM.

Usuarios de IAM y credenciales

Puede obtener acceso a AWS de diferentes formas en función de las credenciales de usuario de IAM:

  • Console password (Contraseña de la consola): una contraseña que el usuario de IAM puede escribir para iniciar sesión en sesiones interactivas, como la AWS Management Console. Al desactivar la contraseña (acceso a la consola) para un usuario de IAM, se impide que inicien sesión en la AWS Management Console con sus credenciales. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido.

  • Teclas de acceso: se utilizan para hacer llamadas programáticas a AWS. Sin embargo, hay alternativas más seguras que hay que tener en cuenta antes de crear claves de acceso para los usuarios de IAM. Para más información, consulte Consideraciones y alternativas para las claves de acceso a largo plazo en la Guía de la Referencia general de AWS. Si el usuario de IAM dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de la AWS CLI, Tools for Windows PowerShell, API de AWS o Console Mobile Application de AWS.

  • Claves SSH para utilizar con CodeCommit: una clave SSH pública en formato OpenSSH que puede utilizarse para realizar la autenticación con CodeCommit.

  • Certificados de servidor: los certificados SSL/TLS que puede utilizar para realizar la autenticación con algunos servicios de AWS. Le recomendamos que utilice AWS Certificate Manager (ACM) para aprovisionar, administrar e implementar los certificados de servidor. Utilice IAM solo cuando tenga que admitir conexiones HTTPS en una región que no sea compatible con ACM. Para saber qué regiones admiten ACM , consulte puntos finales y cuotas de AWS Certificate Manager en la Referencia general de AWS.

Puede elegir las credenciales adecuadas para el usuario de IAM. Cuando se utiliza la AWS Management Console para crear un usuario de IAM, debe elegir como mínimo la inclusión de una contraseña de consola o claves de acceso. De forma predeterminada, los nuevos usuarios de IAM creados mediante la AWS CLI o API de AWS no tienen credenciales de ningún tipo. Debe crear el tipo de credenciales para un usuario de IAM en función de las necesidades de su usuario.

Dispone de las opciones siguientes para administrar contraseñas, claves de acceso y dispositivos de autenticación multifactor (MFA):

  • Administrar las contraseñas de los usuarios de IAM. Cree y cambie las contraseñas que permiten el acceso a la AWS Management Console. Establezca una política de contraseñas para aplicar un mínimo de complejidad a las contraseñas. Permita que los usuarios cambien sus contraseñas.

  • Administrar las claves de acceso para los usuarios de IAM. Cree y actualice claves de acceso para acceder a los recursos de la cuenta mediante programación.

  • Active la autenticación multifactor (MFA) para el usuario de IAM. Como práctica recomendada, le sugerimos exigir la autenticación multifactor para todos los usuarios de IAM de su cuenta. Con la MFA, los usuarios deben proporcionar dos formas de identificación: en primer lugar, proporcionar las credenciales que forman parte de su identidad del usuario (una contraseña o clave de acceso). Además, proporcionan un código numérico temporal que se genera en un dispositivo de hardware o mediante una aplicación en un smartphone o una tablet.

  • Buscar contraseñas y claves de acceso sin utilizar. Cualquier persona que tenga una contraseña o clave de acceso para su cuenta o un usuario de IAM de su cuenta tendrá acceso a sus recursos de AWS. La práctica recomendada de seguridad es eliminar las contraseñas y claves de acceso cuando los usuarios ya no las necesiten.

  • Descargar un informe de credenciales para la cuenta. Puede generar y descargar un informe de credenciales que contenga una lista de todos los usuarios de IAM de su cuenta y el estado de sus credenciales, tales como contraseñas, claves de acceso y dispositivos MFA. Para las contraseñas y claves de acceso, el informe de credenciales muestra cuándo se ha utilizado la contraseña o una clave de acceso por última vez.

Usuarios de IAM y permisos

De forma predeterminada, un nuevo usuario de IAM no tiene permisos para realizar ninguna actividad. El usuario no está autorizado a realizar ninguna operación de AWS ni a tener acceso a los recursos de AWS. Un beneficio de tener usuarios de IAM individuales es que puede asignar permisos específicos para cada uno. Es posible asignar permisos administrativos a unos usuarios para que administren los recursos de AWS e incluso creen y administren otros usuarios de IAM. Sin embargo, en la mayoría de los casos, será necesario limitar los permisos de un usuario para que realice únicamente las tareas (acciones u operaciones de AWS) y utilice los recursos que necesita para su trabajo.

Imagine que tiene un usuario denominado Diego. Al crear el usuario de IAM Diego , debe crear una contraseña para dicho usuario y asociar permisos al usuario que le permitan lanzar una determinada instancia de Amazon EC2 y leer información (GET) de una tabla en una base de datos de Amazon RDS. Para obtener los procedimientos que indican cómo crear usuarios y concederles permisos y credenciales iniciales, consulte Creación de un usuario de IAM en su Cuenta de AWS. Para obtener los procedimientos que indican cómo cambiar los permisos de los usuarios existentes, consulte Cambio de los permisos de un usuario de IAM. Para obtener los procedimientos que indican cómo cambiar las claves de acceso y la contraseña de un usuario, consulte Administración de las contraseñas de usuarios en AWS y Administración de las claves de acceso de los usuarios de IAM.

También puede agregar un límite de permisos a los usuarios de IAM. Un límite de permisos es una característica avanzada que le permite utilizar políticas administradas de AWS para limitar los permisos máximos que puede conceder una política basada en identidad a un usuario de IAM o rol. Para obtener más información sobre los tipos de políticas y sus usos, consulte Políticas y permisos en IAM.

Usuarios de IAM y cuentas

Cada usuario de IAM está asociado a una única Cuenta de AWS. Dado que los usuarios de IAM se definen en la Cuenta de AWS, no necesitan tener un método de pago válido para AWS. Cualquier actividad de AWS realizada por los usuarios de IAM de la cuenta se factura en su cuenta.

El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS.

Usuarios de IAM como cuentas de servicio

Un usuario de IAM es un recurso en IAM que tiene credenciales y permisos asociados. Un usuario de IAM puede representar una persona o una aplicación que utiliza sus credenciales para realizar solicitudes de AWS. Esto se suele conocer como cuenta de servicio. Si decide utilizar las credenciales a largo plazo de un usuario de IAM en su aplicación, no integre las claves de acceso directamente en el código de la aplicación. Los SDK de AWS y las AWS Command Line Interface le permiten colocar las claves de acceso en ubicaciones conocidas para que no tenga que mantenerlas en el código. Para obtener más información, consulte Administración correcta de las claves de acceso de los usuarios de IAM en la Referencia general de AWS. De forma alternativa, y como práctica recomendada, puede utilizar credenciales de seguridad temporales (roles de IAM) en lugar de las claves de acceso a largo plazo.