Creación de un usuario de IAM en su cuenta de AWS - AWS Identity and Access Management

Creación de un usuario de IAM en su cuenta de AWS

Puede crear uno o varios usuarios de IAM en su cuenta de AWS. Puede crear un usuario de IAM cuando alguien se una a su equipo o cuando cree una aplicación nueva que necesite realizar llamadas a la API de AWS.

importante

Si ha llegado a esta página mientras intentaba habilitar Amazon Advertising para una aplicación o un sitio web, consulte el tema que trata sobre cómo convertirse en un desarrollador de API de publicidad de productos.

Si ha llegado a esta página desde la consola de IAM, es posible que su cuenta no incluya usuarios de IAM aunque haya iniciado sesión. Podría haber iniciado sesión como usuario Usuario de la cuenta raíz de AWS utilizando un rol o haber iniciado sesión con credenciales temporales. Para obtener más información acerca de las identidades de IAM, consulte Identidades (usuarios, grupos y roles).

El proceso para crear un usuario y habilitarlo para que realice tareas de trabajo consta de los pasos siguientes:

  1. Cree el usuario en la Consola de administración de AWS, la AWS CLI, la Herramientas para Windows PowerShell o mediante una operación de la API de AWS. Si crea el usuario en la Consola de administración de AWS, los pasos 1 a 4 se realizan automáticamente de acuerdo con sus preferencias. Si crea los usuarios de forma programada, debe ejecutar individualmente cada uno de los pasos.

  2. Cree las credenciales del usuario en función del tipo de acceso que este requiera:

    • Programmatic access (Acceso mediante programación): puede que el usuario de IAM necesite realizar llamadas a la API o utilizar la AWS CLI o la Herramientas para Windows PowerShell. En tal caso, cree una clave de acceso (un ID de clave de acceso y una clave de acceso secreta) para ese usuario.

    • Consola de administración de AWS access (Acceso a la consola): si el usuario necesita obtener acceso a la Consola de administración de AWS, cree una contraseña para el usuario.

    Le recomendamos crear solo las credenciales que el usuario necesite. Por ejemplo, en el caso de un usuario que necesite obtener acceso únicamente mediante la Consola de administración de AWS, no cree claves de acceso.

  3. Dé al usuario permisos para realizar las tareas necesarias añadiendo el usuario a uno o varios grupos. También puede conceder permisos asociando políticas de permisos directamente al usuario. No obstante, le recomendamos que en su lugar ponga a los usuarios en grupos y que administre los permisos mediante las políticas asociadas a dichos grupos. Asimismo, puede utilizar un límite de permisos para limitar los permisos que puede tener un usuario, aunque esto no es frecuente.

  4. (Opcional) Añadir metadatos al usuario asociando etiquetas. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetado de usuarios y roles de IAM.

  5. Proporcione al usuario la información de inicio de sesión necesaria. Esto incluye la contraseña y la URL de la consola de la página de inicio de sesión de la cuenta en la que el usuario proporciona esas credenciales. Para obtener más información, consulte Cómo inician sesión en AWS los usuarios de IAM.

  6. (Opcional) Configure la autenticación multifactor (MFA) para el usuario. MFA requiere que el usuario proporcione un código de un solo uso cada vez que inicia sesión en la Consola de administración de AWS.

  7. (Opcional) Conceda a los usuarios permisos para administrar sus propias credenciales de seguridad. (De forma predeterminada, los usuarios no tienen permisos para administrar sus propias credenciales). Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

Para obtener información sobre los permisos que necesita para poder crear un usuario, consulte Permisos obligatorios para obtener acceso a recursos de IAM.

Creación de usuarios de IAM (consola)

Puede utilizar la Consola de administración de AWS para crear usuarios de IAM.

Para crear uno o varios usuarios de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Users (Usuarios) y, a continuación, elija Add user (Añadir usuario).

  3. Escriba el nombre de usuario del nuevo usuario. Este es el nombre de inicio de sesión para AWS. Si quiere añadir más de un usuario a la vez, seleccione Add another user (Añadir otro usuario) para cada usuario adicional y escriba sus nombres de usuario. Puede añadir hasta 10 usuarios al mismo tiempo.

    nota

    Los nombres de usuario pueden ser una combinación de un máximo de 64 letras, dígitos y los siguientes caracteres: más (+), igual (=), coma (,), punto (.), arroba (@), guion bajo (_) y guion (-). Los nombres deben ser únicos dentro de una cuenta. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear dos usuarios llamados TESTUSER y testuser. Para obtener más información acerca de las limitaciones impuestas a las entidades de IAM, consulte Límites de IAM y STS.

  4. Seleccione el tipo de acceso que tendrá este conjunto de usuarios. Puede seleccionar el acceso mediante programación, el acceso a la Consola de administración de AWS, o ambos.

    • Seleccione Programmatic access (Acceso mediante programación) si los usuarios necesitan obtener acceso a la API, la AWS CLI o la Herramientas para Windows PowerShell. Esto crea una clave de acceso para cada usuario nuevo. Puede ver o descargar las claves de acceso cuando llegue a la página Final.

    • Seleccione Consola de administración de AWS access (acceso a la consola) si los usuarios necesitan obtener acceso a la Consola de administración de AWS. Esto crea una contraseña para cada usuario nuevo.

    1. En Console password (Contraseña de la consola), elija una de las opciones siguientes:

      • Autogenerated password (Contraseña generada automáticamente). Cada usuario obtiene una contraseña generada de forma aleatoria que cumple la política de contraseñas de cuenta (si existe). Puede ver o descargar las contraseñas cuando llegue a la página Final.

      • Custom password (Contraseña personalizada). A cada usuario se le asigna la contraseña que se escribe en el cuadro.

    2. (Opcional) Le recomendamos que seleccione Require password reset (Requerir restablecimiento de contraseña) para asegurarse de que los usuarios estén obligados a cambiar su contraseña la primera vez que inicien sesión.

      nota

      Si no ha habilitado la opción de política de contraseña para toda la cuenta Allow users to change their own password (Permita que los usuarios cambien sus propias contraseñas), entonces seleccionar Require password reset (Obligar a restablecer contraseña) asociará automáticamente una política administrada por AWS denominada IAMUserChangePassword a los nuevos usuarios, para concederles permiso para cambiar sus propias contraseñas.

  5. Elija Next: Permissions.

  6. En la página Set permissions (Establecer permisos), especifique la forma en que quiera asignar permisos a este conjunto de nuevos usuarios. Elija una de las siguientes tres opciones:

    • Add user to group (Añadir un usuario al grupo). Seleccione esta opción si desea asignar los usuarios a uno o varios grupos que ya tienen las políticas de permisos. IAM muestra una lista de los grupos en su cuenta, junto con sus políticas asociadas. Puede seleccionar uno o varios grupos existentes o elegir Create group (Crear grupo) para crear un grupo nuevo. Para obtener más información, consulte Cambio de los permisos de un usuario de IAM.

    • Copy permissions from existing user (Copiar permisos de un usuario existente). Elija esta opción para copiar todas las suscripciones a grupos, las políticas administradas asociadas, las políticas insertadas integradas y los límites de permisos de un usuario existente en los usuarios nuevos. IAM muestra una lista de los usuarios en su cuenta. Seleccione el usuario cuyos permisos se acerquen lo máximo posible a las necesidades de los usuarios nuevos.

    • Attach existing policies to user directly (Asociar políticas existentes directamente al usuario). Elija esta opción para ver una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de la cuenta. Seleccione las políticas que desea asociar a los nuevos usuarios o elija Create policy (Crear política) para abrir una nueva pestaña del navegador y crear una nueva política desde cero. Para obtener más información, consulte el paso 4 del procedimiento Creación de políticas de IAM (Consola). Una vez creada la política, cierre la pestaña y vuelva a la pestaña original para añadir la política al nuevo usuario. Como práctica recomendada, es conveniente que primero asocie sus políticas a un grupo y después haga a los usuarios miembros de los grupos adecuados.

  7. (Opcional) Configure un límite de permisos. Esta es una característica avanzada.

    Abra la sección Set permissions boundary (Configurar límite de permisos) y elija Use a permissions boundary to control the maximum role permissions (Utilizar un límite de permisos para controlar los permisos que puede tener el rol como máximo). IAM muestra una lista de las políticas administradas por AWS y las administradas por el cliente en su cuenta. Seleccione la política que desea usar para el límite de permisos o elija Create policy (Crear política) para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte el paso 4 del procedimiento Creación de políticas de IAM (Consola). Una vez creada la política, cierre la pestaña y vuelva a la pestaña original para seleccionar la política que va a usar para el límite de permisos.

  8. Elija Next: Tags (Siguiente: Etiquetas).

  9. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetado de usuarios y roles de IAM.

  10. Elija Next: Review (Siguiente. Revisar) para ver todas las opciones que ha realizado hasta este punto. Cuando esté listo para continuar, elija Create user.

  11. Para ver las claves de acceso de los usuarios (los ID de las claves de acceso y las claves de acceso secretas), elija Show (Mostrar) junto a cada contraseña y clave de acceso secreta que desee ver. Para guardar las claves de acceso, elija Download .csv (Descargar .csv) y, a continuación, guarde el archivo en un lugar seguro.

    importante

    Esta es la única oportunidad que tiene para ver o descargar las claves de acceso secretas, y debe proporcionar dicha información a los usuarios para que puedan usar la API de AWS. Guarde el nuevo ID de clave de acceso del usuario y la clave de acceso secreta en un lugar seguro. No volverá a tener acceso a la clave de acceso secreta después de este paso.

  12. Proporcione a cada usuario sus credenciales. En la página final puede elegir Send email (Enviar correo electrónico) junto a cada usuario. Su cliente de correo local se abrirá con un borrador que puede personalizar y enviar. La plantilla de correo electrónico contiene los detalles siguientes por cada usuario:

    • Nombre de usuario

    • URL de la página de inicio de sesión de la cuenta. Utilice el ejemplo siguiente y realice la sustitución con el número de ID o de alias de cuenta correcto:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    Para obtener más información, consulte Cómo inician sesión en AWS los usuarios de IAM.

    importante

    La contraseña del usuario no está incluida en el correo electrónico. Debe proporcionarla al cliente de forma que cumpla con las directrices de seguridad de su organización.

Creación de usuarios de IAM (AWS CLI)

Puede utilizar la AWS CLI para crear un usuario de IAM.

Para crear un usuario de IAM (AWS CLI)

  1. Crear un usuario.

  2. (Opcional) Dar al usuario acceso a la Consola de administración de AWS. Esto requiere una contraseña. También debe dar a los usuarios la URL de la página de inicio de sesión de su cuenta.

  3. (Opcional) Dar al usuario acceso mediante programación. Esto requiere claves de acceso.

    • aws iam create-access-key

    • Herramientas para Windows PowerShell: New-IAMAccessKey

    • API de IAM: CreateAccessKey

      importante

      Esta es la única oportunidad que tiene para ver o descargar las claves de acceso secretas, y debe proporcionar dicha información a los usuarios para que puedan usar la API de AWS. Guarde el nuevo ID de clave de acceso del usuario y la clave de acceso secreta en un lugar seguro. No volverá a tener acceso a la clave de acceso secreta después de este paso.

  4. Añadir el usuario a uno o varios grupos. Los grupos que especifique deben tener políticas asociadas que concedan los permisos pertinentes para el usuario.

  5. (Opcional) Asociar una política al usuario que defina los permisos del usuario. Nota: le recomendamos que administre los permisos de usuario añadiendo el usuario a un grupo y asociando una política al grupo en lugar de asociarla directamente a un usuario.

  6. (Opcional) Añadir los atributos personalizados al usuario asociando etiquetas. Para obtener más información, consulte Administración de etiquetas en entidades de IAM (AWS CLI o API de AWS).

  7. (Opcional) Dar al usuario permiso para administrar sus propias credenciales de seguridad. Para obtener más información, consulte AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página My Security Credentials (Mis credenciales de seguridad).

Creación de usuarios de IAM (API de AWS)

Puede utilizar la API de AWS para crear un usuario de IAM.

Para crear un usuario de IAM desde la (API de AWS)

  1. Crear un usuario.

  2. (Opcional) Dar al usuario acceso a la Consola de administración de AWS. Esto requiere una contraseña. También debe dar a los usuarios la URL de la página de inicio de sesión de su cuenta.

  3. (Opcional) Dar al usuario acceso mediante programación. Esto requiere claves de acceso.

    • CreateAccessKey

      importante

      Esta es la única oportunidad que tiene para ver o descargar las claves de acceso secretas, y debe proporcionar dicha información a los usuarios para que puedan usar la API de AWS. Guarde el nuevo ID de clave de acceso del usuario y la clave de acceso secreta en un lugar seguro. No volverá a tener acceso a la clave de acceso secreta después de este paso.

  4. Añadir el usuario a uno o varios grupos. Los grupos que especifique deben tener políticas asociadas que concedan los permisos pertinentes para el usuario.

  5. (Opcional) Asociar una política al usuario que defina los permisos del usuario. Nota: le recomendamos que administre los permisos de usuario añadiendo el usuario a un grupo y asociando una política al grupo en lugar de asociarla directamente a un usuario.

  6. (Opcional) Añadir los atributos personalizados al usuario asociando etiquetas. Para obtener más información, consulte Administración de etiquetas en entidades de IAM (AWS CLI o API de AWS).

  7. (Opcional) Dar al usuario permiso para administrar sus propias credenciales de seguridad. Para obtener más información, consulte AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página My Security Credentials (Mis credenciales de seguridad).