Administración de usuarios de IAM - AWS Identity and Access Management
Ver acceso de usuarioEnumeración de usuarios de IAMCambio de nombre de un usuario de IAMEliminación de un usuario de IAMDesactivación de un usuario de IAM

Administración de usuarios de IAM

nota

Como práctica recomendada, le recomendamos que exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales. Si sigue las prácticas recomendadas, no estará administrando usuarios ni grupos de IAM. En cambio, sus usuarios y grupos se administran fuera de AWS y pueden acceder a los recursos de AWS como una identidad federada. Una identidad federada es un usuario del directorio de usuarios de su empresa, un proveedor de identidades web, AWS Directory Service, el directorio de Identity Center o cualquier usuario que acceda a los servicios de AWS con credenciales proporcionadas a través de una fuente de identidades. Las identidades federadas utilizan los grupos definidos por su proveedor de identidades. Si utiliza AWS IAM Identity Center, consulte Manage identities in IAM Identity Center (Administración de identidades en IAM Identity Center) en la Guía del usuario de AWS IAM Identity Center para obtener información sobre la creación de usuarios y grupos en IAM Identity Center.

Amazon Web Services ofrece varias herramientas para administrar los usuarios de IAM en su Cuenta de AWS. Puede enumerar los usuarios de IAM de su cuenta o de un grupo de usuario o enumerar todos los grupos de usuario a los que pertenece un usuario. Puede cambiar el nombre o cambiar la ruta de un usuario de IAM. Si va a utilizar identidades federadas en lugar de usuarios de IAM, puede eliminar un usuario de IAM de su cuenta de AWS o desactivarlo.

Para obtener más información sobre cómo agregar, modificar o eliminar las políticas administradas para un usuario de IAM, consulte Cambio de los permisos de un usuario de IAM. Para obtener información acerca de la administración de las políticas insertadas para usuarios de IAM, consulte Adición y eliminación de permisos de identidad de IAM, Edición de políticas de IAM y Eliminación de políticas de IAM. Como práctica recomendada, utilice políticas administradas en lugar de políticas en línea. Las políticas administradas de AWS conceden permisos para muchos casos de uso comunes. Tenga presente que es posible que las políticas administradas de AWS no concedan permisos de privilegios mínimos para sus casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. En consecuencia, se recomienda reducir aún más los permisos definiendo políticas administradas por el cliente específicas para sus casos de uso. Para obtener más información, consulte Políticas administradas de AWS. Para obtener más información acerca de las políticas administradas AWS que están diseñadas para funciones de trabajo específicas, consulte Managed Policies de AWS para funciones de trabajo.

Para obtener información acerca de validar las políticas de IAM, consulte Validación de políticas de IAM.

sugerencia

El Analizador de acceso de IAM puede analizar los servicios y acciones que utilizan sus roles de IAM y, a continuación, generar una política detallada que puede utilizar. Después de probar cada política generada, puede implementarla en el entorno de producción. Eso garantiza que solo se concedan los permisos necesarios a las cargas de trabajo. Para obtener más información acerca de la generación de políticas, consulte Generación de políticas de IAM Access Analyzer.

Para obtener información sobre cómo administrar las contraseñas de usuario de IAM, consulte Administración de las contraseñas de los usuarios de IAM.

Ver acceso de usuario

Antes de eliminar un usuario debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte Perfeccionar los permisos con la información sobre los últimos accesos en AWS.

Enumeración de usuarios de IAM

Puede enumerar los usuarios de IAM de su Cuenta de AWS o de un determinado grupo de usuarios de IAM y enumerar todos los grupos de usuarios a los que pertenece un usuario. Para obtener información sobre los permisos que necesita para poder enumerar los usuarios, consulte Permisos obligatorios para obtener acceso a recursos de IAM.

Para enumerar todos los usuarios de la cuenta

Para obtener una lista de los usuarios en un grupo específico de usuarios

Para listar todos los grupos de usuarios en los que se encuentra un usuario

Cambio de nombre de un usuario de IAM

Para cambiar el nombre de un usuario o ruta, debe utilizar la AWS CLI, Tools for Windows PowerShell o API de AWS. No hay ninguna otra opción en la consola para cambiar el nombre de un usuario. Para obtener información sobre los permisos que necesita para poder cambiar el nombre de un usuario, consulte Permisos obligatorios para obtener acceso a recursos de IAM.

Al cambiar la ruta de acceso o el nombre de un usuario, ocurrirá lo siguiente:

  • Cualquier política asociada al usuario permanecerá con el usuario con el nuevo nombre.

  • El usuario permanecerá en los mismos grupos de usuario con el nuevo nombre.

  • El ID único del usuario seguirá siendo el mismo. Para obtener más información sobre los ID únicos, consulte Identificadores únicos.

  • Cualquier política de recurso o rol que haga referencia al usuario como principal (se concede acceso al usuario) se actualizará automáticamente para utilizar el nuevo nombre o ruta de acceso. Por ejemplo, las políticas basadas en colas de Amazon SQS o las políticas basadas en recursos de Amazon S3 se actualizarán automáticamente para utilizar el nuevo nombre y ruta de acceso.

IAM no actualizará automáticamente políticas que hagan referencia al usuario como recurso para utilizar el nuevo nombre o ruta de acceso; debe hacerlo manualmente. Por ejemplo, imagine que el usuario Richard tiene una política asociada a él que le permite administrar sus credenciales de seguridad. Si un administrador cambia el nombre de Richard a Rich, el administrador también debe actualizar dicha política para cambiar el recurso de:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

a este:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

Lo mismo sucede si un administrador cambia la ruta de acceso; el administrador debe actualizar la política para reflejar la nueva ruta de acceso para el usuario.

Para cambiar el nombre de un usuario

Eliminación de un usuario de IAM

Puede eliminar un usuario de IAM de su Cuenta de AWS si alguien deja de trabajar en su empresa. Si el usuario está ausente temporalmente, puede desactivar el acceso del usuario en lugar de eliminarlo de la cuenta como se describe en Desactivación de un usuario de IAM.

Si eliminas un usuario IAM (Consola)

Al utilizar la AWS Management Console para eliminar un usuario de IAM, IAM eliminará automáticamente la siguiente información:

  • El usuario

  • Cualquier suscripción a un grupo de usuarios, es decir el usuario se eliminará de cualquier grupo de IAM al que el usuario haya pertenecido

  • Cualquier contraseña asociada al usuario

  • Cualquier clave de acceso que pertenezca al usuario

  • Todas las políticas insertadas en el usuario (las políticas que se aplican a un usuario a través de los permisos de grupo de usuarios no se verán afectadas)

    nota

    IAM elimina las políticas administradas adjuntas al usuario cuando se elimina el usuario, pero no elimina las políticas administradas.

  • Cualquier dispositivo MFA asociado

Para eliminar un usuario de IAM (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Usuarios y, a continuación, seleccione la casilla de verificación junto al nombre del rol que desee eliminar.

  3. En la parte superior de la página, elija Delete (Eliminar).

  4. En el cuadro de diálogo de confirmación, ingrese el nombre de usuario en el campo de entrada de texto para confirmar la eliminación del usuario. Elija Delete (Eliminar).

Eliminación de un usuario de IAM (AWS CLI)

A diferencia de la AWS Management Console, a la hora de eliminar un usuario con la AWS CLI debe eliminar los elementos adjuntos al usuario manualmente. Este procedimiento ilustra el proceso.

Para eliminar un usuario de su cuenta (AWS CLI)

  1. Elimine la contraseña de usuario, si el usuario dispone de una.

    aws iam delete-login-profile

  2. Elimine las claves de acceso de usuario, si el usuario dispone de ellas.

    aws iam list-access-keys (para generar una lista de las claves de acceso del usuario) y aws iam delete-access-key

  3. Elimine el certificado de firma del usuario. Tenga en cuenta que al eliminar una credencial de seguridad, ya nunca más podrá recuperarla.

    aws iam list-signing-certificates (para generar una lista de los certificados de firma del usuario) y aws iam delete-signing-certificate

  4. Elimine la clave pública SSH del usuario, si el usuario dispone de ella.

    aws iam list-ssh-public-keys (para generar una lista de las claves públicas SSH del usuario) y aws iam delete-ssh-public-key

  5. Elimine las credenciales de Git del usuario.

    aws iam list-service-specific-credentials (para generar una lista de las credenciales de Git del usuario) y aws iam delete-service-specific-credential

  6. Desactive el dispositivo Multi-Factor Authentication (MFA) del usuario, si este dispone de uno.

    aws iam list-mfa-devices (para generar una lista de los dispositivos MFA del usuario), aws iam deactivate-mfa-device (para desactivar el dispositivo) y aws iam delete-virtual-mfa-device (para eliminar de forma permanente un dispositivo de MFA virtual)

  7. Elimine las políticas insertadas del usuario.

    aws iam list-user-policies (para generar una lista de las políticas insertadas para el usuario) y aws iam delete-user-policy (para eliminar la política)

  8. Desasocie cualquier política administrada que esté asociada al usuario.

    aws iam list-attached-user-policies (para genear una lista de las políticas administradas adjuntas al usuario) y aws iam detach-user-policy (para desasociar la política)

  9. Elimine el usuario de cualquier grupo de usuarios en el que se encuentre.

    aws iam list-groups-for-user (para generar una lista de los grupos de usuarios a los que pertenece el usuario) y aws iam remove-user-from-group

  10. Elimine el usuario.

    aws iam delete-user

Desactivación de un usuario de IAM

Puede que tenga que desactivar un usuario de IAM mientras esté temporalmente fuera de su empresa. Puede dejar sus credenciales de usuario de IAM en su lugar y seguir bloqueando su acceso a AWS.

Para desactivar un usuario, cree y asocie una política para denegar el acceso del usuario a AWS. Puede restaurar el acceso del usuario más adelante.

A continuación se muestran dos ejemplos de políticas de denegación que puede asociar a un usuario para denegar su acceso.

La siguiente política no incluye un límite de tiempo. Debe eliminar la política para restaurar el acceso del usuario.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

La siguiente política incluye una condición que inicia la política el 24 de diciembre de 2024 a las 23:59 h (UTC) y la termina el 28 de febrero de 2025 a las 23:59 h (UTC).

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}