Cómo inician sesión los usuarios de IAM en AWS - AWS Identity and Access Management

Cómo inician sesión los usuarios de IAM en AWS

Para iniciar sesión en AWS Management Console como usuario de IAM, debe proporcionar el ID de la cuenta o alias de la cuenta además de su nombre de usuario y contraseña. Cuando su administrador creó su usuario de IAM en la consola, deberían haberle enviado sus credenciales de inicio de sesión, incluido su nombre de usuario y la URL a la página de inicio de sesión de su cuenta que incluye tu ID de cuenta o alias de cuenta.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
Sugerencia

Para crear un marcador en la página de inicio de sesión de la cuenta en el navegador web, debe escribir manualmente la URL de dicho inicio de sesión de su cuenta en la entrada de marcador. No utilice la función de marcador del navegador web, porque las redirecciones podrían ocultar la URL de inicio de sesión.

También puede iniciar sesión en el siguiente punto de enlace de inicio de sesión general y escribir manualmente el ID de la cuenta o alias de la cuenta:

https://console.aws.amazon.com/

Para su comodidad, en la página de inicio de sesión de AWS se utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. La próxima vez que el usuario vaya a cualquier página en AWS Management Console, la consola utiliza la cookie para redirigir al usuario a la página de inicio de sesión de la cuenta.

Solo tiene acceso a los recursos de AWS que su administrador especifica en la política que está asociada a su identidad de usuario de IAM. Para trabajar en la consola, usted debe disponer de permisos para llevar a cabo las acciones propias de la consola, como enumerar y crear recursos de AWS. Para obtener más información, consulte Recursos de AWS para administración de acceso y Ejemplos de políticas basadas en identidad de IAM.

nota

Si su organización ya cuenta con un sistema de identidad, puede ser conveniente crear una opción de inicio de sesión único (SSO). SSO proporciona a los usuarios acceso a la AWS Management Console para su cuenta, aunque no dispongan de una identidad de usuario de IAM. El SSO también elimina la necesidad de que los usuarios inicien sesión por separado en el sitio web de la organización y en AWS. Para obtener más información, consulte Permitir el acceso del agente de identidades personalizadas a la consola de AWS.

Registro de los detalles de inicio de sesión en CloudTrail

Si habilita CloudTrail para registrar los eventos de inicio de sesión en los registros, sea consciente del modo en que CloudTrail elige dónde registrar los eventos.

  • Si los usuarios inician sesión directamente en una consola, se les redirige a un punto de enlace de inicio de sesión global o regional, en función de si la consola de servicios seleccionada admite las regiones. Por ejemplo, la página de inicio de la consola admite las regiones, por lo que si inicia sesión en la URL siguiente:

    https://alias.signin.aws.amazon.com/console

    se le redirigirá a un punto de enlace de inicio de sesión regional, por ejemplo https://us-east-2.signin.aws.amazon.com, lo que se traduce en una entrada de log de CloudTrail regional en el registro de la región del usuario:

    Por otra parte, la consola de Amazon S3 no admite las regiones, por lo que si inicia sesión con la URL siguiente

    https://alias.signin.aws.amazon.com/console/s3

    AWS le redirige al punto de enlace de inicio de sesión global en https://signin.aws.amazon.com, lo que se traduce en una entrada de registro de CloudTrail global.

  • Puede solicitar manualmente un determinado punto de enlace de inicio de sesión regional iniciando sesión en la página de inicio principal de la consola habilitada para regiones, mediante una sintaxis de URL como la siguiente:

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS le redirige al punto de enlace de inicio de sesión regional ap-southeast-1, lo que se traduce en un evento de registro de CloudTrail regional.

Para obtener más información acerca de CloudTrail e IAM, consulte Registro de eventos de IAM con CloudTrail .

Si los usuarios necesitan acceso programático para trabajar con su cuenta, puede crear un par de claves de acceso (un ID de clave de acceso y una clave de acceso secreta) para cada usuario. Sin embargo, hay alternativas más seguras que hay que tener en cuenta antes de crear claves de acceso para los usuarios. Para más información, consulte Consideraciones y alternativas para las claves de acceso a largo plazo en la Guía de la Referencia general de AWS.