AWS Identity and Access Management
Guía del usuario

Introducción a la administración de identidades: los usuarios

Para mejorar la seguridad y la organización, puede otorgar acceso a su cuenta de AWS a usuarios específicos; es decir, identidades que crea con permisos personalizados. Puede simplificar aún más el acceso a dichos usuarios federando las identidades existentes en AWS.

Solo para el primer acceso: sus credenciales de usuario raíz

Cuando crea una cuenta de AWS, crea una identidad de usuario Usuario de la cuenta raíz de AWS que utiliza para iniciar sesión en AWS. Puede iniciar sesión en la Consola de administración de AWS utilizando esta identidad de usuario usuario raíz, es decir, la dirección de correo electrónico y la contraseña que proporcionó al crear la cuenta. Esta combinación de dirección de su correo electrónico y contraseña también se denomina credenciales de usuario usuario raíz.

Cuando utiliza sus credenciales de usuario usuario raíz tiene acceso completo y sin restricciones a todos los recursos de su cuenta de AWS, incluidos el acceso a la información de facturación y la capacidad para cambiar la contraseña. Este nivel de acceso es necesario la primera vez que configura su cuenta. Sin embargo, recomendamos que no utilice las credenciales de usuario raíz para el acceso diario. Le recomendamos especialmente que no comparta sus credenciales de usuario usuario raíz con nadie porque si lo hace les dará acceso no restringido a su cuenta. No es posible restringir los permisos que se conceden al usuario usuario raíz.

En las secciones siguientes se explica cómo utilizar IAM para crear y administrar los permisos y las identidades de los usuarios para limitar y proteger el acceso a los recursos de AWS, tanto para usted mismo como para otros usuarios que necesiten trabajar con los recursos de AWS.

Usuarios de IAM

El aspecto relativo a la "identidad" de AWS Identity and Access Management (IAM) le es útil con la pregunta "¿Quién es ese usuario?", que a menudo recibe el nombre autenticación. En lugar de compartir sus credenciales de usuario raíz con otras personas, puede crear usuarios de IAM individuales dentro de su cuenta para usuarios de su organización. Los usuarios de IAM no son cuentas separadas, sino que son usuarios dentro de su cuenta. Cada usuario puede tener su propia contraseña para obtener acceso a la Consola de administración de AWS. También puede crear una clave de acceso individual para cada usuario, de modo que el usuario puede realizar solicitudes programadas para trabajar con recursos de su cuenta. En la figura siguiente, se han agregado los usuarios Li, Mateo, DevApp1, DevApp2, TestApp1 y TestApp2 a una única cuenta de AWS. Cada usuario tiene sus propias credenciales.


        Una cuenta de AWS con usuarios de IAM individuales, cada uno de los cuales tiene credenciales.

Observe que algunos de los usuarios son en realidad aplicaciones (por ejemplo, DevApp1). Un usuario de IAM no tiene que representar a una persona real; puede crear un usuario de IAM para generar una clave de acceso para una aplicación que se ejecuta en la red de su empresa y necesita acceso a AWS.

Le recomendamos que se cree un usuario de IAM para usted mismo y que se asigne permisos administrativos para su cuenta. Después podrá iniciar sesión como ese usuario para añadir más usuarios según sea necesario.

Federación de usuarios ya existentes

Si los usuarios de su organización ya tienen una forma de autenticarse, por ejemplo, iniciando sesión en la red de la empresa, no es necesario que cree usuarios de IAM independientes para ellos. En su lugar, puede federar esas identidades de usuario en AWS.

En el siguiente diagrama se muestra la forma en que un usuario puede utilizar IAM para obtener credenciales de seguridad temporales de AWS para obtener acceso a recursos de su cuenta de AWS.


        Los usuarios que ya están autenticado en otras partes pueden federarse en AWS sin necesidad de un usuario de IAM.

La federación es especialmente útil en los casos siguientes:

  • Sus usuarios ya disponen de identidades en un directorio corporativo.

    Si su directorio corporativo es compatible con Security Assertion Markup Language 2.0 (SAML 2.0), puede configurar su directorio corporativo para proporcionar acceso de inicio de sesión único (SSO) a la Consola de administración de AWS a sus usuarios. Para obtener más información, consulte Escenarios habituales en las credenciales temporales.

    Si su directorio corporativo no es compatible con SAML 2.0, puede crear una aplicación de agente de identidades para proporcionar acceso de inicio de sesión único (SSO) a la Consola de administración de AWS a sus usuarios. Para obtener más información, consulte Creación de una dirección URL que permita a los usuarios federados obtener acceso a la Consola de administración de AWS (agente de federación personalizada).

    Si su directorio corporativo es Microsoft Active Directory, puede utilizar AWS Directory Service para establecer una relación de confianza entre su directorio corporativo y su cuenta de AWS.

  • Sus usuarios ya disponen de identidades de Internet.

    Si está creando una aplicación móvil o una aplicación basada en web que permita que los usuarios se identifiquen mediante un proveedor de identidades de Internet como Login with Amazon, Facebook, Google o cualquier proveedor de identidades compatible con OpenID Connect (OIDC), la aplicación puede utilizar una federación para obtener acceso a AWS. Para obtener más información, consulte Acerca de identidades web federadas.

    Sugerencia

    Para utilizar las identidades federadas con proveedores de identidades de Internet, le recomendamos que utilice Amazon Cognito.