Proteja las credenciales de usuario raíz para evitar el uso no autorizado Utilizar una contraseña de usuario raíz segura para ayudar a proteger el acceso Proteja el inicio de sesión del usuario raíz con autenticación multifactor (MFA)No crear claves de acceso para el usuario raíz Utilice la aprobación de varias personas para el inicio de sesión del usuario raíz siempre que sea posible Utilice una dirección de correo de un grupo para las credenciales de usuario raíz Limite el acceso a los mecanismos de recuperación de cuentas Proteja las credenciales de usuario raíz de su cuenta de Organizations Supervise el acceso y el uso

Prácticas recomendadas para el usuario raíz para la Cuenta de AWS

Cuando crea una Cuenta de AWS por primera vez, comienza con un conjunto predeterminado de credenciales con acceso completo a todos los recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS. Se recomienda encarecidamente no acceder al usuario raíz de la Cuenta de AWS a menos que exista una tarea que requiera credenciales de usuario raíz. Debe proteger las credenciales de usuario raíz y los mecanismos de recuperación de la cuenta para asegurarse de no exponer las credenciales dotadas de muchos privilegios a un uso no autorizado.

En lugar de acceder al usuario raíz, cree un usuario administrativo para las tareas cotidianas.

En el caso de una Cuenta de AWS única e independiente, consulte Creación de un usuario con acceso administrativo.
Si se trata de varias Cuentas de AWS administradas mediante AWS Organizations, consulte Set up Cuenta de AWS access for an IAM Identity Center administrative user.

Con el usuario administrativo podrá crear identidades adicionales para los usuarios que necesiten acceder a los recursos de la Cuenta de AWS. Se recomienda encarecidamente exigir que los usuarios se autentiquen con credenciales temporales al acceder a AWS.

En el caso de una Cuenta de AWS única e independiente, utilice Roles de IAM para crear identidades en la cuenta con permisos específicos. Los roles están pensados para que los pueda asumir cualquier persona que los necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, tales como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. A diferencia de los roles de IAM, los Usuarios de IAM tienen credenciales a largo plazo, tales como contraseñas y claves de acceso. Siempre que sea posible, las prácticas recomendadas sugieren emplear credenciales temporales, en lugar de crear usuarios de IAM con credenciales a largo plazo como contraseñas y claves de acceso.
En el caso de varias Cuentas de AWS administradas mediante Organizations, utilice usuarios de personal de IAM Identity Center. Con IAM Identity Center, puede administrar de manera centralizada los usuarios de sus Cuentas de AWS y los permisos de esas cuentas. Administre las identidades de los usuarios con IAM Identity Center o desde un proveedor de identidades externo. Para obtener más información, consulte ¿Qué es AWS IAM Identity Center? en la Guía del usuario de AWS IAM Identity Center.

Temas

Proteja las credenciales de usuario raíz para evitar el uso no autorizado
Utilizar una contraseña de usuario raíz segura para ayudar a proteger el acceso
Proteja el inicio de sesión del usuario raíz con autenticación multifactor (MFA)
No crear claves de acceso para el usuario raíz
Utilice la aprobación de varias personas para el inicio de sesión del usuario raíz siempre que sea posible
Utilice una dirección de correo de un grupo para las credenciales de usuario raíz
Limite el acceso a los mecanismos de recuperación de cuentas
Proteja las credenciales de usuario raíz de su cuenta de Organizations
Supervise el acceso y el uso

Proteja las credenciales de usuario raíz para evitar el uso no autorizado

Proteja las credenciales de usuario raíz y utilícelas solo para las tareas que las requieren. Para evitar el uso no autorizado, no comparta la contraseña de usuario raíz, la MFA, las claves de acceso, los pares de claves de CloudFront ni los certificados de firma con nadie, excepto con aquellas personas que tengan una necesidad estrictamente empresarial de acceder al usuario raíz.

No guarde la contraseña de usuario raíz con herramientas que dependan de Servicios de AWS en una cuenta a la que se acceda con la misma contraseña. Si pierde u olvida la contraseña de usuario raíz, no podrá acceder a estas herramientas. Se recomienda que priorice la resiliencia y considere la posibilidad de solicitar que dos o más personas autoricen el acceso a la ubicación de almacenamiento. Se debe registrar y supervisar el acceso a la contraseña o a su ubicación de almacenamiento.

Utilizar una contraseña de usuario raíz segura para ayudar a proteger el acceso

Se recomienda utilizar una contraseña segura y única. Herramientas como los administradores de contraseñas con algoritmos de generación de contraseñas seguras pueden ayudar a lograr estos objetivos. AWS requiere que la contraseña cumpla las siguientes condiciones:

Debe tener 8 caracteres como mínimo y 128 como máximo.
Debe incluir, como mínimo, tres de estos tipos de caracteres combinados: mayúsculas, minúsculas, números y símbolos ! @ # $ % ^ & * () <> [] {} | _+-=.
No debe ser idéntica al nombre de la Cuenta de AWS ni a la dirección de correo electrónico.

Para obtener más información, consulte Cambiar la contraseña para Usuario raíz de la cuenta de AWS.

Proteja el inicio de sesión del usuario raíz con autenticación multifactor (MFA)

Dado que un usuario raíz puede realizar acciones privilegiadas, es fundamental agregar MFA para el usuario raíz como segundo factor de autenticación, además de la dirección de correo electrónico y la contraseña como credenciales de inicio de sesión. Se recomienda encarecidamente habilitar varias MFA para las credenciales de usuario raíz, con el fin de dotar de flexibilidad y resiliencia adicionales a su estrategia de seguridad. Puede registrar hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA admitidos actualmente con el usuario raíz de la Cuenta de AWS.

Las claves de seguridad de hardware certificadas por FIDO las proporcionan proveedores externos. Para obtener más información, consulte Habilitación de una clave de seguridad FIDO para el usuario raíz de la Cuenta de AWS.
Dispositivo de hardware que genera un código numérico de seis dígitos basado en el algoritmo de contraseña temporal de un solo uso (TOTP). Para obtener más información, consulte Habilitación de un token TOTP de hardware para el usuario raíz de la Cuenta de AWS.
Aplicación de autenticador virtual que se ejecuta en un teléfono u otro dispositivo y emula un dispositivo físico. Para obtener más información, consulte Habilitación de un dispositivo MFA virtual para su usuario raíz de la Cuenta de AWS.

No crear claves de acceso para el usuario raíz

Las claves de acceso permiten ejecutar comandos en la interfaz de línea de comandos de AWS (AWS CLI) o utilizar operaciones de la API de alguno de los AWS SDK. Se recomienda encarecidamente que no cree pares de claves de acceso para el usuario raíz, ya que el usuario raíz tiene acceso total a todos los Servicios de AWS y recursos de la cuenta, incluida la información de facturación.

Dado que el usuario raíz solo es necesario en pocas tareas y, por lo general, esas tareas se realizan con poca frecuencia, se recomienda iniciar sesión en la AWS Management Console para realizar las tareas del usuario raíz. Antes de crear claves de acceso, revise las alternativas a las claves de acceso a largo plazo.

Utilice la aprobación de varias personas para el inicio de sesión del usuario raíz siempre que sea posible

Considere la posibilidad de utilizar la aprobación de varias personas para garantizar que ninguna persona pueda acceder tanto a la MFA como a la contraseña del usuario raíz. Algunas empresas agregan una capa de seguridad adicional configurando un grupo de administradores con acceso a la contraseña y otro grupo de administradores con acceso a la MFA. Un miembro de cada grupo debe dar su visto bueno para iniciar sesión con las credenciales de usuario raíz.

Utilice una dirección de correo de un grupo para las credenciales de usuario raíz

Utilice una dirección de correo electrónico que esté administrada por su empresa y reenvíe los mensajes recibidos directamente a un grupo de usuarios. Si AWS debe contactar con el propietario de la cuenta, este enfoque reduce el riesgo de retrasos en la respuesta, incluso si la persona en cuestión está de vacaciones, se enferma o deja la empresa. La dirección de correo electrónico utilizada para el usuario raíz no debe utilizarse para otros fines.

Limite el acceso a los mecanismos de recuperación de cuentas

Asegúrese de desarrollar un proceso para administrar los mecanismos de recuperación de credenciales de usuario raíz en caso de que necesite acceder en caso de emergencia, como, por ejemplo, una apropiación de su cuenta administrativa.

Asegúrese de tener acceso a la bandeja de entrada de correo electrónico del usuario raíz para poder restablecer la contraseña de usuario raíz en caso de pérdida u olvido.
Si la MFA del usuario raíz de la Cuenta de AWS se pierde, se daña o no funciona, puede iniciar sesión con otra MFA registrada con las mismas credenciales de usuario raíz. Si pierde el acceso a todas sus MFA, necesitará que tanto el número de teléfono como el correo electrónico que utilizó para registrar su cuenta estén actualizados y sean accesibles para recuperar la MFA. Para obtener más información, consulte Recuperación de un dispositivo MFA de usuario raíz.
Si decide no almacenar la contraseña de usuario raíz y la MFA, se puede utilizar el número de teléfono registrado en su cuenta como forma alternativa de recuperar las credenciales de usuario raíz. Asegúrese de tener acceso al número de teléfono de contacto, mantenga ese número de teléfono actualizado y limite quién tiene acceso para administrarlo.

Ninguna persona debe tener acceso tanto a la bandeja de entrada de correo electrónico como al número de teléfono, ya que ambas cosas son canales de verificación para recuperar la contraseña de usuario raíz. Es importante contar con dos grupos de personas encargadas de administrar estos canales. Un grupo que tenga acceso a la dirección de correo electrónico principal y otro grupo que tenga acceso al número de teléfono principal para recuperar el acceso a la cuenta como usuario raíz.

Proteja las credenciales de usuario raíz de su cuenta de Organizations

Al pasar a una estrategia de múltiples cuentas con Organizations, cada una de esas Cuentas de AWS tiene sus propias credenciales de usuario raíz que se deben proteger. La cuenta que se utiliza para crear la organización es la cuenta de administración, y el resto de cuentas de la organización son cuentas miembro.

Proteja las credenciales de usuario raíz de las cuentas miembro

Si utiliza Organizations para administrar varias cuentas, existen dos estrategias que puede adoptar para proteger el acceso del usuario raíz en Organizations.

Proteja las credenciales de usuario raíz de las cuentas de Organizaciones con MFA.
No restablezca la contraseña de usuario raíz de sus cuentas, y solo recupere el acceso cuando sea necesario mediante el proceso de restablecimiento de la contraseña. Cuando crea una cuenta miembro en su organización, Organizations crea automáticamente un rol de IAM en la cuenta miembro que permite a la cuenta de administración acceder temporalmente a la cuenta miembro.

Para obtener más información, consulte Acceso a las cuentas miembro de la organización en la Guía del usuario de Organizations.

Establezca controles de seguridad preventivos en Organizations mediante una política de control de servicio (SCP)

Si utiliza Organizations para administrar varias cuentas, puede aplicar una SCP para restringir el acceso al usuario raíz de las cuentas miembro. Impedir todas las acciones relacionadas con el usuario raíz en las cuentas miembro, excepto algunas acciones específicas que lo necesitan, ayuda a evitar el acceso no autorizado. Para obtener más información, consulte Utilice una SCP para restringir lo que puede hacer el usuario raíz en sus cuentas de miembro

Supervise el acceso y el uso

Se recomienda que utilice sus mecanismos de seguimiento actuales para supervisar, alertar e informar sobre el inicio de sesión y el uso de credenciales de usuario raíz, incluyendo alertas que anuncien el inicio de sesión y el uso del usuario raíz. Los siguientes servicios pueden ayudar a garantizar el seguimiento del uso de las credenciales de usuario raíz, así como a realizar controles de seguridad que pueden ayudar a evitar el uso no autorizado.

Si desea recibir notificaciones sobre actividad de inicio de sesión del usuario raíz en su cuenta, puede servirse de Amazon CloudWatch para crear una regla de Eventos que detecte cuándo se utilizan las credenciales de usuario raíz y active una notificación al administrador de seguridad. Para obtener más información, consulte Monitor and notify on Cuenta de AWS root user activity.
Si desea configurar notificaciones que le avisen de acciones aprobadas para el usuario raíz, puede servirse de Amazon EventBridge junto con Amazon SNS para escribir una regla de EventBridge que realice un seguimiento del uso del usuario raíz para la acción en cuestión y le notifique mediante un tema de Amazon SNS. Para ver un ejemplo, consulte Send a notification when an Amazon S3 object is created.
Si ya utiliza GuardDuty como servicio de detección de amenazas, puede ampliar su capacidad para que le notifique cuando se utilicen credenciales de usuario raíz en su cuenta.

Las alertas deben incluir, entre otras cosas, la dirección de correo electrónico del usuario raíz. Establezca procedimientos sobre cómo responder a las alertas para que el personal que reciba una alerta de acceso de usuario raíz sepa cómo comprobar si se espera el acceso de usuario raíz y cómo escalar la cuestión si piensa que se está produciendo un incidente de seguridad. Para ver un ejemplo sobre cómo configurar las alertas, consulte Monitor and notify on Cuenta de AWS root user activity.

Evalúe la conformidad con la MFA del usuario raíz

AWS Config utiliza reglas para ayudar a aplicar las mejores prácticas para el usuario raíz. Puede utilizar reglas administradas de AWS para exigir que los usuarios raíz tengan habilitada la autenticación multifactor (MFA). AWS Config también puede identificar claves de acceso del usuario raíz.
Security Hub ofrece una vista integral del estado en cuanto a seguridad en AWS y ayuda a evaluar el entorno de AWS con respecto a prácticas recomendadas y estándares del sector de seguridad, tales como disponer de MFA en el usuario raíz y no tener claves de acceso de usuario raíz. Para obtener más información sobre las reglas disponibles, consulte AWS Identity and Access Management controls en la Guía del usuario de Security Hub.
Trusted Advisor proporciona un control de seguridad para saber si la MFA no está activada en la cuenta de usuario raíz. Para obtener más información, consulte MFA on Root Account en la Guía del usuario de AWS Support.

Si necesita comunicar un problema de seguridad en su cuenta, consulte Informar acerca de correos electrónicos sospechosos o Informes de vulnerabilidades. Como alternativa, puede ponerse en contacto con AWS para obtener ayuda y orientación adicional.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas de seguridad

Casos de uso empresariales