No puedo iniciar sesión en mi cuenta AWS He perdido mi claves de acceso Las variables de la política no funcionan Los cambios que realizo no están siempre visibles inmediatamente No tengo autorización para realizar la operación iam:DeleteVirtualMFADevice ¿Cómo puedo crear usuarios de IAM de forma segura?Recursos adicionales

Solución de problemas generales de IAM

Utilice la información que se incluye aquí para diagnosticar y solucionar los problemas comunes cuando trabaje con AWS Identity and Access Management (IAM).

Problemas

No puedo iniciar sesión en mi cuenta AWS
He perdido mi claves de acceso
Las variables de la política no funcionan
Los cambios que realizo no están siempre visibles inmediatamente
No tengo autorización para realizar la operación iam:DeleteVirtualMFADevice
¿Cómo puedo crear usuarios de IAM de forma segura?
Recursos adicionales

Compruebe que tiene las credenciales correctas y que está utilizando el método correcto para iniciar sesión. Para obtener más información, consulte Solución de problemas de inicio de sesión en la Guía del usuario de AWS Sign-In.

He perdido mi claves de acceso

Las claves de acceso se componen de dos partes:

El identificador de la clave de acceso. No es secreto y se puede ver en la consola de IAM en la que hay una lista de claves de acceso, como, por ejemplo, en la página de resumen del usuario.
La clave de acceso secreta. Se proporciona cuando crea el par de claves de acceso. Al igual que las contraseñas, no se puede recuperar en otro momento. Si ha perdido su clave de acceso secreta, debe crear un nuevo par de claves de acceso. Si ya ha alcanzado el número máximo de claves de acceso, debe eliminar uno de los pares existentes antes de poder crear otra.

Para obtener más información, consulte Restablecimiento de claves de acceso o contraseñas perdidas u olvidadas para AWS.

Las variables de la política no funcionan

Compruebe que todas las políticas que contengan variables incluyan el siguiente número de versión en la política: "Version": "2012-10-17". Sin el número de versión correcto, las variables no se sustituyen durante la evaluación. En su lugar, las variables se evalúan literalmente. Las políticas que no incluyan variables seguirán funcionando si incluye el número de versión más reciente.

El elemento de política Version es diferente de la versión de una política. El elemento de política Version se utiliza en una política y define la versión del lenguaje de la política. Una versión de política, por otro lado, se crea al realizar cambios en una política administrada por el cliente en IAM. La política modificada no anula la política existente. En cambio, IAM crea una nueva versión de la política administrada. Para obtener más información sobre el elemento de política Version, consulte Elementos de política JSON de IAM: Version. Para obtener más información sobre las versiones de política, consulte Control de versiones de políticas de IAM.
Compruebe que las variables de su política estén escritas respetando mayúsculas y minúsculas. Para obtener más información, consulte Elementos de la política de IAM: variables y etiquetas.

Los cambios que realizo no están siempre visibles inmediatamente

Al ser un servicio al que se obtiene acceso a través de equipos de centros de datos de todo el mundo, IAM utiliza un modelo de computación distribuida llamado consistencia final. Cualquier cambio que realice en IAM (o en otros servicios de AWS), incluidas las etiquetas utilizadas en el control de acceso basado en atributos (ABAC), tardará en aparecer en todos los puntos de conexión posibles. Este retraso se debe en parte al tiempo que se tarda en enviar los datos de un servidor a otro, de una zona de replicación a otra y entre regiones de todo el mundo. IAM también utiliza caché para mejorar el rendimiento, pero en algunos casos esto puede agregar tiempo. Es posible que el cambio no sea visible hasta que se agoten los datos previamente almacenados.

Debe diseñar sus aplicaciones globales teniendo en cuenta estos posibles retrasos. Asegúrese de que funcionan según lo previsto, incluso cuando un cambio realizado en una ubicación no sea visible inmediatamente en otra. Estos cambios incluyen la creación o actualización de usuarios, grupos, roles o políticas. Le recomendamos que no incluya esos cambios de IAM en las rutas de código de gran importancia y alta disponibilidad de su aplicación. En su lugar, realice los cambios de IAM en otra rutina de inicialización o configuración que ejecute con menos frecuencia. Además, asegúrese de comprobar que los cambios se han propagado antes de que los flujos de trabajo de producción dependan de ellos.

Para obtener más información acerca del modo en que esto afecta a otros servicios de AWS, consulte los siguientes recursos:

Amazon DynamoDB: ¿Cuál es el modelo de consistencia de Amazon DynamoDB? en Preguntas frecuentes sobre DynamoDB, y Consistencia de lectura en la guía para desarrolladores de Amazon DynamoDB.
Amazon EC2: consistencia final de EC2 en la Referencia de la API de Amazon EC2
Amazon EMR: la sección sobre cómo asegurar la consistencia el utilizar Amazon S3 y Amazon Elastic MapReduce para flujos de trabajo ETL en el blog Big Data de AWS.
Amazon Redshift: administración de la consistencia de los datos en la Guía para desarrolladores de bases de datos de Amazon Redshift
Amazon S3: Modelo de coherencia de datos de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

No tengo autorización para realizar la operación iam:DeleteVirtualMFADevice

Es posible que reciba el siguiente error cuando intente asignar o eliminar un dispositivo MFA virtual para usted o para otros usuarios:


User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Esto podría ocurrir si alguien anteriormente comenzó la asignación de un dispositivo MFA virtual a un usuario en la consola de IAM y después canceló el proceso. Esto crea un dispositivo MFA virtual para el usuario en IAM, pero nunca lo asocia totalmente al usuario. Debe eliminar el dispositivo MFA virtual existente para poder crear un nuevo dispositivo MFA virtual con el mismo nombre de dispositivo.

Para solucionar este problema, un administrador no debe editar los permisos de la política. En su lugar, el administrador debe utilizar la AWS CLI o la API de AWS para eliminar el dispositivo MFA virtual existente pero sin asignar.

Para eliminar un dispositivo MFA virtual existente pero sin asignar

Consulte los dispositivos MFA virtuales de su cuenta.
- AWS CLI: aws iam list-virtual-mfa-devices
- API de AWS: ListVirtualMFADevices
En la respuesta, localice el ARN del dispositivo MFA virtual del usuario que está intentando corregir.
Elimine el dispositivo MFA virtual.
- AWS CLI: aws iam delete-virtual-mfa-device
- API de AWS: DeleteVirtualMFADevice

¿Cómo puedo crear usuarios de IAM de forma segura?

Si tiene empleados que requieren acceso a AWS (), puede elegir crear usuarios de IAM o utilizar IAM Identity Center para la autenticación. Si utiliza IAM, AWS recomienda crear un usuario de IAM y comunicar las credenciales a los empleados de forma segura. Si no se encuentra físicamente junto a los empleados, utilice un flujo de trabajo seguro para comunicarles las credenciales.

Utilice el siguiente flujo de trabajo para crear un nuevo usuario en IAM de forma segura:

Cree un nuevo usuario mediante la AWS Management Console. Elija conceder acceso a la AWS Management Console con una contraseña generada automáticamente. Si es necesario, seleccione la casilla de verificación Users must create a new password at next sign-in (Los usuarios deben crear una nueva contraseña en el siguiente inicio de sesión). No agregue una política de permisos al usuario hasta después de que haya cambiado su contraseña.
Después de agregar el usuario, copie la dirección URL de inicio de sesión, el nombre de usuario y la contraseña del nuevo usuario. Para ver la contraseña, elija Show (Mostrar).
Envíe la contraseña a su empleado mediante un método de comunicación seguro en su empresa, como email, chat o un sistema de seguimiento de incidentes. Por separado, proporcione a sus usuarios el enlace de la consola de usuario de IAM y su nombre de usuario. Dígale al empleado que confirme si puede iniciar sesión correctamente antes de concederle permisos.
Una vez que el empleado lo confirme, agregue los permisos que necesita. Como práctica recomendada de seguridad, agregue una política que requiera que el usuario se autentique mediante MFA para administrar sus credenciales. Para ver una política de ejemplo, consulte AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página Credenciales de seguridad.

Recursos adicionales

Los recursos relacionados siguientes pueden ayudarle a solucionar problemas cuando trabaje con AWS.

Guía del usuario de AWS CloudTrail— Utilice AWS CloudTrail para realizar un seguimiento de un historial de llamadas a la API realizadas a AWS y almacenar esa información en archivos de registro. Esto le ayuda a determinar los usuarios y las cuentas que obtuvieron acceso a los recursos de su cuenta, cuándo se realizaron las llamadas, qué acciones se solicitaron, etc. Para obtener más información, consulte Registro de llamadas a la API de AWS STS y de IAM con AWS CloudTrail.
AWSCentro de conocimientos: busque preguntas frecuentes y enlaces a otros recursos para ayudarle a solucionar problemas.
Centro de asistencia de AWS: obtenga asistencia técnica.
Centro de asistencia prémium de AWS: obtenga asistencia técnica premium.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Solución de problemas de IAM

Mensajes de error de acceso denegado