AWS Identity and Access Management
Guía del usuario

Solución de problemas generales

Utilice la información que se incluye aquí para diagnosticar y solucionar los problemas de acceso denegado u otros problemas comunes cuando trabaje con AWS Identity and Access Management (IAM).

He perdido mis claves de acceso

Las claves de acceso se componen de dos partes:

  • El identificador de la clave de acceso. No es secreto y se puede ver en la consola de IAM en la que hay una lista de claves de acceso, como, por ejemplo, en la página de resumen del usuario.

  • La clave de acceso secreta. Se proporciona cuando crea el par de claves de acceso. Al igual que las contraseñas, no se puede recuperar en otro momento. Si ha perdido su clave de acceso secreta, debe crear un nuevo par de claves de acceso. Si ya ha alcanzado el número máximo de claves de acceso, debe eliminar uno de los pares existentes antes de poder crear otra.

Para obtener más información, consulte Restablecimiento de claves de acceso o contraseñas perdidas u olvidadas.

Necesito tener acceso a una cuenta antigua

Cuando creó su cuenta de AWS por primera vez, proporcionó una dirección de correo electrónico y contraseña. Estas son sus credenciales de Usuario de la cuenta raíz de AWS. Si dispone de una cuenta de AWS antigua a la que ya no tiene acceso porque ha perdido u olvidado la contraseña, puede recuperar la contraseña. Para obtener más información, consulte Restablecimiento de claves de acceso o contraseñas perdidas u olvidadas.

Si ya no tiene acceso al correo electrónico, primero debe intentar recuperar el acceso al correo electrónico. Si eso no funciona, puede ponerse en contacto con el servicio de atención al cliente de AWS.

Puede intentar recuperar el acceso a su correo electrónico utilizando una de las siguientes opciones:

  • Si es el propietario del dominio en el que está alojada la dirección de correo electrónico, puede volver a añadir la dirección de correo electrónico al servidor de correo electrónico. Otra opción consiste en configurar un método catch-all para su cuenta de correo electrónico. La configuración de catch-all en su dominio obtiene todos los mensajes que se enviaron a las direcciones de correo electrónico que no existen en el servidor de correo electrónico. Redirige esos mensajes a una dirección de correo electrónico específica. Por ejemplo, supongamos que su dirección de correo electrónico de Usuario de la cuenta raíz de AWS es paulo@sample-domain.com, pero ha cambiado su única dirección de correo electrónico de dominio a paulo.santos@sample-domain.com. En ese caso, puede configurar el nuevo correo electrónico como "catch-all". De ese modo, cuando alguien como AWS envíe un mensaje a paulo@sample-domain.com o cualquier otro text@sample-domain.com, recibirá ese mensaje en paulo.santos@sample-domain.com.

  • Si la dirección de correo electrónico de la cuenta forma parte de su sistema de correo electrónico de la empresa, le recomendamos que se ponga en contacto con los administradores del sistema de TI. Estos administradores podrían ayudarle a recuperar el acceso a la dirección de correo electrónico.

Si sigue sin poder tener acceso a su cuenta de AWS, puede encontrar opciones de soporte alternativas en Contacte con nosotros expandiendo el menú I'm an AWS customer and I'm looking for billing or account support. (Soy cliente de AWS y busco asistencia para cuestiones de facturación o de la cuenta). Cuando se ponga en contacto con AWS Support, debe proporcionar la siguiente información:

  • Todos los detalles que se indican en la cuenta, incluido su nombre completo, número de teléfono, dirección, dirección de correo electrónico y los cuatro últimos dígitos de la tarjeta de crédito. Es posible que necesite crear una nueva cuenta de AWS a fin de ponerse en contacto con AWS Support. Esto es necesario para ayudar a investigar su solicitud.

  • La razón por la que no puede tener acceso a la cuenta de correo electrónico para recibir instrucciones de restablecimiento de contraseña.

  • Después de recuperar su cuenta, cierre todas las cuentas que no esté utilizando. Es recomendable no tener cuentas abiertas en su nombre, ya que podrían generar gastos. Para obtener más información, consulte Cierre de una cuenta en la Guía del usuario de Billing and Cost Management.

No puedo iniciar sesión en mi cuenta

Cuando creó su cuenta de AWS por primera vez, proporcionó una dirección de correo electrónico y contraseña. Estas son sus credenciales de Usuario de la cuenta raíz de AWS. Si ya no puede obtener acceso a su cuenta porque ha perdido u olvidado la contraseña, puede recuperarla. Para obtener más información, consulte Restablecimiento de claves de acceso o contraseñas perdidas u olvidadas.

Si ha proporcionado la dirección de correo electrónico y la contraseña de su cuenta, en ocasiones AWS requiere que se facilite un código de verificación de un solo uso. Para recuperar el código de verificación, busque un mensaje de Amazon Web Services en la bandeja del correo electrónico asociado a su cuenta de AWS. La dirección de correo electrónico termina por @amazon.com o @aws.amazon.com. Siga las indicaciones del mensaje. Si no ve el mensaje en su cuenta, compruebe la carpeta de spam. Si ya no tiene acceso al correo electrónico, consulte Necesito tener acceso a una cuenta antigua.

Me aparece un mensaje de "acceso denegado" al realizar una solicitud a un servicio de AWS

  • Compruebe que tiene el permiso de política basada en identidad para llamar a la acción y a los recursos que ha solicitado. Si hay condiciones establecidas, también debe cumplir dichas condiciones al enviar la solicitud. Para obtener más información sobre cómo consultar o modificar políticas para un usuario, grupo o rol de IAM, consulte Administración de políticas de IAM.

  • ¿Está intentando obtener acceso a un servicio que admite políticas basadas en recursos, como por ejemplo Amazon S3, Amazon SNS o Amazon SQS? En caso afirmativo, compruebe que la política le tenga especificado como principal y le dé acceso. Si realiza una solicitud a un servicio dentro de su cuenta, las políticas basadas en identidad o basadas en recursos puede concederle permiso. Si realiza una solicitud a un servicio de una cuenta distinta, tanto las políticas basadas en identidad como las basadas en recursos deben concederle permiso. Para ver qué servicios admiten políticas basadas en recursos, consulte Servicios de AWS que funcionan con IAM.

  • Si la política incluye una condición con un par clave–valor, revíselo atentamente. Entre los ejemplos se incluyen la clave de condición global aws:RequestTag/tag-key, AWS KMS kms:EncryptionContext:encryption_context_key y la clave de condición ResourceTag/tag-key compatibles con varios servicios. Asegúrese de que el nombre de la clave no coincida con varios resultados. Puesto que los nombres de la clave de condición no distinguen entre mayúsculas y minúsculas, una condición que comprueba una clave denominada foo coincidirá con foo, Foo o FOO. Si su solicitud incluye varios pares clave–valor con nombres de clave que diferencian únicamente por las mayúsculas o minúsculas, su acceso puede denegarse de forma inesperada. Para obtener más información, consulte Elementos de política JSON de IAM: Condition.

  • Si tiene un límite de permisos, compruebe que la política utilizada para el límite de permisos permite la solicitud. Si las políticas basadas en identidad permiten la solicitud, pero el límite de permisos no la permite, la solicitud se deniega. Un límite de permisos controla los permisos máximos que puede tener una entidad principal (usuario o rol). Las políticas basadas en recursos no se restringen por los límites de permisos. Los límites de permisos no son comunes. Para obtener más información sobre cómo AWS evalúa las políticas, consulte Lógica de evaluación de políticas.

  • Si va a firmar las solicitudes manualmente (sin usar los AWS SDK), compruebe que haya firmado correctamente la solicitud.

Me aparece un mensaje de "acceso denegado" al realizar una solicitud con credenciales de seguridad temporales

  • En primer lugar, asegúrese de que no se le deniega el acceso por un motivo no relacionado con sus credenciales temporales. Para obtener más información, consulte Me aparece un mensaje de "acceso denegado" al realizar una solicitud a un servicio de AWS.

  • Compruebe que el servicio acepta credenciales de seguridad temporales, consulte Servicios de AWS que funcionan con IAM.

  • Compruebe que las solicitudes se han firmado correctamente y que la solicitud tiene el formato correcto. Para obtener más información, consulte la documentación de su conjunto de herramientas o Uso de credenciales temporales con recursos de AWS.

  • Compruebe que sus credenciales de seguridad temporales no hayan caducado. Para obtener más información, consulte Credenciales de seguridad temporales.

  • Compruebe que el usuario o el rol de IAM tenga los permisos adecuados. Los permisos de credenciales de seguridad temporales se obtienen de un usuario o una función de IAM. Como resultado, los permisos se limitan a los que se conceden al rol cuyas credenciales temporales ha asumido. Para obtener más información sobre cómo se determinan los permisos de las credenciales de seguridad temporales, consulte Control de los permisos para credenciales de seguridad temporales.

  • Si asume una función, su sesión de función puede verse limitada por las políticas de la sesión. Al solicitar las credenciales de seguridad temporales mediante programación usando AWS STS, tiene la opción de pasar las políticas de sesión administradas o insertadas. Las políticas de sesión son políticas avanzadas que se pasan como parámetro cuando se crea una sesión de credenciales temporal mediante programación para una función. Puede transferir un único documento de política de sesión insertada JSON usando el parámetro Policy. Puede utilizar el parámetro PolicyArns para especificar hasta 10 políticas de sesión administrada. Los permisos de la sesión resultantes son la intersección de las políticas basadas en identidades de la función y las políticas de la sesión. De manera alternativa, si el administrador o un programa personalizado le proporcionan credenciales temporales, es posible que hayan incluido una política de sesión para limitar su acceso.

  • Si es un usuario federado, la sesión puede verse limitada por las políticas de la sesión. Puede convertirse en un usuario federado iniciando sesión en AWS como un usuario de IAM y, a continuación, solicitando un token de federación. Para obtener más información acerca de los usuarios federados, consulte GetFederationToken — Federación a través de un agente de identidades personalizadas. Si usted o su agente de identidades pasan políticas de sesión al mismo tiempo que solicitan un token de federación, la sesión se verá limitada por esas políticas. Los permisos de la sesión resultantes son la intersección de las políticas basadas en identidades de su usuario de IAM y las políticas de la sesión. Para obtener más información acerca de las políticas de sesión, consulte Políticas de sesión.

  • Si obtiene acceso mediante un rol a un recurso que tiene una política basada en recursos, compruebe que la política conceda permisos a dicho rol. Por ejemplo, la política siguiente permite que MyRole de la cuenta 111122223333 obtenga acceso a MyBucket.

    { "Version": "2012-10-17", "Statement": [{ "Sid": "S3BucketPolicy", "Effect": "Allow", "Principal": {"AWS": ["arn:aws:iam::111122223333:role/MyRole"]}, "Action": ["s3:PutObject"], "Resource": ["arn:aws:s3:::MyBucket/*"] }] }

Las variables de la política no funcionan

  • Compruebe que todas las políticas que contengan variables incluyan el siguiente número de versión en la política: "Version": "2012-10-17". Sin el número de versión correcto, las variables no se sustituyen durante la evaluación. En su lugar, las variables se evalúan literalmente. Las políticas que no incluyan variables seguirán funcionando si incluye el número de versión más reciente.

    El elemento de política Version es diferente de la versión de una política. El elemento de política Version se utiliza en una política y define la versión del lenguaje de la política. Una versión de política, por otro lado, se crea al realizar cambios en una política administrada por el cliente en IAM. La política modificada no anula la política existente. En cambio, IAM crea una nueva versión de la política administrada. Para obtener más información sobre el elemento de política Version, consulte Elementos de política JSON de IAM: Version. Para obtener más información sobre las versiones de política, consulte Control de versiones de políticas de IAM.

  • Compruebe que las variables de su política estén escritas respetando mayúsculas y minúsculas. Para obtener más información, consulte Elementos de la política de IAM: Variables y etiquetas.

Los cambios que realizo no están siempre visibles inmediatamente

Al ser un servicio al que se obtiene acceso a través de equipos de centros de datos de todo el mundo, IAM utiliza un modelo de computación distribuida llamado consistencia final. Cualquier cambio que realice en IAM (o en otros servicios de AWS) tardará en aparecer en todos los puntos de enlace posibles. Este retraso se debe en parte al tiempo que se tarda en enviar los datos de un servidor a otro, de una zona de replicación a otra y entre regiones de todo el mundo. IAM también usa almacenamiento en caché para mejorar el rendimiento, pero en algunos casos eso puede generar retrasos; puede que el cambio no sea visible hasta que los datos almacenados en caché anteriormente venzan.

Debe diseñar sus aplicaciones globales teniendo en cuenta estos posibles retrasos. Asegúrese de que funcionan según lo previsto, incluso cuando un cambio realizado en una ubicación no sea visible inmediatamente en otra. Estos cambios incluyen la creación o actualización de usuarios, grupos, roles o políticas. Le recomendamos que no los incluya en las rutas de código de gran importancia y alta disponibilidad de su aplicación. En su lugar, realice los cambios de IAM en otra rutina de inicialización o configuración que ejecute con menos frecuencia. Además, asegúrese de comprobar que los cambios se han propagado antes de que los flujos de trabajo de producción dependan de ellos.

Para obtener más información acerca del modo en que esto afecta a otros servicios de AWS, consulte los siguientes recursos:

No tengo autorización para realizar la operación iam:DeleteVirtualMFADevice

Es posible que reciba el siguiente error cuando intente asignar o eliminar un dispositivo MFA virtual para usted o para otros usuarios:

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Esto podría ocurrir si alguien anteriormente comenzó la asignación de un dispositivo MFA virtual a un usuario en la consola de IAM y después canceló el proceso. Esto crea un dispositivo MFA para el usuario en IAM pero nunca lo activa. Debe eliminar el dispositivo MFA existente para poder asociar un nuevo dispositivo al usuario.

AWS recomienda una política que permita a un usuario eliminar su propio dispositivo MFA virtual solo si está autenticado mediante MFA. Para obtener más información, consulte AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página My Security Credentials (Mis credenciales de seguridad).

Para solucionar este problema, un administrador no debe editar los permisos de la política. En su lugar, el administrador debe utilizar la AWS CLI o la API de AWS para eliminar el dispositivo existente pero desactivado.

Para eliminar un dispositivo MFA existente pero desactivado

  1. Consulte los dispositivos MFA virtuales de su cuenta.

  2. En la respuesta, localice el ARN del dispositivo virtual del usuario que está intentando corregir.

  3. Elimine el dispositivo.