AWS Identity and Access Management
Guía del usuario

Tutorial: Permita a los usuarios configurar sus propias credenciales y configuración de MFA

Puede permitir que los usuarios administren sus propias credenciales y dispositivos MFA (autenticación multifactor) en la página My Security Credentials (Mis credenciales de seguridad). Puede utilizar la Consola de administración de AWS para configurar credenciales (claves de acceso, contraseñas, certificados de firma y claves públicas SSH) y dispositivos MFA para sus usuarios. Esto es útil para un pequeño número de usuarios. Sin embargo, esta es una tarea que podría llegar a ser muy laboriosa cuando aumente el número de usuarios. Las prácticas recomendadas de seguridad especifican que los usuarios deben cambiar sus contraseñas con regularidad y rotar sus claves de acceso. También deben eliminar o desactivar las credenciales que no necesiten. También le recomendamos que utilice MFA para las operaciones sensibles. En este tutorial se muestra cómo habilitar estas prácticas recomendadas sin que suponga una carga para los administradores.

Este tutorial muestra cómo conceder acceso a los usuarios a los servicios de AWS, pero solo cuando inicien sesión con MFA. Si no se han iniciado sesión con un dispositivo MFA, entonces los usuarios no pueden acceder a otros servicios.

Este flujo de trabajo incluye tres pasos básicos.

Paso 1: Crear una política para que se cumpla el inicio de sesión de MFA

Cree una política administrada por el cliente que prohíba todas las acciones, salvo algunas acciones de IAM que permitan a un usuario cambiar sus propias credenciales y administrar sus dispositivos MFA en la página My Security Credentials (Mis credenciales de seguridad). Para obtener más información sobre cómo obtener acceso a esta página

Paso 2: Asociar políticas a su grupo de prueba

Crear un grupo cuyos miembros tengan acceso total a todas las acciones de Amazon EC2 cuando inician sesión con MFA. Para crear dicho grupo, asocie la política administrada por AWS denominada AmazonEC2FullAccess y la política administrada del cliente que ha creado en el primer paso.

Paso 3: Probar el acceso de usuario

Inicie sesión como usuario de prueba para verificar que el acceso a Amazon EC2 se bloquea hasta que el usuario crea un dispositivo MFA y, a continuación, inicie sesión con dicho dispositivo.

Requisitos previos

Para realizar los pasos en este tutorial, deberá disponer de lo siguiente:

  • Una cuenta de AWS en la que puede iniciar sesión como usuario de IAM con permisos administrativos.

  • Su número de ID de cuenta, que debe especificar en la política en el paso 1.

    Para encontrar su número de ID de la cuenta, en la barra de navegación situada en la parte superior de la página, elija Support (Soporte) y, a continuación, elija Support Center (Centro de soporte). Puede encontrar el ID de cuenta en el menú Support (Soporte) de esta página.

  • Un dispositivo MFA virtual (basado en software), una clave de seguridad U2F o un dispositivo MFA basado en hardware.

  • Un usuario de prueba de IAM que sea miembro de un grupo de la siguiente manera:

Crear cuenta de usuario Crear y configurar cuenta de grupo
Nombre de usuario Otras instrucciones Nombre de grupo Añadir usuario como miembro Otras instrucciones
MFAUser Elija solo la opción de Consola de administración de AWS access (Acceso a la Consola de administración de AWS) y asigne una contraseña. EC2MFA MFAUser No vincule políticas o ni conceda permisos a este grupo de ninguna otra manera.

Paso 1: Crear una política para que se cumpla el inicio de sesión de MFA

Puede comenzar creando una política administrada por el cliente de IAM que deniegue todos los permisos, salvo los necesarios para los usuarios de IAM para que administren sus propias credenciales y dispositivos MFA.

  1. Inicie sesión en la consola de administración de AWS como usuario con credenciales de administrador. Para cumplir con las prácticas recomendadas de IAM, no inicie sesión con las credenciales de usuario Usuario de la cuenta raíz de AWS. Para obtener más información, consulte Crear usuarios de IAM individuales.

  2. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  3. En el panel de navegación, seleccione Policies (Políticas) y, a continuación, seleccione Create policy (Crear política).

  4. Seleccione la pestaña JSON y copie el texto del siguiente documento de política JSON: AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página My Security Credentials (Mis credenciales de seguridad).

  5. Pegue el texto de la política en el cuadro de texto JSON y, a continuación, seleccione Review policy (Revisar política). El validador de políticas notifica los errores de sintaxis.

    nota

    Puede alternar entre las pestañas Visual editor (Editor visual) y JSON en cualquier momento. Sin embargo, la política anterior, que incluye el elemento NotAction, no se admite en el editor visual. Para esta política, verá una notificación en la pestaña Visual editor (Editor visual). Vuelva a la pestaña JSON para continuar trabajando con esta política.

  6. En la página Review (Revisar), escriba Force_MFA como nombre de la política. Para la descripción de la política, escriba This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA. Revise el Summary (Resumen) de la política para ver los permisos concedidos por la política y, a continuación, elija Create policy (Crear política) para guardar el trabajo.

    La nueva política aparece en la lista de las políticas administradas y está lista para asociar.

Paso 2: Asociar políticas a su grupo de prueba

A continuación, se conectan dos políticas al grupo de IAM de prueba, que se utilizarán para conceder los permisos protegidos por MFA.

  1. En el panel de navegación, elija Groups.

  2. En el cuadro de búsqueda, escriba EC2MFA y, a continuación, elija el nombre del grupo en la lista (no la casilla de verificación).

  3. En la pestaña Permissions (Permisos), haga clic en Attach Policy (Asociar política).

  4. En la página Attach Policy (Asociar política), en el cuadro de búsqueda, escriba EC2Full y, a continuación, seleccione la casilla de verificación junto a AmazonEC2FullAccess en la lista. No guarde aún los cambios.

  5. En el cuadro de búsqueda, escriba Force y, a continuación, seleccione la casilla de verificación junto a Force_MFA en la lista.

  6. Elija Attach Policy.

Paso 3: Probar el acceso de usuario

En esta parte del tutorial, inicie sesión como usuario de prueba y verifique que la política funciona según lo previsto.

  1. Inicie sesión en su cuenta de AWS como MFAUser con la contraseña que haya asignado en la sección anterior. Use la URL: https://<alias or account ID number>.signin.aws.amazon.com/console

  2. Elija EC2 para abrir la consola de Amazon EC2 y comprobar que el usuario no tiene permisos para realizar ninguna actividad.

  3. En la esquina superior derecha de la barra de navegación, elija el nombre de usuario MFAUser y, a continuación, elija My Security Credentials (Mis credenciales de seguridad).

    
            Enlace My Security Credentials de la consola de administración de AWS
  4. Ahora agregue un dispositivo MFA. En la sección Multi-Factor Authentication (MFA), elija Assign MFA device (Asignar dispositivo MFA).

    nota

    Es posible que reciba un error que indica que no está autorizado a realizar iam:DeleteVirtualMFADevice. Esto podría ocurrir si alguien anteriormente comenzó la asignación de un dispositivo MFA virtual este usuario y canceló el proceso. Para continuar, usted u otro administrador debe eliminar el dispositivo MFA del usuario. Para obtener más información, consulte No tengo autorización para realizar la operación iam:DeleteVirtualMFADevice.

  5. En este tutorial, utilizamos un dispositivo MFA virtual (basado en software), como la aplicación Google Authenticator en un teléfono móvil. Elija Virtual MFA device (Dispositivo MFA virtual) y, a continuación, haga clic en Continue (Continuar).

    IAM generará y mostrará la información de configuración del dispositivo MFA virtual, incluido un gráfico de código QR. El gráfico es una representación de la clave de configuración secreta que se puede introducir manualmente en dispositivos que no admiten códigos QR.

  6. Abra su aplicación de MFA virtual. (Para ver una lista de las aplicaciones que puede utilizar para alojar dispositivos MFA virtuales, consulte Aplicaciones MFA virtuales). Si la aplicación de MFA virtual admite varias cuentas (varios dispositivos de MFA virtuales), elija la opción para crear una nueva cuenta (un nuevo dispositivo MFA virtual).

  7. Determine si la aplicación MFA admite códigos QR y, a continuación, lleve a cabo alguna de las siguientes operaciones:

    • Desde el asistente, seleccione Show QR code (Mostrar código QR). A continuación, utilice la aplicación para analizar el código QR. Por ejemplo, puede elegir el icono de la cámara o una opción similar a Scan code (Escanear código) y, a continuación, utilizar la cámara del dispositivo para escanear el código.

    • En el asistente Manage MFA Device (Administrar dispositivo MFA), elija Show secret key (Mostrar clave secreta) y, a continuación, escriba la clave secreta en su aplicación de MFA.

    Cuando haya terminado, el dispositivo MFA virtual comenzará a generar contraseñas de uso único.

  8. En el asistente Manage MFA Device (Administrar dispositivo MFA), en el cuadro MFA Code 1 (Código MFA 1) escriba la contraseña de uso único que aparece actualmente en el dispositivo MFA virtual. Espere hasta 30 segundos a que el dispositivo genere una nueva contraseña de uso único. A continuación, escriba la otra contraseña de uso único en el cuadro MFA Code 2 (Código MFA 2). Elija Assign MFA (Asignar MFA).

    importante

    Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA está correctamente asociado al usuario. Sin embargo, el dispositivo MFA no está sincronizado. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede volver a sincronizar el dispositivo.

    El dispositivo MFA virtual ya está listo para usarlo con AWS.

  9. Cierre la sesión de la consola y, a continuación, vuelva a iniciar sesión en MFAUser. En esta ocasión AWS le solicita un código de MFA desde su teléfono. Al hacerlo, escriba el código en la casilla y, a continuación, seleccione Submit (Enviar).

  10. Elija EC2 para abrir de nuevo la consola de Amazon EC2. Observe que esta vez puede ver toda la información y realizar cualquier acción que desee. Si va a cualquier otra consola como este usuario, verá mensajes de acceso denegado ya que las políticas de este tutorial solo conceden acceso a Amazon EC2.

Para obtener información relacionada en la Guía del usuario de IAM, consulte los siguientes recursos: