Identity and Access Management para AWS CLI - AWS Command Line Interface

Python 2.7, 3.4 y 3.5 están obsoletas para la versión 1 de AWS CLI. Para obtener más información, consulte la sección de la versión 1 de AWS CLI de Acerca de las versiones de AWS CLI.

Identity and Access Management para AWS CLI

AWS Command Line Interface (AWS CLI) utiliza los mismos usuarios y roles para acceder a los recursos de AWS y sus servicios. Las políticas que conceden permisos son las mismas, ya que la AWS CLI llama a las mismas operaciones de API que se utilizan en la consola de servicio. Para obtener más información, consulte la sección «Administración de identidad y acceso» en el capítulo «Seguridad» del servicio de AWS que desee utilizar.

La única diferencia importante es cómo se realiza la autenticación cuando se utiliza un usuario de IAM estándar y credenciales a largo plazo. Aunque los usuarios de IAM estándar necesitan una contraseña para acceder a la consola de un servicio de AWS, ese mismo usuario de IAM necesita un par de claves de acceso para realizar las mismas operaciones a través de la AWS CLI. Todas las demás credenciales a corto plazo se utilizan de la misma manera que con la consola.

Las credenciales que se utilizan en la AWS CLI se almacenan en archivos de texto sin formato y no se cifran.

  • El archivo $HOME/.aws/credentials almacena las credenciales a largo plazo necesarias para acceder a los recursos de AWS. Cómo recuperar el ID de clave de acceso y la clave de acceso secreta

  • Las credenciales a corto plazo, como las de los roles que se adoptan o que se utilizan para servicios de AWS Single Sign-On, también se almacenan en las carpetas $HOME/.aws/cli/cache y $HOME/.aws/sso/cache, respectivamente.

Mitigación de riesgos

  • Le recomendamos encarecidamente que configure los permisos del sistema de archivos en la carpeta $HOME/.aws, sus subcarpetas y archivos para restringir el acceso exclusivamente a los usuarios autorizados.

  • Utilice roles con credenciales temporales siempre que sea posible para reducir la posibilidad de que se produzcan daños si las credenciales se ven comprometidas. Utilice credenciales a largo plazo solo para solicitar y actualizar las credenciales a corto plazo de los roles.