Identity and Access Management para AWS CLI - AWS Command Line Interface

Identity and Access Management para AWS CLI

AWS Command Line Interface (AWS CLI) utiliza los mismos usuarios y roles para acceder a los recursos de AWS y sus servicios. Las políticas que conceden permisos son las mismas, ya que la AWS CLI llama a las mismas operaciones de API que se utilizan en la consola de servicio. Para obtener más información, consulte la sección «Identity and Access Management» en el capítulo «Seguridad» del servicio de AWS que desee utilizar.

La única diferencia importante es cómo se realiza la autenticación cuando se utiliza un usuario de IAM estándar y credenciales a largo plazo. Aunque los usuarios de IAM estándar necesitan una contraseña para acceder a la consola de un servicio de AWS, ese mismo usuario de IAM necesita un par de claves de acceso para realizar las mismas operaciones a través de la AWS CLI. Todas las demás credenciales a corto plazo se utilizan de la misma manera que con la consola.

Las credenciales que se utilizan en la AWS CLI se almacenan en archivos de texto sin formato y no se cifran.

  • El archivo $HOME/.aws/credentials almacena las credenciales a largo plazo necesarias para acceder a los recursos de AWS. Cómo recuperar el ID de clave de acceso y la clave de acceso secreta

  • Las credenciales a corto plazo, como las de los roles que se adoptan o que se utilizan para servicios de AWS IAM Identity Center (successor to AWS Single Sign-On), también se almacenan en las carpetas $HOME/.aws/cli/cache y $HOME/.aws/sso/cache, respectivamente.

Mitigación de riesgos

  • Le recomendamos encarecidamente que configure los permisos del sistema de archivos en la carpeta $HOME/.aws, sus subcarpetas y archivos para restringir el acceso exclusivamente a los usuarios autorizados.

  • Utilice roles con credenciales temporales siempre que sea posible para reducir la posibilidad de que se produzcan daños si las credenciales se ven comprometidas. Utilice credenciales a largo plazo solo para solicitar y actualizar las credenciales a corto plazo de los roles.