Entender y obtener suAWScredenciales - Referencia general de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Entender y obtener suAWScredenciales

AWSrequiere diferentes tipos de credenciales de seguridad, en función de cómo se accedeAWS. Por ejemplo, necesita un nombre de usuario y una contraseña para iniciar sesión en laAWS Management Consoley necesita claves de acceso para realizar llamadas mediante programación aAWSo para usar elAWS Command Line InterfaceoAWS Tools for PowerShell.

Consideraciones

  • Asegúrese de guardar lo siguiente en un lugar seguro: la dirección de correo electrónico asociada a suCuenta de AWS, elCuenta de AWSID, contraseña de usuario root y claves de acceso a la cuenta. Si olvida o pierde la contraseña de usuario root, debe tener acceso a la dirección de correo electrónico asociada a su cuenta para poder restablecerla. Si olvida o pierde las claves de acceso, debe iniciar sesión en su cuenta para crear otras nuevas.

  • Recomendamos que cree un usuario de IAM con permisos de administrador para utilizarlo a diario.AWSy bloquee la contraseña y claves de acceso para el usuario raíz. Utilice el usuario root solo para las tareas que están restringidas al usuario root.

  • Las credenciales de seguridad son específicas de la cuenta. Si tiene acceso a variosAWScuentas, tienes credenciales independientes para cada cuenta.

  • No proporcione suAWScredenciales de un tercero.

Acceso a la consola

Hay dos tipos diferentes de usuarios en AWS. Puede ser el propietario de la cuenta (usuario raíz) o unAWS Identity and Access Management(IAM). Cómo iniciar sesión en elAWS Management Consoledepende de si usted es el usuario raíz o usuario de IAM.

Dirección de correo electrónico y contraseña de usuario raíz

Cuando crea por primera vez unCuenta de AWS, debe especificar una dirección de correo electrónico para la cuenta y una contraseña para el usuario root. Para iniciar sesión en suCuenta de AWScomo usuario raíz, debe proporcionar esta dirección de correo electrónico y contraseña. El usuario root puede iniciar sesión en elAWS Management Consoley cambie el nombre de la cuenta, la dirección de correo electrónico y contraseña utilizando laCredenciales de seguridad de(Se ha creado el certificado). Si olvida la contraseña para el usuario raíz, abra lapágina de inicio de sesión de consolay elige¿Ha olvidado su contraseña?para restablecer la contraseña. Este proceso requiere acceso a la dirección de correo electrónico de la cuenta.

Nombre de usuario y contraseña de IAM

Los usuarios de IAM los crea el usuario raíz o un administrador de IAM dentro de laCuenta de AWS. El usuario que creó tu usuario de IAM debe proporcionarte el alias de la cuenta o 12 dígitosCuenta de AWSID, nombre de usuario de IAM y contraseña para el usuario de IAM. Un usuario de IAM puede iniciar sesión mediante la página de inicio de sesión de la consola o la siguiente URL de inicio de sesión, sustituyendoaccount_id_or_aliascon el alias de la cuenta oCuenta de AWSIdentificación que se le ha proporcionado:

https://account_id_or_alias.signin.aws.amazon.com/console/

Si olvida la contraseña de su usuario de IAM, póngase en contacto con el administrador de IAM o el propietario de la cuenta. Si su administrador de IAM le dio permisos para administrar los suyos propiosAWScredenciales, puede cambiar la contraseña periódicamente, lo cual es una práctica recomendada de seguridad, mediante laCredenciales de seguridad de(Se ha creado el certificado).

Multi-Factor authentication (MFA)

Multi-Factor Authentication (MFA) proporciona un nivel de seguridad adicional que puede aplicar a suCuenta de AWS. Para aumentar la seguridad, le recomendamos que exija MFA en laCuenta de AWScredenciales de usuario raíz y usuarios de IAM con muchos privilegios. Para obtener más información, consulte Uso de la autenticación multifactor (MFA) en AWS en la Guía del usuario de IAM.

Con la MFA habilitada, cuando inicias sesión en tuCuenta de AWSse le pedirán su nombre de usuario y contraseña, además de un código de autenticación de un dispositivo MFA. La adición de MFA proporciona una mayor seguridad para suCuenta de AWSconfiguración y recursos.

De forma predeterminada, MFA (Multi-Factor Authentication) no está habilitada. Puede habilitar y administrar dispositivos MFA paraCuenta de AWSusuario root yendo a laCredenciales de seguridad deo la páginaIAMPanel de en el panelAWS Management Console. Para obtener más información acerca de la habilitación de la MFA para usuarios de IAM, consulteHabilitación de dispositivos MFAen laIAM User Guide.

Acceso programático

Debe proporcionar suAWSclaves de acceso para realizar llamadas mediante programación aAWSo para usar elAWS Command Line InterfaceoAWS Tools for PowerShell.

Cuando crea las claves de acceso, crea el ID de clave de acceso (por ejemplo,AKIAIOSFODNN7EXAMPLE) y clave de acceso secreta (por ejemplo,wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) como conjunto. La clave de acceso secreta solo está disponible para su descarga en el momento de su creación. Si no descarga la clave de acceso secreta o la pierde, debe crear una nueva.

Puede asignar un máximo de dos claves de acceso por usuario (usuario raíz o usuario de IAM). Tener dos llaves de acceso es útil cuando se quieren girar. Cuando se deshabilita una clave de acceso, no se puede utilizar, pero se cuenta para el límite de dos claves de acceso. Después de eliminar una clave de acceso, desaparece para siempre y ya no se puede restaurar, pero se puede reemplazar por una nueva clave de acceso.

Para administrar las claves de acceso cuando inicia sesión como usuario raíz

  1. Inicie sesión en la en la enAWS Management Consolecomo usuario raíz. Para obtener más información, consulteIniciar sesión como usuario raízen laIAM User Guide.

  2. En la barra de navegación de la esquina superior derecha, elija el nombre o número de la cuenta y, a continuación, elijaMis credenciales de.

  3. Expanda la sección Claves de acceso (ID de clave de acceso y clave de acceso secreta).

  4. Realice alguna de las siguientes acciones:

    • Para crear una clave de acceso, elija Create New Access Key (Crear clave de acceso nueva). Si ya cuenta con dos, este botón está deshabilitado y debe eliminar una clave de acceso antes de poder crear una nueva. Cuando se le pregunte, seleccioneMostrar clave de accesooDescarga del archivo de. Esta es su única oportunidad para guardar su clave de acceso secreta. Una vez que haya guardado su clave de acceso secreta en un lugar seguro, seleccioneCerrar.

    • Para desactivar una clave de acceso, seleccioneMake Inactive. Cuando deba confirmar la selección, seleccioneDesactivar. Una clave de acceso desactivada sigue contando para el límite de dos claves de acceso.

    • Para activar una clave de acceso, seleccioneMake Active.

    • Para eliminar una clave de acceso cuando ya no la necesite, copie el ID de la clave de acceso y, a continuación, seleccioneBorrar. Para poder eliminar la clave de acceso, debe elegirDesactivar. Le recomendamos que verifique que la clave de acceso ya no esté en uso antes de eliminarla permanentemente. Para confirmar la eliminación, pegue el ID de clave de acceso en el campo de entrada de texto y, a continuación,Borrar.

Para administrar las claves de acceso de cuando inicia sesión como usuario de IAM

  1. Inicie sesión en la en la enAWS Management Consolecomo usuario de IAM. Para obtener más información, consulteInicie sesión como usuario de IAM.en laIAM User Guide.

  2. En la barra de navegación de la esquina superior derecha, elija su nombre de usuario y, a continuación, elijaMis credenciales de.

    sugerencia

    En caso de que no vea elMis credenciales de, puede haber iniciado sesión como un usuario federado, no un usuario de IAM. Puede crear y utilizarclaves de acceso temporalesen su lugar.

  3. Realice alguna de las siguientes acciones:

    • Para crear una clave de acceso, elija Create access key (Crear clave de acceso). Si ya cuenta con dos, este botón está deshabilitado y debe eliminar una clave de acceso antes de poder crear una nueva. Cuando se le pregunte, seleccioneMostrar clave de acceso secretaoDescarga del archivo .csv. Esta es su única oportunidad para guardar su clave de acceso secreta. Una vez que haya guardado su clave de acceso secreta en un lugar seguro, seleccioneCerrar.

    • Para desactivar una clave de acceso, seleccioneMake Inactive. Cuando deba confirmar la selección, seleccioneDesactivar. Una clave de acceso desactivada sigue contando para el límite de dos claves de acceso.

    • Para activar una clave de acceso, seleccioneMake active. Cuando deba confirmar la selección, seleccioneMake active.

    • Para eliminar una clave de acceso cuando ya no la necesite, copie el ID de la clave de acceso y, a continuación, seleccioneBorrar. Esto desactiva la clave de acceso. Le recomendamos que verifique que la clave de acceso ya no esté en uso antes de eliminarla permanentemente. Para confirmar la eliminación, pegue el ID de clave de acceso en el campo de entrada de texto y, a continuación,Borrar.

Usuarios autenticados externamente (identidad federada)

Es posible que los usuarios tengan ya identidades fuera de AWS, por ejemplo, en el directorio corporativo. Si estos usuarios necesitan trabajar con recursos de AWS (o con aplicaciones que necesiten acceso a dichos recursos), estos usuarios también necesitarán tener credenciales de seguridad de AWS. Puede utilizar un rol de IAM para especificar permisos para los usuarios con identidad federada de la organización o para un proveedor de identidad (IdP) externo. Para obtener más información, consulteProporcionar acceso a usuarios autenticados externamente (identidad federada)en laIAM User Guide.

Teclas de acceso temporales

También puede crear y utilizar claves de acceso temporales, que se denominan credenciales de seguridad temporales. Además del ID de clave de acceso y la clave de acceso secreta, las credenciales de seguridad temporales incluyen un token de seguridad que debe enviar a AWS cuando se utiliza este tipo de credenciales. La ventaja de las credenciales de seguridad temporales es que duran poco. Después de caducar, ya no son válidas. Puede utilizar claves de acceso temporales en entornos menos seguros o distribuirlas para conceder a los usuarios acceso temporal a los recursos deCuenta de AWS. Por ejemplo, puede dar a las entidades deAWSacceso de cuentas a los recursos de suCuenta de AWS(acceso entre cuentas). También puede conceder a los usuarios que no tienen credenciales de seguridad de AWS acceso a los recursos de su cuenta de AWS (federación). Para obtener más información, consulte aws sts assume-role.