Autenticación y acceso

Debe establecer cómo se autentica el código con AWS cuando desarrolla con Servicios de AWS. Puede configurar el acceso a AWS mediante programación a los recursos de diferentes maneras, según el entorno y el acceso a AWS disponibles.

Opciones de autenticación para el código que se ejecuta de forma local (no interna en AWS)

Autenticación del Centro de identidades de IAM – Como mejor práctica de seguridad, recomendamos utilizar AWS Organizations con el Centro de identidades de IAM para gestionar el acceso a todos sus Cuentas de AWS. Puede crear usuarios en AWS IAM Identity Center, usar Microsoft Active Directory, un proveedor de identidades (IdP) SAML 2.0, o federar individualmente su IdP para Cuentas de AWS. Para comprobar si su Región es compatible con el Centro de identidades de IAM, consulte los puntos de conexión de AWS IAM Identity Center y las cuotas en el Referencia general de Amazon Web Services.
Funciones de IAM en cualquier lugar – Puede utilizar Funciones de IAM en cualquier lugar para obtener credenciales de seguridad temporales en IAM para cargas de trabajo, como servidores, contenedores y aplicaciones que se ejecutan fuera de AWS. Para utilizar Funciones de IAM en cualquier lugar, sus cargas de trabajo deben utilizar certificados X.509.
Asumir un rol: puede asumir un rol de IAM para acceder temporalmente a recursos de AWS a los que de otro modo no tendría acceso.
AWS claves de acceso – Otras opciones que podrían resultar menos prácticas o que podrían aumentar el riesgo de seguridad de sus recursos de AWS.

Opciones de autenticación para el código que se ejecuta en un entorno de AWS

Uso de roles de IAM para instancias Amazon EC2 – Utilizar roles de IAM para ejecutar de forma segura su aplicación en una instancia de Amazon EC2.
Puede interactuar con AWS mediante programación usando el Centro de identidades de IAM de las siguientes maneras:
- Utilice AWS CloudShell para ejecutar comandos AWS CLI desde la consola.
- Se utiliza AWS Cloud9 para empezar a programar AWS utilizando un entorno de desarrollo integrado (IDE) con recursos AWS.
- Para probar el espacio de colaboración basado en la nube para equipos de desarrollo de software, considere el uso de Amazon CodeCatalyst.

Autenticación a través de un proveedor de identidades basado en web, aplicaciones web móviles o basadas en cliente

Si va a crear aplicaciones móviles o aplicaciones web basadas en clientes a las que es necesario acceder a AWS, cree su aplicación de modo que solicite credenciales de seguridad temporales de AWS de forma dinámica mediante la federación de identidades web.

Con la federación de identidades web no necesita crear código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. En lugar de ello, los usuarios de la aplicación pueden iniciar sesión con un proveedor de identidades (IdP) externo bien conocido, como Login with Amazon, Facebook, Google o cualquier otro IdP compatible con OpenID Connect (OIDC). Pueden recibir un token de autenticación para entonces intercambiarlo por credenciales de seguridad temporales en AWS que tienen asignado un rol de IAM con permisos para utilizar los recursos de la Cuenta de AWS.

Para aprender a configurar esto para su SDK o herramienta, consulte Federar con identidad web u OpenID Connect.

Para aplicaciones móviles, le recomendamos que utilice Amazon Cognito. Amazon Cognito actúa como agente de identidades y realiza gran parte del trabajo de federación por usted. Para obtener más información, consulte Uso de Amazon Cognito para aplicaciones móviles en la Guía del usuario de IAM.

Más información sobre la administración de acceso

La guía del usuario de IAM contiene la siguiente información sobre el control seguro del acceso a los recursos de AWS:

Identidades IAM (usuarios, grupos de usuarios y roles) – Comprender los fundamentos de las identidades en AWS.
Mejores prácticas de seguridad en IAM: recomendaciones de seguridad que se deben seguir al desarrollar aplicaciones AWS de acuerdo con el modelo de responsabilidad compartida.

Referencia general de Amazon Web Services tiene los conceptos básicos sobre lo siguiente:

Comprender y obtener sus credenciales de AWS: opciones de claves de acceso y prácticas de gestión tanto para el acceso por consola como programático.

ID de creador de AWS

Su ID de creador de AWS complementa cualquier Cuentas de AWS que ya tenga o que quiera crear. Si bien una Cuenta de AWS actúa como contenedor de los recursos de AWS que usted crea y proporciona un límite de seguridad para esos recursos, su ID de creador de AWS lo representa como individuo. Puede iniciar sesión con su cuenta de ID de creador de AWS para acceder a herramientas y servicios para desarrolladores, como Amazon CodeWhisperer y Amazon CodeCatalyst.

Inicie sesión con ID de creador de AWS en la Guía del usuario de AWS Sign-In: aprenda a crear y usar un ID de creador de AWS y conozca qué proporciona el Builder ID.
Autenticación con CodeWhisperer y AWS Toolkit - Builder ID en la guía del usuario de CodeWhisperer: aprenda cómo CodeWhisperer usa un ID de creador de AWS.
Conceptos de CodeCatalyst - ID de creador de AWS en la guía del usuario de Amazon CodeCatalyst: aprenda cómo CodeCatalyst usa un ID de creador de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Propiedades del sistema JVM

Autenticación del Centro de identidades de IAM