Configuración del acceso de los usuarios con el directorio predeterminado de IAM Identity Center

Cuando se habilita IAM Identity Center por primera vez, se configura de manera automática con un directorio de Identity Center como origen de identidad predeterminado, así que no tiene que seleccionar uno. Si su organización utiliza otro proveedor de identidad, por ejemplo AWS Directory Service for Microsoft Active DirectoryMicrosoft Entra ID, o si Okta considera la posibilidad de integrar esa fuente de identidad con el Centro de identidades de IAM en lugar de utilizar la configuración predeterminada.

Objetivo

En este tutorial, utilizará el directorio predeterminado como origen de identidad y configurará y probará el acceso de los usuarios. En este escenario, administrará todos los usuarios y grupos en IAM Identity Center. Los usuarios inician sesión a través del portal de AWS acceso. Este tutorial está dirigido a usuarios nuevos AWS o que han estado utilizando IAM para administrar usuarios y grupos. En los siguientes pasos, creará lo siguiente:

• Un usuario administrativo llamado Nikki Wolf.

• Un grupo llamado Equipo de administración.

• Un conjunto de permisos denominado AdminAccess

Para comprobar que todo se ha creado correctamente, debe iniciar sesión y establecer la contraseña del usuario administrativo. Tras completar este tutorial, puede utilizar el usuario administrativo para agregar más usuarios a IAM Identity Center, crear conjuntos de permisos adicionales y configurar el acceso organizativo a las aplicaciones.

Si aún no ha habilitado IAM Identity Center, consulte Habilitar AWS IAM Identity Center.

Antes de empezar

Realice una de estas 2 operaciones para iniciar sesión en la AWS Management Console.

• Nuevo para AWS (usuario root): inicia sesión como propietario de la cuenta; para ello, selecciona el usuario Cuenta de AWS root e introduce tu dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.

• Si ya lo utilizas AWS (credenciales de IAM): inicia sesión con tus credenciales de IAM con permisos administrativos.

Abra la consola de IAM Identity Center

Paso 1: adición de un usuario

1. En el panel de navegación de IAM Identity Center, seleccione Usuarios y, a continuación, seleccione Agregar usuario.

2. En la página Especificar los detalles del usuario, rellene la siguiente información:

   • Nombre de usuario: para este tutorial, ingrese nikkiw.

     Al crear los usuarios, seleccione nombres de usuario que sean fáciles de recordar. Sus usuarios deben recordar el nombre de usuario para iniciar sesión en el portal de acceso de AWS y no podrá cambiarlo más adelante.

   • Contraseña: seleccione Enviar un correo electrónico a este usuario con las instrucciones de configuración de la contraseña (recomendado).

     Esta opción envía al usuario una dirección de correo electrónico de Amazon Web Services, con el asunto Invitación a unirse al IAM Identity Center (sucesor de AWS Single Sign-On). El correo electrónico proviene de no-reply@signin.aws o no-reply@login.awsapps.com. Agregue estas direcciones de correo electrónico a su lista de remitentes aprobados.

   • Dirección de correo electrónico: ingrese una dirección de correo electrónico del usuario en la que pueda recibir el correo electrónico. A continuación, vuelva a escribirla para confirmarla. Cada usuario debe tener una dirección de correo electrónico única.

   • En Nombre, ingrese el nombre del usuario. Para este tutorial, ingrese Nikki.

   • En Apellido, ingrese el apellido del usuario. Para este tutorial, ingrese Wolf.

   • Nombre de visualización: el valor predeterminado es el nombre y apellido del usuario. Si desea cambiar el nombre de visualización, puede ingresar otro nombre. El nombre de visualización está visible en el portal de inicio de sesión y en la lista de usuarios.

   • Complete la información opcional si lo desea. No se usa durante este tutorial y puede cambiarla más adelante.

3. Elija Siguiente. Aparece la página Agregar usuario a grupos. Vamos a crear un grupo al que asignarle permisos administrativos en lugar de dárselos directamente a Nikki.

   Seleccione Crear grupo.

   Se abre una nueva pestaña del navegador para mostrar la página Crear grupo.

   1. En Detalles del grupo, en Nombre del grupo, ingrese un nombre para el grupo. Recomendamos un nombre de grupo que identifique el rol del grupo. Para este tutorial, ingrese Equipo de administración.

   2. Seleccione Crear grupo.

   3. Cierre la pestaña Grupos del navegador para volver a la pestaña Agregar usuario del navegador.

4. En el área Grupos, seleccione el botón Actualizar. El grupo Equipo de administración aparece en la lista.

   Seleccione la casilla de verificación situada junto al equipo de administración y, a continuación, seleccione Siguiente.

5. En la página Revisar y agregar usuario, confirme lo siguiente:

   • La información principal aparece tal y como quería.

   • En Grupos se muestra el usuario agregado al grupo que ha creado

   Si desea realizar cambios, seleccione Editar. Cuando todos los detalles sean correctos, seleccione Agregar usuario.

   Un mensaje de notificación le informará de que se ha agregado el usuario.

A continuación, agregará permisos administrativos para el grupo Equipo de administración para que Nikki tenga acceso a los recursos.

Paso 2: adición de permisos administrativos

1. En el panel de navegación del IAM Identity Center, en Permisos para varias cuentas, seleccione Cuentas de AWS.

2. En la página Cuentas de AWS, la opción Estructura organizativa muestra la organización con las cuentas situadas por debajo de ella en la jerarquía. Selecciona la casilla de verificación de tu cuenta de administración y, a continuación, selecciona Asignar usuarios o grupos.

3. Aparecerá el flujo de trabajo Asignar usuarios y grupos. Consta de tres pasos:

   1. En Paso 1: selección de usuarios y grupos, seleccione el grupo Equipo de administración que creó. A continuación, elija Next.

   2. En Paso 2: selección de conjuntos de permisos, elija Crear conjunto de permisos para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.

      1. En Paso 1: selección del tipo de conjunto de permisos, haga lo siguiente:

         • En Tipo de conjunto de permisos, seleccione Conjunto de permisos predefinido.

         • En Política para un conjunto de permisos predefinido, selecciona AdministratorAccess.

         Elija Siguiente.

      2. En Paso 2: especificación de los detalles del conjunto de permisos, mantenga la configuración predeterminada y seleccione Siguiente.

         La configuración predeterminada crea un conjunto de permisos denominado AdministratorAccesscon una duración de sesión establecida en una hora. Puede cambiar el nombre del conjunto de permisos introduciendo un nombre nuevo en el campo Nombre del conjunto de permisos.

      3. En el paso 3: revisar y crear, compruebe que el tipo de conjunto de permisos utiliza la política AWS gestionada AdministratorAccess. Seleccione Crear. En la página Conjuntos de permisos, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.

      En la pestaña Asignar usuarios y grupos del navegador, todavía está en Paso 2: selección de los conjuntos de permisos, donde empezó el flujo de trabajo de creación de conjuntos de permisos.

      En el área Conjuntos de permisos, pulse el botón Actualizar. El conjunto de AdministratorAccesspermisos que ha creado aparece en la lista. Seleccione la casilla de verificación de ese conjunto de permisos y, a continuación, elija Siguiente.

   3. En la página Paso 3: Revisar y enviar las tareas, confirme que el grupo del equipo de administración esté seleccionado y que el conjunto de AdministratorAccesspermisos esté seleccionado y, a continuación, seleccione Enviar.

      La página se actualiza con un mensaje en el que se indica que Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.

      Volverá a la Cuentas de AWS página. Un mensaje de notificación le informa de que se Cuenta de AWS ha vuelto a aprovisionar y se ha aplicado el conjunto de permisos actualizado.

¡Enhorabuena!

Ha configurado correctamente su primer usuario, grupo y conjunto de permisos.

En la siguiente parte de este tutorial, probarás el acceso de Nikki iniciando sesión en el portal de AWS acceso con sus credenciales administrativas y configurando su contraseña. Cierre la sesión de la consola.

Paso 3: Probar el acceso de los usuarios

Ahora que Nikki Wolf es un usuario de su organización, puede iniciar sesión y acceder a los recursos para los que tiene permiso de acuerdo con su conjunto de permisos. Para comprobar que el usuario está correctamente configurado, en el siguiente paso utilizará las credenciales de Nikki para iniciar sesión y configurar su contraseña. Cuando agregó al usuario Nikki Wolf en el paso 1, eligió que Nikki recibiera un correo electrónico con las instrucciones para configurar la contraseña. Es hora de abrir el correo electrónico y hacer lo siguiente:

1. En el correo electrónico, seleccione el enlace Aceptar la invitación para aceptar la invitación.

   nota

   En el correo electrónico también se incluyen el nombre de usuario de Nikki y la URL del portal de acceso de AWS que utilizará para iniciar sesión en la organización. Registre esta información para usarla más adelante.

   Accederá a la página Inscríbase a un nuevo usuario, donde podrá configurar la contraseña de Nikki.

2. Después de configurar la contraseña de Nikki, accederá a la página Inicio de sesión. Ingrese nikkiw, seleccione Siguiente y, a continuación, ingrese la contraseña de Nikki y seleccione Iniciar sesión.

3. Se abre el portal de AWS acceso y muestra la organización y las aplicaciones a las que puede acceder.

   Seleccione la organización para ampliarla en una lista y, a Cuentas de AWS continuación, seleccione la cuenta para ver las funciones que puede utilizar para acceder a los recursos de la cuenta.

   Cada conjunto de permisos tiene dos métodos de administración que puede utilizar: el rol o las claves de acceso.

   • Rol, por ejemplo AdministratorAccess: abre el AWS Console Home.

   • Claves de acceso: proporcionan credenciales que puede usar con el AWS CLI o y el AWS SDK. Incluye la información para usar credenciales de corta duración que se actualizan automáticamente o claves de acceso de corta duración. Para obtener más información, consulte Obtener las credenciales de usuario del IAM Identity Center para el AWS CLI o los SDK AWS.

4. Elija el enlace del rol para iniciar sesión en AWS Console Home.

Has iniciado sesión y has accedido a la AWS Console Home página. Explore la consola y confirme que tiene el acceso que esperaba.

Siguientes pasos

Ahora que ha creado un usuario administrativo en IAM Identity Center, puede hacer lo siguiente:

• Asignar aplicaciones

• Agregar otros usuarios

• Asignar usuarios a las cuentas

• Configurar conjuntos de permisos adicionales

  nota

  Puede asignar varios conjuntos de permisos al mismo usuario. Para seguir la práctica recomendada de aplicar permisos con privilegios mínimos, después de crear un conjunto de permisos administrativos, cree un conjunto de permisos más restrictivo y asígnelo al mismo usuario. De esta forma, podrá acceder a la suya únicamente Cuenta de AWS con los permisos que necesite, en lugar de con permisos administrativos.

Una vez que los usuarios acepten la invitación para activar su cuenta e inicien sesión en el portal de AWS acceso, los únicos elementos que aparecen en el Cuentas de AWS portal son los roles y las aplicaciones a los que están asignados.

importante

Recomendamos encarecidamente habilitar la autenticación multifactor (MFA) para los usuarios. Para obtener más información, consulte Autenticación multifactor para usuarios de Identity Center.