Módulo 2: Protección de su cuenta de AWS

1. Inicie sesión en la Consola de administración de AWS.

2. Seleccione Usuario raíz e introduzca la dirección de correo electrónico que especificó al crear la cuenta y a continuación, elija Siguiente.

3. Es posible que se le pida que realice una comprobación de seguridad. Escriba los caracteres de la imagen en el espacio correspondiente y, a continuación, seleccione Submit (Enviar). Debe completar esta comprobación para pasar al siguiente paso.

Consejo: Seleccione el botón Sound (Sonido) para escuchar un conjunto de números y letras para escribir. Seleccione el botón Refresh (Refrescar) para cambiar la imagen si no puede distinguir los caracteres de la imagen original.

4. En la página de inicio de sesión, introduzca su contraseña y seleccione Iniciar sesión.

Enhorabuena, acaba de iniciar sesión en la consola de administración de AWS como su usuario raíz. Pero no querrá usar a su usuario raíz para las tareas diarias. El usuario raíz solo debe usarse para tareas específicas de administración de cuentas, dos de las cuales haremos en la siguiente parte de este tutorial. 

• Habilitar MFA para el usuario raíz
• Creación de un usuario administrativo en el IAM Identity Center

Para ver la lista completa de tareas que requieren que inicie sesión como usuario raíz, véase Tareas que requieren credenciales de usuario raíz.

1. Inicie sesión en su cuenta de AWS recién creada con las credenciales de usuario raíz.

3. En Security recommendations (Recomendaciones de seguridad), hay un aviso para agregar MFA para el usuario raíz.
4. Seleccione Añadir MFA. 

Se abre la página Set up device (Configuar dispositivo). Esta página tiene tres pasos para completar.

9. Configure la aplicación de autenticación en su dispositivo móvil. Se admiten diversas aplicaciones de autenticación diferentes para dispositivos Android e iOS. Consulte la sección Virtual authenticator apps en la página Multi-Factor Authentication (MFA) for IAM para obtener una lista de las aplicaciones compatibles y enlaces a sus ubicaciones de descarga.

10. Abra la aplicación de autenticación en tu dispositivo móvil.

11. Seleccione el enlace Show QR code para mostrar un código QR único para su cuenta. Si no puede escanear el código QR, seleccione el enlace Show secret key para mostrar una clave de texto que puede introducir en la aplicación Authenticator para identificar su cuenta.

12. Escaneeel código QR con la aplicación de autenticación o introduzca el código en la aplicación de autenticación para vincular el dispositivo de autenticación a su cuenta.

13. Una vez que su autenticador haya establecido el enlace a su cuenta, empezará a generar códigos secretos que serán válidos durante un número limitado de segundos. En MFA code 1 escriba el código que ve en la aplicación. Espere a que ese código cambie al siguiente código, escriba ese código en MFA code 2 y, a continuación, seleccione Add MFA antes de que caduque el segundo código.

Volverá a la página My security credentials (usuario raíz). Aparece un mensaje de notificación en la parte superior que indica que el dispositivo MFA está asignado.

Sus credenciales de usuario raíz ahora están más seguras. 

14. Cierre de sesión en la consola. La próxima vez que inicie sesión con las credenciales de usuario raíz, proporcionará las credenciales de su dispositivo MFA, así como su dirección de correo electrónico y contraseña.

1. Inicie sesión en su cuenta de AWS usando las credenciales de usuario raíz.

Su fuente de identidad es donde se administran sus usuarios y grupos. Después de configurar su fuente de identidad, puede buscar usuarios o grupos para concederles acceso de inicio de sesión único a las cuentas de AWS, las aplicaciones en la nube o ambas.

Solo puede tener una fuente de identidad por organización. Puede utilizar cualquiera de las siguientes opciones:

• Directorio del Centro de Identidad: cuando habilita el IAM Identity Center por primera vez, se configura automáticamente con un directorio del Centro de Identidad como fuente de identidad predeterminada donde administrará sus usuarios y grupos.
• Active Directory: los usuarios y los grupos se administran en su directorio de Microsoft AD administrado por AWS mediante el AWS Directory Service o en su directorio autoadministrado en Active Directory (AD).
• External identity provider: los usuarios y los grupos se administran en un proveedor de identidad externo (IdP), como Okta o Azure Active Directory.

En este tutorial, vamos a utilizar el directorio del Centro de Identidad.

1. Vaya a la consola del IAM Identity Center y seleccione Usuarios. Luego, seleccione Agregar usuarios.

• Nombre de usuario: el nombre de usuario se usa para iniciar sesión en el portal de acceso de AWS y no se puede cambiar más adelante. Elige un nombre que sea fácil de recordar. Para este tutorial, agregaremos al usuario John.
• Contraseña - elija Enviar un correo electrónico a este usuario con instrucciones para configurar la contraseña (recomendado). Esta opción envía al usuario un correo electrónico con la dirección de Amazon Web Services, con la invitación en la línea de asunto para unirse al IAM Identity Center (sucesor de AWS Single Sign-On). El correo electrónico vendrá de no-reply@signin.aws o no-reply@login.awsapps.com. Agregue estas direcciones de correo electrónico a su lista de remitentes aprobados para que no se traten como correo basura o spam.

3. En la sección Información principal, complete los detalles de usuario obligatorios:  

• Email address - introduzca una dirección de correo electrónico para el usuario en la que pueda recibir el correo electrónico. A continuación, ingrésela de nuevo para confirmarla. Cada usuario debe tener una dirección de correo electrónico única.
  

Sugerencia: Durante las pruebas, es posible que pueda usar subdirecciones de correo electrónico para crear direcciones de correo electrónico válidas para diversos usuarios ficticios. Si su proveedor de correo electrónico lo admite, puede crear una nueva dirección de correo electrónico añadiendo el signo más (+) y, a continuación, números o caracteres a su dirección de correo electrónico actual, como someone@example.com, someone+1@example.com y someone+test@example.com. Todas esas direcciones de correo electrónico darían como resultado la recepción de un correo electrónico en la misma dirección de correo electrónico. 

• Nombre - Ingrese el nombre del usuario.
• Apellido - Ingrese el apellido del usuario.
• Nombre para mostrar - Se rellena automáticamente con el nombre y apellidos del usuario. Si desea cambiar el nombre para mostrar, puede ingresar algo diferente. El nombre para mostrar está visible en el portal de inicio de sesión y en la lista de usuarios. 
• Complete la información opcional si lo desea. No se usa durante este tutorial y se puede agregar más adelante.

4. Seleccione Siguiente-

Los grupos de usuarios le permiten asignar permisos a múltiples de usuarios, lo que puede facilitar la administración de permisos de dichos usuarios.

1. Seleccione Crear grupo.

2. Se abre una nueva pestaña del navegador para mostrar la página Crear grupo.

3. En Detalles del grupo, en Nombre del grupo, ingrese Admins.

4. Seleccione Crear grupo.

El nuevo usuario existe, pero no tiene acceso a ningún recurso, servicio o aplicación, por lo que el usuario no puede reemplazar a su usuario raíz para las tareas administrativas diarias todavía. Demos a su nuevo usuario acceso a su cuenta de AWS. Como colocamos al usuario en un grupo, asignaremos el grupo a una cuenta y, a continuación, añadiremos un conjunto de permisos que defina a qué pueden acceder los miembros del grupo.

Seguiremos utilizando las credenciales del usuario raíz para este procedimiento.

Inicie sesión en su cuenta de AWS usando las credenciales de usuario raíz.

En la página de cuentas de AWS, en Estructura organizativa, se muestra su raíz con la cuenta de prueba debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de prueba y, a continuación, seleccione Asignar usuarios o grupos.

Aparece el flujo de trabajo para asignar usuarios y grupos. Consta de los siguientes pasos: 

Para el Paso 1: Select users and groups (seleccione usuarios y grupos), seleccione el grupo de Admins que creó anteriormente en este tutorial. Luego, seleccione Siguiente.

Para el Paso 2: Select permission sets (seleccione conjuntos de permisos), seleccione Create permission set (crear conjunto de permisos) para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear el conjunto de permisos.

Se abre una nueva pestaña del navegador que muestra el Paso 1: seleccionar el tipo de conjunto de permisos. Realice las siguientes selecciones.

1. Para el tipo de conjunto de permisos, seleccione Conjunto de permisos predefinido
2. En Política para un conjunto de permisos predefinidos, seleccione AdministratorAccess
3. A continuación, elija Siguiente para continuar.

Para el Paso 2: especifique los detalles del conjunto de permisos, mantenga la configuración predeterminada y elija Siguiente. La configuración predeterminada crea un conjunto de permisos denominado AdministratorAccess con una duración de sesión establecida en una hora. 

Para el Paso 3: Review and create, verifique que el Permission set type utilice la política administrada de AWS AdministratorAccess. Elija Crear.

Volverá a la página Conjuntos de permisos. Aparece una notificación en la parte superior de la página que le informa que el conjunto de permisos se ha creado correctamente. Seleccione X para cerrar la pestaña.

En la pestaña Asignar usuarios y grupos del navegador, en el Paso 2: Seleccionar conjuntos de permisos, en la sección Conjuntos de permisos, seleccione Actualizar. El conjunto de permisos AdministratorAccess que creó aparece en la lista. Seleccione la casilla de verificación de ese conjunto de permisos y, a continuación, elija Siguiente. 

Para el Paso 3: Review and submit, revise los usuarios y grupos seleccionados y el conjunto de permisos y, a continuación, seleccione Submit.

La página se actualiza con un mensaje que indica que se está configurando su cuenta de AWS. Espere hasta que se complete el proceso.

Volverá a la página de cuentas de AWS en el Centro de Identidad de IAM. Un mensaje de notificación le informa que su cuenta de AWS se ha reaprovisionado y se ha aplicado el conjunto de permisos actualizado. 

Puede ver en la sección Estructura de la organización que su cuenta de AWS ahora es la cuenta de administración que se encuentra debajo de la raíz de la organización de AWS. En este tutorial, utilizaremos un nombre de cuenta de AWS de marcador de posición Test-acct. En su lugar, verá el nombre de su cuenta de AWS.  

Enhorabuena, su usuario ahora puede iniciar sesión en su portal de acceso de AWS y acceder a los recursos de su cuenta de AWS. 

Ahora está listo para iniciar sesión con su nuevo usuario administrativo. Si ha intentado iniciar sesión anteriormente, solo habrá podido establecer su contraseña y habilitar la autenticación multifactor (MFA) para su usuario, ya que no se le ha otorgado ningún otro permiso. Ahora, el usuario tendrá todos los permisos para ingresar a sus recursos de AWS, pero aún tendrá que configurar una contraseña y configurar MFA, así que repasemos esos procedimientos.

Se envió un correo electrónico de usuario nuevo a la dirección de correo electrónico que especificó al crear el usuario. El correo electrónico contiene tres elementos importantes:

1. Un enlace para aceptar la invitación a unirse
2. La URL de su portal de acceso a AWS
3. Su nombre de usuario que utilizará para iniciar sesión

Abra el correo electrónico y registre la URL del portal de acceso de AWS y el nombre de usuario para utilizarlos en el futuro. A continuación, seleccione el enlace Accept invitation. 

Sugerencia: Si no visualiza la invitación a unirse al correo electrónico del Centro de Identidad de IAM en su bandeja de entrada, revise las carpetas de correo no deseado, correo spam y elementos eliminados (o papelera). Todos los correos electrónicos enviados por el servicio del Centro de IAM Identity Center provendrán de la dirección no-reply@signin.aws o no-reply@login.awsapps.com. Si no encuentra el correo electrónico, inicie sesión como usuario root y restablezca la contraseña del usuario de Identity Center. Para obtener instrucciones, consulte Restablecer una contraseña de usuario del IAM Identity Center. Si sigues sin recibir el correo electrónico, restablece la contraseña de nuevo y, en su lugar, elige la opción Generate a one-time password de un solo uso que puedas compartir con el usuario.

El enlace abre una ventana del navegador y muestra la página de registro de nuevos usuarios.

En la página de registro de un nuevo usuario, especifique una contraseña nueva.

Las contraseñas deben ser:

• 8 — 64 caracteres
• Compuesta por letras mayúsculas y minúsculas, números y caracteres no alfanuméricos.

Después de confirmar la contraseña, selecciona Establecer nueva contraseña.

Se produce un breve retraso mientras se aprovisiona al usuario. 

Se abre la consola de AWS.

En la barra superior, junto al nombre de usuario, seleccione los MFA devices para configurar la MFA.

Se abre la página de Multi-factor authentication (MFA) devices. Selecciona Register device.

En la página Register MFA device, seleccione el dispositivo MFA que desee usar con la cuenta. Las opciones no compatibles con su navegador o plataforma aparecen atenuadas y no se pueden seleccionar.

Repasaremos las pantallas para ver la opción de la aplicación Authenticator. Es similar al proceso que siguió al configurar el dispositivo MFA para el usuario raíz en la primera parte del tutorial. La diferencia es que este dispositivo de MFA se registra en IAM Identity Center en lugar de en IAM. Si selecciona un dispositivo MFA diferente, siga las instrucciones del dispositivo que haya seleccionado. 

Seleccione el enlace Show QR code para mostrar un código QR único para su organización de AWS. Si no puedes escanear el código QR, selecciona el enlace Show secret key para mostrar una clave de texto que puedes introducir en la aplicación Authenticator para identificar tu organización. Escanee el código QR con su aplicación de autenticación o introduzca el código en la aplicación de autenticación para vincular tu dispositivo de autenticación a su organización. 

Una vez que su autenticador haya establecido el enlace con su organización, empezará a generar códigos secretos que serán válidos durante un número limitado de segundos. En Authenticator code, escriba el código que ve en la aplicación y, a continuación, elija Asignar MFA. 

Nota: Al registrar un dispositivo de MFA en IAM Identity Center, solo se requiere un código de autenticación para registrarse.

El dispositivo se ha registrado correctamente, seleccione Done. 

En el portal de acceso, seleccione la cuenta de AWS que desea administrar. Se le muestran los permisos configurados para su cuenta con dos opciones de conexión.

• Seleccione Management console para abrir la consola de administración de AWS y administrar sus recursos de AWS mediante los paneles de la consola de servicio.
• Seleccione Command line or programmatic access para obtener las credenciales para ingresar a los recursos de AWS mediante programación o desde la CLI de AWS. Para obtener más información sobre cómo obtener estas credenciales, consulte Getting IAM Identity Center user credentials for the AWS CLI o AWS SDKs.. 
  

Para este tutorial, seleccione Management console.

Se abre la Consola de administración de AWS. Como usuario con acceso administrativo, puede agregar servicios, agregar usuarios adicionales y configurar políticas y permisos. Ya no necesita usar su usuario raíz para realizar estas tareas.