Comience con AWS de forma gratuita

Cree una cuenta gratuita
O inicie sesión en la Consola

Disfrute de doce meses de acceso a la capa de uso gratuita de AWS y de otras características del nivel Basic de AWS Support, entre otras, un servicio ininterrumpido de soporte al cliente, foros de soporte y muchas más.


P: ¿Qué es AWS Identity and Access Management (IAM)?
Puede utilizar AWS IAM para controlar de forma segura el acceso individual y de grupos a los recursos de AWS. Puede crear y administrar identidades de usuario ("usuarios de IAM") y otorgar permisos para que dichos usuarios obtengan acceso a los recursos. También puede otorgar permisos para los usuarios externos a AWS (usuarios federados).

P: ¿Cómo comienzo a usar IAM?
Para comenzar a utilizar IAM, deberá suscribirse como mínimo a uno de los servicios de AWS que están integrados con IAM. Puede crear y administrar usuarios, grupos y permisos por medio de las API de IAM, la CLI de AWS o la consola de IAM, que le proporciona una interfaz interactiva basada en web. También puede usar el editor visual para crear políticas.

P: ¿Qué problemas resuelve IAM?
IAM facilita el acceso seguro de varios usuarios a su cuenta y sus recursos de AWS. IAM le permite:

  • Administre usuarios de IAM y su acceso: puede crear usuarios en el sistema de administración de identidades de AWS, asignar a cada usuario sus propias credenciales de seguridad (como claves de acceso, contraseñas o dispositivos de autenticación multifactor) o solicitar credenciales de seguridad temporales para permitir a los usuarios el acceso a los productos y a los recursos de AWS. Puede especificar los permisos para controlar las operaciones que puede realizar cada usuario.
  • Administrar el acceso de los usuarios federados: puede solicitar credenciales de seguridad con fecha de vencimiento configurable para los usuarios administrados en el directorio corporativo. De esta forma, podrá ofrecer a los empleados y a las aplicaciones acceso seguro a los recursos presentes en su cuenta de AWS, sin necesidad de crear una cuenta de usuario de IAM para ellos. Debe especificar los permisos para estas credenciales de seguridad para controlar qué operaciones puede realizar cada usuario.

P: ¿Quién puede usar IAM?
Cualquier cliente de AWS puede utilizar IAM. El servicio se ofrece sin cargo adicional. Solo se le cobrará por la utilización de los demás servicios de AWS por parte de sus usuarios.

P: ¿Qué es un usuario?
Un usuario es una identidad única reconocida por los servicios y aplicaciones de AWS. Al igual que un usuario que haya iniciado sesión en un sistema operativo como Windows o UNIX, un usuario dispone de un nombre único y puede identificarse utilizando credenciales de seguridad familiares, como una contraseña o una clave de acceso. Un usuario puede ser una persona, un sistema o una aplicación que solicite acceso a los servicios de AWS. IAM soporta usuarios administrados con el sistema de administración de identidades de AWS (denominados "usuarios de IAM") y permite asimismo otorgar acceso a los recursos de AWS a los usuarios de su directorio corporativo fuera de AWS (denominados "usuarios federados").

P: ¿Qué puede hacer un usuario?
Un usuario puede realizar solicitudes a servicios web como Amazon S3 y Amazon EC2. La capacidad del usuario para obtener acceso a las API de servicios web se encuentra bajo el control y la responsabilidad de la cuenta de AWS para la que se define. Puede permitir a un usuario el acceso a cualquiera o a todos los servicios de AWS integrados con IAM y a los que se ha suscrito la cuenta de AWS. Si se permite, un usuario tiene acceso a todos los recursos incluidos en la cuenta de AWS. Además, si la cuenta de AWS tiene acceso a recursos de otra cuenta de AWS distinta, sus usuarios podrán tener acceso a los datos incluidos en dichas cuentas de AWS. Todos los recursos de AWS que haya creado un usuario estarán bajo el control de su cuenta de AWS y se pagarán a través de ella. Un usuario no puede suscribirse de forma independiente a los servicios o recursos de control de AWS.

P: ¿Cómo solicitan los usuarios los servicios de AWS?
Los usuarios pueden enviar solicitudes a los servicios de AWS por medio de credenciales de seguridad. Su capacidad para realizar llamadas a servicios de AWS se regula mediante permisos explícitos. De forma predeterminada, los usuarios no tienen la capacidad de realizar llamadas a las API del servicio en nombre de la cuenta.

P: ¿Cómo comienzo a usar IAM?
Para comenzar a utilizar IAM, deberá suscribirse como mínimo a uno de los servicios de AWS que están integrados con IAM. Puede crear y administrar usuarios, grupos y permisos por medio de las API de IAM, la CLI de AWS o la consola de IAM, que le proporciona una interfaz interactiva basada en web. También puede utilizar AWS Policy Generator para crear políticas.


P: ¿Cómo se administran los usuarios de IAM?
IAM soporta varios métodos para:

  • Crear y administrar usuarios de IAM.
  • Crear y administrar grupos de IAM.
  • Administrar las credenciales de seguridad de los usuarios.
  • Crear y administrar políticas para conceder acceso a los recursos y servicios de AWS.

Puede crear y administrar usuarios, grupos y políticas mediante el uso de API de IAM, la CLI de AWS o la consola de IAM. También puede usar el editor visual y el simulador de políticas de IAM para crear y probar políticas.

P: ¿Qué es un grupo?
Un grupo es un conjunto de usuarios de IAM. La pertenencia a grupos se administra por medio de una sencilla lista:

  • Se pueden añadir usuarios a un grupo o eliminarlos.
  • Un usuario puede pertenecer a varios grupos.
  • Los grupos no pueden pertenecer a otros grupos.
  • Se pueden conceder permisos a los grupos mediante las políticas de control de acceso. Esto hace que sea más sencillo administrar los permisos para un conjunto de usuarios en lugar de tener que administrar permisos para cada usuario individual.
  • Los grupos no tienen credenciales de seguridad y no pueden obtener acceso de forma directa a los servicios web; existen únicamente para hacer que sea más sencillo administrar los permisos de usuario. Para obtener más información, consulte la sección sobre el trabajo con grupos y usuarios.

P: ¿Qué tipo de credenciales de seguridad pueden tener los usuarios de IAM?
Los usuarios de IAM pueden tener cualquier combinación de credenciales que admita AWS, como una clave de acceso de AWS, el certificado X.509, una clave SSH, una contraseña para el inicio de sesión de la aplicación en la web o un dispositivo MFA. Esto permite que los usuarios interactúen con AWS de la manera en que deseen. Un empleado podría tener tanto una clave de acceso como una contraseña de AWS; un sistema de software podría tener solo una clave de acceso de AWS para realizar llamadas mediante programación; los usuarios de IAM podrían disponer de una clave SSH privada para obtener acceso a los repositorios de AWS CodeCommit; y un contratista externo podría disponer solo de un certificado X.509 para usar la interfaz de línea de comando de EC2. Para obtener detalles, consulte la sección de credenciales temporales de seguridad en la documentación de IAM.

P: ¿Qué servicios de AWS admiten usuarios de IAM?
La lista completa de servicios de AWS que admiten usuarios de IAM se puede consultar en la sección AWS Services That Work with IAM de la documentación de IAM. AWS tiene previsto ir añadiendo soporte para otros servicios.

P: ¿Se puede habilitar/deshabilitar el acceso de los usuarios?
Sí. Las claves de acceso de los usuarios de IAM pueden habilitarse y deshabilitarse mediante las API de IAM, la interfaz de línea de comando de AWS o la consola de IAM. Si deshabilita las claves de acceso, el usuario no dispondrá de acceso programático a los servicios de AWS.

P: ¿Quién puede administrar a los usuarios para una cuenta de AWS?
El titular de la cuenta de AWS puede administrar usuarios, grupos, credenciales de seguridad y permisos. Además, puede conceder permisos a usuarios individuales para que realicen llamadas a las API de la IAM para poder administrar a otros usuarios. Por ejemplo, puede crearse un usuario administrador para administrar a los usuarios de una corporación (una práctica recomendada). Cuando concede a un usuario permiso para administrar a otros usuarios, puede utilizar para tal fin las API de IAM, la interfaz de línea de comando (CLI) de AWS o la consola de IAM.

P: ¿Puedo estructurar una colección de usuarios jerárquicamente, como en LDAP?
Sí. Es posible organizar los usuarios y grupos mediante rutas, al igual que las rutas de objetos en Amazon S3: por ejemplo, miempresa/división/proyecto/pedro.

P: ¿Se puede definir regionalmente a los usuarios?
En principio, no. Los usuarios son entidades globales, como una cuenta de AWS lo es en la actualidad. No es necesario especificar una región a la hora de definir los permisos de usuario. Los usuarios pueden usar los servicios de AWS en cualquier región geográfica.

P: ¿Cómo se configuran los dispositivos MFA para los usuarios de IAM?
Usted (el propietario de la cuenta de AWS) puede solicitar varios dispositivos MFA. A continuación, puede asignar estos dispositivos a usuarios particulares de IAM por medio de las API de IAM, la interfaz de línea de comando de AWS o la consola de IAM.

P: ¿Qué clase de rotación de claves se soporta para los usuarios de IAM?
Las claves de acceso de usuario y los certificados X.509 pueden rotarse tal y como están para los identificadores de acceso raíz de una cuenta de AWS. Las claves de acceso y los certificados X.509 de un usuario pueden administrarse y rotarse programándolos mediante las API de IAM, la interfaz de línea de comando de AWS o la consola de IAM.

P: ¿Pueden los usuarios de IAM disponer de claves SSH individuales para EC2?
No en la versión inicial. IAM no afecta a las claves SSH para EC2 ni a los certificados RDP de Windows. Esto quiere decir que, aunque cada usuario dispone de credenciales separadas para obtener acceso a las API del servicio web, deben compartir las claves SSH que sean comunes para la cuenta de AWS bajo la que se les ha definido.

P: ¿Dónde puedo utilizar mis claves SSH?

En este momento, los usuarios de IAM solo pueden utilizar sus claves de SSH con AWS CodeCommit para obtener acceso a sus repositorios.

P: ¿Tienen que ser direcciones de correo electrónico los nombres de usuario de IAM?
No, pero pueden serlo. Los nombres de usuario son simplemente cadenas ASCII que no se repiten dentro de una cuenta determinada de AWS. Puede asignar nombres mediante cualquier convención que desee, incluidas las direcciones de correo electrónico.

P: ¿Qué conjunto de caracteres puedo utilizar para los nombres de usuario de IAM?
Las entidades de IAM solo admiten los caracteres ASCII.

P: ¿Se soportan atributos de usuarios aparte del nombre de usuario?
Por ahora no.

P: ¿Cómo se configuran las contraseñas de usuario?
Es posible configurar la contraseña inicial de un usuario de IAM mediante la consola de IAM, la interfaz de línea de comando de AWS o las API de IAM. Las contraseñas de usuario nunca aparecen en texto legible y nunca se muestran o se devuelven a través de una llamada a API. Los usuarios de IAM pueden administrar sus contraseñas a través de la página My Password de la consola de IAM. Los usuarios obtienen acceso a esta página seleccionando la opción Security Credentials en la lista desplegable en la esquina superior derecha de la consola de administración de AWS.

P: ¿Puedo establecer una política de contraseñas para mi contraseña de usuario?
Sí, puede requerir contraseñas seguras exigiendo una longitud mínima o la inclusión de al menos un número. Puede también imponer el vencimiento automático de las contraseñas, impedir la reutilización de antiguas contraseñas y exigir el restablecimiento de la contraseña tras el próximo inicio de sesión en AWS. Para obtener más detalles, consulte Setting an Account Policy Password for IAM Users.

P: ¿Puedo configurar cuotas para los usuarios de IAM?
No. Todos los límites se encuentran en la cuenta de AWS. Por ejemplo, si su cuenta de AWS tiene un límite de 20 instancias de Amazon EC2, los usuarios de IAM con permisos de EC2 pueden iniciar instancias hasta el límite. No puede limitar las acciones de un usuario particular.


P: ¿Qué es una función de IAM?
Una función IAM es una entidad de IAM que define un conjunto de permisos para realizar solicitudes de servicio de AWS. Las funciones de IAM no están asociadas con ningún grupo ni usuario específico, sino que las asumen entidades de confianza, como usuarios de IAM, aplicaciones o servicios de AWS como EC2.

P: ¿Qué problemas resuelven las funciones de IAM?
Las funciones de IAM permiten delegar el acceso con permisos definidos a entidades de confianza sin tener que compartir claves de acceso a largo plazo. Puede utilizar funciones de IAM para delegar el acceso a usuarios de IAM administrados en la cuenta de la que dispone, a usuarios de IAM de cuenta diferente de AWS o en algún servicio de AWS, como EC2.

P: ¿Cómo puedo comenzar a utilizar las funciones de IAM?
Las funciones se crean del mismo modo que se crean usuarios, es decir, debe asignar un nombre a la función y adjuntarle una política. Para obtener más detalles, consulte Creating IAM Roles.

P: ¿Cómo puedo asumir una función de IAM?
Para asumir una función de IAM, debe llamar a las API AssumeRole de AWS Security Token Service (STS) (es decir, AssumeRole, AssumeRoleWithWebIdentity y AssumeRoleWithSAML). Estas API devuelven un conjunto de credenciales de seguridad temporales que las aplicaciones pueden utilizar para firmar solicitudes en las API de servicio de AWS.

P: ¿Cuántas funciones de IAM puedo asumir?
No hay ningún límite de funciones de IAM que se puedan asumir, pero solo puede actuar como una función de IAM al hacer las solicitudes a los servicios de AWS.

P: ¿Quién puede usar funciones de IAM?
Todos los clientes de AWS pueden utilizar esta característica.

P: ¿Cuánto cuestan las funciones de IAM?
Las funciones de IAM son gratuitas. Seguirá pagando por los recursos que consuma una función su cuenta de AWS.

P: ¿Cómo se administran las funciones de IAM?
Puede crear y administrar funciones de IAM mediante las API de IAM, la CLI de AWS o la consola de IAM, que le proporciona una interfaz interactiva basada en web.

P: ¿Qué diferencias existen entre una función de IAM y un usuario de IAM?
Un usuario de IAM tiene credenciales permanentes a largo plazo, que utiliza para interactuar directamente con los servicios de AWS. Una función de IAM no tiene ninguna credencial y no puede realizar solicitudes directas a servicios de AWS. Las funciones de IAM están pensadas para que las asuman las entidades autorizadas, como por ejemplo usuarios de IAM, aplicaciones o un servicio de AWS como EC2.

P: ¿Cuándo debo utilizar un usuario, un grupo o una función de IAM?

Un usuario de IAM tiene credenciales permanentes a largo plazo, que utiliza para interactuar directamente con los servicios de AWS. Un grupo de IAM es principalmente una forma de administrar el mismo conjunto de permisos para un conjunto de usuarios de IAM. Una función de IAM es una entidad de AWS Identity and Access Management (IAM) con permisos para realizar solicitudes a servicios de AWS. Las funciones de IAM no pueden realizar solicitudes directas a los servicios de AWS, ya que están pensadas para que las asuman las entidades autorizadas, como por ejemplo usuarios de IAM, aplicaciones o servicios de AWS como EC2. Utilice las funciones de IAM para delegar acceso dentro de las cuentas de AWS o entre ellas.

P: ¿Puedo añadir una función de IAM a un grupo de IAM?
Por ahora no.

P: ¿Cuántas políticas se pueden adjuntar a una función de IAM?

Para las políticas en línea: puede añadir tantas políticas en línea como desee a un usuario, función o grupo, siempre que el tamaño agregado de todas ellas (el tamaño sumado de todas las políticas en línea) por entidad no supere los siguientes límites:

  • El tamaño de la política de usuarios no puede exceder los 2 048 caracteres.
  • El tamaño de la política de funciones no puede exceder los 10 240 caracteres.
  • El tamaño de la política de grupos no puede exceder los 5 120 caracteres.

Para las políticas administradas: puede añadir hasta 10 políticas administradas para un usuario, función o grupo. La longitud de cada política administrada no puede exceder los 6 144 caracteres.

P: ¿Cuántas funciones de IAM puedo crear?
Existe un límite de 1 000 funciones de IAM para su cuenta de AWS. Si necesita más funciones, envíe el formulario de solicitud de aumento del límite de IAM con las explicaciones de su caso de uso para su evaluación.

P: ¿A qué servicios puede enviar solicitudes mi aplicación?
Su aplicación puede realizar solicitudes a todos los servicios de AWS que admitan sesiones de funciones.

P: ¿Qué son las funciones de IAM para instancias EC2?
Las funciones de IAM para instancias EC2 permiten que las aplicaciones que se ejecutan en EC2 realicen solicitudes a servicios de AWS como Amazon S3, Amazon SQS y Amazon SNS, entre otros, sin tener que copiar las claves de acceso de AWS en cada instancia. Si desea obtener más información, consulte IAM Roles for Amazon EC2.

P: ¿Cuáles son las características de las funciones de IAM para las instancias EC2?

Las funciones de IAM para instancias de EC2 proporcionan las siguientes características:

  • Credenciales de seguridad temporales de AWS que se pueden utilizar al realizar solicitudes para ejecutar instancias EC2 en todos los servicios de AWS.
  • Rotación automática de las credenciales de seguridad temporales de AWS.
  • Permisos de servicio de AWS pormenorizados para las aplicaciones que se ejecutan en instancias EC2.

P: ¿Qué problemas resuelven las funciones de IAM para instancias EC2?
Las funciones de IAM para instancias EC2 simplifican la administración y la implementación de claves de acceso de AWS en instancias EC2. Con esta característica se asocia una función de IAM a una instancia. A continuación, su instancia EC2 proporciona las credenciales de seguridad temporales para las aplicaciones que se ejecuten en la instancia, y las aplicaciones pueden utilizar estas credenciales para realizar solicitudes de manera segura a los recursos de servicio de AWS definidos en la función.

P: ¿Cómo puedo comenzar a utilizar las funciones de IAM para instancias EC2?
Para comprender cómo operan las funciones con instancias EC2, debe utilizar la consola de IAM para crear una función, lanzar una instancia EC2 que la utilice y, a continuación, examinar la instancia en ejecución. Puede examinar los metadatos de la instancia para ver cómo se ponen las credenciales de una función a disposición de una instancia. También puede ver cómo puede utilizar la función una aplicación que se ejecuta en la instancia. Para obtener más información, consulte How Do I Get Started?

P: ¿Puedo utilizar la misma función de IAM en varias instancias EC2?
Sí.

P: ¿Puedo cambiar la función de IAM en una instancia EC2 en ejecución?
Sí. Si bien generalmente se asigna una función a una instancia EC2 cuando se lanza, también es posible asignar una función a una instancia EC2 que ya se encuentra en ejecución. Para obtener más información acerca de cómo asignar una función a una instancia en ejecución, consulte IAM Roles for Amazon EC2. También puede cambiar los permisos de la función de IAM asociada con una instancia en ejecución, y los permisos actualizados se aplicarán casi de inmediato. 

P: ¿Puedo asociar una función de IAM a una instancia EC2 que ya esté en ejecución?
Sí. Puede asignar una función a una instancia EC2 que ya se encuentre en ejecución. Para obtener más información acerca de cómo asignar una función a una instancia que se encuentre en ejecución, consulte IAM Roles for Amazon EC2.

P: ¿Puedo asociar una función de IAM a un grupo de Auto Scaling?

Sí. Puede añadir una función de IAM como parámetro adicional a una configuración de lanzamiento de Auto Scaling y crear un grupo de Auto Scaling con dicha configuración. Todas las instancias EC2 lanzadas en un grupo de Auto Scaling asociado con una función IAM se lanzan con la función como parámetro de entrada. Para obtener más detalles, consulte What Is Auto Scaling? en la guía Auto Scaling Developer Guide.

P: ¿Puedo asociar más de una función de IAM a una instancia EC2?
No. En estos momentos, puede asociar una única función de IAM a una instancia EC2. El límite de una función por instancia no se puede aumentar.

P: ¿Qué sucede si elimino una función de IAM asociada a una instancia EC2 en ejecución?
Se denegará el acceso inmediatamente a cualquier aplicación que se ejecute en la instancia que está utilizando la función.

P: ¿Puedo controlar qué funciones de IAM puede asociar un usuario de IAM a una instancia EC2?
Sí. Si desea obtener más información, consulte Permissions Required for Using Roles with Amazon EC2.

P: ¿Qué permisos son necesarios para lanzar instancias EC2 con una función de IAM?
Debe conceder a los usuarios de IAM dos permisos diferentes para lanzar correctamente instancias EC2 con funciones:

  • Permiso para lanzar instancias EC2.
  • Permiso para asociar una función de IAM a instancias EC2.

Si desea obtener más información, consulte Permissions Required for Using Roles with Amazon EC2.

P: ¿Quién puede tener acceso a las claves de acceso en una instancia EC2?
Cualquier usuario local de la instancia puede obtener acceso a las claves de acceso asociadas a la función de IAM.

P: ¿Cómo puedo utilizar la función de IAM con mi aplicación en la instancia EC2?
Si desarrolla la aplicación con AWS SDK, este utiliza automáticamente las claves de acceso de AWS que están disponibles en la instancia EC2. Si no va a utilizar AWS SDK, puede recuperar las claves de acceso del servicio de metadatos de instancias EC2. Si desea obtener más información, consulte Using an IAM Role to Grant Permissions to Applications Running on Amazon EC2 Instances.

P: ¿Cómo puedo rotar las credenciales de seguridad temporales en la instancia EC2?
Las credenciales de seguridad temporales de AWS asociadas a una función de IAM se rotan automáticamente varias veces al día. Las nuevas credenciales de seguridad temporales estarán disponibles en un máximo de cinco minutos antes de que venzan las credenciales de seguridad temporales existentes.

P: ¿Puedo utilizar las funciones de IAM para las instancias EC2 con cualquier tipo de instancia o imagen de máquina de Amazon?
Sí. Las funciones de IAM para las instancias EC2 también funcionan en Amazon Virtual Private Cloud (VPC) con instancias de subasta y reservadas.

P: ¿Qué es una función vinculada al servicio?
Una función vinculada al servicio es un tipo de función que se vincula a un servicio de AWS (también conocido como servicio vinculado) de tal manera que solo el servicio enlazado puede asumir la función. Utilizando estas funciones puede delegar permisos a los servicios de AWS para crear y administrar recursos de AWS en su nombre.

P: ¿Puedo asumir una función vinculada al servicio?
No. Una función vinculada al servicio solo puede ser asumida por el servicio vinculado. Esta es la razón por la cual la política de confianza de una función vinculada al servicio no puede ser modificada.

P: ¿Puedo eliminar una función vinculada a un servicio?
Sí. Si ya no desea que un servicio de AWS realice acciones por usted, puede eliminar su función vinculada al servicio. Antes de eliminar la función, debe eliminar todos los recursos de AWS que dependan de esta. Este paso garantiza que no pueda eliminar involuntariamente una función indispensable para el funcionamiento correcto de los recursos de AWS.

P: ¿Cómo elimino una función vinculada al servicio?
Puede eliminar una función vinculada al servicio en la consola de IAM. Seleccione Roles (Funciones) en el panel de navegación, elija la función vinculada a un servicio que desea eliminar y pulse Delete role (Eliminar función). (Nota: Para Amazon Lex, debe usar la consola de Amazon Lex para eliminar la función vinculada a un servicio).


P: ¿Cómo funcionan los permisos?

Usuarios, grupos y funciones llevan adjuntas políticas de control de acceso para asignar permisos a recursos de AWS. De forma predeterminada, los usuarios, grupos y funciones de IAM no tienen permisos; los usuarios con permisos suficientes deben utilizar una política para conceder los permisos deseados.

P: ¿Cómo puedo asignar permisos mediante una política?

Para establecer permisos, puede crear y adjuntar políticas mediante la consola de administración de AWS, la API de IAM o la CLI de AWS. Los usuarios a los que se les hayan concedido los permisos necesarios pueden crear políticas y asignarlas a usuarios, grupos y funciones de IAM.

P: ¿Qué son las políticas administradas?

Las políticas administradas son recursos de IAM que expresan permisos mediante el lenguaje de políticas de IAM. Puede crearlas, editarlas y administrarlas independientemente de los usuarios, grupos y funciones de IAM a los que están adjuntas. Después de asociar una política administrada a varios usuarios, grupos o funciones de IAM, basta con actualizar dicha política en un lugar para que los permisos se extiendan automáticamente a todas las entidades adjuntas. Las políticas administradas las puede administrar usted mismo (serían las denominadas políticas administradas por el cliente) o AWS (denominadas políticas administradas por AWS). Para obtener más información sobre las políticas administradas, consulte Managed Policies and Inline Policies.

P: ¿Cómo puedo crear una política administrada por el cliente?

Puede usar el editor visual o el editor de JSON en la consola de IAM. El editor visual es un editor interactivo que lo guía a través del proceso de concesión de permisos en una política sin la necesidad de escribir la política en JSON. Puede crear políticas en JSON mediante el uso de la CLI y el SDK.

P: ¿Cómo puedo asignar los permisos de uso común?

AWS ofrece un conjunto de permisos de uso común que puede asociar a usuarios, grupos y funciones de IAM de su cuenta. Se les denomina políticas administradas de AWS. Un ejemplo es el acceso de solo lectura para Amazon S3. Cuando AWS actualiza estas políticas, los permisos se aplican automáticamente a los usuarios, grupos y funciones a los que está asociada dicha política. Las políticas administradas de AWS aparecen automáticamente en la sección Policies de la consola de IAM. Al asignar permisos, puede usar una política administrada de AWS, o bien crear una nueva política propia administrada por el cliente. Cree una nueva política basada en una política administrada de AWS existente o defina una propia.

P: ¿Cómo funcionan los permisos basados en grupos?

Utilice los grupos de IAM para asignar el mismo conjunto de permisos a varios usuarios de IAM. También es posible asignar permisos individuales a un usuario. Los dos modos de adjuntar permisos a los usuarios se combinan para establecer los permisos generales.

P: ¿Qué diferencia hay entre la asignación de permisos con grupos de IAM y mediante directivas administradas?

Utilice los grupos de IAM para recopilar usuarios de IAM y definir permisos comunes para estos usuarios. Utilice políticas administradas para compartir permisos entre usuarios, grupos y funciones de IAM. Por ejemplo, si desea que un grupo de usuarios pueda lanzar una instancia de Amazon EC2 y también que la función de dicha instancia tenga los mismos permisos que los usuarios del grupo, puede crear una política administrada y asignarla al grupo de usuarios y a la función en la instancia de Amazon EC2.

P: ¿Cómo se evalúan las políticas de IAM en combinación con políticas basadas en recursos de Amazon S3, Amazon SQS, Amazon SNS y AWS KMS?

Las políticas de IAM se evalúan junto con las políticas basadas en recursos del servicio. Si una política de cualquier tipo otorga acceso (sin denegarlo explícitamente), la acción está permitida. Para obtener más información sobre la lógica de evaluación de políticas, consulte IAM Policy Evaluation Logic

P: ¿Puedo utilizar una política administrada como política basada en recursos?

Las directivas administradas se pueden asociar solo a usuarios, grupos o funciones de IAM. No puede utilizarlas como políticas basadas en recursos.

P: ¿Cómo configuro permisos granulares mediante políticas?

Es posible especificar mediante políticas varias capas de granularidad de permisos. Primero, puede definir acciones específicas de servicios de AWS cuyo acceso desea permitir o denegar explícitamente. Segundo, dependiendo de la acción, puede definir recursos específicos de AWS sobre los que las acciones pueden realizarse. Tercero, puede definir condiciones que especifiquen cuándo está en efecto la política (por ejemplo, si MFA está o no habilitado).

P: ¿Cómo puedo eliminar fácilmente permisos innecesarios?

Para ayudarle a determinar qué permisos son necesarios, ahora la consola de IAM muestra los últimos datos de servicio a los que se obtuvo acceso, donde se ve la hora a la que una entidad de IAM (un usuario, grupo o función) empleó por última vez un servicio de AWS. Saber cuándo una entidad de IAM ejerció un permiso por última vez puede ayudarle a eliminar permisos innecesarios y a ajustar las políticas de IAM con el mínimo esfuerzo.

P: ¿Puedo otorgar permisos para obtener acceso o cambiar la información en el nivel de cuenta (por ejemplo, la forma de pago, la dirección de email de contacto y el historial de facturación)?

Sí, puede otorgar a un usuario federado o a un usuario federado de IAM la capacidad para ver los datos de facturación de AWS y modificar la información de la cuenta de AWS. Para obtener más información sobre el control de acceso a la información de facturación, consulte Controlling Access.

P: ¿Cómo puedo crear y administrar claves de acceso en una cuenta de AWS?

Solo el titular de la cuenta de AWS puede administrar las claves de acceso de la cuenta raíz. El titular de la cuenta y los usuarios o las funciones de IAM a quienes se les hayan concedido los permisos necesarios pueden administrar las claves de acceso de los usuarios de IAM.

P: ¿Puedo otorgar permisos para obtener acceso a recursos de AWS propiedad de otra cuenta de AWS?
Sí. Con las funciones de IAM, los usuarios federados y los usuarios de IAM pueden acceder a los recursos de otra cuenta de AWS a través de la consola de administración de AWS, la CLI de AWS o las API. Consulte Administración de funciones de IAM para obtener más información.

P: ¿Qué aspecto tiene una política?

La siguiente política concede acceso para añadir, actualizar y eliminar objetos de una carpeta específica, example_folder, en un bucket específico, example_bucket.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

P: ¿Qué es un resumen de política?

Si utiliza la consola de IAM y selecciona una política, se mostrará un resumen de política. Los resúmenes de política clasifican el nivel de acceso, los recursos y las condiciones de cada servicio definido en una política. La siguiente captura de pantalla muestra un ejemplo. El nivel de acceso (Vista, Lectura, Escritura o Administración de permisos) se define por las acciones que permite cada servicio de la política. Seleccione el botón JSON para consultar la política en JSON.

Captura de pantalla de un resumen de política

P: ¿Qué es el simulador de políticas de IAM?
El simulador de políticas de IAM es una herramienta que le permite comprender, probar y validar los efectos de las políticas de control de acceso.

P: ¿Para qué puede utilizarse el simulador de políticas?  
Puede utilizar el simulador de políticas de distintas maneras. Puede probar los cambios de política para asegurarse de que tienen el efecto deseado antes de enviarlas a producción. Puede validar políticas existentes asociadas a usuarios, grupos y funciones para comprobar permisos y resolver cualquier problema. También puede utilizar el simulador de políticas para comprender cómo se combinan las políticas de IAM y las políticas basadas en recursos para conceder o denegar el acceso a los recursos de AWS.

P: ¿Quién puede utilizar el simulador de políticas?
El simulador de políticas está disponible para todos los clientes de AWS.

P: ¿Cuánto cuesta el simulador de políticas?
El simulador de políticas está disponible sin costo adicional.

P: ¿Cómo puedo comenzar?
Visite https://policysim.aws.amazon.com o haga clic en el vínculo de la consola de IAM en "Additional Information". Especifique para su evaluación una nueva política o elija un conjunto de políticas existente de un usuario, grupo o función. A continuación, seleccione un conjunto de acciones de la lista de servicios de AWS, proporcione cualquier información necesaria para simular la solicitud de acceso y ejecute la simulación para determinar si la política permite o deniega permisos para las acciones y recursos seleccionados. Para obtener más información sobre el simulador de políticas de IAM, visualice nuestro vídeo de introducción o consulte la documentación.

P: ¿Qué tipos de política admite el simulador de políticas de IAM?
El simulador de políticas admite la prueba de políticas nuevas y existentes adjuntadas a usuarios, grupos o funciones. Además, puede simular si las políticas en el nivel de recurso conceden acceso a un recurso concreto de los buckets de Amazon S3, los almacenes de Amazon Glacier, los temas de Amazon SNS y las colas de Amazon SQS. Estos se incluyen en la simulación cuando se especifica un nombre de recurso de Amazon (ARN) en el campo Recurso de los Ajustes de simulación de un servicio que admite políticas de recurso.

P: Si cambio una política en el simulador de políticas, ¿se conservan esos cambios en producción?
No. Para aplicar cambios a la producción, copie la política que ha modificado en el simulador de políticas y adjúntela al usuario, grupo o función de IAM deseado.

P: ¿Puedo utilizar el simulador de políticas mediante programación?
Sí. Además de con su propia consola, puede utilizar el simulador de políticas con el SDK de AWS o el CLI de AWS. Utilice la API iam:SimulatePrincipalPolicy para probar mediante programación sus políticas de IAM existentes. Para probar los efectos de políticas nuevas o actualizadas aún no asignadas a un usuario, grupo o función, realice una llamada a la API iam:SimulateCustomPolicy.  


P: ¿Cómo puede iniciar sesión un usuario de IAM?

Para iniciar sesión en la consola de administración de AWS como usuario de IAM debe suministrar su alias o ID de cuenta, además del nombre de usuario y la contraseña. Cuando su administrador creó su usuario de IAM en la consola, debería haberle proporcionado su nombre de usuario y la URL que conduce a la página de inicio de sesión de la cuenta. Dicha URL incluye su alias o ID de cuenta.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

También puede iniciar sesión en el siguiente punto de conexión de inicio de sesión general y escribir su alias o ID de cuenta manualmente:

https://console.aws.amazon.com/

Para mayor comodidad, la página de inicio de sesión de AWS utiliza una cookie de navegador para recordar la información de cuenta y de nombre de usuario de IAM. La próxima vez que el usuario vaya a cualquier página en la consola de administración de AWS, la consola utilizará la cookie para redireccionar al usuario a la página de inicio de sesión de la cuenta.

Nota: Los usuarios de IAM pueden continuar utilizando el enlace URL que les facilitó su administrador para iniciar sesión en la consola de administración de AWS.

P: ¿Qué es un alias de cuenta de AWS?

El alias de una cuenta es un nombre que se define para que resulte más cómodo identificarla. Es posible crear un alias mediante las API de IAM, las herramientas de línea de comandos de AWS o la consola de IAM. Cada cuenta de AWS puede tener únicamente un alias.

P: ¿A qué sitios de AWS pueden obtener acceso los usuarios de IAM?

Los usuarios de IAM pueden iniciar sesión en los siguientes sitios de AWS:

P: ¿Pueden los usuarios de IAM iniciar sesión en otras propiedades de Amazon.com con sus credenciales?
No. Los usuarios creados con la IAM solo serán reconocidos por los servicios y aplicaciones de AWS.

P: ¿Existe una API de autenticación para verificar los inicios de sesión de los usuarios de IAM?
No. No hay forma de verificar mediante programación los inicios de sesión de los usuarios.

P: ¿Podrán los usuarios iniciar sesión en SSH para instancias EC2 con su nombre de usuario y contraseña de AWS?
No. Las credenciales de seguridad de usuario creadas con IAM no soportan la autenticación directa a las instancias EC2 del cliente. La administración de las credenciales SSH de EC2 es responsabilidad del cliente en la consola de EC2.


P: ¿Qué son las credenciales de seguridad temporales?
Las credenciales de seguridad temporales se componen de un ID de clave de acceso de AWS, una clave de acceso secreta y un token de seguridad. Las credenciales de seguridad temporales son válidas durante un tiempo determinado y para un conjunto concreto de permisos. Es bastante común referirse a las credenciales de seguridad temporales simplemente como tokens. Es posible solicitar tokens para los usuarios de IAM o para los usuarios federados que se administran en su propio directorio corporativo. Para obtener más información, consulte Common Scenarios for Temporary Credentials.

P: ¿Qué beneficios aportan las credenciales de seguridad temporales?
Las credenciales de seguridad temporales le permiten:

  • Ampliar sus directorios de usuario internos para habilitar la federación en AWS, lo que permite a sus empleados y a las aplicaciones obtener acceso de forma segura a las API de servicio de AWS sin necesidad de crear una identidad de AWS para ellos.
  • Solicitar credenciales de seguridad temporales para un número ilimitado de usuarios federados.
  • Configure cuánto tiempo tardan en vencer las credenciales de seguridad temporales, lo que mejora la seguridad al obtener acceso a las API de servicio de AWS mediante dispositivos móviles que corren el riesgo de extraviarse.

P: ¿Cómo puedo solicitar credenciales de seguridad temporales para los usuarios federados?
Puede realizar una llamada a las API GetFederationToken, AssumeRole, AssumeRoleWithSAML o AssumeRoleWithWebIdentity de STS.

P: ¿Cómo pueden solicitar los usuarios de IAM credenciales de seguridad temporales para su propio uso?
Los usuarios de IAM pueden solicitar credenciales de seguridad temporales para su propio uso mediante una llamada al API GetSessionToken de AWS STS. El vencimiento predeterminado de estas credenciales temporales es de 12 horas, el mínimo de 15 minutos y el máximo de 36 horas.

Las credenciales temporales también se pueden utilizar con el el acceso mediante API protegido por Multi-Factor Authentication (MFA).

P: ¿Cómo puedo utilizar credenciales de seguridad temporales para realizar llamadas a API de servicios de AWS?
Si realiza solicitudes API HTTP directas a AWS, puede firmarlas con las credenciales de seguridad temporales que obtiene de AWS Security Token Service (AWS STS). Para ello, haga lo siguiente:

  • Utilice el ID de clave de acceso y la clave de acceso secreta proporcionados con las credenciales de seguridad temporales, como si utilizara las credenciales a largo plazo para firmar una solicitud. Para obtener más información sobre la firma HTTPS de solicitudes API, consulte Signing AWS API Requests en la referencia general de AWS.
  • Utilice el token de sesión proporcionado con las credenciales de seguridad temporales. Incluya el token de sesión en el encabezado "x-amz-security-token". Consulte la siguiente solicitud de ejemplo.
    • Para Amazon S3, mediante el encabezado HTTP "x-amz- security-token". 
    • Para otros servicios de AWS, mediante el parámetro SecurityToken.

P: ¿Qué productos de AWS aceptan credenciales de seguridad temporales?
Para obtener una lista de servicios compatibles, consulte AWS Services That Work with IAM.

P: ¿Cuál es el tamaño máximo de la política de acceso que puedo especificar al solicitar credenciales de seguridad temporales (GetFederationToken o AssumeRole)?
El texto sin formato de la política no debe superar los 2 048 bytes. Sin embargo, una conversión interna lo comprime en un formato binario empaquetado con un límite separado.

P: ¿Se puede revocar una credencial de seguridad temporal antes de que venza?
No. Cuando se solicitan credenciales temporales recomendamos lo siguiente:

  • Cuando cree credenciales de seguridad temporales, establezca el vencimiento en un valor adecuado para su aplicación.
  • Puesto que los permisos de las cuentas raíz no pueden restringirse, utilice un usuario de IAM, en lugar de la cuenta raíz, a la hora de crear credenciales de seguridad temporales. Puede revocar los permisos del usuario de IAM que emitió la llamada original con la solicitud. Esta acción revoca casi de inmediato los privilegios de todas las credenciales de seguridad temporales creadas por el usuario de IAM en cuestión.

P: ¿Puedo volver a activar las credenciales de seguridad temporales o ampliar su fecha de vencimiento?
No. Es una buena práctica comprobar la fecha de vencimiento regularmente y solicitar una credencial de seguridad temporal antes de que venza la anterior. Este proceso de rotación se administra automáticamente cuando las credenciales de seguridad temporales se utilizan en funciones para instancias EC2.

P: ¿Las credenciales de seguridad temporales se soportan en todas las regiones?
Los clientes pueden solicitar tokens de los puntos de enlace de AWS STS en todas las regiones, entre ellas, AWS GovCloud (EE.UU.) y China (Pekín). Las credenciales temporales de AWS GovCloud (EE.UU.) y China (Pekín) solo se pueden utilizar en la región en que se hayan creado. Las credenciales temporales solicitadas desde cualquier otra región, como EE.UU. Este (Norte de Virginia) o UE (Irlanda), se pueden usar en todas las regiones, salvo en AWS GovCloud (EE.UU.) y China (Pekín).

P: ¿Puedo restringir el uso de credenciales de seguridad temporales a una región o a un subconjunto de regiones?

No. No puede restringir las credenciales de seguridad temporales a una región o un subconjunto de regiones concretos, salvo las de AWS GovCloud (EE.UU.) y China (Pekín), que solo se pueden usar en las regiones correspondientes en las que se hayan originado.

P: ¿Qué debo hacer antes de comenzar a utilizar un punto de enlace de AWS STS?

Los puntos de enlace de AWS STS están activos de forma predeterminada en todas las regiones y puede comenzar a utilizarlos sin necesidad de realizar ninguna acción adicional.

P: ¿Qué sucede si trato de usar un punto de enlace de AWS STS regional desactivado para mi cuenta de AWS?

Si trata de usar un punto de enlace regional de AWS STS desactivado para su cuenta de AWS, verá una excepción AccessDenied de AWS STS con el mensaje siguiente: "AWS STS is not activated in this region for account: accountId. Your account administrator can activate AWS STS in this region using the IAM console”.

P: ¿Qué permisos necesito para activar o desactivar regiones de AWS STS en la página Configuración de mi cuenta?

Solo los usuarios que dispongan al menos del permiso iam:* pueden activar o desactivar las regiones de AWS STS en la página Account Settings de la consola de IAM. Tenga en cuenta que los puntos de enlace de AWS STS de las regiones EE.UU. Este (Norte de Virginia), AWS GovCloud (EE.UU.) y China (Pekín) están siempre activos y no se pueden desactivar.

P: ¿Puedo usar el API o CLI para activar o desactivar regiones de AWS STS?

No. Por el momento, no se permite utilizar el API o CLI para activar o desactivar regiones de AWS STS. Tenemos previsto soportar el uso del API y la CLI en próximas versiones.


P: ¿Qué es una identidad federada?
AWS Identity and Access Management (IAM) admite la identidad federada para el acceso delegado a la consola de administración de AWS o las API de AWS. Con la identidad federada, se concede a las identidades externas acceso seguro a los recursos de la cuenta de AWS sin tener que crear usuarios de IAM. Estas identidades externas pueden proceder de su proveedor de identidad corporativa (como Microsoft Active Directory o AWS Directory Service) o su proveedor de identidad web (como Amazon Cognito, Login with Amazon, Facebook, Google o cualquier proveedor compatible con OpenID Connect).

P: ¿Qué son los usuarios federados?
Los usuarios federados (identidades externas) son usuarios que administra fuera de AWS en su directorio corporativo, pero a los que concede acceso a su cuenta de AWS mediante credenciales de seguridad temporales. Se diferencian de los usuarios de IAM en que se crean y se mantienen en la cuenta de AWS.

P: ¿Es compatible SAML?
Sí, AWS admite el lenguaje Security Assertion Markup Language 2.0.

P: ¿Qué perfiles de SAML admite AWS?
El punto de enlace de inicio de sesión único (SSO) de AWS admite el perfil SAML de WebSSO de enlace de HTTP-POST iniciado por IdP. Esto permite a un usuario federado iniciar sesión en la consola de administración de AWS con una afirmación de SAML. Una afirmación de SAML también se puede utilizar para solicitar credenciales de seguridad temporales con la API AssumeRoleWithSAML. Para obtener más información, consulte About SAML 2.0-Based Federation.

P: ¿Pueden los usuarios federados obtener acceso a las API de AWS?
Sí. Puede solicitar de manera programada credenciales de seguridad temporales para que los usuarios federados puedan obtener acceso de forma segura y directa a las API de AWS. Ofrecemos una aplicación de muestra que ilustra cómo es posible habilitar las identidades federadas (ofrece acceso a las API de servicio de AWS a los usuarios mantenidos por Microsoft Active Directory). Para obtener más información, consulte Using Temporary Security Credentials to Request Access to AWS Resources.

P: ¿Pueden obtener acceso los usuarios federados a la consola de administración de AWS?
Sí. Se puede lograr de dos formas distintas. Una forma es solicitar de manera programada credenciales de seguridad temporales (como GetFederationToken o AssumeRole) para los usuarios federados e incluir dichas credenciales como parte de la solicitud de inicio de sesión a la consola de administración de AWS. Cuando haya autenticado un usuario y le haya concedido credenciales de seguridad temporales, puede generar un token de inicio de sesión que utilizará el punto de enlace de inicio de sesión único (SSO) de AWS. Las acciones del usuario en la consola se limitan a la política de control de acceso asociada con las credenciales de seguridad temporales. Para obtener más detalles, consulte Creating a URL that Enables Federated Users to Access the AWS Management Console (Custom Federation Broker).

Si lo prefiere, puede publicar una afirmación de SAML directamente en el inicio de sesión de AWS (https://signin.aws.amazon.com/saml). Las acciones del usuario en la consola se limitan a la política de control de acceso asociada con la función de IAM que se asume utilizando la afirmación de SAML. Para obtener más información, consulte Enabling SAML 2.0 Federated Users to Access the AWS Management Console.

Cualquiera de los enfoques permite a un usuario federado obtener acceso a la consola sin necesidad de iniciar sesión con un nombre de usuario y una contraseña. Ofrecemos una aplicación de muestra que ilustra cómo es posible habilitar las identidades federadas proporcionando a los usuarios mantenidos por Microsoft Active Directory acceso a la consola de administración de AWS.

P: ¿Cómo puedo controlar lo que puede hacer un usuario federado cuando está conectado a la consola?
Cuando solicita credenciales de seguridad temporales para el usuario federado con un API de AssumeRole, puede incluir de forma opcional una política de acceso con la solicitud. Los privilegios del usuario federado son la intersección de los permisos concedidos por la política de acceso incluida con la solicitud y la política de acceso adjunta a la función de IAM que se ha asumido. La política de acceso incluida con la solicitud no puede elevar los privilegios asociados con la función de IAM que se adopte. Cuando solicita credenciales de seguridad temporales para el usuario federado con un API de GetFederationToken, debe proporcionar una política de control de acceso con la solicitud. Los privilegios del usuario federado son la intersección de los permisos concedidos por la política de acceso incluida con la solicitud y la política de acceso adjunta al usuario de IAM utilizado para realizar la solicitud. La política de acceso incluida con la solicitud no puede elevar los privilegios asociados con el usuario de IAM utilizado para realizar la solicitud. Estos permisos de usuario federado se aplican al acceso de API y a las acciones llevadas a cabo en la consola de administración de AWS.

P: ¿Qué permisos necesita un usuario federado para utilizar la consola?
Un usuario necesita permisos para las API de los servicios de AWS a las que llama la consola de administración de AWS. Los permisos habituales necesarios para tener acceso a los servicios de AWS están documentados en Using Temporary Security Credentials to Request Access to AWS Resources.

P: ¿Cómo controlo el tiempo durante el que un usuario federado tiene acceso a la consola de administración de AWS?
En función del API utilizada para crear las credenciales de seguridad temporales, puede especificar un límite de sesión de entre 15 minutos y 36 horas para GetFederationToken y GetSessionToken, y de entre 15 minutos y 12 horas para las API de AssumeRole*, tiempo durante el que el usuario federado puede obtener acceso a la consola. Cuando la sesión vence, el usuario federado debe solicitar una nueva sesión volviendo al proveedor de identidad, desde donde usted puede concederle acceso. Obtenga más información sobre la configuración de la duración de la sesión

P: ¿Qué sucede cuando la sesión de consola de identidad federada agota el tiempo de espera?
Se muestra un mensaje al usuario que le avisa de que la sesión de consola ha agotado el tiempo de espera y debe solicitar una nueva sesión. Puede especificar una URL para dirigir a los usuarios a la página web de la intranet local en la que pueden solicitar una sesión nueva. Esta URL se añade cuando especifica un parámetro Issuer como parte de la solicitud de inicio de sesión. Para obtener más información, consulte Enabling SAML 2.0 Federated Users to Access the AWS Management Console.

P: ¿A cuántos usuarios federados les puedo otorgar acceso a la consola de administración de AWS?
No existe un límite en cuanto al número de usuarios federados que pueden obtener acceso a la consola.

P: ¿En qué consiste la identidad federada web?

La identidad federada web permite crear con tecnología de AWS aplicaciones para móviles que utilicen para la autenticación proveedores de identidad públicos (como Amazon Cognito, Login with Amazon, Facebook, Google o cualquier proveedor compatible con OpenID Connect). La identidad federada web le permite integrar fácilmente el inicio de sesión de proveedores de identidad públicos (IdP) en las aplicaciones sin tener que escribir ningún código en el servidor ni distribuir credenciales de seguridad de AWS a largo plazo con la aplicación.

Para obtener más información sobre la identidad federada web y comenzar a utilizarla, consulte About Web Identity Federation.

 

P: ¿Cómo puedo habilitar la identidad federada web con cuentas de proveedores de identidades públicos?

Para obtener el mejor resultado, utilice Amazon Cognito como agente de identidades para casi todos los casos de identidad federada web. Amazon Cognito es fácil de utilizar y proporciona capacidades adicionales, como acceso anónimo (sin autenticar) y sincronización de los datos de usuario entre dispositivos y proveedores. Sin embargo, si ya ha creado mediante una llamada manual a la API AssumeRoleWithWebIdentity una aplicación que utiliza la identidad federada web, puede seguir utilizándola y sus aplicaciones seguirán funcionando.

A continuación se incluyen los pasos básicos para habilitar la federación de identidad con uno de los proveedores de identidad web admitidos:

  1. Inscríbase como desarrollador en el proveedor de identidad y configure la aplicación con él. Le proporcionará un ID exclusivo para la aplicación.
  2. Si utiliza un proveedor de identidad compatible con OIDC, cree para él en IAM una entidad de proveedor de identidad.
  3. En AWS, cree una o más funciones de IAM. 
  4. En su aplicación, autentique a sus usuarios utilizando el proveedor de identidad público.
  5. En la aplicación, realice una llamada sin firma a la API AssumeRoleWithWebidentity para solicitar credenciales de seguridad temporales. 
  6. Utilizando las credenciales de seguridad temporales que reciba en la respuesta de AssumeRoleWithWebidentity, la aplicación realiza solicitudes con firma a las API de AWS.
  7. La aplicación almacena en caché las credenciales de seguridad temporales para que no tenga que obtener unas nuevas cada vez que la aplicación necesite realizar una solicitud a AWS.

Para obtener instrucciones más detalladas, consulte Using Web Identity Federation APIs for Mobile Apps.

P: ¿En qué difiere la identidad federada que usa AWS Directory Service de una solución de administración de identidades de terceros?

Si desea que solamente los usuarios federados puedan obtener acceso a la consola de administración de AWS, AWS Directory Service ofrece capacidades similares a una solución de administración de identidades de terceros. Los usuarios finales pueden iniciar sesión utilizando sus credenciales corporativas existentes y obtener acceso a la consola de administración de AWS. Como AWS Directory Service es un servicio administrado, los clientes no necesitan configurar ni administrar la infraestructura de federación, solo crear un directorio de AD Connector para integrarlo con el directorio on-premise. Si está interesado en ofrecer a sus usuarios federados acceso a las API de AWS, utilice una oferta de terceros o implemente su propio servidor proxy.


P: ¿Proporciona la facturación de AWS el uso global y los costos detallados por usuario?
No, en este momento no se admite.

P: ¿Cuesta algo el servicio de IAM?
No, es una función de su cuenta de AWS que se ofrece sin cargos adicionales.

P: ¿Quién paga el consumo realizado por los usuarios en una cuenta de AWS?
El propietario de la cuenta de AWS controla y es responsable del uso, los datos y los recursos de la cuenta.

P: ¿Se registrará la actividad facturable del usuario en los datos de consumo de AWS?
En este momento, no. Tenemos previsto llevarlo a cabo en una próxima versión.

P: ¿En qué se parece IAM y la Facturación consolidada?
IAM y la Facturación consolidada son características complementarias. La Facturación consolidada permite unificar los pagos de varias cuentas de AWS de su empresa designando una única cuenta de pago. El propósito de IAM no está relacionado con la Facturación consolidada. Un usuario existe dentro de los confines de una cuenta de AWS y no tiene permisos en las cuentas vinculadas. Si desea más información, consulte Paying Bills for Multiple Accounts Using Consolidated Billing.

P: ¿Puede un usuario obtener acceso a la información de facturación de las cuentas de AWS?
Sí, pero solo si usted se lo permite. Para que los usuarios de IAM puedan obtener acceso a la información de facturación, primero debe otorgarles acceso a Actividad de la cuenta o Informes de uso. Consulte Controlling Access.


P: ¿Qué sucede si un usuario intenta obtener acceso a un servicio que aún no ha sido integrado con IAM?
El servició devolverá un error de acceso denegado.

P: ¿Se registran las acciones de IAM con propósitos de auditoría?
Sí. Puede activar AWS CloudTrail para registrar acciones de IAM, acciones de STS e inicios de sesión de la consola de administración de AWS. Para obtener más información sobre el inicio de sesión en AWS, consulte AWS CloudTrail.

P: ¿Existe alguna diferencia entre las personas y los agentes de software como identidades de AWS?
No, ambas entidades se tratan como usuarios con credenciales de seguridad y permisos. Sin embargo, solo las personas utilizan una contraseña en la consola de administración de AWS.

P: ¿Los usuarios trabajan con AWS Support Center y Trusted Advisor?
Sí, los usuarios de IAM tienen la capacidad de crear y modificar casos de soporte, así como de utilizar Trusted Advisor.

P: ¿Existen cuotas predeterminadas asociadas con IAM?
Sí, de forma predeterminada su cuenta de AWS cuenta con cuotas iniciales para todas las entidades relacionadas con IAM. Para obtener más información, consulte Limitations on IAM Entities and Objects.

Estas cuotas pueden cambiar. Si necesita aumentarlas, puede utilizar el formulario de aumento del límite de servicio de la página de contacto y seleccionar IAM Groups and Users en la lista desplegable Tipo de límite.


P: ¿Qué es AWS MFA?
AWS Multi-Factor Authentication (AWS MFA) ofrece un nivel adicional de seguridad que puede aplicar al entorno AWS. Puede habilitar AWS MFA para su cuenta de AWS y para usuarios concretos de AWS Identity and Access Management (IAM) que haya creado bajo esta cuenta.

P: ¿Cómo funciona AWS MFA?
AWS MFA utiliza un dispositivo de autenticación que genera continuamente códigos de autenticación aleatorios de seis dígitos y de un único uso. Existen dos métodos principales de autenticarse con un dispositivo AWS MFA:

  • Usuarios de la consola de administración de AWS: cuando un usuario con MFA activada inicia sesión en un sitio web de AWS, se le solicita que ingrese el nombre de usuario y la contraseña (el primer factor, lo que sabe) y un código de autenticación obtenido mediante su dispositivo de MFA de AWS (el segundo factor, lo que tiene). Todos los sitios web de AWS que requieren inicio de sesión, como la consola de administración de AWS, son plenamente compatibles con AWS MFA. Asimismo, puede utilizar AWS MFA junto con la eliminación segura de Amazon S3 para añadir una protección adicional a las versiones almacenadas de Amazon S3.
  • Usuarios de API en AWS: puede imponer la autenticación de MFA añadiendo restricciones relacionadas con MFA en las políticas de IAM. Para obtener acceso a las API y los recursos protegidos con esta funcionalidad, los desarrolladores pueden utilizar credenciales de seguridad temporales y escribir parámetros opcionales de MFA en las solicitudes API de AWS Security Token Service (STS), que es el servicio que concede dichas credenciales. Las credenciales de seguridad temporales validadas por MFA se pueden utilizar para llamar a las API y los recursos protegidos con MFA.

P: ¿De qué manera puedo proteger mis recursos de AWS con MFA?
Implemente dos sencillos pasos:

1. Obtenga un dispositivo de autenticación. Dispone de dos opciones:

  • Comprar un dispositivo de hardware de Gemalto, un proveedor externo.
  • Instalar una aplicación virtual compatible con MFA en un dispositivo, como un smartphone.

Visite la página de MFA de AWS para obtener más información sobre cómo adquirir un dispositivo de hardware o MFA virtual.

2. Una vez que haya obtenido un dispositivo de autenticación, debe activarlo en la consola de IAM. Asimismo, puede utilizar la CLI de IAM para activar el dispositivo para un usuario de IAM.

P: ¿Hay algún cargo asociado con el uso de MFA de AWS?
AWS no cobra ninguna cuota adicional por el uso de AWS MFA con la cuenta de AWS. No obstante, si quiere utilizar un dispositivo de autenticación físico, tendrá que comprar un dispositivo de autenticación compatible con AWS MFA de Gemalto, un distribuidor externo. Para obtener más detalles, visite el sitio web de Gemalto.

P: ¿Puedo tener varios dispositivos de autenticación activos para mi cuenta de AWS?
Sí. Cada usuario de IAM puede tener su propio dispositivo de autenticación. Sin embargo, cada identidad (usuario de IAM o cuenta raíz) puede asociarse a un único dispositivo de autenticación.

P: ¿Puedo utilizar mi dispositivo de autenticación con varias cuentas de AWS?
No. El dispositivo de autenticación o número de teléfono móvil está vinculado a una identidad de AWS concreta (un usuario de IAM o cuenta raíz). Si tiene una aplicación compatible con TOTP instalada en su smartphone, puede crear en él varios dispositivos MFA virtuales. Cada uno está vinculado a una única identidad, como los dispositivos de hardware. Si disocia (desactiva) el dispositivo de autenticación, puede volver a usarlo con una identidad de AWS diferente. El dispositivo de autenticación no se puede utilizar con más de una identidad de manera simultánea.

P: Si ya dispongo de un dispositivo de autenticación de mi lugar de trabajo o de otro servicio que utilizo, ¿puedo reutilizar este dispositivo con AWS MFA?
No. AWS MFA se basa en conocer un secreto exclusivo asociado con el dispositivo de autenticación para poder admitir su uso. Como las restricciones de seguridad que exigen estos secretos no pueden compartirse entre varias partes, AWS MFA no admite el uso de su dispositivo de autenticación de hardware existente. Sólo puede utilizarse con AWS MFA un dispositivo de autenticación de hardware compatible adquirido en Gemalto.

P: Tengo problemas para realizar el pedido de un dispositivo de autenticación utilizando el sitio web del distribuidor externo Gemalto. ¿Dónde puedo solicitar ayuda?
En el servicio de atención al cliente de Gemalto estarán encantados de atenderle.

P: He recibido un dispositivo de autenticación dañado o defectuoso del distribuidor externo Gemalto. ¿Dónde puedo solicitar ayuda?
En el servicio de atención al cliente de Gemalto estarán encantados de atenderle.

P: Acabo de recibir un dispositivo de autenticación del distribuidor externo Gemalto. ¿Qué debo hacer?
Solo tiene que activar el dispositivo de autenticación para habilitar AWS MFA en su cuenta de AWS. Para realizar esta tarea, consulte la consola de IAM.

P: ¿Qué es un dispositivo MFA virtual?
Un dispositivo MFA virtual es una entrada creada en una aplicación de software compatible con TOTP que puede generar códigos de autenticación de seis dígitos. La aplicación de software puede ejecutarse en cualquier dispositivo hardware, como, por ejemplo, un smartphone.

P: ¿Cuáles son las diferencias entre un dispositivo MFA virtual y los dispositivos MFA físicos?
Los dispositivos MFA virtuales utilizan los mismos protocolos que los dispositivos MFA físicos. No obstante, están basados en software y se pueden ejecutar en dispositivos como smartphones. Asimismo, la mayoría de las aplicaciones MFA virtuales permiten habilitar más de un dispositivo MFA virtual, lo que las hace más cómodas que los dispositivos MFA físicos.

P: ¿Qué aplicaciones MFA virtuales puedo utilizar con AWS MFA?
Puede utilizar con AWS MFA aplicaciones que generen códigos de autenticación compatibles con TOTP, como Google Authenticator. Puede aprovisionar dispositivos MFA virtuales automáticamente, escaneando un código QR con la cámara del dispositivo, o de forma manual, introduciendo un valor de inicialización en la aplicación de MFA virtual.

Visite la página de MFA para ver una lista de aplicaciones MFA virtuales soportadas.

P: ¿Qué es un código QR?
Un código QR es un código de barras en dos dimensiones que se puede leer con lectores específicos o con la mayoría de los smartphones. El código consta de cuadros negros dispuestos en patrones cuadrados mayores sobre un fondo blanco. El código QR contiene la información de configuración de seguridad necesaria para aprovisionar un dispositivo MFA virtual en su aplicación MFA virtual.

P: ¿Cómo aprovisiono un nuevo dispositivo MFA virtual?
Puede configurar un nuevo dispositivo MFA virtual en la consola de IAM para sus usuarios de IAM, así como en su cuenta raíz de AWS. También puede utilizar el comando aws iam create-virtual-mfa-device en la CLI de AWS o la API CreateVirtualMFADevice para aprovisionar nuevos dispositivos virtuales MFA en su cuenta. El comando aws iam create-virtual-mfa-device y la API CreateVirtualMFADevice devuelven la información de configuración necesaria, llamada seed (información de inicialización), para configurar el dispositivo MFA virtual en su aplicación compatible con AWS MFA. Puede conceder a los usuarios de IAM permisos para realizar llamadas a esta API directamente o realizar usted el aprovisionamiento inicial.

 

P: ¿Cómo debería gestionar y distribuir el material seed (información de inicialización) para los dispositivos MFA virtuales?
Debe tratar el material seed (información de inicialización) como cualquier otro dato secreto, por ejemplo, las contraseñas o claves secretas de AWS.

P: ¿Cómo puedo habilitar a un usuario IAM para que administre dispositivos MFA bajo mi cuenta?
Otorgue al usuario IAM el permiso de llamar al API CreateVirtualMFADevice. Puede utilizar esta API para aprovisionar nuevos dispositivos MFA virtuales.

P: ¿Puedo solicitar acceso a la versión preliminar de MFA con SMS?

Ya no aceptamos nuevos participantes para la versión preliminar de MFA con SMS. Le sugerimos que utilice MFA en su cuenta de AWS mediante el uso de un dispositivo de MFA virtual o de hardware.

P: ¿Cómo puedo comenzar a utilizar la opción con SMS durante la vigencia de la versión preliminar?

Los participantes de MFA con SMS pueden ir a la consola de IAM y activar MFA con SMS para los usuarios de IAM. El proceso consiste en escribir un número de teléfono para cada usuario de IAM. A continuación, cuando un usuario de IAM inicie sesión en la consola de administración de AWS, recibirá un código de seguridad de seis dígitos mediante un mensaje SMS estándar, que deberá introducir durante el inicio de sesión.

P: ¿Dónde habilito AWS MFA?
Puede habilitar AWS MFA para una cuenta de AWS y los usuarios de IAM en la consola de IAM y la CLI de AWS, o mediante llamadas a las API de AWS.

P: ¿Qué información necesitaré para activar mi dispositivo de autenticación?
Para activar el dispositivo MFA con la consola de IAM solo necesita el dispositivo. Si utiliza la CLI de AWS o la API de IAM, necesitará lo siguiente:

1. El número de serie del dispositivo de autenticación. El formato del número de serie depende de si utiliza un dispositivo de hardware o un dispositivo virtual:

- Dispositivo de hardware MFA: el número de serie se encuentra en la etiqueta de código de barras que hay en la parte posterior.
- Dispositivo MFA virtual: el número de serie es el valor del Nombre de recurso de Amazon (ARN) obtenido al ejecutar el comando iam-virtualmfadevicecreate en la CLI de AWS o realizar una llamada a la API CreateVirtualMFADevice.

2. Dos códigos de autenticación consecutivos que muestra el dispositivo de autenticación.

P: Mi dispositivo de autenticación parece que funciona correctamente, pero no puedo activarlo. ¿Qué debo hacer?
Contacte con nosotros para obtener ayuda.

P: Si habilito la MFA de AWS para mi cuenta raíz de AWS o para mis usuarios de IAM, ¿tendrán que utilizar siempre un código de autenticación para iniciar sesión en la consola de administración de AWS?
Sí. Los usuarios de IAM y los usuarios con credenciales de cuenta raíz de AWS deben tener su dispositivo de MFA cuando necesiten iniciar sesión en cualquier sitio web de AWS.

Si el dispositivo de MFA está perdido, dañado, fue robado o no funciona, puede iniciar sesión con factores de autenticación alternativos, desactivar el dispositivo de MFA y activar un dispositivo de MFA nuevo. Como práctica recomendada de seguridad, sugerimos que modifique la contraseña de su cuenta raíz.

Con MFA virtual y mediante hardware, si los usuarios de IAM pierden el dispositivo de autenticación o si resulta dañado o robado, o deja de funcionar, puede inhabilitar la función de MFA de AWS usted mismo por medio de la consola de IAM o la CLI de AWS.

P: Si habilito AWS MFA para mi cuenta raíz de AWS o para mis usuarios de IAM, ¿tendrán estos que utilizar siempre un código MFA para realizar llamadas directamente a las API de AWS?
No, es opcional. No obstante, debe escribir un código de MFA si pretende llamar a las API cuyo acceso está protegido por MFA.

Si realiza llamadas a las API de AWS utilizando claves de acceso para su cuenta raíz o sus usuarios de IAM, no es necesario que especifique un código de MFA. Por motivos de seguridad, AWS recomienda eliminar las claves de acceso de la cuenta raíz y realizar llamadas a las API de AWS con las claves de acceso para un usuario de IAM con los permisos necesarios.

P: ¿Cómo puedo iniciar una sesión en el portal de AWS y en la consola de administración de AWS utilizando mi dispositivo de autenticación?
Siga estos dos pasos:

Si está iniciando sesión como una cuenta raíz de AWS, hágalo como lo hace normalmente con su nombre de usuario y contraseña cuando se le solicite. Para iniciar sesión como usuario de IAM, utilice la URL específica para la cuenta e introduzca su nombre de usuario y contraseña cuando se le solicite.

En la página siguiente, escriba el código de autenticación de seis dígitos que aparece en el dispositivo de autenticación.

P: ¿AWS MFA afecta a mi forma de obtener acceso a las API de servicio de AWS?
AWS MFA cambia la forma en que los usuarios de IAM obtienen acceso a las API de servicio de AWS solo si los administradores de la cuenta optan por habilitar el acceso mediante API protegido por MFA. Los administradores pueden habilitar esta característica para añadir un nivel adicional de seguridad cuando se obtiene acceso a API confidenciales, pidiendo a los intermediarios que se autentiquen con un dispositivo AWS MFA. Para obtener información adicional, consulte con más detalle la documentación relativa al acceso mediante API protegido por MFA.

Otras excepciones son el control de versiones de los buckets S3 PUT y GET, y las API DELETE, lo que permite imponer la autenticación MFA para eliminar o cambiar el estado de control de versiones de su bucket. Para obtener más información, consulte la documentación de S3 que trata con más detalle la configuración de un bucket con MFA Delete.

En todos los demás casos, AWS MFA no cambia la forma de obtener acceso a las API de servicio de AWS.

P: ¿Puedo utilizar un determinado código de autenticación más de una vez?
No. Por motivos de seguridad, cada código de autenticación solo puede utilizarse una vez.

P: Recientemente he tenido que volver a sincronizar mi dispositivo de autenticación porque se estaban rechazando mis códigos de autenticación. ¿Debería preocuparme?
No, esto puede suceder muy de vez en cuando. AWS MFA se basa en la sincronización del reloj del dispositivo de autenticación con el reloj en nuestros servidores. En ocasiones, estos relojes pueden perder la sincronización. Si esto ocurre, cuando utilice el dispositivo de autenticación para iniciar una sesión con el fin de obtener acceso a páginas seguras del sitio web de AWS o a la consola de administración de AWS, AWS intentará sincronizar automáticamente el dispositivo de autenticación y le solicitará que proporcione dos códigos de autenticación consecutivos (como hizo durante la activación).

P: Mi dispositivo de autenticación parece que funciona correctamente, pero no logro utilizarlo para iniciar sesión en la consola de administración de AWS. ¿Qué debo hacer?
Sugerimos que vuelva a sincronizar los dispositivos con MFA de las credenciales de su usuario de IAM. Si ya volvió a sincronizar y continúa teniendo problemas para iniciar sesión, puede iniciar sesión con otros factores de autenticación y restablecer su dispositivo con MFA. Si continúa teniendo problemas, contacte con nosotros para recibir ayuda.

P: Perdí o me robaron el dispositivo de autenticación, sufrió algún tipo de daño o no funciona, y ahora no puedo iniciar sesión en la consola de administración de AWS. ¿Qué debo hacer?
Si su dispositivo de autenticación está asociado con una cuenta raíz de AWS:

P: ¿Cómo puedo deshabilitar AWS MFA?

Si desea deshabilitar AWS MFA para su cuenta de AWS, puede desactivar el dispositivo de autenticación mediante la página Credenciales de seguridad. Para deshabilitar AWS MFA para los usuarios de IAM, tiene que utilizar la consola de IAM o la CLI de AWS.

P: ¿Puedo utilizar AWS MFA en GovCloud?
Sí, puede usar MFA virtual de AWS y dispositivos de hardware con MFA en GovCloud.

P: ¿Qué es el acceso mediante API protegido por MFA?
El acceso mediante API protegido por MFA es una funcionalidad opcional que permite a los administradores de cuentas imponer una autenticación adicional para las API especificadas por los clientes, de manera que los usuarios deban proporcionar un segundo factor de autenticación además de una contraseña. Específicamente, permite a los administradores incluir en sus políticas de IAM condiciones que comprueban y precisan la autenticación de MFA para obtener acceso a API seleccionadas. Los usuarios que realicen llamadas a dichas API deben obtener primero credenciales temporales que indiquen que han escrito un código de MFA válido.

P: ¿Qué problema resuelve el acceso mediante API protegido por MFA?
Anteriormente, los clientes podían requerir MFA para obtener acceso a la consola de administración de AWS, pero no podían imponer requisitos de MFA para los desarrolladores y las aplicaciones con una interacción directa con las API de servicio de AWS. El acceso mediante API protegido por MFA garantiza la aplicación universal de las políticas de IAM, independientemente de la ruta de acceso. En consecuencia, ahora puede desarrollar una aplicación que utilice AWS y solicite al usuario la autenticación de MFA antes de realizar llamadas a API potentes u obtener acceso a recursos sensibles.

P: ¿Cómo puedo comenzar a utilizar el acceso mediante API protegido por MFA?
Puede comenzar con dos sencillos pasos:

  1. Asigne un dispositivo MFA a sus usuarios de IAM. Puede comprar un llavero de hardware o descargar una aplicación compatible con TOTP gratuita para su smartphone, tablet o equipo. Consulte la página de detalles de MFA para obtener más información sobre los dispositivos AWS MFA.
  2. Habilite el acceso mediante API protegido por MFA creando políticas de permisos para los usuarios o grupos de IAM a los que desee solicitar autenticación MFA. Consulte la documentación del lenguaje de la política de acceso para obtener más información acerca de la sintaxis de dicho lenguaje.

P: ¿Cómo pueden los desarrolladores y usuarios emplear las API y los recursos cuyo acceso está asegurado mediante API protegido por MFA?
Los desarrolladores y usuarios interactúan con el acceso mediante API protegido por MFA tanto en la consola de administración de AWS como en las API.

En la consola de administración de AWS, cualquier usuario de IAM con MFA habilitado debe autenticarse con su dispositivo para poder iniciar sesión. Los usuarios que no tengan MFA no podrán obtener acceso ni a las API ni a los recursos protegidos con MFA.

En el nivel de API, los desarrolladores pueden integrar AWS MFA en sus aplicaciones para solicitar a los usuarios que se autentiquen con sus dispositivos MFA asignados antes de poder realizar llamadas a API potentes u obtener acceso a recursos sensibles. Los desarrolladores habilitan esta funcionalidad añadiendo parámetros opcionales de MFA (número de serie y código de MFA) a las solicitudes para obtener credenciales de seguridad temporales (también denominadas "solicitudes de sesión"). Si los parámetros son válidos, se obtienen unas credenciales de seguridad temporales que indican el estado de MFA. Consulte la documentación de credenciales de seguridad temporales para obtener más información.

P: ¿Quién puede utilizar el acceso mediante API protegido por MFA?
Todos los clientes de AWS pueden disfrutar de forma gratuita del acceso mediante API protegido por MFA.

P: ¿Con qué servicios se utiliza el acceso mediante API protegido por MFA?
Todos los servicios de AWS que admitan credenciales de seguridad temporales admiten también el acceso mediante API protegido por MFA. Para obtener una lista de los servicios compatibles, revise la columna Supports temporary security credentials en AWS Services that Work with IAM.

P: ¿Qué sucede si un usuario proporciona información incorrecta de un dispositivo de MFA cuando se le solicitan credenciales de seguridad temporales?
Se produce un error en la solicitud para emitir credenciales de seguridad temporales. Las solicitudes de credenciales de seguridad temporales que especifican parámetros de MFA deben facilitar el número de serie correcto del dispositivo asociado con el usuario de IAM, así como un código válido de MFA.

P: ¿El acceso mediante API protegido por MFA controla el acceso a las API de las cuentas raíces de AWS?
No, el acceso mediante API protegido por MFA solo controla el acceso de los usuarios de IAM. Las cuentas raíces no están sujetas a las políticas de IAM, por lo que se recomienda crear usuarios de IAM para interactuar con las API de servicio de AWS, en vez de utilizar credenciales de cuentas raíces.

P: ¿Los usuarios deben disponer de un dispositivo MFA asignado para poder utilizar el acceso mediante API protegido por MFA?
Sí, se debe asignar primero un dispositivo de MFA virtual o de hardware exclusivo a un usuario.

P: ¿Es compatible el acceso mediante API protegido por MFA con los objetos de S3, las colas de SQS y los temas de SNS?
Sí.

P: ¿Cómo interactúa el acceso mediante API protegido por MFA con los casos de uso existentes de MFA, como el API MFA Delete de S3?
El acceso mediante API protegido por MFA y MFA Delete de S3 no interactúan entre sí. En este momento, MFA Delete de S3 no admite credenciales de seguridad temporales. En su lugar, se utilizan claves de acceso de larga vigencia para realizar llamadas al API MFA Delete de S3.

P: ¿El acceso mediante API protegido por MFA funciona en la región GovCloud (EE.UU.)?
Sí.

P: ¿Los usuarios federados pueden utilizar el acceso mediante API protegido por MFA?
Los clientes no pueden utilizar el acceso mediante API protegido por MFA para controlar el acceso de usuarios federados. La API GetFederatedSession no acepta parámetros de MFA. Como los usuarios federados no pueden autenticarse con los dispositivos AWS MFA, tampoco pueden obtener acceso a los recursos designados empleando el acceso mediante API protegido por MFA.

P: ¿Cuánto se me cobrará por el uso de AWS IAM?

IAM es una característica de su cuenta de AWS que se ofrece sin cargos adicionales. Solo se le cobrará por la utilización de los demás servicios de AWS por parte de sus usuarios.