Comience a usar AWS de forma gratuita

Cree una cuenta gratuita
O inicie sesión en la consola

Disfrute de doce meses de acceso a la capa de uso gratuita de AWS y de otras características del nivel Basic de AWS Support, entre otras, un servicio ininterrumpido de soporte al cliente, foros de soporte y muchas más.


P: ¿Qué es AWS Identity and Access Management (IAM)?
Puede utilizar AWS IAM para controlar de forma segura el acceso individual y de grupos a los recursos de AWS. Puede crear y administrar identidades de usuario ("usuarios de IAM") y otorgar permisos para que dichos usuarios obtengan acceso a los recursos. También puede otorgar permisos para los usuarios externos a AWS (usuarios federados).

P: ¿Cómo comienzo a usar IAM?
Para comenzar a utilizar IAM, deberá suscribirse como mínimo a uno de los servicios de AWS que están integrados con IAM. Puede crear y administrar usuarios, grupos y permisos por medio de las API de IAM, la CLI de AWS o la consola de IAM, que le ofrece una interfaz interactiva basada en web. También puede usar el editor visual para crear políticas.

P: ¿Qué problemas resuelve IAM?
IAM facilita el acceso seguro de varios usuarios a su cuenta y sus recursos de AWS. IAM le permite:

  • Administrar usuarios de IAM y su acceso: puede crear usuarios en el sistema de administración de identidades de AWS, asignar a cada usuario sus propias credenciales de seguridad (como claves de acceso, contraseñas o dispositivos de autenticación multifactor) o solicitar credenciales de seguridad temporales para permitir a los usuarios el acceso a los productos y a los recursos de AWS. Puede especificar los permisos para controlar las operaciones que puede realizar cada usuario.
  • Administrar el acceso de los usuarios federados: puede solicitar credenciales de seguridad con fecha de vencimiento configurable para los usuarios administrados en el directorio corporativo. De esta forma, podrá ofrecer a los empleados y a las aplicaciones un acceso seguro a los recursos de su cuenta de AWS, sin necesidad de crear una cuenta de usuario de IAM para ellos. Debe especificar los permisos para estas credenciales de seguridad para controlar qué operaciones puede realizar cada usuario.

P: ¿Quién puede usar IAM?
Cualquier cliente de AWS puede utilizar IAM. El servicio se ofrece sin cargo adicional. Solo se le cobrará por la utilización de los demás servicios de AWS por parte de sus usuarios.

P: ¿Qué es un usuario?
Un usuario es una identidad única reconocida por los servicios y aplicaciones de AWS. Como sucede cuando un usuario inicia sesión en un sistema operativo como Windows o UNIX, cada usuario dispone de un nombre único y puede identificarse utilizando las credenciales de seguridad habituales, como una contraseña o una clave de acceso. Un usuario puede ser una persona, un sistema o una aplicación que solicite acceso a los servicios de AWS. IAM admite usuarios administrados con el sistema de administración de identidades de AWS (los denominados "usuarios de IAM") y permite asimismo otorgar acceso a los recursos de AWS a los usuarios gestionados fuera de AWS, desde su directorio corporativo (los denominados "usuarios federados").

P: ¿Qué puede hacer un usuario?
Un usuario puede realizar solicitudes a servicios web como Amazon S3 y Amazon EC2. La capacidad del usuario para obtener acceso a las API de servicios web se encuentra bajo el control y la responsabilidad de la cuenta de AWS para la que se define. Puede permitir a un usuario el acceso a cualquiera o a todos los servicios de AWS integrados con IAM a los que se haya suscrito la cuenta de AWS. Si se le da permiso, un usuario puede tener acceso a todos los recursos incluidos en la cuenta de AWS. Además, si la cuenta de AWS tiene acceso a recursos de otra cuenta de AWS distinta, sus usuarios también podrán tener acceso a los datos incluidos en dichas cuentas de AWS. Todos los recursos de AWS que haya creado un usuario estarán bajo el control de su cuenta de AWS y se pagarán a través de ella. Un usuario no puede suscribirse de forma independiente a los servicios de AWS ni controlar los recursos.

P: ¿Cómo solicitan los usuarios los servicios de AWS?
Los usuarios pueden enviar solicitudes a los servicios de AWS por medio de credenciales de seguridad. Su capacidad para realizar llamadas a los servicios de AWS se regula mediante permisos explícitos. De forma predeterminada, los usuarios no tienen la capacidad de realizar llamadas a las API del servicio en nombre de la cuenta.

P: ¿Cómo comienzo a usar IAM?
Para comenzar a utilizar IAM, deberá suscribirse como mínimo a uno de los servicios de AWS que están integrados con IAM. Puede crear y administrar usuarios, grupos y permisos por medio de las API de IAM, la CLI de AWS o la consola de IAM, que le ofrece una interfaz interactiva basada en web. También puede utilizar AWS Policy Generator para crear políticas.


P: ¿Cómo se administran los usuarios de IAM?
IAM admite varios métodos para:

  • Crear y administrar usuarios de IAM.
  • Crear y administrar grupos de IAM.
  • Administrar las credenciales de seguridad de los usuarios.
  • Crear y administrar políticas para conceder acceso a los recursos y servicios de AWS.

Puede crear y administrar usuarios, grupos y políticas mediante el uso de API de IAM, la CLI de AWS o la consola de IAM. También puede usar el editor visual y el simulador de políticas de IAM para crear y probar políticas.

P: ¿Qué es un grupo?
Un grupo es un conjunto de usuarios de IAM. La pertenencia a grupos se administra por medio de una sencilla lista:

  • Se pueden añadir usuarios a un grupo o eliminarlos del grupo.
  • Un usuario puede pertenecer a varios grupos.
  • Los grupos no pueden pertenecer a otros grupos.
  • Se pueden conceder permisos a los grupos mediante las políticas de control de acceso. Esto hace que sea más sencillo administrar los permisos para un conjunto de usuarios en lugar de tener que administrar permisos para cada usuario individual.
  • Los grupos no tienen credenciales de seguridad y no pueden obtener acceso de forma directa a los servicios web; existen únicamente para facilitar la administración de los permisos de usuario. Para obtener más información, consulte la sección sobre el trabajo con grupos y usuarios.

P: ¿Qué tipo de credenciales de seguridad pueden tener los usuarios de IAM?
Los usuarios de IAM pueden tener cualquier combinación de credenciales que admita AWS, como una clave de acceso de AWS, un certificado X.509, una clave SSH, una contraseña para el inicio de sesión en la aplicación web o un dispositivo MFA. Esto permite que los usuarios interactúen con AWS de la manera en que deseen. Un empleado podría tener tanto una clave de acceso como una contraseña de AWS; un sistema de software podría tener solo una clave de acceso de AWS para realizar llamadas mediante programación; los usuarios de IAM podrían disponer de una clave SSH privada para obtener acceso a los repositorios de AWS CodeCommit; y un contratista externo podría disponer solo de un certificado X.509 para usar la interfaz de línea de comandos de EC2. Para obtener más información consulte la sección de credenciales temporales de seguridad en la documentación de IAM.

P: ¿Qué servicios de AWS admiten usuarios de IAM?
La lista completa de servicios de AWS que admiten usuarios de IAM se puede consultar en la sección Servicios de AWS que funcionan con IAM de la documentación de IAM. AWS tiene previsto ir añadiendo compatibilidad con otros servicios.

P: ¿Se puede habilitar/deshabilitar el acceso de los usuarios?
Sí. Las claves de acceso de los usuarios de IAM pueden habilitarse y deshabilitarse mediante las API de IAM, la interfaz de línea de comandos (CLI) de AWS o la consola de IAM. Si deshabilita las claves de acceso, el usuario no dispondrá de acceso programático a los servicios de AWS.

P: ¿Quién puede administrar a los usuarios de una cuenta de AWS?
El titular de la cuenta de AWS puede administrar usuarios, grupos, credenciales de seguridad y permisos. Además, puede conceder permisos a usuarios individuales para que realicen llamadas a las API de la IAM para poder administrar a otros usuarios. Por ejemplo, puede crearse un usuario administrador que se encargue de la administración de los usuarios de una empresa (una práctica recomendada). Cuando concede a un usuario permiso para administrar a otros usuarios, puede utilizar para tal fin las API de IAM, la interfaz de línea de comandos (CLI) de AWS o la consola de IAM.

P: ¿Puedo estructurar una colección de usuarios jerárquicamente, como en LDAP?
Sí. Es posible organizar los usuarios y grupos mediante rutas, al igual que las rutas de objetos en Amazon S3: por ejemplo, miempresa/división/proyecto/pedro.

P: ¿Se puede definir regionalmente a los usuarios?
En principio, no. Los usuarios son entidades globales, como lo son hoy por hoy las cuentas de AWS. No es necesario especificar una región a la hora de definir los permisos de usuario. Los usuarios pueden usar los servicios de AWS en cualquier región geográfica.

P: ¿Cómo se configuran los dispositivos MFA para los usuarios de IAM?
Usted (el propietario de la cuenta de AWS) puede solicitar varios dispositivos MFA. A continuación, puede asignar estos dispositivos a usuarios particulares de IAM por medio de las API de IAM, la interfaz de línea de comandos (CLI) de AWS o la consola de IAM.

P: ¿Qué clase de rotación de claves se admite para los usuarios de IAM?
Las claves de acceso de usuario y los certificados X.509 pueden rotarse tal y como están para los identificadores de acceso raíz de una cuenta de AWS. Las claves de acceso y los certificados X.509 de un usuario pueden administrarse y rotarse programándolos mediante las API de IAM, la interfaz de línea de comandos (CLI) de AWS o la consola de IAM.

P: ¿Pueden los usuarios de IAM disponer de claves SSH individuales para EC2?
No en la versión inicial. IAM no afecta a las claves SSH para EC2 ni a los certificados RDP de Windows. Esto quiere decir que, aunque cada usuario dispone de credenciales separadas para obtener acceso a las API del servicio web, deben compartir las claves SSH que sean comunes para la cuenta de AWS bajo la que se les ha definido.

P: ¿Dónde puedo utilizar mis claves SSH?

En este momento, los usuarios de IAM solo pueden utilizar sus claves de SSH con AWS CodeCommit para obtener acceso a sus repositorios.

P: ¿Tienen que ser direcciones de correo electrónico los nombres de usuario de IAM?
No, pero pueden serlo. Los nombres de usuario son simplemente cadenas ASCII exclusivas dentro de una cuenta determinada de AWS. Puede asignar nombres mediante cualquier convención que desee, incluidas las direcciones de correo electrónico.

P: ¿Qué conjunto de caracteres puedo utilizar para los nombres de usuario de IAM?
Las entidades de IAM solo admiten los caracteres ASCII.

P: ¿Se admiten atributos de usuarios aparte del nombre de usuario?
Por ahora no.

P: ¿Cómo se configuran las contraseñas de usuario?
Es posible configurar la contraseña inicial de un usuario de IAM mediante la consola de IAM, la interfaz de línea de comandos (CLI) de AWS o las API de IAM. Las contraseñas de usuario nunca aparecen en texto legible una vez se han aprovisionado inicialmente y nunca se muestran o se devuelven a través de una llamada a API. Los usuarios de IAM pueden administrar sus contraseñas a través de la página My Password (Mi contraseña) de la consola de IAM. Los usuarios obtienen acceso a esta página seleccionando la opción Security Credentials (Credenciales de seguridad) en la lista desplegable de la esquina superior derecha de la consola de administración de AWS.

P: ¿Puedo establecer una política de contraseñas para mi contraseña de usuario?
Sí, puede requerir contraseñas seguras exigiendo una longitud mínima o la inclusión de al menos un número. Puede también imponer el vencimiento automático de las contraseñas, impedir la reutilización de antiguas contraseñas y exigir el restablecimiento de la contraseña para el próximo inicio de sesión en AWS. Para obtener más detalles, consulte Configuración de una política de contraseñas de la cuenta para usuarios de IAM.

P: ¿Puedo configurar cuotas de uso para los usuarios de IAM?
No. Todos los límites se aplican a la cuenta de AWS. Por ejemplo, si su cuenta de AWS tiene un límite de 20 instancias de Amazon EC2, los usuarios de IAM con permisos de EC2 pueden iniciar instancias hasta que lleguen al límite. No puede limitar las acciones de un usuario particular.


P: ¿Qué es una función de IAM?
Una función de IAM es una entidad de IAM que define un conjunto de permisos para realizar solicitudes de servicio de AWS. Las funciones de IAM no están asociadas con ningún grupo ni usuario específico, sino que las asumen entidades de confianza, como usuarios de IAM, aplicaciones o servicios de AWS como EC2.

P: ¿Qué problemas resuelven las funciones de IAM?
Las funciones de IAM permiten delegar el acceso con permisos definidos a entidades de confianza sin tener que compartir claves de acceso a largo plazo. Puede utilizar las funciones de IAM para delegar el acceso a usuarios de IAM administrados en su cuenta de AWS, a usuarios de IAM de una cuenta de AWS diferente o a servicios de AWS, como EC2.

P: ¿Cómo puedo comenzar a utilizar las funciones de IAM?
Las funciones se crean del mismo modo que se crean usuarios, es decir, debe asignar un nombre a la función y adjuntarle una política. Para obtener más detalles, consulte Creación de funciones de IAM.

P: ¿Cómo puedo asumir una función de IAM?
Para asumir una función de IAM, debe llamar a las API AssumeRole de AWS Security Token Service (STS) (es decir, AssumeRole, AssumeRoleWithWebIdentity y AssumeRoleWithSAML). Estas API devuelven un conjunto de credenciales de seguridad temporales que las aplicaciones pueden utilizar para firmar solicitudes en las API de servicio de AWS.

P: ¿Cuántas funciones de IAM puedo asumir?
No hay ningún límite de funciones de IAM que se puedan asumir, pero solo puede actuar como una función de IAM al hacer las solicitudes a los servicios de AWS.

P: ¿Quién puede usar funciones de IAM?
Todos los clientes de AWS pueden utilizar funciones de IAM.

P: ¿Cuánto cuestan las funciones de IAM?
Las funciones de IAM son gratuitas. Seguirá pagando por los recursos que consuma la función desde su cuenta de AWS.

P: ¿Cómo se administran las funciones de IAM?
Puede crear y administrar funciones de IAM mediante las API de IAM, la CLI de AWS o la consola de IAM, que le ofrece una interfaz interactiva basada en web.

P: ¿Qué diferencias existen entre una función de IAM y un usuario de IAM?
Un usuario de IAM tiene credenciales permanentes a largo plazo, que utiliza para interactuar directamente con los servicios de AWS. Una función de IAM no tiene ninguna credencial y no puede realizar solicitudes directas a servicios de AWS. Las funciones de IAM están pensadas para que las asuman las entidades autorizadas, como por ejemplo usuarios de IAM, aplicaciones o un servicio de AWS como EC2.

P: ¿Cuándo debo utilizar un usuario, un grupo o una función de IAM?

Un usuario de IAM tiene credenciales permanentes a largo plazo, que utiliza para interactuar directamente con los servicios de AWS. Un grupo de IAM es principalmente una forma de administrar un mismo conjunto de permisos para un conjunto de usuarios de IAM. Una función de IAM es una entidad de AWS Identity and Access Management (IAM) con permisos para realizar solicitudes a servicios de AWS. Las funciones de IAM no pueden realizar solicitudes directas a los servicios de AWS, ya que están pensadas para que las asuman las entidades autorizadas, como por ejemplo usuarios de IAM, aplicaciones o servicios de AWS como EC2. Utilice las funciones de IAM para delegar acceso dentro de las cuentas de AWS o entre ellas.

P: ¿Puedo añadir una función de IAM a un grupo de IAM?
Por ahora no.

P: ¿Cuántas políticas se pueden adjuntar a una función de IAM?

Para las políticas en línea: puede añadir tantas políticas en línea como desee a un usuario, función o grupo, siempre que el tamaño agregado de todas ellas (el tamaño sumado de todas las políticas en línea) por entidad no supere los siguientes límites:

  • El tamaño de la política de usuarios no puede exceder los 2 048 caracteres.
  • El tamaño de la política de funciones no puede exceder los 10 240 caracteres.
  • El tamaño de la política de grupos no puede exceder los 5 120 caracteres.

Para las políticas administradas: puede añadir hasta 10 políticas administradas para un usuario, función o grupo. El tamaño de cada política administrada no puede exceder los 6 144 caracteres.

P: ¿Cuántas funciones de IAM puedo crear?
Existe un límite de 1 000 funciones de IAM para su cuenta de AWS. Si necesita más funciones, envíe el formulario de solicitud de aumento del límite de IAM con las explicaciones de su caso de uso, para que evaluemos la solicitud.

P: ¿A qué servicios puede enviar solicitudes mi aplicación?
Su aplicación puede realizar solicitudes a todos los servicios de AWS que admitan sesiones de funciones.

P: ¿Qué son las funciones de IAM para instancias EC2?
Las funciones de IAM para instancias EC2 permiten que las aplicaciones que se ejecutan en EC2 realicen solicitudes a servicios de AWS como Amazon S3, Amazon SQS y Amazon SNS, entre otros, sin tener que copiar las claves de acceso de AWS en cada instancia. Si desea obtener más información, consulte Funciones de IAM para Amazon EC2.

P: ¿Cuáles son las características de las funciones de IAM para las instancias EC2?

Las funciones de IAM para instancias de EC2 proporcionan las siguientes características:

  • Credenciales de seguridad temporales de AWS que se pueden utilizar al realizar solicitudes para ejecutar instancias EC2 en todos los servicios de AWS.
  • Rotación automática de las credenciales de seguridad temporales de AWS.
  • Permisos de servicio de AWS pormenorizados para las aplicaciones que se ejecutan en instancias EC2.

P: ¿Qué problemas resuelven las funciones de IAM para instancias EC2?
Las funciones de IAM para instancias EC2 simplifican la administración y la implementación de claves de acceso de AWS en instancias EC2. Con esta característica se asocia una función de IAM a una instancia. A continuación, su instancia EC2 proporciona las credenciales de seguridad temporales para las aplicaciones que se ejecuten en la instancia, y las aplicaciones pueden utilizar estas credenciales para realizar solicitudes de manera segura a los recursos del servicio de AWS definidos en la función.

P: ¿Cómo puedo comenzar a utilizar las funciones de IAM para instancias EC2?
Para comprender cómo operan las funciones con instancias EC2, debe utilizar la consola de IAM para crear una función, lanzar una instancia EC2 que la utilice y, a continuación, examinar la instancia en ejecución. Puede examinar los metadatos de la instancia para ver cómo se ponen las credenciales de una función a disposición de una instancia. También puede ver cómo puede utilizar la función una aplicación que se ejecute en la instancia. Para obtener más información, consulte ¿Cómo puedo comenzar?

P: ¿Puedo utilizar la misma función de IAM en varias instancias EC2?
Sí.

P: ¿Puedo cambiar la función de IAM en una instancia EC2 en ejecución?
Sí. Si bien generalmente se asigna una función a una instancia EC2 cuando se lanza, también es posible asignar una función a una instancia EC2 que ya se encuentra en ejecución. Para obtener más información acerca de cómo asignar una función a una instancia en ejecución, consulte Funciones de IAM para Amazon EC2. También puede cambiar los permisos de la función de IAM asociada con una instancia en ejecución, y los permisos actualizados se aplicarán casi de inmediato. 

P: ¿Puedo asociar una función de IAM a una instancia EC2 que ya esté en ejecución?
Sí. Puede asignar una función a una instancia EC2 que ya se encuentre en ejecución. Para obtener más información acerca de cómo asignar una función a una instancia que se encuentre en ejecución, consulte Funciones de IAM para Amazon EC2.

P: ¿Puedo asociar una función de IAM a un grupo de Auto Scaling?

Sí. Puede añadir una función de IAM como parámetro adicional a una configuración de lanzamiento de Auto Scaling y crear un grupo de Auto Scaling con dicha configuración. Todas las instancias EC2 lanzadas en un grupo de Auto Scaling asociado con una función IAM se lanzan con la función como parámetro de entrada. Para obtener más información, consulte ¿Qué es Auto Scaling? en la Guía para desarrolladores de Auto Scaling.

P: ¿Puedo asociar más de una función de IAM a una instancia EC2?
No. En estos momentos, solo puede asociar una única función de IAM a una instancia EC2. Este límite de una función por instancia no se puede aumentar.

P: ¿Qué sucede si elimino una función de IAM asociada a una instancia EC2 en ejecución?
Se denegará el acceso inmediatamente a cualquier aplicación que se ejecute en la instancia y esté utilizando la función.

P: ¿Puedo controlar qué funciones de IAM puede asociar un usuario de IAM a una instancia EC2?
Sí. Si desea obtener más información, consulte Permisos necesarios para usar funciones con Amazon EC2.

P: ¿Qué permisos son necesarios para lanzar instancias EC2 con una función de IAM?
Debe conceder a los usuarios de IAM dos permisos diferentes para lanzar correctamente instancias EC2 con funciones:

  • Permiso para lanzar instancias EC2.
  • Permiso para asociar una función de IAM a instancias EC2.

Si desea obtener más información, consulte Permisos necesarios para usar funciones con Amazon EC2.

P: ¿Quién puede tener acceso a las claves de acceso en una instancia EC2?
Cualquier usuario local de la instancia puede obtener acceso a las claves de acceso asociadas a la función de IAM.

P: ¿Cómo puedo utilizar la función de IAM con mi aplicación en la instancia EC2?
Si desarrolla la aplicación con AWS SDK, este utiliza automáticamente las claves de acceso de AWS que están disponibles en la instancia EC2. Si no va a utilizar AWS SDK, puede recuperar las claves de acceso del servicio de metadatos de instancias EC2. Si desea obtener más información, consulte Uso de una función de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2.

P: ¿Cómo puedo rotar las credenciales de seguridad temporales en la instancia EC2?
Las credenciales de seguridad temporales de AWS asociadas a una función de IAM se rotan automáticamente varias veces al día. Las nuevas credenciales de seguridad temporales estarán disponibles en un máximo de cinco minutos antes de que venzan las credenciales de seguridad temporales existentes.

P: ¿Puedo utilizar las funciones de IAM para las instancias EC2 con cualquier tipo de instancia o Amazon Machine Image (imagen de máquina de Amazon)?
Sí. Las funciones de IAM para las instancias EC2 también funcionan en Amazon Virtual Private Cloud (VPC) con instancias de spot y reservadas.

P: ¿Qué es una función vinculada al servicio?
Una función vinculada al servicio es un tipo de función que se vincula a un servicio de AWS (también conocido como servicio vinculado) de tal manera que solo el servicio vinculado puede asumir la función. Utilizando estas funciones puede delegar permisos a los servicios de AWS para crear y administrar recursos de AWS en su nombre.

P: ¿Puedo asumir una función vinculada al servicio?
No. Una función vinculada al servicio solo puede ser asumida por el servicio vinculado. Esta es la razón por la cual no se puede modificar la política de confianza de una función vinculada al servicio.

P: ¿Puedo eliminar una función vinculada a un servicio?
Sí. Si ya no desea que un servicio de AWS realice acciones por usted, puede eliminar su función vinculada al servicio. Antes de eliminar la función, debe eliminar todos los recursos de AWS que dependan de esta. Este paso garantiza que no pueda eliminar involuntariamente una función indispensable para el funcionamiento correcto de los recursos de AWS.

P: ¿Cómo elimino una función vinculada al servicio?
Puede eliminar una función vinculada al servicio en la consola de IAM. Seleccione Roles (Funciones) en el panel de navegación, elija la función vinculada a un servicio que desea eliminar y pulse Delete role (Eliminar función). (Nota: Para Amazon Lex, debe usar la consola de Amazon Lex para eliminar la función vinculada a un servicio.)


P: ¿Cómo funcionan los permisos?

Usuarios, grupos y funciones llevan adjuntas políticas de control de acceso para asignar permisos a recursos de AWS. De forma predeterminada, los usuarios, grupos y funciones de IAM no tienen permisos; los usuarios con permisos suficientes deben utilizar una política para conceder los permisos deseados.

P: ¿Cómo puedo asignar permisos mediante una política?

Para establecer permisos, puede crear y adjuntar políticas mediante la consola de administración de AWS, la API de IAM o la CLI de AWS. Los usuarios a los que se les hayan concedido los permisos necesarios pueden crear políticas y asignarlas a usuarios, grupos y funciones de IAM.

P: ¿Qué son las políticas administradas?

Las políticas administradas son recursos de IAM que expresan permisos mediante el lenguaje de políticas de IAM. Puede crearlas, editarlas y administrarlas independientemente de los usuarios, grupos y funciones de IAM a los que están adjuntas. Después de asociar una política administrada a varios usuarios, grupos o funciones de IAM, basta con actualizar dicha política en un lugar para que los permisos se extiendan automáticamente a todas las entidades adjuntas. Puede administrar usted mismo las políticas administradas (serían las denominadas políticas administradas por el cliente) o mediante AWS (políticas administradas por AWS). Para obtener más información sobre las políticas administradas, consulte Políticas administradas y políticas insertadas.

P: ¿Cómo puedo crear una política administrada por el cliente?

Puede usar el editor visual o el editor de JSON en la consola de IAM. El editor visual es un editor interactivo que lo guía a través del proceso de concesión de permisos en una política sin la necesidad de escribir la política en JSON. Puede crear políticas en JSON mediante el uso de la CLI y el SDK.

P: ¿Cómo puedo asignar los permisos de uso común?

AWS ofrece un conjunto de permisos de uso común que puede asociar a usuarios, grupos y funciones de IAM de su cuenta. Se les denomina políticas administradas por AWS. Un ejemplo es el acceso de solo lectura para Amazon S3. Cuando AWS actualiza estas políticas, los permisos se aplican automáticamente a los usuarios, grupos y funciones a los que está asociada dicha política. Las políticas administradas por AWS aparecen automáticamente en la sección Policies (Políticas) de la consola de IAM. Al asignar permisos, puede usar una política administrada por AWS, o bien crear una nueva política propia administrada por el cliente. Cree una nueva política basada en una política administrada por AWS existente o defina una propia.

P: ¿Cómo funcionan los permisos basados en grupos?

Utilice los grupos de IAM para asignar el mismo conjunto de permisos a varios usuarios de IAM. También es posible asignar permisos individuales a un usuario. Los dos modos de adjuntar permisos a los usuarios se combinan para establecer los permisos generales.

P: ¿Qué diferencia hay entre la asignación de permisos con grupos de IAM y mediante directivas administradas?

Utilice los grupos de IAM para recopilar usuarios de IAM y definir permisos comunes para estos usuarios. Utilice políticas administradas para compartir permisos entre usuarios, grupos y funciones de IAM. Por ejemplo, si desea que un grupo de usuarios pueda lanzar una instancia de Amazon EC2 y también que la función de dicha instancia tenga los mismos permisos que los usuarios del grupo, puede crear una política administrada y asignarla al grupo de usuarios y a la función en la instancia de Amazon EC2.

P: ¿Cómo se evalúan las políticas de IAM en combinación con políticas basadas en recursos de Amazon S3, Amazon SQS, Amazon SNS y AWS KMS?

Las políticas de IAM se evalúan junto con las políticas basadas en recursos del servicio. Si una política de cualquier tipo otorga acceso (sin denegarlo explícitamente), la acción está permitida. Para obtener más información sobre la lógica de evaluación de políticas, consulte Lógica de evaluación de políticas

P: ¿Puedo utilizar una política administrada como política basada en recursos?

Las directivas administradas se pueden asociar solo a usuarios, grupos o funciones de IAM. No puede utilizarlas como políticas basadas en recursos.

P: ¿Cómo configuro permisos granulares mediante políticas?

Es posible especificar mediante políticas varias capas de granularidad de permisos. Primero, puede definir acciones específicas de servicios de AWS cuyo acceso desea permitir o denegar explícitamente. Segundo, dependiendo de la acción, puede definir recursos específicos de AWS sobre los que las acciones pueden realizarse. Tercero, puede definir condiciones que especifiquen cuándo está en efecto la política (por ejemplo, si MFA está o no habilitado).

P: ¿Cómo puedo eliminar fácilmente permisos innecesarios?

Para ayudarle a determinar qué permisos son necesarios, ahora la consola de IAM muestra los últimos datos de servicio a los que se obtuvo acceso, donde se ve la hora a la que una entidad de IAM (un usuario, grupo o función) empleó por última vez un servicio de AWS. Saber cuándo una entidad de IAM ejerció un permiso por última vez puede ayudarle a eliminar permisos innecesarios y a ajustar las políticas de IAM con el mínimo esfuerzo.

P: ¿Puedo otorgar permisos para obtener acceso o cambiar la información en el nivel de cuenta (por ejemplo, la forma de pago, la dirección de email de contacto y el historial de facturación)?

Sí, puede otorgar a un usuario federado o a un usuario federado de IAM la capacidad para ver los datos de facturación de AWS y modificar la información de la cuenta de AWS. Para obtener más información sobre el control de acceso a la información de facturación, consulte Control de acceso.

P: ¿Cómo puedo crear y administrar claves de acceso en una cuenta de AWS?

Solo el titular de la cuenta de AWS puede administrar las claves de acceso de la cuenta raíz. El titular de la cuenta y los usuarios o las funciones de IAM a quienes se les hayan concedido los permisos necesarios pueden administrar las claves de acceso de los usuarios de IAM.

P: ¿Puedo otorgar permisos para obtener acceso a recursos de AWS propiedad de otra cuenta de AWS?
Sí. Con las funciones de IAM, los usuarios federados y los usuarios de IAM pueden acceder a los recursos de otra cuenta de AWS a través de la consola de administración de AWS, la CLI de AWS o las API. Consulte Administración de funciones de IAM para obtener más información.

P: ¿Qué aspecto tiene una política?

La siguiente política concede acceso para añadir, actualizar y eliminar objetos de una carpeta específica, example_folder, en un bucket específico, example_bucket.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

P: ¿Qué es un resumen de política?

Si utiliza la consola de IAM y selecciona una política, se mostrará un resumen de política. Los resúmenes de políticas describen el nivel de acceso, los recursos y las condiciones de cada servicio definido en una política. La siguiente captura de pantalla muestra un ejemplo. El nivel de acceso (Vista, Lectura, Escritura o Administración de permisos) se define por las acciones que permite para cada servicio de la política. Seleccione el botón JSON para consultar la política en JSON.

Captura de pantalla de un resumen de política

P: ¿Qué es el simulador de políticas de IAM?
El simulador de políticas de IAM es una herramienta que le permite comprender, probar y validar los efectos de las políticas de control de acceso.

P: ¿Para qué puede utilizarse el simulador de políticas?
Puede utilizar el simulador de políticas de distintas maneras. Puede probar los cambios de política para asegurarse de que tienen el efecto deseado antes de enviarlas a producción. Puede validar políticas existentes asociadas a usuarios, grupos y funciones para comprobar permisos y resolver cualquier problema. También puede utilizar el simulador de políticas para comprender cómo se combinan las políticas de IAM y las políticas basadas en recursos para conceder o denegar el acceso a los recursos de AWS.

P: ¿Quién puede utilizar el simulador de políticas?
El simulador de políticas está disponible para todos los clientes de AWS.

P: ¿Cuánto cuesta el simulador de políticas?
El simulador de políticas está disponible sin costo adicional.

P: ¿Cómo puedo empezar?
Visite https://policysim.aws.amazon.com o haga clic en el vínculo de la consola de IAM en "Additional Information" (Información adicional). Especifique para su evaluación una nueva política o elija un conjunto de políticas existente de un usuario, grupo o función. A continuación, seleccione un conjunto de acciones de la lista de servicios de AWS, proporcione cualquier información necesaria para simular la solicitud de acceso y ejecute la simulación para determinar si la política permite o deniega permisos para las acciones y recursos seleccionados. Para obtener más información sobre el simulador de políticas de IAM, vea nuestro vídeo de introducción o consulte la documentación.

P: ¿Qué tipos de política admite el simulador de políticas de IAM?
El simulador de políticas admite la prueba de políticas nuevas y de políticas existentes adjuntadas a usuarios, grupos o funciones. Además, puede simular si las políticas en el nivel de recurso conceden acceso a un recurso concreto de los buckets de Amazon S3, los almacenes de Amazon Glacier, los temas de Amazon SNS y las colas de Amazon SQS. Estos se incluyen en la simulación cuando se especifica un nombre de recurso de Amazon (ARN) en el campo Resource (Recurso) dentro de Simulation Settings (Ajustes de simulación) de un servicio que admite políticas de recurso.

P: Si cambio una política en el simulador de políticas, ¿se conservan esos cambios en producción?
No. Para aplicar cambios a la producción, copie la política que ha modificado en el simulador de políticas y adjúntela al usuario, grupo o función de IAM deseado.

P: ¿Puedo utilizar el simulador de políticas mediante programación?
Sí. Además de con su propia consola, puede utilizar el simulador de políticas con el SDK de AWS o la CLI de AWS. Utilice la API iam:SimulatePrincipalPolicy para probar mediante programación sus políticas de IAM existentes. Para probar los efectos de políticas nuevas o actualizadas aún no asignadas a un usuario, grupo o función, realice una llamada a la API iam:SimulateCustomPolicy.  


P: ¿Cómo puede iniciar sesión un usuario de IAM?

Para iniciar sesión en la consola de administración de AWS como usuario de IAM debe suministrar su alias o ID de cuenta, además del nombre de usuario y la contraseña. Cuando su administrador creó su usuario de IAM en la consola, debería haberle proporcionado su nombre de usuario y la URL que conduce a la página de inicio de sesión de la cuenta. Dicha URL incluye su alias o ID de cuenta.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

También puede iniciar sesión en el siguiente punto de enlace de inicio de sesión general y escribir su alias o ID de cuenta manualmente:

https://console.aws.amazon.com/

Para mayor comodidad, la página de inicio de sesión de AWS utiliza una cookie de navegador para recordar la información de cuenta y de nombre de usuario de IAM. La próxima vez que el usuario vaya a cualquier página en la consola de administración de AWS, la consola utilizará la cookie para redireccionar al usuario a la página de inicio de sesión de la cuenta.

Nota: Los usuarios de IAM pueden continuar utilizando el enlace URL que les facilitó su administrador para iniciar sesión en la consola de administración de AWS.

P: ¿Qué es un alias de cuenta de AWS?

El alias de una cuenta es un nombre que se define para que resulte más cómodo identificarla. Es posible crear un alias mediante las API de IAM, las herramientas de línea de comandos de AWS o la consola de IAM. Cada cuenta de AWS puede tener únicamente un alias.

P: ¿A qué sitios de AWS pueden obtener acceso los usuarios de IAM?

Los usuarios de IAM pueden iniciar sesión en los siguientes sitios de AWS:

P: ¿Pueden los usuarios de IAM iniciar sesión en otras propiedades de Amazon.com con sus credenciales?
No. Los usuarios creados con la IAM solo serán reconocidos por los servicios y aplicaciones de AWS.

P: ¿Existe una API de autenticación para verificar los inicios de sesión de los usuarios de IAM?
No. No hay forma de verificar mediante programación los inicios de sesión de los usuarios.

P: ¿Podrán los usuarios iniciar sesión en SSH para instancias EC2 con su nombre de usuario y contraseña de AWS?
No. Las credenciales de seguridad de usuario creadas con IAM no admiten la autenticación directa en las instancias EC2 del cliente. La administración de las credenciales SSH de EC2 es responsabilidad del cliente desde la consola de EC2.


P: ¿Qué son las credenciales de seguridad temporales?
Las credenciales de seguridad temporales se componen de un ID de clave de acceso de AWS, una clave de acceso secreta y un token de seguridad. Las credenciales de seguridad temporales son válidas durante un tiempo determinado y para un conjunto concreto de permisos. Es bastante común referirse a las credenciales de seguridad temporales simplemente como tokens. Es posible solicitar tokens para los usuarios de IAM o para los usuarios federados que se administran en su propio directorio corporativo. Para obtener más información, consulte Escenarios habituales en las credenciales temporales.

P: ¿Qué beneficios aportan las credenciales de seguridad temporales?
Las credenciales de seguridad temporales le permiten:

  • Ampliar sus directorios de usuario internos para habilitar la federación en AWS, lo que permite a sus empleados y a las aplicaciones obtener acceso de forma segura a las API de servicio de AWS sin necesidad de crear una identidad de AWS para ellos.
  • Solicitar credenciales de seguridad temporales para un número ilimitado de usuarios federados.
  • Configurar cuánto tiempo tardan en vencer las credenciales de seguridad temporales, lo que mejora la seguridad al obtener acceso a las API de servicio de AWS mediante dispositivos móviles que corren el riesgo de extraviarse.

P: ¿Cómo puedo solicitar credenciales de seguridad temporales para los usuarios federados?
Puede realizar una llamada a las API GetFederationToken, AssumeRole, AssumeRoleWithSAML o AssumeRoleWithWebIdentity de STS.

P: ¿Cómo pueden solicitar los usuarios de IAM credenciales de seguridad temporales para su propio uso?
Los usuarios de IAM pueden solicitar credenciales de seguridad temporales para su propio uso mediante una llamada la API GetSessionToken de AWS STS. El vencimiento predeterminado de estas credenciales temporales es de 12 horas, el mínimo de 15 minutos y el máximo de 36 horas.

Las credenciales temporales también se pueden utilizar con el acceso a una API protegido por Multi-Factor Authentication (MFA).

P: ¿Cómo puedo utilizar credenciales de seguridad temporales para realizar llamadas a API de servicios de AWS?
Si realiza solicitudes API HTTP directas a AWS, puede firmarlas con las credenciales de seguridad temporales que obtiene de AWS Security Token Service (AWS STS). Para ello, haga lo siguiente:

  • Utilice el ID de clave de acceso y la clave de acceso secreta proporcionados con las credenciales de seguridad temporales, como si utilizara las credenciales a largo plazo para firmar una solicitud. Para obtener más información sobre la firma HTTPS de solicitudes API, consulte Firma de solicitudes de la API de AWS en la Referencia general de AWS.
  • Utilice el token de sesión proporcionado con las credenciales de seguridad temporales. Incluya el token de sesión en el encabezado "x-amz-security-token". Consulte la siguiente solicitud de ejemplo.
    • Para Amazon S3, mediante el encabezado HTTP "x-amz- security-token". 
    • Para otros servicios de AWS, mediante el parámetro SecurityToken.

P: ¿Qué productos de AWS aceptan credenciales de seguridad temporales?
Para obtener una lista de servicios compatibles, consulte Servicios de AWS que funcionan con IAM.

P: ¿Cuál es el tamaño máximo de la política de acceso que puedo especificar al solicitar credenciales de seguridad temporales (GetFederationToken o AssumeRole)?
El texto sin formato de la política no debe superar los 2 048 bytes. Sin embargo, una conversión interna lo comprime en un formato binario empaquetado con un límite distinto.

P: ¿Se puede revocar una credencial de seguridad temporal antes de que venza?
No. Cuando se solicitan credenciales temporales recomendamos lo siguiente:

  • Cuando cree credenciales de seguridad temporales, establezca el vencimiento en un valor adecuado para su aplicación.
  • Puesto que los permisos de las cuentas raíz no pueden restringirse, utilice un usuario de IAM, en lugar de la cuenta raíz, a la hora de crear credenciales de seguridad temporales. Puede revocar los permisos del usuario de IAM que emitió la llamada original con la solicitud. Esta acción revoca casi de inmediato los privilegios de todas las credenciales de seguridad temporales creadas por el usuario de IAM en cuestión.

P: ¿Puedo volver a activar las credenciales de seguridad temporales o ampliar su fecha de vencimiento?
No. Es una buena práctica comprobar la fecha de vencimiento regularmente y solicitar una credencial de seguridad temporal antes de que venza la anterior. Este proceso de rotación se administra automáticamente cuando las credenciales de seguridad temporales se utilizan en funciones para instancias EC2.

P: ¿Las credenciales de seguridad temporales se admiten en todas las regiones?
Los clientes pueden solicitar tokens de los puntos de enlace de AWS STS en todas las regiones, entre ellas, AWS GovCloud (EE.UU.) y China (Pekín). Las credenciales temporales de AWS GovCloud (EE.UU.) y China (Pekín) solo se pueden utilizar en la región en que se hayan creado. Las credenciales temporales solicitadas desde cualquier otra región, como EE.UU. Este (Norte de Virginia) o UE (Irlanda), se pueden usar en todas las regiones, salvo en AWS GovCloud (EE.UU.) y China (Pekín).

P: ¿Puedo restringir el uso de credenciales de seguridad temporales a una región o a un subconjunto de regiones?

No. No puede restringir las credenciales de seguridad temporales a una región o un subconjunto de regiones concretos, salvo las de AWS GovCloud (EE.UU.) y China (Pekín), que solo se pueden usar en las regiones correspondientes en las que se hayan originado.

P: ¿Qué debo hacer antes de comenzar a utilizar un punto de enlace de AWS STS?

Los puntos de enlace de AWS STS están activos de forma predeterminada en todas las regiones y puede comenzar a utilizarlos sin necesidad de ninguna acción adicional.

P: ¿Qué sucede si trato de usar un punto de enlace de AWS STS regional desactivado para mi cuenta de AWS?

Si trata de usar un punto de enlace regional de AWS STS desactivado para su cuenta de AWS, verá una excepción AccessDenied de AWS STS con un mensaje indicando que no está activado en la región para esa cuenta y que el administrador de la cuenta puede activarlo en la región desde la consola de IAM: "AWS STS is not activated in this region for account: AccountID. Your account administrator can activate AWS STS in this region using the IAM console.”

P: ¿Qué permisos necesito para activar o desactivar regiones de AWS STS en la página Account Settings (Configuración de la cuenta)?

Solo los usuarios que dispongan al menos del permiso iam:* pueden activar o desactivar las regiones de AWS STS en la página Account Settings (Configuración de la cuenta) de la consola de IAM. Tenga en cuenta que los puntos de enlace de AWS STS de las regiones EE.UU. Este (Norte de Virginia), AWS GovCloud (EE.UU.) y China (Pekín) están siempre activos y no se pueden desactivar.

P: ¿Puedo usar la API o la CLI para activar o desactivar regiones de AWS STS?

No. Por el momento, no se permite utilizar la API o la CLI para activar o desactivar regiones de AWS STS. Tenemos previsto que en próximas versiones sí puedan usarse la API y la CLI.


P: ¿Qué es una identidad federada?
AWS Identity and Access Management (IAM) admite la identidad federada para el acceso delegado a la consola de administración de AWS o las API de AWS. Con la identidad federada, se concede a las identidades externas acceso seguro a los recursos de la cuenta de AWS sin tener que crear usuarios de IAM. Estas identidades externas pueden proceder de su proveedor de identidad corporativa (como Microsoft Active Directory o AWS Directory Service) o su proveedor de identidad web (como Amazon Cognito, Login with Amazon, Facebook, Google o cualquier proveedor compatible con OpenID Connect).

P: ¿Qué son los usuarios federados?
Los usuarios federados (identidades externas) son usuarios que se administran fuera de AWS en su directorio corporativo, pero a los que concede acceso a su cuenta de AWS mediante credenciales de seguridad temporales. Se diferencian de los usuarios de IAM en que estos se crean y se mantienen en la cuenta de AWS.

P: ¿Es compatible con SAML?
Sí, AWS admite el lenguaje Security Assertion Markup Language 2.0.

P: ¿Qué perfiles de SAML admite AWS?
El punto de enlace de AWS Single Sign-On (SSO) admite el perfil SAML de WebSSO de enlace de HTTP-POST iniciado por el proveedor de identidad. Esto permite a un usuario federado iniciar sesión en la consola de administración de AWS con una assertion (afirmación) de SAML. También puede utilizarse una afirmación de SAML para solicitar credenciales de seguridad temporales con la API AssumeRoleWithSAML. Para obtener más información, consulte Acerca de la federación basada en SAML 2.0.

P: ¿Pueden los usuarios federados obtener acceso a las API de AWS?
Sí. Puede solicitar mediante programación credenciales de seguridad temporales para que los usuarios federados puedan obtener acceso de forma segura y directa a las API de AWS. Ofrecemos una aplicación de muestra que ilustra cómo habilitar las identidades federadas (ofrece acceso a las API de servicio de AWS a los usuarios administrados por Microsoft Active Directory). Para obtener más información, consulte Uso de credenciales de seguridad temporales para solicitar acceso a los recursos de AWS.

P: ¿Pueden obtener acceso los usuarios federados a la consola de administración de AWS?
Sí. Se puede lograr de dos formas distintas. Una forma es solicitar mediante programación credenciales de seguridad temporales (como GetFederationToken o AssumeRole) para los usuarios federados e incluir dichas credenciales como parte de la solicitud de inicio de sesión a la consola de administración de AWS. Cuando haya autenticado un usuario y le haya concedido credenciales de seguridad temporales, puede generar un token de inicio de sesión que utilizará el punto de enlace de AWS Single Sign-On (SSO). Las acciones del usuario en la consola se limitan a las admitidas en la política de control de acceso asociada con las credenciales de seguridad temporales. Para obtener más detalles, consulte Creación de una dirección URL que permita a los usuarios federados obtener acceso a la Consola de administración de AWS (agente de federación personalizada).

Si lo prefiere, puede publicar una afirmación de SAML directamente en el inicio de sesión de AWS (https://signin.aws.amazon.com/saml). Las acciones del usuario en la consola se limitan las permitidas en la política de control de acceso asociada con la función de IAM que se asume utilizando la afirmación de SAML. Para obtener más información, consulte Concesión de acceso a la Consola de administración de AWS a los usuarios federados SAML 2.0.

Ambos enfoques permiten a un usuario federado obtener acceso a la consola sin necesidad de iniciar sesión con un nombre de usuario y una contraseña. Ofrecemos una aplicación de muestra que ilustra cómo habilitar las identidades federadas (ofrece acceso a la consola de administración de AWS a los usuarios administrados por Microsoft Active Directory). 

P: ¿Cómo puedo controlar lo que puede hacer un usuario federado cuando está conectado a la consola?
Cuando solicita credenciales de seguridad temporales para el usuario federado con una API AssumeRole, puede incluir de forma opcional una política de acceso con la solicitud. Los privilegios del usuario federado son el resultado de, por un lado, los permisos concedidos por la política de acceso incluida con la solicitud y, por otro, de la política de acceso adjunta a la función de IAM que se ha asumido. La política de acceso incluida con la solicitud no puede elevar los privilegios adjuntos a la función de IAM que se asuma. Cuando solicita credenciales de seguridad temporales para el usuario federado con una API GetFederationToken, debe proporcionar una política de control de acceso con la solicitud. Los privilegios del usuario federado son el resultado de, por un lado, los permisos concedidos por la política de acceso incluida con la solicitud y, por otro, de la política de acceso adjunta al usuario de IAM que se ha utilizado para hacer la solicitud. La política de acceso incluida con la solicitud no puede elevar los privilegios asociados con el usuario de IAM utilizado para hacer la solicitud. Estos permisos de usuario federado se aplican tanto al acceso a la API como a las acciones realizadas en la consola de administración de AWS.

P: ¿Qué permisos necesita un usuario federado para utilizar la consola?
Un usuario necesita permisos para las API de los servicios de AWS a las que llama la consola de administración de AWS. Los permisos habituales necesarios para tener acceso a los servicios de AWS están documentados en Uso de credenciales de seguridad temporales para solicitar acceso a los recursos de AWS.

P: ¿Cómo controlo el tiempo durante el que un usuario federado tiene acceso a la consola de administración de AWS?
En función de la API utilizada para crear las credenciales de seguridad temporales, puede especificar un límite de sesión de entre 15 minutos y 36 horas para GetFederationToken y GetSessionToken, y de entre 15 minutos y 12 horas para las API AssumeRole*, tiempo durante el que el usuario federado puede obtener acceso a la consola. Cuando la sesión vence, el usuario federado debe solicitar una nueva sesión volviendo al proveedor de identidad, desde donde usted puede volver a concederle acceso. Obtenga más información sobre la configuración de la duración de la sesión

P: ¿Qué sucede cuando la sesión de consola de identidad federada agota el tiempo de espera?
Se muestra un mensaje al usuario que le avisa de que la sesión de consola ha agotado el tiempo de espera y debe solicitar una nueva sesión. Puede especificar una URL para dirigir a los usuarios a la página web de la intranet local en la que pueden solicitar una sesión nueva. Esta URL se añade cuando especifica un parámetro Issuer como parte de la solicitud de inicio de sesión. Para obtener más información, consulte Concesión de acceso a la Consola de administración de AWS a los usuarios federados SAML 2.0.

P: ¿A cuántos usuarios federados les puedo otorgar acceso a la consola de administración de AWS?
No existe un límite en cuanto al número de usuarios federados que pueden obtener acceso a la consola.

P: ¿En qué consiste la identidad federada web?

La identidad federada web permite crear con tecnología de AWS aplicaciones para móviles que utilicen para la autenticación proveedores de identidad públicos (como Amazon Cognito, Login with Amazon, Facebook, Google o cualquier proveedor compatible con OpenID Connect). La identidad federada web le permite integrar fácilmente el inicio de sesión de proveedores de identidad públicos (IdP) en las aplicaciones sin tener que escribir ningún código en el servidor ni distribuir credenciales de seguridad de AWS a largo plazo con la aplicación.

Para obtener más información sobre la identidad federada web y comenzar a utilizarla, consulte Acerca de identidades web federadas.

 

P: ¿Cómo puedo habilitar la identidad federada web con cuentas de proveedores de identidades públicos?

Para obtener el mejor resultado, utilice Amazon Cognito como agente de identidades para casi todos los casos de identidad federada web. Amazon Cognito es fácil de utilizar y proporciona capacidades adicionales, como acceso anónimo (sin autenticar) y sincronización de los datos de usuario entre dispositivos y proveedores. Sin embargo, si ya ha creado mediante una llamada manual a la API AssumeRoleWithWebIdentity una aplicación que utiliza la identidad federada web, puede seguir utilizándola y sus aplicaciones seguirán funcionando.

A continuación se incluyen los pasos básicos para habilitar la federación de identidad con uno de los proveedores de identidad web admitidos:

  1. Inscríbase como desarrollador en el proveedor de identidad y configure la aplicación con él. Le proporcionará un ID exclusivo para la aplicación.
  2. Si utiliza un proveedor de identidad compatible con OIDC, cree para él en IAM una entidad de proveedor de identidad.
  3. En AWS, cree una o más funciones de IAM. 
  4. En su aplicación, autentique a sus usuarios utilizando el proveedor de identidad público.
  5. En la aplicación, realice una llamada sin firma a la API AssumeRoleWithWebidentity para solicitar credenciales de seguridad temporales. 
  6. Utilizando las credenciales de seguridad temporales que reciba en la respuesta de AssumeRoleWithWebidentity, la aplicación realiza solicitudes con firma a las API de AWS.
  7. La aplicación almacena en caché las credenciales de seguridad temporales para que no tenga que obtener unas nuevas cada vez que la aplicación necesite realizar una solicitud a AWS.

Para obtener instrucciones más detalladas, consulte Uso de las operaciones de API de identidad federada en web para aplicaciones móviles.

P: ¿En qué difiere la identidad federada que usa AWS Directory Service de una solución de administración de identidades de terceros?

Si desea que solamente los usuarios federados puedan obtener acceso a la consola de administración de AWS, AWS Directory Service ofrece capacidades similares a una solución de administración de identidades de terceros. Los usuarios finales pueden iniciar sesión utilizando sus credenciales corporativas existentes y obtener acceso a la consola de administración de AWS. Como AWS Directory Service es un servicio administrado, los clientes no necesitan configurar ni administrar la infraestructura de federación, solo crear un directorio de AD Connector para integrarlo con su directorio en las instalaciones físicas. Si está interesado en ofrecer a sus usuarios federados acceso a las API de AWS, utilice una oferta de terceros o implemente su propio servidor proxy.


P: ¿Proporciona la facturación de AWS el uso global y los costos detallados por usuario?
No, en este momento no se admite.

P: ¿Cuesta algo el servicio de IAM?
No, es una función de su cuenta de AWS que se ofrece sin cargos adicionales.

P: ¿Quién paga el consumo realizado por los usuarios en una cuenta de AWS?
El propietario de la cuenta de AWS controla y es responsable del uso, los datos y los recursos de la cuenta.

P: ¿Se registrará la actividad facturable del usuario en los datos de consumo de AWS?
Actualmente, no. Tenemos previsto llevarlo a cabo en una próxima versión.

P: ¿En qué se parecen IAM y la Facturación unificada?
IAM y la Facturación unificada son características complementarias. La Facturación unificada permite unificar los pagos de varias cuentas de AWS de su empresa designando una única cuenta de pago. El propósito de IAM no está relacionado con la Facturación unificada. Un usuario existe dentro de los confines de una cuenta de AWS y no tiene permisos en las cuentas vinculadas. Si desea más información, consulte Facturación unificada para organizaciones.

P: ¿Puede un usuario obtener acceso a la información de facturación de las cuentas de AWS?
Sí, pero solo si usted se lo permite. Para que los usuarios de IAM puedan obtener acceso a la información de facturación, primero debe otorgarles acceso a Account Activity (Actividad de la cuenta ) o Usage Reports (Informes de uso). Consulte Control de acceso.


P: ¿Qué sucede si un usuario intenta obtener acceso a un servicio que aún no ha sido integrado con IAM?
El servició devolverá un error de acceso denegado.

P: ¿Se registran las acciones de IAM con propósitos de auditoría?
Sí. Puede activar AWS CloudTrail para registrar acciones de IAM, acciones de STS e inicios de sesión de la consola de administración de AWS. Para obtener más información sobre el inicio de sesión en AWS, consulte AWS CloudTrail.

P: ¿Existe alguna diferencia entre las personas y los agentes de software como identidades de AWS?
No, ambas entidades se tratan como usuarios con credenciales de seguridad y permisos. Sin embargo, solo las personas utilizan una contraseña en la consola de administración de AWS.

P: ¿Los usuarios trabajan con AWS Support Center y Trusted Advisor?
Sí, los usuarios de IAM tienen la capacidad de crear y modificar casos de soporte, así como de utilizar Trusted Advisor.

P: ¿Existen cuotas predeterminadas asociadas con IAM?
Sí, de forma predeterminada su cuenta de AWS cuenta con cuotas iniciales para todas las entidades relacionadas con IAM. Para obtener más información, consulte Limitaciones en entidades y objetos de IAM.

Estas cuotas pueden cambiar. Si necesita aumentarlas, puede utilizar el formulario de aumento del límite de servicio de la página de contacto y seleccionar IAM Groups and Users (Grupos y usuarios de IAM) en la lista desplegable Limit Type (Tipo de límite).


P: ¿Qué es AWS MFA?
AWS Multi-Factor Authentication (AWS MFA) ofrece un nivel adicional de seguridad que puede aplicar al entorno AWS. Puede habilitar AWS MFA para su cuenta de AWS y para usuarios concretos de AWS Identity and Access Management (IAM) que haya creado bajo esta cuenta.

P: ¿Cómo funciona AWS MFA?
Existen dos métodos principales de autenticarse con un dispositivo AWS MFA:

  • Usuarios de la consola de administración de AWS: cuando un usuario con MFA habilitado inicie sesión en un sitio web de AWS, se le solicitará que indique el nombre de usuario y la contraseña (el primer factor: lo que conocen), así como una respuesta de autenticación del dispositivo MFA de AWS (el segundo factor: lo que tienen). Todos los sitios web de AWS que requieren inicio de sesión, como la consola de administración de AWS, son plenamente compatibles con AWS MFA. Asimismo, puede utilizar AWS MFA junto con la eliminación segura de Amazon S3 para añadir una protección adicional a las versiones almacenadas de Amazon S3.
  • Usuarios de API en AWS: puede imponer la autenticación de MFA añadiendo restricciones relacionadas con MFA en las políticas de IAM. Para obtener acceso a las API y los recursos protegidos con esta funcionalidad, los desarrolladores pueden utilizar credenciales de seguridad temporales y escribir parámetros opcionales de MFA en las solicitudes API de AWS Security Token Service (STS), que es el servicio que concede dichas credenciales. Las credenciales de seguridad temporales validadas por MFA se pueden utilizar para llamar a las API y los recursos protegidos con MFA. Nota: En este momento ni AWS STS ni las API protegidas por MFA admiten como MFA las llaves de seguridad U2F.

P: ¿De qué manera puedo proteger mis recursos de AWS con MFA?
Implemente dos sencillos pasos:

1. Adquiera un dispositivo MFA. Tiene tres opciones:

  • Adquiera una llave de seguridad de hardware YubiKey, del proveedor externo Yubico.
  • Adquiera un dispositivo de hardware del proveedor externo Gemalto.
  • Instale una aplicación virtual compatible con MFA en un dispositivo, como un smartphone.

Visite la página de MFA de AWS para obtener más información sobre cómo adquirir un dispositivo de hardware o MFA virtual.

2. Una vez que haya obtenido un dispositivo MFA, debe activarlo en la consola de IAM. Puede usar la CLI de AWS para activar el MFA virtual y el MFA de hardware (dispositivo Gemalto) para un usuario de IAM. Nota: En este momento la CLI de AWS no admite la activación de llaves de seguridad U2F.

P: ¿Hay algún cargo asociado con el uso de MFA de AWS?
AWS no cobra ninguna cuota adicional por el uso de AWS MFA con la cuenta de AWS. No obstante, si quiere utilizar un dispositivo MFA físico, tendrá que comprar uno compatible con AWS MFA, de los proveedores externos Gemalto o Yubico. Para obtener más detalles, visite el sitio web de Yubico o el de Gemalto.

P: ¿Puedo tener varios dispositivos de autenticación activos para mi cuenta de AWS?
Sí. Cada usuario de IAM puede tener su propio dispositivo MFA. Sin embargo, cada identidad (usuario de IAM o cuenta raíz) puede asociarse a un único dispositivo MFA.

P: ¿Puedo usar mi llave de seguridad U2F con varias cuentas de AWS?

Sí. AWS le permite usar la misma llave de seguridad U2F con varias cuentas raíz y usuarios IAM en distintas cuentas.

P: ¿Puedo usar MFA virtuales, de hardware o de SMS en varias cuentas de AWS?
No. El dispositivo MFA o número de teléfono móvil asociado al MFA virtual, de hardware o de SMS está vinculado a una identidad de AWS concreta (un usuario de IAM o cuenta raíz). Si tiene una aplicación compatible con TOTP instalada en su smartphone, puede crear en él varios dispositivos MFA virtuales. Cada uno de los dispositivos MFA virtuales está vinculado a una única identidad, como los dispositivos MFA de hardware (Gemalto). Si disocia (desactiva) el dispositivo MFA, puede volver a usarlo con una identidad de AWS diferente. En este momento, no puede haber más de una identidad que utilice simultáneamente un dispositivo MFA asociado al MFA de hardware.

P: Si ya dispongo de un dispositivo MFA (Gemalto) de mi lugar de trabajo o de otro servicio que utilizo, ¿puedo reutilizar este dispositivo con AWS MFA?
AWS MFA se basa en conocer un secreto exclusivo asociado con el dispositivo MFA de hardware (Gemalto) para poder admitir su uso. Como las restricciones de seguridad que exigen estos secretos no pueden compartirse entre varias partes, AWS MFA no puede admitir el uso de su dispositivo Gemalto. Sólo puede utilizarse con AWS MFA un dispositivo MFA de hardware compatible que deberá adquirir a Gemalto. Con AWS MFA sí puede reutilizar una llave de seguridad U2F, ya que las llaves de seguridad U2F no comparten secretos entre distintas partes.

P: Tengo problemas para realizar el pedido de un dispositivo MPFA mediante el sitio web del proveedor externo. ¿Dónde puedo solicitar ayuda?
En el servicio de atención al cliente de Yubico o de Gemalto estarán encantados de atenderle.

P: He recibido un dispositivo MFA dañado o defectuoso del proveedor externo. ¿Dónde puedo solicitar ayuda?
En el servicio de atención al cliente de Yubico o de Gemalto estarán encantados de atenderle.

P: Acabo de recibir un dispositivo MFA del proveedor externo. ¿Qué debo hacer?
Solo tiene que activar el dispositivo MFA para habilitar AWS MFA en su cuenta de AWS. Para realizar esta tarea, consulte la consola de IAM.

P: ¿Qué es un dispositivo MFA virtual?
Un dispositivo MFA virtual es una entrada creada en una aplicación de software compatible con TOTP que puede generar códigos de autenticación de seis dígitos. La aplicación de software puede ejecutarse en cualquier dispositivo informático, como, por ejemplo, un smartphone.

P: ¿Cuáles son las diferencias entre un dispositivo MFA virtual y los dispositivos MFA físicos?
Los dispositivos MFA virtuales utilizan los mismos protocolos que los dispositivos MFA físicos. No obstante, están basados en software y se pueden ejecutar en dispositivos como smartphones. Asimismo, la mayoría de las aplicaciones MFA virtuales permiten habilitar más de un dispositivo MFA virtual, lo que las hace más cómodas que los dispositivos MFA físicos.

P: ¿Qué aplicaciones MFA virtuales puedo utilizar con AWS MFA?
Con AWS MFA puede utilizar aplicaciones que generen códigos de autenticación compatibles con TOTP, como Google Authenticator. Puede aprovisionar dispositivos MFA virtuales automáticamente, escaneando un código QR con la cámara del dispositivo, o de forma manual, introduciendo un valor de inicialización en la aplicación de MFA virtual.

Visite la página de MFA para ver una lista de aplicaciones MFA virtuales admitidas.

P: ¿Qué es un código QR?
Un código QR es un código de barras en dos dimensiones que se puede leer con lectores específicos y con la mayoría de los smartphones. El código consta de cuadros negros dispuestos en patrones cuadrados mayores sobre un fondo blanco. El código QR contiene la información de configuración de seguridad necesaria para aprovisionar un dispositivo MFA virtual en su aplicación MFA virtual.

P: ¿Cómo aprovisiono un nuevo dispositivo MFA virtual?
Puede configurar un nuevo dispositivo MFA virtual en la consola de IAM para sus usuarios de IAM, así como en su cuenta raíz de AWS. También puede utilizar el comando aws iam create-virtual-mfa-device en la CLI de AWS o la API CreateVirtualMFADevice para aprovisionar nuevos dispositivos virtuales MFA en su cuenta. El comando aws iam create-virtual-mfa-device y la API CreateVirtualMFADevice devuelven la información de configuración necesaria, llamada seed (información de inicialización), para configurar el dispositivo MFA virtual en su aplicación compatible con AWS MFA. Puede conceder a los usuarios de IAM permisos para realizar llamadas a esta API directamente o realizar usted el aprovisionamiento inicial.

P: ¿Cómo debería gestionar y distribuir el material seed (información de inicialización) para los dispositivos MFA virtuales?

Debe tratar el material seed (información de inicialización) como cualquier otro dato secreto, por ejemplo, las contraseñas o las claves secretas de AWS.

P: ¿Cómo puedo habilitar a un usuario IAM para que administre dispositivos MFA bajo mi cuenta?
Otorgue al usuario IAM el permiso de llamar a la API CreateVirtualMFADevice. Puede utilizar esta API para aprovisionar nuevos dispositivos MFA virtuales.

P: ¿Puedo solicitar acceso a la vista previa de MFA con SMS?

Ya no aceptamos nuevos participantes para la vista previa de MFA con SMS. Le sugerimos que utilice MFA en su cuenta de AWS mediante el uso de una llave de seguridad U2F, dispositivo de hardware o dispositivo MFA virtual (basado en software).

P: ¿Cuándo finalizará la vista previa de MFA con SMS?

A partir del 1 de febrero de 2019, AWS dejará de exigir que los usuarios de IAM introduzcan un código de MFA de seis dígitos si el usuario de IAM está configurado con "Un dispositivo MFA con SMS". Tampoco se les suministrará a estos usuarios un código SMS cuando inicien sesión. Le sugerimos que utilice MFA mediante el uso de una llave de seguridad U2F, dispositivo de hardware o dispositivo virtual (basado en software) MFA. Puede continuar usando esta característica hasta el 31 de enero de 2019.

P: ¿Dónde habilito AWS MFA?
Puede habilitar AWS MFA para una cuenta de AWS y los usuarios de IAM mediante la consola de IAM y la CLI de AWS, o mediante llamadas a las API de AWS. Nota: En este momento ni la CLI de AWS ni las API de AWS admiten la habilitación de la llave de seguridad U2F.

P: ¿Qué información necesitaré para activar mi dispositivo MFA virtual o de hardware?
Para activar el dispositivo MFA con la consola de IAM solo necesita el dispositivo. Si utiliza la CLI de AWS o la API de IAM, necesitará lo siguiente:

1. El número de serie del dispositivo MFA. El formato del número de serie depende de si utiliza un dispositivo de hardware o un dispositivo virtual:

- Dispositivo MFA de hardware: el número de serie se encuentra en la etiqueta de código de barras que hay en la parte posterior del propio dispositivo.
- Dispositivo MFA virtual: el número de serie es el valor del Nombre de recurso de Amazon (ARN) obtenido al ejecutar el comando iam-virtualmfadevicecreate en la CLI de AWS o al realizar una llamada a la API CreateVirtualMFADevice.

2. Dos códigos MFA consecutivos mostrados por el dispositivo MFA.

P: Parece que mi dispositivo MFA funciona correctamente, pero no puedo activarlo. ¿Qué debo hacer?
Póngase en contacto con nosotros para obtener ayuda.

P: Si habilito la MFA de AWS para mi cuenta raíz de AWS o para mis usuarios de IAM, ¿tendrán que utilizar siempre un código de autenticación para iniciar sesión en la consola de administración de AWS?
Sí. Los usuarios de IAM y los usuarios con credenciales de cuenta raíz de AWS deben tener su dispositivo MFA consigo cuando necesiten iniciar sesión en cualquier sitio web de AWS.

Si el dispositivo MFA está perdido, ha resultado dañado, ha sido robado o no funciona, puede iniciar sesión mediante factores de autenticación alternativos, desactivando el dispositivo MFA y activando un dispositivo MFA nuevo. Como práctica recomendada de seguridad, le sugerimos que modifique la contraseña de su cuenta raíz.

Si los usuarios de IAM pierden el dispositivo MFA o si resulta dañado o robado, o deja de funcionar, puede inhabilitar la función de MFA de AWS usted mismo por medio de la consola de IAM o la CLI de AWS.

P: Si habilito AWS MFA para mi cuenta raíz de AWS o para mis usuarios de IAM, ¿tendrán estos que seguir siempre el procedimiento MFA para realizar llamadas directamente a las API de AWS?
No, es opcional. No obstante, debe completar el procedimiento MFA si pretende llamar a API cuyo acceso esté protegido por MFA.

Si realiza llamadas a las API de AWS utilizando claves de acceso para su cuenta raíz o sus usuarios de IAM, no es necesario que especifique un código de MFA. Por motivos de seguridad, AWS recomienda eliminar las claves de acceso de la cuenta raíz y realizar llamadas a las API de AWS con las claves de acceso de un usuario de IAM que tenga los permisos necesarios.

Nota: En este momento, las API protegidas con MFA no admiten las claves de seguridad U2F, que no pueden por tanto usarse como MFA para acceder a las API de AWS.

P: ¿Cómo puedo iniciar una sesión en el portal de AWS y en la consola de administración de AWS utilizando mi dispositivo MFA?
Siga estos dos pasos:

Si inicia sesión en una cuenta raíz de AWS, hágalo de la manera habitual con su nombre de usuario y contraseña cuando el sistema se los solicite. Para iniciar sesión como usuario de IAM, utilice la dirección URL específica de la cuenta y escriba el nombre de usuario y la contraseña cuando se le solicite.

Si ha activado MFA virtual, de hardware o de SMS, introduzca el código MFA de seis dígitos que aparece en su dispositivo MFA. Si ha activado la llave de seguridad U2F, insértela en el puerto USB del equipo, espere que la llave parpadee y, a continuación, toque el botón o el disco dorado de la llave.

P: ¿AWS MFA afecta a mi forma de obtener acceso a las API del servicio de AWS?
AWS MFA cambia la forma en que los usuarios de IAM obtienen acceso a las API del servicio de AWS solo si los administradores de la cuenta optan por habilitar el acceso mediante API protegido por MFA. Los administradores pueden habilitar esta característica para añadir un nivel adicional de seguridad para obtener acceso a API confidenciales, pidiendo a los intermediarios que se autentiquen con un dispositivo MFA de AWS. Para obtener información adicional, consulte con más detalle la documentación relativa al acceso a API protegidas por MFA.

Hay otras excepciones, como el control de versiones de los buckets S3 PUT y GET, y las API DELETE object, que le permiten imponer la autenticación MFA para eliminar o cambiar el estado de control de versiones de su bucket. Para obtener más información, consulte la documentación de S3 que trata con más detalle la configuración de un bucket con MFA Delete.

En todos los demás casos, AWS MFA no cambia la forma de obtener acceso a las API del servicio de AWS.

Nota: En este momento, las API protegidas con MFA no admiten las claves de seguridad U2F, que no pueden por tanto usarse como MFA para acceder a las API de AWS.

P: En el caso de MFA virtual o de hardware, ¿puedo usar un código MFA específico más de una vez?
No. Por razones de seguridad, cada código MFA proporcionado por su dispositivo MFA virtual o de hardware solo puede usarse una vez.

P: Recientemente he tenido que volver a sincronizar mi dispositivo MFA porque se estaban rechazando mis códigos MFA. ¿Debería preocuparme?
No, esto puede suceder muy de vez en cuando. Los MFA virtuales y de hardware se basan en la sincronización entre el reloj de su dispositivo MFA y el de nuestros servidores. En ocasiones, estos relojes pueden perder la sincronización. Si esto ocurre, cuando utilice el dispositivo MFA para iniciar una sesión con el fin de obtener acceso a páginas seguras del sitio web de AWS o a la consola de administración de AWS, AWS intentará sincronizar automáticamente el dispositivo MFA y le solicitará que proporcione dos códigos de autenticación consecutivos (como hizo durante la activación).

Las llaves de seguridad U2F no pierden la sincronización y por tanto no necesitan volver a sincronizarse.

P: Mi dispositivo MFA parece que funciona correctamente, pero no logro utilizarlo para iniciar sesión en la consola de administración de AWS. ¿Qué debo hacer?
Si está utilizando MFA virtual o de hardware, le sugerimos que vuelva a sincronizar los dispositivos MFA para las credenciales de su usuario de IAM. Si ya volvió a sincronizar y continúa teniendo problemas para iniciar sesión, puede iniciar sesión con otros factores de autenticación y restablecer su dispositivo MFA.

Si está utilizando llaves de seguridad U2F,puede iniciar sesión con otros factores de autenticación y restablecer su dispositivo MFA.

Si continúa teniendo problemas, póngase en contacto con nosotros para recibir ayuda.

P: Perdí o me robaron el dispositivo MFA, sufrió algún tipo de daño o no funciona, y ahora no puedo iniciar sesión en la consola de administración de AWS. ¿Qué debo hacer?
Si su dispositivo MFA está asociado con una cuenta raíz de AWS:

P: ¿Cómo puedo deshabilitar AWS MFA?

Si desea deshabilitar AWS MFA para su cuenta de AWS, puede desactivar el dispositivo MFA desde la página Security Credentials (Credenciales de seguridad). Para deshabilitar AWS MFA para los usuarios de IAM, tiene que utilizar la consola de IAM o la CLI de AWS.

P: ¿Puedo utilizar AWS MFA en GovCloud?
Sí, puede usar dispositos MFA virtuales y de hardware en GovCloud.

P: ¿Qué es el acceso a API protegidas por MFA?
El acceso a API protegidas por MFA es una funcionalidad opcional que permite a los administradores de cuentas imponer una autenticación adicional para las API especificadas por los clientes, de manera que los usuarios deban proporcionar un segundo factor de autenticación además de una contraseña. Específicamente, permite a los administradores incluir en sus políticas de IAM condiciones que comprueban e imponen la autenticación MFA para obtener acceso a las API seleccionadas. Los usuarios que realicen llamadas a dichas API deben obtener primero credenciales temporales que indiquen que dichos usuarios han introducido un código MFA válido.

P: ¿Puedo usar mi llave de seguridad U2F con API protegidas por MFA?

No. En este momento, las API protegidas por MFA no admiten llaves de seguridad U2F.

P: ¿Qué problema resuelve el acceso a API protegidas por MFA?
Anteriormente, los clientes podían requerir MFA para obtener acceso a la consola de administración de AWS, pero no podían imponer requisitos de MFA para los desarrolladores y las aplicaciones que interactuaban directamente con las API del servicio de AWS. El acceso a las API protegido por MFA garantiza la aplicación universal de las políticas de IAM, independientemente de la ruta de acceso . En consecuencia, ahora puede desarrollar una aplicación que utilice AWS y solicite al usuario la autenticación MFA antes de realizar llamadas a API potentes u otorgarle acceso a recursos sensibles.

P: ¿Cómo puedo comenzar a utilizar el acceso a API protegidas por MFA?
Puede comenzar con dos sencillos pasos:

  1. Asigne un dispositivo MFA a sus usuarios de IAM. Puede comprar un llavero de hardware o descargar una aplicación gratuita compatible con TOTP en su smartphone, tablet o equipo. Consulte la página de detalles de MFA para obtener más información sobre los dispositivos MFA de AWS.
  2. Para habilitar el acceso a las API con protección por MFA, cree políticas de permisos para los usuarios o grupos de IAM a los que desee exigir autenticación MFA. Consulte la documentación del lenguaje de las políticas de acceso para obtener más información acerca de la sintaxis de dicho lenguaje.

P: ¿Cómo pueden los desarrolladores y usuarios emplear las API y los recursos cuyo acceso está asegurado con API protegidas por MFA?
Los desarrolladores y usuarios interactúan con el acceso a API protegidas por MFA tanto desde la consola de administración de AWS como desde las API.

En la consola de administración de AWS, cualquier usuario de IAM con MFA habilitado debe autenticarse con su dispositivo para poder iniciar sesión. Los usuarios que no dispongan de MFA no podrán obtener acceso ni a las API ni a los recursos protegidos con MFA.

En el nivel de API, los desarrolladores pueden integrar AWS MFA en sus aplicaciones para solicitar a los usuarios que se autentiquen con sus dispositivos MFA asignados antes de poder realizar llamadas a API potentes u obtener acceso a recursos sensibles. Los desarrolladores habilitan esta funcionalidad añadiendo parámetros opcionales de MFA (número de serie y código de MFA) a las solicitudes para obtener credenciales de seguridad temporales (también denominadas "solicitudes de sesión"). Si los parámetros son válidos, se obtienen unas credenciales de seguridad temporales que indican el estado de MFA. Consulte la documentación de credenciales de seguridad temporales para obtener más información.

P: ¿Quién puede utilizar el acceso a API protegidas por MFA?
Todos los clientes de AWS pueden disfrutar de forma gratuita del acceso a API protegidas por MFA.

P: ¿Con qué servicios se utiliza el acceso a API protegidas por MFA?
Todos los servicios de AWS que admitan credenciales de seguridad temporales admiten también el acceso a API protegidas por MFA. Para obtener una lista de los servicios compatibles, revise la columna que indica si un servicio admite o no credenciales de seguridad temporales, dentro de Servicios de AWS que funcionan con IAM.

P: ¿Qué sucede si un usuario proporciona información incorrecta de un dispositivo MFA cuando se le solicitan credenciales de seguridad temporales?
Se produce un error en la solicitud para emitir credenciales de seguridad temporales. Las solicitudes de credenciales de seguridad temporales que especifican parámetros de MFA deben facilitar el número de serie correcto del dispositivo asociado con el usuario de IAM, así como un código válido de MFA.

P: ¿El acceso a API protegidas por MFA controla el acceso a las API de las cuentas raíces de AWS?
No, el acceso a API protegidas por MFA solo controla el acceso de los usuarios de IAM. Las cuentas raíces no están sujetas a las políticas de IAM, por lo que se recomienda crear usuarios de IAM para interactuar con las API de servicio de AWS, en vez de utilizar credenciales de cuentas raíces.

P: ¿Los usuarios deben disponer de un dispositivo MFA asignado para poder utilizar el acceso a API protegidas por MFA?
Sí, se debe asignar primero a cada usuario un dispositivo MFA virtual o de hardware exclusivo.

P: ¿Es compatible el acceso a API protegidas por MFA con los objetos de S3, las colas de SQS y los temas de SNS?
Sí.

P: ¿Cómo interactúa el acceso a API protegidas por MFA con los casos de uso existentes de MFA, como la API MFA Delete de S3?
El acceso a API protegidas por MFA y el caso de uso MFA Delete de S3 no interactúan entre sí. En este momento, MFA Delete de S3 no admite credenciales de seguridad temporales. En su lugar, se utilizan claves de acceso de larga vigencia para realizar llamadas a la API MFA Delete de S3.

P: ¿El acceso a API protegidas por MFA funciona en la región GovCloud (EE.UU.)?
Sí.

P: ¿Los usuarios federados pueden utilizar el acceso a API protegidas por MFA?
Los clientes no pueden utilizar el acceso a API protegidas por MFA para controlar el acceso de usuarios federados. La API GetFederatedSession no acepta parámetros de MFA. Como los usuarios federados no pueden autenticarse con los dispositivos MFA de AWS, tampoco pueden obtener acceso a los recursos designados mediante el acceso a API protegidas por MFA.

P: ¿Cuánto se me cobrará por el uso de AWS IAM?

IAM es una característica de su cuenta de AWS que se ofrece sin cargos adicionales. Solo se le cobrará por la utilización de los demás servicios de AWS por parte de sus usuarios.