Preguntas frecuentes sobre AWS IAM Identity Center

P: ¿Qué es AWS IAM Identity Center?

El Centro de identidades de IAM se basa en AWS Identity and Access Management (IAM) para simplificar la administración de acceso a varias cuentas de AWS, aplicaciones de AWS y otras aplicaciones en la nube habilitadas para SAML. En el Centro de identidades de IAM, usted crea o conecta los usuarios de su personal para usarlos en AWS. Puede optar por administrar el acceso solo a sus cuentas de AWS, solo a sus aplicaciones en la nube o a ambas. Puede crear usuarios directamente en el Centro de identidades de IAM o puede traerlos desde su directorio de personal existente. Con el Centro de identidades de IAM, se obtiene una experiencia de administración unificada para definir un acceso detallado, personalizarlo y asignarlo. Los usuarios del personal obtienen un portal de usuario para acceder a sus cuentas de AWS o aplicaciones en la nube asignadas.

P: ¿Cuáles son los beneficios de usar el Centro de identidades de IAM?

Puede usar el Centro de identidades de IAM para asignar y administrar de manera rápida y sencilla el acceso de sus empleados a varias cuentas de AWS, aplicaciones en la nube que admitan SAML (como Salesforce, Microsoft 365 y Box) y aplicaciones internas personalizadas, todo desde una ubicación centralizada. Los empleados pueden ser más productivos si inician sesión con sus credenciales existentes o las credenciales que configure en el Centro de identidades de IAM. Pueden usar un portal individual personalizado para el usuario. Obtendrá una mejor visibilidad del uso de las aplicaciones en la nube porque podrá monitorear y auditar la actividad de inicio de sesión de manera centralizada desde AWS CloudTrail.

P: ¿Qué problemas resuelve el Centro de identidades de IAM?

El Centro de identidades de IAM elimina la complejidad administrativa de federar y administrar permisos por separado para cada cuenta de AWS. Le permite configurar aplicaciones de AWS desde una sola interfaz y asignar acceso a sus aplicaciones en la nube desde un solo lugar.
El Centro de identidades de IAM también ayuda a mejorar la visibilidad de acceso mediante la integración con AWS CloudTrail y el suministro de una ubicación centralizada para auditar el acceso de inicio de sesión único a cuentas de AWS y aplicaciones en la nube que admitan SAML, tales como Microsoft 365, Salesforce y Box.

P: ¿Por qué utilizar el Centro de identidades de IAM?

El Centro de identidades de IAM es nuestro punto de ingreso recomendado hacia AWS. Debería ser su herramienta principal para administrar el acceso a AWS de los usuarios de su personal. Le permite administrar sus identidades en su fuente de identidades preferida, conectarlas una vez para usarlas en AWS, definir permisos detallados y aplicarlos de manera uniforme en todas las cuentas. A medida que aumenta el número de sus cuentas, el Centro de identidades de IAM le brinda la opción de usarlo como un lugar único para administrar el acceso de los usuarios a todas sus aplicaciones en la nube.

P: ¿Qué puedo hacer con el Centro de identidades de IAM?

Puede usar el Centro de identidades de IAM para asignar de manera rápida y sencilla el acceso de sus empleados a varias cuentas de AWS administradas con AWS Organizations, aplicaciones empresariales en la nube (como Salesforce, Microsoft 365 y Box) y aplicaciones personalizadas que admitan lenguaje de marcado de aserción de seguridad (SAML) 2.0. Los empleados pueden iniciar sesión con sus credenciales corporativas existentes o con las credenciales que configuren en el Centro de identidades de IAM para acceder a las aplicaciones empresariales desde un único portal de usuario. El Centro de identidades de IAM también le permite auditar el acceso de los usuarios a servicios en la nube mediante AWS CloudTrail.

P: ¿Quién debería usar el Centro de identidades de IAM?

El Centro de identidades de IAM está diseñado para administradores que gestionan varias aplicaciones empresariales y cuentas de AWS, que desean centralizar la administración del acceso de los usuarios a dichos servicios de la nube y que quieran conceder a los empleados una única ubicación para obtener acceso a las cuentas y aplicaciones sin necesidad de tener que recordar una contraseña más.

P: ¿Cómo comienzo a usar el Centro de identidades de IAM?

Como nuevo cliente del Centro de identidades de IAM, puede:

1. Iniciar sesión en la Consola de administración de AWS de la cuenta de administración en su cuenta de AWS e ir a la consola del Centro de identidades de IAM.
2. Seleccionar el directorio que usa para almacenar las identidades de sus usuarios y grupos desde la consola del Centro de identidades de IAM. El Centro de identidades de IAM le suministra un directorio de forma predeterminada que puede usar para administrar los usuarios y los grupos en el servicio. También puede cambiar el directorio para conectarse a un directorio de Microsoft AD al hacer clic en una lista de instancias administradas de Microsoft AD y AD Connector que el Centro de identidades de IAM encuentra en su cuenta automáticamente. Si desea conectarse a un directorio de Microsoft AD, consulte Introducción a AWS Directory Service.
3. Para conceder a los usuarios acceso de inicio de sesión único a cuentas de AWS en su organización, debe seleccionar las cuentas de AWS a partir de una lista que completa el Centro de identidades de IAM y, a continuación, seleccionar los usuarios o los grupos de su directorio, además de los permisos que desea otorgarles.
4. Para otorgar a los usuarios acceso a aplicaciones empresariales en la nube, debe realizar lo siguiente:
   a. Seleccionar una de las aplicaciones de la lista de aplicaciones preintegradas que se admiten en el Centro de identidades de IAM.
   b. Configurar la aplicación con las instrucciones correspondientes.
   c. Seleccionar los usuarios o los grupos que deberían poder acceder a la aplicación.
5. Suministre a sus usuarios la dirección web de inicio de sesión del Centro de identidades de IAM que se generó cuando configuró el directorio para que puedan iniciar sesión en el Centro de identidades de IAM y acceder a cuentas y aplicaciones empresariales.

P: ¿Cuánto cuesta el Centro de identidades de IAM?

El Centro de identidades de IAM se ofrece sin cargo adicional.

P: ¿En qué regiones se encuentra disponible el Centro de identidades de IAM?

Vea la tabla de regiones de AWS para consultar la disponibilidad del Centro de identidades de IAM por región.

P: ¿Qué fuentes de identidades puedo utilizar con el Centro de identidades de IAM?

Con el IAM Identity Center, puede crear y administrar las identidades de los usuarios en el almacén de identidades del AWS IAM Identity Center o conectarse fácilmente a la fuente de identidades existente, incluidos Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD) u otro proveedor de identidades (IdP) admitido. Consulte la Guía del usuario del IAM Identity Center para obtener más información.

P: ¿Puedo conectar más de una fuente de identidades al Centro de identidades de IAM?

No, solo se puede tener un directorio o un proveedor de identidades SAML 2.0 conectado al Centro de identidades de IAM. Sin embargo, puede cambiar la fuente de identidades que está conectada por otra distinta.

P: ¿Qué proveedores de identidades SAML 2.0 puedo utilizar con el IAM Identity Center?

Puede conectar el IAM Identity Center a la mayoría de los proveedores de identidades SAML 2.0, como Okta Universal Directory o Microsoft Entra ID (anteriormente, Azure AD). Consulte la Guía del usuario del IAM Identity Center para obtener más información.

P: ¿La activación de IAM Identity Center modificará alguno de mis roles, usuarios o políticas de IAM existentes?

No, IAM Identity Center no modifica ningún rol, usuario o política de IAM existente en sus cuentas de AWS. IAM Identity Center crea nuevos roles y políticas específicamente para su uso a través de IAM Identity Center.

P: ¿Cómo puedo aprovisionar identidades de mis proveedores de identidades existentes en IAM Identity Center?

Las identidades de su proveedor de identidades existente se deben aprovisionar en el IAM Identity Center antes de asignar los permisos. Puede sincronizar la información de usuarios y grupos de Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD), OneLogin y PingFederate automáticamente mediante el estándar System for Cross-domain Identity Management (SCIM). Para otros proveedores de identidades, puede aprovisionar usuarios desde su proveedor de identidades mediante la consola del IAM Identity Center. Consulte la Guía del usuario de IAM Identity Center para obtener más información.

P: ¿Tengo que migrar a IAM Identity Center de una sola vez o puedo hacerlo de forma gradual?

Tras activar IAM Identity Center, todos los roles o usuarios de IAM existentes que tenga seguirán funcionando tal como están. Esto significa que puede migrar a IAM Identity Center de forma gradual sin interrumpir el acceso existente a AWS.

P: ¿Cómo puedo migrar los roles existentes a IAM Identity Center?

IAM Identity Center proporciona nuevos roles para usarlos en sus cuentas de AWS. Puede adjuntar las mismas políticas que utiliza con sus roles de IAM existentes a los nuevos roles que utiliza con IAM Identity Center.

P: ¿IAM Identity Center crea usuarios y grupos de IAM en mis cuentas de AWS?

IAM Identity Center no crea usuarios ni grupos de IAM. Tiene su propio almacén de identidades diseñado específicamente para almacenar la información de los usuarios. Cuando se utiliza un proveedor de identidades externo, Identity Center guarda una copia sincronizada de los atributos del usuario y la pertenencia a un grupo, pero no guarda material de autenticación, como contraseñas o dispositivos con MFA. Su proveedor de identidades externo sigue siendo la fuente de confianza de la información y los atributos del usuario.

P: ¿Puedo automatizar la sincronización de identidades en IAM Identity Center?

Sí. Si usa Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD), OneLogin o PingFederate, puede utilizar SCIM para sincronizar la información de usuarios y grupos de su proveedor de identidades al IAM Identity Center automáticamente. Consulte la Guía del usuario del IAM Identity Center para obtener más información.

P: ¿Cómo conecto el Centro de identidades de IAM a Microsoft Active Directory?

Puede conectar el Centro de identidades de IAM a un directorio de Active Directory (AD) en las instalaciones o a un directorio de AWS Managed Microsoft AD mediante el uso de AWS Directory Service. Consulte la Guía del usuario del Centro de identidades de IAM para obtener más información.

P: Administro mis usuarios y grupos en Active Directory en las instalaciones. ¿Cómo puedo usar estos usuarios y grupos en el Centro de identidades de IAM?

Tiene dos opciones para conectar el directorio de Active Directory alojado en las instalaciones al Centro de identidades de IAM: (1) usar AD Connector, o (2) usar una relación de confianza de AWS Managed Microsoft AD. AD Connector simplemente conecta su directorio de Active Directory existente en las instalaciones a AWS. AD Connector es una puerta de enlace de directorios con el cual puede redirigir las solicitudes de directorios a su Microsoft Active Directory en las instalaciones, sin almacenar en caché información en la nube. Para conectar un directorio en las instalaciones con AD Connector, consulte la Guía de administración de AWS Directory Service. AWS Managed Microsoft AD facilita la configuración y la ejecución de Microsoft Active Directory en AWS. Se puede utilizar para configurar una relación de confianza de bosque entre su directorio en las instalaciones y AWS Managed Microsoft AD. Para configurar una relación de confianza, consulte la Guía de administración de AWS Directory Service.

P: ¿Puedo usar mis grupos de usuarios de Amazon Cognito como fuente de identidades en el Centro de identidades de IAM?

Amazon Cognito es un servicio que lo ayuda a administrar identidades para las aplicaciones dirigidas a los clientes. No es una fuente de identidades compatible con el IAM Identity Center. Puede crear y administrar las identidades de su personal en el IAM Identity Center o en una fuente de identidades externa, incluidos Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD) u otro proveedor de identidades admitido.

P: ¿El IAM Identity Center es compatible con las interfaces de dispositivo móvil, de navegador y de línea de comandos?

Sí, puede utilizar el Centro de identidades de IAM para controlar el acceso a la Consola de administración de AWS y a la CLI v2. El Centro de identidades de IAM habilita a sus usuarios a acceder a la CLI y a la Consola de administración de AWS a través de una experiencia de inicio de sesión único. La aplicación de consola móvil de AWS también admite el Centro de identidades de IAM para que pueda obtener una experiencia de inicio de sesión uniforme en todas las interfaces de dispositivo móvil, de navegador y de línea de comandos.

P: ¿Qué aplicaciones en la nube puedo conectar al Centro de identidades de IAM?

Puede conectar las siguientes aplicaciones al Centro de identidades de IAM:

1. Aplicaciones integradas al Centro de identidades de IAM: las aplicaciones integradas al Centro de identidades de IAM, como SageMaker Studio e IoT SiteWise, utilizan el Centro de identidades de IAM para las autenticaciones y trabajan con las identidades que se encuentran en dicho servicio. No se necesita ninguna configuración adicional para sincronizar las identidades en estas aplicaciones o para configurar la federación por separado.
2. Aplicaciones SAML preintegradas: el Centro de identidades de IAM incluye aplicaciones empresariales de uso común integradas previamente. Para obtener una lista completa, consulte la consola del Centro de identidades de IAM.
3. Aplicaciones SAML personalizadas: el Centro de identidades de IAM admite las aplicaciones que permiten la federación de identidades mediante SAML 2.0. Puede habilitar el Centro de identidades de IAM para que admita estas aplicaciones mediante el asistente de aplicaciones personalizadas.

P: ¿Qué cuentas de AWS puedo conectar al Centro de identidades de IAM?

Puede agregar cualquier cuenta de AWS administrada mediante AWS Organizations al Centro de identidades de IAM. Debe habilitar todas las características en sus organizaciones para administrar el inicio de sesión único de sus cuentas.

P: ¿Cómo configuro el inicio de sesión único a cuentas de AWS en una unidad organizativa (OU) dentro de mi organización?

Puede elegir cuentas dentro de la organización o filtrar cuentas por OU.

P: ¿Qué es la propagación de identidades de confianza?

La propagación de identidades de confianza se basa en el marco de autorización de OAuth 2.0, que permite a las aplicaciones acceder a los datos y otros recursos en nombre de un usuario específico, sin compartir las credenciales de ese usuario. Esta característica de IAM Identity Center simplifica la administración del acceso a los datos para los usuarios, la auditoría y mejora la experiencia de inicio de sesión para los usuarios de análisis en varias aplicaciones de análisis de AWS.

P: ¿Por qué debo usar la propagación de identidades de confianza?

Los administradores de recursos y bases de datos pueden definir el acceso a sus activos en un nivel granular de miembros de usuarios y grupos. Los auditores pueden revisar las acciones de los usuarios en aplicaciones interconectadas de inteligencia empresarial y análisis de datos. Los usuarios de aplicaciones de inteligencia empresarial pueden autenticarse una vez para acceder a los orígenes de datos de AWS. La propagación de identidades de confianza ayuda a los clientes a cumplir los requisitos de acceso con privilegios mínimos a los datos en flujos de trabajo de análisis que abarcan varias aplicaciones y servicios de AWS, como Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena y AWS LakeFormation. 

P: ¿Cuáles son los casos de uso generales de la propagación de identidades de confianza?

El uso principal de la propagación de identidades de confianza es permitir que las aplicaciones de inteligencia empresarial (BI) consulten los servicios de análisis de AWS, como Amazon Redshift o Amazon Quicksight, para obtener los datos que requieren los usuarios empresariales con un único inicio de sesión de usuario a través del proveedor de identidad existente del cliente, sin perder de vista la identidad del usuario. La función admite diferentes tipos de aplicaciones de BI de uso común y utiliza distintos mecanismos para propagar la identidad del usuario entre los servicios.

P: ¿Cómo controlo los permisos que obtienen mis usuarios cuando usan el IAM Identity Center para obtener acceso a sus cuentas?

Cuando concede acceso a los usuarios, puede restringir los permisos de los usuarios mediante la selección de un conjunto de permisos. Los conjuntos de permisos son una colección de permisos que puede crear en el Centro de identidades de IAM, adaptar en función de las políticas administradas de AWS para funciones de trabajo o de cualquier política administrada de AWS. Las políticas administradas de AWS para funciones de trabajo están diseñadas para alinearse estrechamente con funciones de trabajo comunes del sector de TI. De ser necesario, también puede personalizar el conjunto de permisos en su totalidad para adaptarlo a sus requisitos de seguridad. El Centro de identidades de IAM implementa estos permisos en las cuentas seleccionadas automáticamente. Cuando modifique los conjuntos de permisos, el Centro de identidades de IAM lo habilita a implementar los cambios en las cuentas correspondientes con facilidad. Cuando los usuarios obtienen acceso a las cuentas mediante el portal de acceso de AWS, estos permisos restringen lo que pueden hacer dentro de dichas cuentas. También puede conceder varios conjuntos de permisos a los usuarios. Cuando obtienen acceso a la cuenta mediante el portal de usuario, pueden seleccionar el conjunto de permisos que desean utilizar para esa sesión.

P: ¿Cómo automatizo la administración de permisos entre varias cuentas?

El Centro de identidades de IAM les proporciona a las API y a AWS CloudFormation el soporte para automatizar la administración de permisos en entornos de varias cuentas y recuperar los permisos en forma programada con fines de auditoría y gobernanza.

P: ¿Cómo selecciono los atributos de usuario que utilizaré para el control de acceso basado en atributos (ABAC)?

Para implementar el ABAC, puede seleccionar atributos del almacén de identidades del IAM Identity Center para los usuarios de dicho servicio y los usuarios sincronizados desde Microsoft AD o proveedores de identidad externos de SAML 2.0, incluidos Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD), OneLogin o PingFederate. Cuando utiliza un proveedor de identidades como fuente de identidades, puede optar por enviar los atributos como parte de una afirmación SAML 2.0.

P: ¿Para qué cuentas de AWS puedo obtener credenciales de la AWS CLI?

Puede obtener credenciales de la AWS CLI para cualquier permiso de usuario y cuenta de AWS que el administrador del Centro de identidades de IAM le haya asignado. Estas credenciales de la CLI se pueden usar para obtener acceso a la cuenta de AWS mediante programación.

P: ¿Por cuánto tiempo tienen validez las credenciales de la AWS CLI para acceder al portal?

Las credenciales de la AWS CLI obtenidas mediante el Centro de identidades de IAM son válidas por un periodo de 60 minutos. Puede obtener un nuevo conjunto de credenciales con la frecuencia que necesite.

P: ¿Cómo configuro el Centro de identidades de IAM para aplicaciones empresariales, como Salesforce?

En la consola del Centro de identidades de IAM, vaya al panel de aplicaciones, elija la opción Configure new application (Configurar aplicación nueva) y seleccione una aplicación de la lista de aplicaciones en la nube que vienen integradas previamente con el Centro de identidades de IAM. Siga las instrucciones que aparecen en la pantalla para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

P: Mi empresa utiliza aplicaciones empresariales que no se encuentran en la lista de aplicaciones integradas previamente en el Centro de identidades de IAM. ¿Puedo continuar utilizando el Centro de identidades de IAM?

Sí. Si la aplicación admite SAML 2.0, puede configurarla como una aplicación SAML 2.0 personalizada. En la consola del Centro de identidades de IAM, vaya al panel de aplicaciones, elija Configure new application (Configurar aplicación nueva) y seleccione Custom SAML 2.0 application (Aplicación SAML 2.0 personalizada). Siga las instrucciones para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

P: Mi aplicación admite únicamente OpenID Connect (OIDC). ¿Puedo usarla con el Centro de identidades de IAM?

No. El Centro de identidades de IAM admite únicamente aplicaciones basadas en SAML 2.0.

P: ¿El Centro de identidades de IAM admite el inicio de sesión único en aplicaciones de escritorio y para dispositivos móviles nativas?

No. El Centro de identidades de IAM solamente admite el inicio de sesión único en aplicaciones empresariales mediante navegadores web.

P: ¿Qué datos utilizará el Centro de identidades de IAM en mi nombre?

El Centro de identidades de IAM almacenará datos acerca de qué aplicaciones en la nube y cuentas de AWS se asignan a determinados usuarios y grupos, así como también qué permisos se concedieron para el acceso a cuentas de AWS. El Centro de identidades de IAM también creará y administrará roles de IAM en cuentas individuales de AWS para cada conjunto de permisos al que conceda acceso para sus usuarios.

P: ¿Qué capacidades de autenticación multifactor (MFA) puedo utilizar con el Centro de identidades de IAM?

Con el Centro de identidades de IAM, puede habilitar capacidades de autenticación sólidas basadas en estándares para todos los usuarios en todas las fuentes de identidades. Si utiliza un proveedor de identidades SAML 2.0 compatible como fuente de identidades, puede habilitar las capacidades de autenticación multifactor de ese proveedor. Al utilizar el Centro de identidades de IAM o Active Directory como fuente de identidades, el Centro de identidades de IAM es compatible con la especificación de autenticación web para ayudarlo a asegurar el acceso de los usuarios a cuentas de AWS y aplicaciones empresariales con claves de seguridad habilitadas por FIDO, tales como YubiKey, y autenticadores biométricos integrados, como Touch ID en MacBooks de Apple y el reconocimiento facial en computadoras. También puede habilitar contraseñas de un solo uso (TOTP) mediante aplicaciones de autenticación, tales como Google Authenticator o Twilio Authy.

También puede utilizar la configuración de MFA del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) existente con el Centro de identidades de IAM y AWS Directory Services para autenticar a sus usuarios como una forma secundaria de verificación. Para obtener más información sobre la configuración de MFA del Centro de identidades de IAM, consulte la Guía del usuario del Centro de identidades de IAM.

P: ¿El Centro de identidades de IAM admite la especificación de autenticación web?

Sí. Para las identidades de usuario en el almacén de identidades del Centro de identidades de IAM y Active Directory, el Centro de identidades de IAM admite la especificación de autenticación web (WebAuthn) a fin de ayudarlo a asegurar el acceso de los usuarios a cuentas y aplicaciones empresariales de AWS con claves de seguridad habilitadas por FIDO, tales como YubiKey, y autenticadores biométricos integrados, como Touch ID en MacBooks de Apple y el reconocimiento facial en computadoras. También puede habilitar contraseñas de un solo uso (TOTP) mediante aplicaciones de autenticación, tales como Google Authenticator o Twilio Authy.

P: ¿De qué manera mis empleados pueden empezar a usar el Centro de identidades de IAM?

Para comenzar a usar el Centro de identidades de IAM, los empleados pueden ir al portal de acceso que se crea cuando se configura la fuente de identidades en el Centro de identidades de IAM. Si administra los usuarios en el Centro de identidades de IAM, sus empleados pueden usar las direcciones y las contraseñas de correo electrónico que configuraron con el Centro de identidades de IAM para iniciar sesión en el portal de usuario. Si conecta el Centro de identidades de IAM a Microsoft Active Directory o a un proveedor de identidades SAML 2.0, sus empleados podrán iniciar sesión en el portal de usuario con sus credenciales corporativas existentes y, luego, ver las cuentas y las aplicaciones que se les asignaron. Para obtener acceso a una cuenta o una aplicación, los empleados deben elegir el ícono correspondiente en el portal de acceso.

P: ¿Hay alguna API disponible para el Centro de identidades de IAM?

Sí. El Centro de identidades de IAM proporciona API de asignación de cuenta para automatizar la administración de permisos en entornos de varias cuentas y recuperar los permisos en forma programada con fines de auditoría y gobernanza.