# Introducción a IAM
<a name="getting-started"></a>

AWS Identity and Access Management (IAM) le ayuda a controlar de forma segura el acceso a Amazon Web Services (AWS) y a los recursos de su cuenta. IAM también puede mantener la privacidad de sus credenciales de inicio de sesión. No es preciso registrarse específicamente para utilizar IAM. No se cobra por utilizar IAM. 

Utilice IAM para dar a las identidades, como usuarios y roles, acceso a los recursos de su cuenta. Por ejemplo, puede utilizar IAM con usuarios existentes en su directorio corporativo que administra de forma externa a AWS o puede crear usuarios en AWS con AWS IAM Identity Center. Las identidades federadas asumen roles de IAM definidos para acceder a los recursos que necesitan. Para obtener más información, consulte [ What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) (¿Qué es el Centro de identidades de IAM?) en la *Guía del usuario de AWS IAM Identity Center*.

**nota**  
IAM está integrada con varios productos de AWS. Para obtener una lista de los servicios compatibles con IAM, consulte [Servicios de AWS que funcionan con IAM](reference_aws-services-that-work-with-iam.md).

Para obtener información sobre cómo comenzar a utilizar AWS, crear un usuario administrativo, una cuenta de AWS Organizations y utilizar diferentes servicios a fin de solucionar un problema, como crear y lanzar su primer proyecto, consulte el [Centro de recursos introductorios](https://aws.amazon.com/getting-started/). 

# Configuración de la Cuenta de AWS
<a name="getting-started-account-iam"></a>

Antes de empezar a trabajar con IAM, asegúrese de haber completado la configuración inicial de su entorno de AWS.

AWS le enviará un correo electrónico de confirmación cuando complete el proceso de registro. Se puede ver la actividad de la cuenta y administrarla en cualquier momento entrando en [https://aws.amazon.com/](https://aws.amazon.com/) y seleccionando **Mi cuenta**.

Cuando se registró en el servicio, creó una Cuenta de AWS con una dirección de correo electrónico y una contraseña. Estas son sus credenciales de usuario raíz de la AWS. Como práctica recomendada, no utilice las credenciales de usuario raíz para obtener acceso a AWS para las tareas diarias. Utilice sus credenciales de usuario raíz únicamente para realizar [tareas que requieran credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html). No comparta sus credenciales con nadie. En cambio, añada personas a su directorio y deles acceso a su Cuenta de AWS.

**Protección de su Usuario raíz de la cuenta de AWS**

1.  Inicie sesión en [Consola de administración de AWS](https://console.aws.amazon.com/) como propietario de la cuenta; para ello, elija **Usuario raíz** e introduzca el correo electrónico de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

   Para obtener ayuda para iniciar sesión con el usuario raíz, consulte [Iniciar sesión como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) en la *Guía del usuario de AWS Sign-In*.

1. Active la autenticación multifactor (MFA) para el usuario raíz.

   Para obtener instrucciones, consulte [Habilitación de un dispositivo MFA virtual para su usuario raíz de la Cuenta de AWS (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) en la *Guía del usuario de IAM*.

**Conceder acceso a la consola de facturación**

Los roles y usuarios de IAM en una Cuenta de AWS no pueden acceder a la consola de Administración de facturación y costos de manera predeterminada. Esto es válido incluso si tienen políticas de IAM que conceden acceso a determinadas características de facturación. Para conceder el acceso, el usuario raíz de la Cuenta de AWS debe activar primero el acceso a IAM.
**nota**  
Como práctica recomendada de seguridad, le recomendamos que proporcione acceso a los recursos mediante la federación de identidades con [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Al habilitar IAM Identity Center junto con AWS Organizations, la consola de Administración de facturación y costos se habilita de manera predeterminada con la facturación unificada para todas las Cuentas de AWS de su organización. A fin de obtener más información, consulte [Consolidating billing for AWS Organizations](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) en la *Guía del usuario de Administración de facturación y costos*.

1. Inicie sesión en la Consola de administración de AWS con sus credenciales de cuenta raíz (la dirección de email y la contraseña que utilizó para crear su AWS).

1. En la barra de navegación, seleccione el nombre de su cuenta y, a continuación, elija [Cuenta](https://console.aws.amazon.com/billing/home#/account).

1. Desplácese hacia abajo en la página hasta encontrar la sección **Acceso de usuarios y roles de IAM a la información de facturación y, a** continuación, seleccione **Editar**.

1. Seleccione la casilla de verificación **Activar acceso de IAM** para activar el acceso a las páginas de la consola de Administración de facturación y costos.

1. Elija **Actualizar**.

    La página muestra el mensaje de que el **el acceso del usuario/rol de IAM a la información de facturación está activado**.
**importante**  
La activación del acceso de IAM por sí sola no otorga ningún permiso para que los usuarios o roles vean las páginas de la consola de Administración de facturación y costos. También debe adjuntar las políticas basadas en identidades requeridas a los roles de IAM para permitir el acceso a la consola de facturación. Los roles proporcionan credenciales temporales que los usuarios pueden asumir cuando las necesiten.

1. Utilice la Consola de administración de AWS para [crear un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) que un usuario pueda asumir a fin de acceder a la consola de facturación.

1. En la página **Agregar permisos** para el rol, agregue permisos a fin de enumerar y visualizar los detalles acerca de los recursos de facturación en su Cuenta de AWS.

   La política administrada de AWS [Facturación](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/managed-policies.html#security-iam-awsmanpol-Billing) concede a los usuarios el permiso para ver y editar la consola de Administración de facturación y costos. Esto incluye ver el uso de la cuenta, modificar los presupuestos y los métodos de pago. Para obtener más ejemplos de políticas que puede adjuntar a los roles de IAM a fin de controlar el acceso a la información de facturación de su cuenta, consulte [AWS Billing policy examples](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html) en la *Guía del usuario de Administración de facturación y costos*.

# Visualización de su ID de Cuenta de AWS
<a name="console-account-id"></a>

Si ha iniciado sesión en la consola, puede ver el ID de cuenta de su Cuenta de AWS con los siguientes métodos.

## Para ver su ID de Cuenta de AWS
<a name="console-account-id-section-1"></a>

------
#### [ Console ]

El ID de cuenta de AWS se muestra cuando accede al **Panel** de IAM en la sección de Cuenta de AWS. Puede ver el ID de cuenta en la barra de navegación en la parte superior derecha. Seleccione el nombre de usuario y el ID de cuenta se mostrará encima del nombre de usuario.

![\[Cuadro desplegable de información de la cuenta donde se ve resaltado con el ID de la cuenta\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/find-account-id.png)


------
#### [ AWS CLI ]

Utilice el siguiente comando para ver el ID de usuario, el ID de cuenta y el ARN de usuario:
+ [aws sts get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html)

------
#### [ API ]

Utilice la siguiente API para ver el ID de usuario, el ID de cuenta y el ARN de usuario:
+ [GetCallerIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetCallerIdentity.html) 

------

# Uso de un alias para su ID de Cuenta de AWS
<a name="console-account-alias"></a>

El ID de cuenta es un número de 12 dígitos que identifica la cuenta de manera exclusiva. De manera predeterminada, los usuarios de IAM de la cuenta inician sesión mediante una URL web que incluye el ID de cuenta. Si no tienen la URL, pueden proporcionar el ID de la cuenta en la página de inicio de sesión de AWS al iniciar sesión.

La dirección URL de su página de inicio de sesión tiene, de forma predeterminada, siguiente formato.

```
https://Your_Account_ID.signin.aws.amazon.com/console/
```

Muchas personas encuentran más fácil recordar palabras que números, por lo que crear un alias para su ID de cuenta puede facilitar el inicio de sesión de sus usuarios de IAM.

Si crea un alias de cuenta de Cuenta de AWS para su ID de cuenta de Cuenta de AWS, la URL de la página de inicio de sesión aparece como se muestra en el siguiente ejemplo.

```
https://Your_Account_Alias.signin.aws.amazon.com/console/
```

**Consideraciones antes de crear un alias de cuenta**
+ Su cuenta de Cuenta de AWS puede tener únicamente un alias. Si crea un alias nuevo para su cuenta de AWS, el nuevo alias sobrescribe el alias anterior y la dirección URL que contiene dicho alias anterior dejará de funcionar.
+ Debe contener solo dígitos, letras en minúsculas y guiones. Para obtener más información sobre las limitaciones de las entidades de cuentas de AWS, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).
+ El alias de una cuenta debe ser único en todos los productos de Amazon Web Services dentro de una *partición* de red determinada.

  Una *partición* es un grupo de regiones de AWS. Cada cuenta de AWS está limitada a una partición.

  Las siguientes son las particiones admitidas:
  + `aws`: regiones de AWS
  + `aws-cn` - Regiones de China
  + `aws-us-gov`: regiones de AWS GovCloud (US)

**nota**  
Los alias de cuenta no son secretos y aparecerán en la URL de su página de inicio de sesión pública. No incluya información confidencial en el alias de su cuenta.  
La dirección URL original que contiene el ID de su cuenta de Cuenta de AWS permanece activa y se puede utilizar después de que cree su alias de cuenta de Cuenta de AWS.

# Creación de un alias de cuenta
<a name="account-alias-create"></a>

Para realizar los siguientes pasos, debe tener al menos los siguientes permisos IAM:
+ `iam:ListAccountAliases`
+ `iam:CreateAccountAlias`

## Para crear un alias de Cuenta de AWS
<a name="console-account-alias-section-1"></a>

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Panel**.

1. En la sección **Cuenta de AWS**, busque **Alias de cuenta** y elija **Crear**. Si ya existe un alias, elija **Editar**.

1. Escriba el nombre que desea utilizar para el alias y, a continuación, elija **Guardar cambios**.

------
#### [ AWS CLI ]

Ejecute el siguiente comando:
+ `[aws iam create-account-alias](https://docs.aws.amazon.com/cli/latest/reference/iam/create-account-alias.html)`

------
#### [ API ]

Para crear un alias para la URL de la página de inicio de sesión de la Consola de administración de AWS, llame a la siguiente operación:
+ `[CreateAccountAlias](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccountAlias.html)` 

------

# Eliminación de un alias de cuenta
<a name="account-alias-delete"></a>

Para realizar los siguientes pasos, debe tener al menos los siguientes permisos IAM:
+ `iam:ListAccountAliases`
+ `iam:DeleteAccountAlias`

## Cómo eliminar un alias de la cuenta
<a name="console-account-alias-section-2"></a>

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Panel**.

1. En la sección **AWS Cuenta**, junto a **Alias de cuenta**, seleccione **Eliminar**. 

------
#### [ AWS CLI ]

Para eliminar un alias de ID de cuenta de Cuenta de AWS, ejecute el siguiente comando:
+ `[aws iam delete-account-alias](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-alias.html)`

Para confirmar que se ha eliminado el alias de cuenta, intente mostrar su alias de ID de Cuenta de AWS al ejecutar el siguiente comando: 
+ `[aws iam list-account-aliases](https://docs.aws.amazon.com/cli/latest/reference/iam/list-account-aliases.html)`

------
#### [ API ]

Para eliminar un alias de ID de cuenta de Cuenta de AWS, llame a la siguiente operación:
+ `[DeleteAccountAlias](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountAlias.html)` 

Para confirmar que se ha eliminado el alias de cuenta, intente mostrar su alias de ID de Cuenta de AWS al llamar a la siguiente operación:
+ `[ListAccountAliases](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccountAliases.html)` 

------

**nota**  
Después de eliminar el alias de cuenta, la única URL de inicio de sesión para su cuenta se basa en su ID de cuenta. Cualquier intento de conectarse a la URL del alias fallará y no se redirigirá.

# Planificación del acceso a su cuenta de AWS
<a name="gs-identities"></a>

Al configurar AWS, planifique cómo pretende que las personas accedan a sus recursos y cuenta de AWS para configurar una solución de administración de identidades segura y bien diseñada. 

**Fuentes de identidad**

De acuerdo con las prácticas recomendadas de IAM, los usuarios humanos y las cargas de trabajo deben utilizar credenciales temporales cuando accedan a sus recursos de AWS. Se otorgan credenciales temporales a las identidades que acceden a sus recursos mediante un rol de IAM. Tanto los usuarios federados en IAM como los usuarios de IAM Identity Center (federados o creados en el directorio de IAM Identity Center) utilizan los roles de IAM para acceder a los recursos.

Antes de comenzar a utilizar AWS, planifique cómo configurar sus identidades de una de las siguientes maneras:
+ Activación de IAM Identity Center con AWS Organizations y adición de usuarios de IAM Identity Center directamente al directorio de la organización.

  Para obtener información sobre cómo agregar usuarios directamente al directorio de la organización de IAM Identity Center, consulte [Add users](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html).
+ Federar su proveedor de identidades externo existente con IAM Identity Center o IAM.

  Para obtener información sobre cómo federar un proveedor de identidades externo al directorio de la organización de IAM Identity Center, utilice el [Tutorial de introducción](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) correspondiente.

**Administración de accesos**

Identifique los servicios y recursos de AWS a los que accederán sus usuarios y defina los permisos y las políticas de acceso necesarios para cada usuario, grupo o rol.
+ Si utiliza IAM Identity Center, se crean de manera automática un proveedor de identidades de IAM, así como las políticas de permisos y roles de IAM en cada cuenta de AWS de su organización. Estos roles y permisos se alinean con los permisos que especifica al asignar personas o grupos a aplicaciones o cuentas de AWS específicas.

  Para obtener más información, consulte [Assign user access](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-assign-account-access-user.html) y [Set up single sign-on access to your applications](https://docs.aws.amazon.com/singlesignon/latest/userguide/set-up-single-sign-on-access-to-applications.html).
+ Si federa su proveedor de identidades directamente con IAM en su Cuenta de AWS, tendrá que crear un rol para que lo asuman sus usuarios y dos políticas: una política de confianza que especifique quién puede asumir el rol, y una política de permisos que especifique las acciones y los recursos de AWS para los que se permite o deniega el acceso a la persona que asume el rol.

  Para obtener más información, consulte [Proveedores de identidades y federación en AWS](id_roles_providers.md)

# Casos de uso para usuarios de IAM
<a name="gs-identities-iam-users"></a>

Los usuarios de IAM que cree en su Cuenta de AWS tienen credenciales a largo plazo que administra directamente.

Cuando se trata de administrar el acceso en AWS, los usuarios de IAM no suelen ser la mejor opción. Existen algunas razones clave por las que debe evitar confiar en los usuarios de IAM en la mayoría de sus casos de uso.

En primer lugar, los usuarios de IAM se han diseñado para cuentas individuales, por lo que no se escalan bien a medida que la organización crece. Administrar los permisos y la seguridad de una gran cantidad de usuarios de IAM puede convertirse en un desafío con rapidez.

Los usuarios de IAM también carecen de las capacidades de auditoría y visibilidad centralizadas que ofrecen otras soluciones de administración de identidades de AWS. Esto puede dificultar aún más el mantenimiento de la seguridad y el cumplimiento de las normas.

Por último, implementar las prácticas recomendadas de seguridad, como la autenticación multifactorial, las políticas de contraseñas y la separación de roles, es mucho más fácil con enfoques de administración de identidades más escalables.

En lugar de confiar en los usuarios de IAM, recomendamos utilizar soluciones más sólidas, como IAM Identity Center con AWS Organizations, o identidades federadas de proveedores externos. Estas opciones le ofrecerán un mejor control, seguridad y eficiencia operativa a medida que crezca su entorno de AWS.

Como resultado, le recomendamos que solo utilice usuarios de IAM para los [casos de uso no admitidos por los usuarios federados](https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html#id_which-to-choose). 

En la siguiente lista se identifican los casos de uso específicos que requieren credenciales a largo plazo con usuarios de IAM en AWS. Puede utilizar IAM para crear estos usuarios IAM bajo el paraguas de la cuenta de AWS, y servirse de IAM para administrar sus permisos. 
+ Acceso de emergencia a su cuenta de AWS
+ Cargas de trabajo que no puedan utilizar roles de IAM
  + AWS CodeCommit, , acceso
  + Acceso a Amazon Keyspaces (para Apache Cassandra)
+ Clientes de AWS de terceros
+ AWS IAM Identity Center no está disponible para la cuenta y no dispone de otro proveedor de identidades



# Crear un usuario de IAM para el acceso de emergencia
<a name="getting-started-emergency-iam-user"></a>

Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad de la Cuenta de AWSque dispone de permisos específicos para una sola persona o aplicación. 

Contar con un usuario de IAM para el acceso de emergencia es una de las razones recomendadas para crear un usuario de IAM con el fin de que pueda acceder a su Cuenta de AWS si no se puede acceder a su proveedor de identidades.

**nota**  
Como [práctica recomendada](best-practices.md) de seguridad, le recomendamos que proporcione acceso a los recursos mediante la federación de identidades en lugar de crear usuarios de IAM. Para obtener más información acerca de situaciones específicas en las que se requiere un usuario de IAM, consulte [Cuándo crear un usuario de IAM (en lugar de un rol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose).

## Para crear un usuario de IAM para el acceso de emergencia
<a name="getting-started-emergency-iam-user-section-1"></a>

**Permisos mínimos**  
Para realizar los siguientes pasos, debe tener al menos los siguientes permisos IAM:  
`access-analyzer:ValidatePolicy`
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateGroup`
`iam:CreateLoginProfile`
`iam:CreateUser`
`iam:GetAccountPasswordPolicy`
`iam:GetLoginProfile`
`iam:GetUser`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListPolicies`
`iam:ListUserPolicies`
`iam:ListUsers`

------
#### [ Console ]<a name="gs-proc-iam-user-user"></a>

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios** y, a continuación, seleccione **Crear usuario**.
**nota**  
Si tiene habilitado el IAM Identity Center, la Consola de administración de AWS muestra un recordatorio de que es mejor administrar el acceso de los usuarios en IAM Identity Center. En este procedimiento, el usuario de IAM que cree solo se utilizará cuando el proveedor de identidades no se encuentre disponible.

1. En la página **Especificar detalles del usuario**, en **Detalles del usuario**, en **Nombre del usuario**, ingrese el nombre del usuario nuevo. Este es el nombre de inicio de sesión para AWS. En este ejemplo, escriba **EmergencyAccess**.
**nota**  
Los nombres de usuario pueden ser una combinación de un máximo de 64 letras, dígitos y los siguientes caracteres: más (\$1), igual (=), coma (,), punto (.), arroba (@), guion bajo (\$1) y guion (-). Los nombres deben ser únicos dentro de una cuenta. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear dos usuarios llamados TESTUSER y testuser. Cuando se utiliza un nombre de usuario en una política o como parte de un ARN, el nombre distingue entre mayúsculas y minúsculas. Cuando los clientes ven un nombre de usuario en la consola, por ejemplo, durante el proceso de inicio de sesión, el nombre del usuario no distingue entre mayúsculas y minúsculas.

1. Seleccione la casilla de verificación junto a **Proporcionar al usuario acceso a la Consola de administración de AWS: *opcional*** y, a continuación, elija la opción **Quiero crear un usuario de IAM**.

1. En **Contraseña de la consola**, seleccione **Contraseña generada de manera automática**.

1. Desmarque la casilla de verificación junto a **El usuario debe crear una contraseña nueva la próxima vez que inicie sesión (recomendado)**. Dado que este usuario de IAM es para acceso de emergencia, un administrador de confianza conserva la contraseña y solo la proporciona cuando es necesario.

1. En la página **Establecer permisos**, en **Opciones de permisos**, seleccione **Agregar usuario al grupo**. Luego, en **Grupos de usuarios**, seleccione **Crear grupo**.

1. En la página **Crear grupo de usuarios**, en **Nombre del grupo de usuarios**, ingrese **EmergencyAccessGroup**. Luego, en **Políticas de permisos**, seleccione **AdministratorAccess**.

1. Para regresar a la página **Establecer permisos**, seleccione la opción **Crear grupo de usuarios**. 

1. En **Grupos de usuarios**, seleccione el nombre del **EmergencyAccessGroup** que creó anteriormente.

1. Seleccione **Siguiente** para dirigirse a la página **Revisar y crear**.

1. En la página **Revisar y crear**, revise la lista de suscripciones a grupos de usuarios que se agregarán al usuario nuevo. Cuando esté listo para continuar, seleccione **Crear usuario**.

1. En la página **Recuperar contraseña**, seleccione **Descargar archivo .csv** para guardar un archivo .csv con la información de las credenciales del usuario (URL de conexión, nombre de usuario y contraseña).

1. Guarde este archivo para utilizarlo si necesita iniciar sesión en IAM y no tiene acceso a su proveedor de identidades.

El usuario de IAM nuevo aparece en la lista **Usuarios**. Seleccione el enlace **Nombre del usuario** para ver los detalles del usuario. 

------
#### [ AWS CLI ]

1. Cree un usuario llamado **EmergencyAccess**.
   + [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)

   ```
   aws iam create-user \
      --user-name EmergencyAccess
   ```

1. (Opcional) Dar al usuario acceso a la Consola de administración de AWS. Esto requiere una contraseña. A fin de crear una contraseña para un usuario de IAM, puede utilizar el parámetro `--cli-input-json` para transferir un archivo JSON que contenga la contraseña. También debe proporcionar al usuario la [URL de la página de inicio de sesión de su cuenta](id_users_sign-in.md).
   +  [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)

     ```
      
     aws iam create-login-profile \
        --generate-cli-skeleton > create-login-profile.json
     ```
   + Abra el archivo `create-login-profile.json` en un editor de texto e ingrese una contraseña que cumpla con su política de contraseñas y, a continuación, guarde el archivo. Por ejemplo: 

     ```
     {
      "UserName": "EmergencyAccess",
      "Password": "Ex@3dRA0djs",
      "PasswordResetRequired": false
     }
     ```
   + Vuelva a utilizar el comando `aws iam create-login-profile` y transfiera el parámetro `--cli-input-json` para especificar el archivo JSON.

     ```
     aws iam create-login-profile \
        --cli-input-json file://create-login-profile.json
     ```
**nota**  
Si la contraseña que ha proporcionado en el archivo JSON infringe la política de contraseñas de su cuenta, recibirá el mensaje de error `PassworPolicyViolation`. Si esto ocurre, revise la [política de contraseñas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html#default-policy-details) de su cuenta y actualice la contraseña en el archivo JSON para que cumpla con los requisitos.

1. Cree la política **EmergencyAccessGroup**, adjunte la política administrada de AWS `AdministratorAccess` al grupo y agregue el usuario **EmergencyAccess** al grupo. 
**nota**  
Una *política administrada por AWS* es una política independiente creada y administrada por AWS. Cada política tiene su propio nombre de recurso de Amazon (ARN) que incluye el nombre de la política. Por ejemplo, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` es una política administrada por AWS. Para obtener más información sobre los ARN de , consulte [ARN de IAM](reference_identifiers.md#identifiers-arns). Para obtener una lista de políticas administradas de AWS para los Servicios de AWS, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
   + [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html) 

     ```
     aws iam create-group \
        --group-name EmergencyAccessGroup
     ```
   + [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)

     ```
     aws iam attach-group-policy \
        --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
        --group-name >EmergencyAccessGroup
     ```
   + [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html) 

     ```
     aws iam add-user-to-group \
        --user-name EmergencyAccess \
        --group-name EmergencyAccessGroup
     ```
   + Ejecute el comando [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) para obtener una lista de las políticas **EmergencyAccessGroup** y sus miembros.

     ```
     aws iam get-group \
        --group-name EmergencyAccessGroup
     ```

------

# Creación de un usuario de IAM para cargas de trabajo que no puedan usar roles de IAM
<a name="getting-started-workloads"></a>

**importante**  
Como [práctica recomendada](best-practices.md#lock-away-credentials), se aconseja exigir a los usuarios humanos que utilicen [credenciales temporales](id_credentials_temp.md) cuando accedan a AWS.  
También puede administrar las identidades de usuario, incluido el usuario administrativo, con [AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html). Le recomendamos utilizar IAM Identity Center para administrar el acceso a las cuentas y los permisos dentro de esas cuentas. Si utiliza un proveedor de identidades externo, también puede configurar los permisos de acceso para las identidades de usuario en IAM Identity Center.

Si su caso de uso requiere usuarios de IAM con acceso programático y credenciales a largo plazo, se recomienda establecer procedimientos para actualizar las claves de acceso cuando sea necesario. Para obtener más información, consulte [Actualización de las claves de acceso](id-credentials-access-keys-update.md).

Para realizar algunas tareas de administración de servicios y de la cuenta, debe iniciar sesión con credenciales de usuario raíz. Para ver las tareas que requieren iniciar sesión como usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](id_root-user.md#root-user-tasks).

## Para crear un usuario de IAM para cargas de trabajo que no puedan utilizar roles de IAM
<a name="getting-started-workloads-section-1"></a>

**Permisos mínimos**  
Para realizar los siguientes pasos, debe tener al menos los siguientes permisos IAM:  
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateAccessKey`
`iam:CreateGroup`
`iam:CreateServiceSpecificCredential`
`iam:CreateUser`
`iam:GetAccessKeyLastUsed`
`iam:GetAccountPasswordPolicy`
`iam:GetAccountSummary`
`iam:GetGroup`
`iam:GetLoginProfile`
`iam:GetPolicy`
`iam:GetRole`
`iam:GetUser`
`iam:ListAccessKeys`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListInstanceProfilesForRole`
`iam:ListMFADevices`
`iam:ListPolicies`
`iam:ListRoles`
`iam:ListRoleTags`
`iam:ListSSHPublicKeys`
`iam:ListServiceSpecificCredentials`
`iam:ListSigningCertificates`
`iam:ListUserPolicies`
`iam:ListUserTags`
`iam:ListUsers`
`iam:UploadSSHPublicKey`
`iam:UploadSigningCertificate`

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**, y luego **Crear usuarios**.

1. En la página **Especificar los detalles del usuario**, haga lo siguiente:

   1. En **Nombre de usuario**, escriba ***WorkloadName***. Sustituya ***WorkloadName*** con el nombre de la carga de trabajo que utilizará la cuenta.

   1. Elija **Siguiente**.

1. (Opcional) En la página **Establecer permisos**, haga lo siguiente:

   1. Elija **Agregar usuario al grupo**.

   1. Elija **Crear grupo**.

   1. En el cuadro de diálogo **Crear grupo de usuarios**, en **Nombre del grupo de usuarios** escriba un nombre que represente el uso de las cargas de trabajo del grupo. Para este ejemplo, utilice el nombre **Automation**.

   1. En **Políticas de permisos**, seleccione la casilla de verificación de la política administrada **PowerUserAccess**.
**sugerencia**  
Escriba *Power* en el cuadro de búsqueda de **Políticas de permisos** para encontrar rápidamente la política administrada.

   1. Elija **Crear grupo de usuarios**.

   1. Vuelva a la página de la lista de grupos de IAM y seleccione la casilla de verificación del nuevo grupo de usuarios. Elija **Actualizar** si no ve el nuevo grupo de usuarios en la lista.

   1. Elija **Siguiente**.

1. (Opcional) En la sección **Etiquetas**, asocie etiquetas como pares clave-valor para agregar metadatos al usuario. Para obtener más información, consulte [Etiquetas para recursos de AWS Identity and Access Management](id_tags.md).

1. Compruebe las pertenencias al grupo de usuarios correspondientes al nuevo usuario. Cuando esté listo para continuar, elija **Create user (Crear usuario)**.

1. Aparece una notificación de estado que informa de que el usuario se ha creado correctamente. Seleccione **Ver usuario** para ir a la página de detalles del usuario.

1. Seleccione la pestaña **Credenciales de seguridad**. Después, cree las credenciales necesarias para la carga de trabajo.
   + **Claves de acceso**: Seleccione **Crear clave de acceso** para generar y descargar claves de acceso para el usuario.
**importante**  
Esta es la única oportunidad que tiene para ver o descargar las claves de acceso secretas, y debe proporcionar dicha información a los usuarios para que puedan utilizar la API de AWS. Guarde el nuevo ID de clave de acceso del usuario y la clave de acceso secreta en un lugar seguro. **No volverá a tener acceso a la clave de acceso secreta después de este paso.** 
   + **Claves públicas SSH para AWS CodeCommit**: Seleccione **Cargar clave pública SSH** para cargar una clave pública SSH de modo que el usuario pueda comunicarse con los repositorios de CodeCommit a través de SSH.
   + **Credenciales Git HTTPS para AWS CodeCommit**: Seleccione **Generar credenciales** para generar un conjunto de credenciales de usuario exclusivas para utilizarlo con los repositorios de Git. Seleccione **Descargar credenciales** para guardar el nombre de usuario y la contraseña en un archivo .csv. Esta es la única vez que la información está disponible. Si olvida o pierde la contraseña, tendrá que restablecerla.
   + **Credenciales para Amazon Keyspaces (para Apache Cassandra)**: Seleccione **Generar credenciales** para generar credenciales de usuario específicas de un servicio para utilizarlas con Amazon Keyspaces. Seleccione **Descargar credenciales** para guardar el nombre de usuario y la contraseña en un archivo .csv. Esta es la única vez que la información está disponible. Si olvida o pierde la contraseña, tendrá que restablecerla.
**importante**  
Las credenciales específicas de un servicio son credenciales a largo plazo asociadas a un usuario de IAM en concreto y solo se pueden utilizar para el servicio para el que se hayan creado. Para conceder a los roles de IAM o las identidades federadas permisos de acceso a todos los recursos de AWS con credenciales temporales, utilice la autenticación de AWS con el complemento de autenticación SigV4 para Amazon Keyspaces. Para obtener más información, consulte [Uso de credenciales temporales para conectarse a Amazon Keyspaces (para Apache Cassandra) mediante un rol de IAM y el complemento SigV4](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM) en la *Guía para desarrolladores de Amazon Keyspaces (para Apache Cassandra)*. 
   + **Certificados de firma X.509**: Seleccione **Crear certificado X.509** si necesita realizar solicitudes seguras mediante el protocolo SOAP y se encuentra en una región que no es compatible con AWS Certificate Manager. ACM es la herramienta preferida para aprovisionar, administrar e implementar los certificados de servidor. Para obtener más información sobre ACM, consulte la [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).

Ha creado un usuario con acceso programático y lo ha configurado con la función laboral **PowerUserAccess**. La política de permisos de este usuario concede acceso completo a todos los servicios, con la excepción de IAM y AWS Organizations.

Puede usar este mismo proceso para conceder acceso programático a los recursos de Cuenta de AWS a cargas de trabajo adicionales si estas cargas de trabajo no pueden asumir roles de IAM. Este procedimiento utilizó la política administrada **PowerUserAccess** para asignar permisos. Para seguir la práctica recomendada de privilegios mínimos, considere la posibilidad de utilizar una política más restrictiva o de crear una política personalizada que restrinja el acceso exclusivamente a los recursos requeridos por el programa. Para obtener información sobre el uso de las políticas que restringen a los usuarios los permisos de acceso a determinados recursos de AWS, consulte [Recursos de AWS para administración de acceso](access.md) y [Ejemplos de políticas basadas en identidad de IAM](access_policies_examples.md). Para agregar usuarios adicionales al grupo de usuarios después de crearlo, consulte [Edición de usuarios de grupos de IAM](id_groups_manage_add-remove-users.md).

------
#### [ AWS CLI ]

1. Cree un usuario llamado **Automation**.
   + [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)

   ```
                 aws iam create-user \
                     --user-name Automation
   ```

1. Cree un grupo de usuarios de IAM con el nombre **AutomationGroup**, adjunte la política administrada de AWS `PowerUserAccess` al grupo y, a continuación, agregue el usuario **Automation** al grupo. 
**nota**  
Una *política administrada por AWS* es una política independiente creada y administrada por AWS. Cada política tiene su propio nombre de recurso de Amazon (ARN) que incluye el nombre de la política. Por ejemplo, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` es una política administrada por AWS. Para obtener más información sobre los ARN de , consulte [ARN de IAM](reference_identifiers.md#identifiers-arns). Para obtener una lista de políticas administradas de AWS para los Servicios de AWS, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
   + [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html) 

     ```
                       aws iam create-group \
                           --group-name AutomationGroup
     ```
   + [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)

     ```
                       aws iam attach-group-policy \
                           --policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
                           --group-name AutomationGroup
     ```
   + [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html) 

     ```
                      aws iam add-user-to-group \
                          --user-name Automation \
                          --group-name AutomationGroup
     ```
   + Ejecute el comando [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) para obtener una lista de las políticas **AutomationGroup** y sus miembros.

     ```
                     aws iam get-group \
                          --group-name AutomationGroup
     ```

1. Cree las credenciales necesarias para la carga de trabajo.
   + **Crear claves de acceso para las pruebas**: [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     ```
                            aws iam create-access-key \
                                --user-name Automation
     ```

     El resultado de este comando muestra la clave de acceso secreta y el ID de clave de acceso. Registre y almacene esta información en un lugar seguro. Si se pierden estas credenciales, no se pueden recuperar y deberá crear una clave de acceso nueva.
**importante**  
Estas claves de acceso de usuario de IAM son credenciales a largo plazo que representan un riesgo para la seguridad de su cuenta. Una vez que haya completado el proceso de prueba, le recomendamos que elimine estas claves de acceso. Si en algún momento considera utilizar claves de acceso, averigüe si puede habilitar la MFA para su usuario de IAM de carga de trabajo y utilice [aws sts get-session-token](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) a fin de obtener credenciales temporales para la sesión en lugar de utilizar las claves de acceso de IAM.
   + **Cargar las claves públicas de SSH para AWS CodeCommit**: [aws iam upload-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html)

     En el siguiente ejemplo se asume que cuenta con las claves públicas de SSH almacenadas en el archivo `sshkey.pub`.

     ```
                            aws upload-ssh-public-key \
                                --user-name Automation \
                                --ssh-public-key-body file://sshkey.pub
     ```
   + **Cargar un certificado de firma X.509**: [aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)

     Cargue un certificado X.509 si necesita realizar solicitudes seguras mediante el protocolo SOAP y se encuentra en una región que no admite AWS Certificate Manager. ACM es la herramienta preferida para aprovisionar, administrar e implementar los certificados de servidor. Para obtener más información sobre ACM, consulte la [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).

     En el siguiente ejemplo, se asume que cuenta con el certificado de firma X.509 almacenado en el archivo `certificate.pem`.

     ```
                           aws iam upload-signing-certificate \
                           --user-name Automation \
                           --certificate-body file://certificate.pem
     ```

Puede usar este mismo proceso para conceder acceso programático a los recursos de Cuenta de AWS a cargas de trabajo adicionales si estas cargas de trabajo no pueden asumir roles de IAM. Este procedimiento utilizó la política administrada **PowerUserAccess** para asignar permisos. Para seguir la práctica recomendada de privilegios mínimos, considere la posibilidad de utilizar una política más restrictiva o de crear una política personalizada que restrinja el acceso exclusivamente a los recursos requeridos por el programa. Para obtener información sobre el uso de las políticas que restringen a los usuarios los permisos de acceso a determinados recursos de AWS, consulte [Recursos de AWS para administración de acceso](access.md) y [Ejemplos de políticas basadas en identidad de IAM](access_policies_examples.md). Para agregar usuarios adicionales al grupo de usuarios después de crearlo, consulte [Edición de usuarios de grupos de IAM](id_groups_manage_add-remove-users.md).

------

# Uso de autenticación multifactor con las identidades
<a name="gs-identities-mfa"></a>

Usar la autenticación multifactor (MFA) con las identidades es otra práctica recomendada de IAM. La MFA es una capa de seguridad adicional que requiere que los usuarios proporcionen factores de autenticación adicionales después de proporcionar su nombre de usuario y contraseña con el fin de verificar su identidad. Mejora de manera significativa la seguridad al hacer que sea mucho más difícil para los atacantes obtener acceso no autorizado, incluso si la contraseña de un usuario se encuentra en peligro. La MFA se adopta ampliamente como una práctica recomendada para proteger el acceso a las cuentas en línea, los servicios en la nube y otros recursos confidenciales. AWS admite la MFA para el usuario raíz, los usuarios de IAM, los usuarios de IAM Identity Center, ID de creador y los usuarios federados. Para mayor seguridad, puede crear políticas que requieran la configuración de la MFA antes de permitir que un usuario acceda a los recursos o tomar medidas específicas y adjuntar estas políticas a sus roles de IAM. IAM Identity Center viene preconfigurado con la MFA activada de forma predeterminada, de modo que todos los usuarios de IAM Identity Center deben iniciar sesión con la MFA además de su nombre de usuario y su contraseña.

**nota**  
Todos los tipos de Cuenta de AWS (cuentas independientes, cuentas de administración y cuentas de miembros) requieren que la MFA esté configurada para su usuario raíz. Los usuarios deben registrar la MFA en un plazo de 35 días a partir de su primer intento de inicio de sesión para acceder a la Consola de administración de AWS si la MFA aún no está habilitada.

Para obtener más información, consulte [Configure MFA in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html) y [Autenticación multifactor de AWS en IAM](id_credentials_mfa.md).

# Preparación para los permisos de privilegio mínimo
<a name="getting-started-reduce-permissions"></a>

El uso de *permisos de privilegio mínimo* es una recomendación de prácticas recomendadas de IAM. El concepto de permisos de privilegio mínimo consiste en conceder a los usuarios solo los permisos necesarios para realizar una tarea y ningún permiso adicional. Mientras lleva a cabo la configuración, considere cómo admitirá los permisos de privilegio mínimo. El usuario raíz, el usuario administrativo y el usuario de IAM de acceso de emergencia tienen permisos potentes que no son necesarios para las tareas cotidianas. Mientras aprende acerca de AWS y prueba diferentes servicios, le recomendamos crear, al menos, un usuario adicional en IAM Identity Center con menos permisos que pueda utilizar en diferentes escenarios. Puede utilizar las políticas de IAM para definir las acciones que se pueden realizar en recursos específicos en condiciones específicas y luego, conectarse a los recursos con su cuenta con menos privilegios.

Si utiliza IAM Identity Center, considere la posibilidad de utilizar los conjuntos de permisos de IAM Identity Center para comenzar. Para obtener más información, consulte [Crear un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de IAM Identity Center*. 

Si no utiliza IAM Identity Center, use los roles de IAM para definir los permisos de las diferentes entidades de IAM. Para obtener más información, consulte [Creación de roles de IAM](id_roles_create.md).

Los roles de IAM y los conjuntos de permisos de IAM Identity Center pueden utilizar políticas administradas por AWS basadas en funciones de trabajo. Para obtener más información acerca de los permisos que otorgan estas políticas, consulte [AWSPolíticas administradas de para funciones de trabajo](access_policies_job-functions.md). 

**importante**  
Tenga presente que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para sus casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Una vez que haya finalizado la configuración, se recomienda utilizar el Analizador de acceso de IAM para generar políticas de privilegio mínimo en función de la actividad de acceso que se haya registrado en AWS CloudTrail. Para obtener más información acerca de la generación de políticas, consulte [Generación de políticas de IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

Para comenzar, le recomendamos que utilice las políticas administradas de AWS a fin de conceder permisos. Al cabo de un periodo de actividad de muestra predefinido (por ejemplo, 90 días), puede revisar los servicios a los que han accedido las personas y las cargas de trabajo. Después, puede crear una nueva política administrada por el cliente con permisos reducidos para reemplazar la política administrada de AWS. La nueva política debe incluir solo los servicios a los que se haya accedido durante el período de muestra. Actualice sus permisos para eliminar la política administrada de AWS y asocie la nueva política administrada por el cliente que haya creado. 

# Consulta de la información de acceso reciente de su cuenta de AWS
<a name="getting-started-reduce-permissions-last-accessed"></a>

Puede consultar la información de acceso reciente de IAM con la consola de IAM, la AWS CLI o la API de AWS. Para obtener información importante sobre los datos, los permisos necesarios, la solución de problemas y las regiones compatibles, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

Puede consultar información sobre los siguientes tipos de recursos en IAM. En cada caso, la información incluirá los servicios permitidos durante el período concreto del informe:
+ **Usuario de IAM**: muestra la última vez que el usuario intentó acceder a cada servicio permitido.
+ **Grupo de IAM**: muestra información sobre la última vez que un miembro del grupo de IAM intentó acceder a cada servicio permitido. Este informe también incluye el número total de miembros que intentaron el acceso.
+ **Rol de IAM**: muestra la última vez que alguien utilizó el rol en un intento de acceder a cada servicio permitido.
+ **Política**: muestra información acerca de la última vez que un usuario o rol intentó acceder a cada servicio permitido. Este informe también incluye el número total de entidades que intentaron el acceso.

**nota**  
Antes de ver la información de acceso de un recurso de IAM, asegúrese de que entiende el período del informe, las entidades consultadas y los tipos de política evaluados. Para obtener más información, consulte [Cosas que debe saber sobre la información de acceso reciente](access_policies_last-accessed.md#access_policies_last-accessed-know).

Para obtener más información sobre la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Para consultar la información de acceso reciente de una Cuenta de AWS
<a name="getting-started-reduce-permissions-last-accessed-proc"></a>

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, elija **Grupos de usuarios**, **Usuarios**, **Roles** o **Políticas**.

1. Elija un nombre de usuario, grupo de usuarios, rol o política para abrir la página **Resumen** y elija la pestaña **Último acceso**. Verá la siguiente información, en función del recurso que elija:
   + **Grupo de usuarios**: consulte la lista de servicios a los que pueden acceder los miembros de los grupos de usuarios. También puede ver la última vez que un miembro accedió al servicio, qué políticas de grupo de usuarios utilizó y qué miembro del grupo de usuarios realizó la solicitud. Elija el nombre de la política para obtener información acerca de si se trata de una política administrada o una política de grupo insertada de usuarios. Elija el nombre del miembro del grupo de usuarios para ver todos los miembros del grupo de usuarios y la última vez que accedió al servicio.
   + **Usuario**: permite ver la lista de servicios a los que puede obtener acceso el usuario. También puede ver cuándo accedió por última vez al servicio y qué políticas están actualmente asociadas con el usuario. Elija el nombre de la política para saber si se trata de una política administrada, una política de usuario en línea o una política insertada del grupo de usuarios.
   + **Rol**: vea la lista de servicios a los que puede acceder el rol, cuándo el rol accedió por última vez al servicio y qué políticas se utilizaron. Elija el nombre de la política para obtener información acerca de si se trata de una política administrada o una política de rol insertada.
   + **Política**: vea la lista de servicios con acciones permitidas en la política. También puede ver cuándo se usó la política por última vez para acceder al servicio y qué entidad (usuario o rol) la utilizó. La fecha del **último acceso** también incluye cuándo se concede el acceso a esta política a través de otra política. Seleccione el nombre de la entidad que quiere saber qué entidades tienen esta política asociada y cuando han accedido por última vez al servicio.

1. En la columna **Servicio** de la tabla, elija el nombre de [uno de los servicios que incluye información sobre los últimos accesos a la acción](access_policies_last-accessed-action-last-accessed.md) para ver una lista de las acciones de administración a las que las entidades de IAM han intentado acceder. Podrá ver la Región de AWS y una marca de tiempo que indica la última vez que alguien intentó realizar la acción.

1. En la columna **Últimos accesos**, se muestran los servicios y las acciones de administración de [los servicios que incluyen información sobre los últimos accesos a la acción](access_policies_last-accessed-action-last-accessed.md). Consulte a continuación los resultados que pueden devolverse en esta columna. Estos resultados variarán en función de si un servicio o una acción están permitidos, si se ha accedido a ellos y si su información de acceso reciente se está supervisando en AWS.   
**hace <número de> días**  
Número de días desde que se utilizó el servicio o la acción en el período de seguimiento. El período de seguimiento de los servicios abarca los últimos 400 días. El periodo de seguimiento de las acciones de Amazon S3 comenzó el 12 de abril de 2020. El periodo de seguimiento de las acciones de Amazon EC2, IAM, y Lambda comenzó el 7 de abril de 2021. El periodo de seguimiento de todos los demás servicios comenzó el 23 de mayo de 2023. Para obtener más información sobre las fechas de inicio de seguimiento de cada Región de AWS, consulte [Dónde AWS se hace un seguimiento de la información de acceso reciente](access_policies_last-accessed.md#last-accessed_tracking-period).  
**No se ha accedido en el período de seguimiento**  
Ninguna entidad ha utilizado el servicio o la acción supervisados durante el período de seguimiento.

   Es posible que tenga permisos sobre una acción que no aparece en la lista. Esto puede suceder si AWS actualmente no incluye la información de seguimiento de la acción. No debe tomar decisiones de permisos basándose exclusivamente en la ausencia de cierta información de seguimiento. En su lugar, le recomendamos que utilice esta información para enriquecer y sustentar la estrategia general de conceder los mínimos privilegios posibles. Consulte sus políticas para confirmar que el nivel de acceso es el adecuado.

------
#### [ AWS CLI ]

Puede utilizar la AWS CLI para recuperar información sobre la última vez que se utilizó un recurso de IAM en su Cuenta de AWS para intentar acceder a servicios de AWS y acciones de Amazon S3, Amazon EC2, IAM y Lambda. Un recurso de IAM puede ser un usuario, un grupo de usuarios, un rol o una política.
+ Genere un informe de los recursos de IAM en una Cuenta de AWS. La solicitud debe incluir el ARN del recurso de IAM (usuario, grupo de usuarios, rol o política) para el que desea un informe. Puede especificar el nivel de detalle con el que desea generar el informe para ver los datos de acceso solo de los servicios o tanto de los servicios como de las acciones. La solicitud devuelve un `job-id` que puede utilizar en las operaciones `get-service-last-accessed-details` y `get-service-last-accessed-details-with-entities` para monitorear el `job-status` hasta que se complete el trabajo.
  + [aws iam generate-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)

  1. Recupere detalles sobre el informe utilizando el parámetro `job-id` del paso anterior.
     + [aws iam get-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)

     Esta operación devuelve la siguiente información, en función del tipo de recurso y el nivel de detalle solicitado en la operación `generate-service-last-accessed-details`:
     + **Usuario**: devuelve una lista de los servicios a los que puede acceder el usuario especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del usuario y el ARN del usuario.
     + **Grupo de usuarios**: devuelve una lista de servicios a los que pueden acceder los miembros del grupo de usuarios especificado mediante las políticas adjuntas al grupo de usuarios. Para cada servicio, la operación devuelve la fecha y la hora del último intento realizado por cualquier miembro del grupo de usuarios. También devuelve el ARN de dicho usuario y el número total de los miembros del grupo de usuarios que han intentado para acceder al servicio. Utilice la operación [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) para recuperar una lista de todos los miembros.
     + **Rol**: devuelve una lista de los servicios a los que puede acceder el rol especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del ro y el ARN del rol.
     + **Política**: devuelve una lista de servicios a los que la política especificada permite el acceso. Para cada servicio, la operación devuelve la fecha y la hora a la que una entidad (usuario o rol) intento acceder por última vez al servicio utilizando la política. También devuelve el ARN de dicha entidad y el número total de entidades que intentaron acceder.

  1. Obtenga más información sobre las entidades que utilizaron permisos de política de grupo de usuarios o política en un intento por acceder a un servicio específico. Esta operación devuelve una lista de entidades con cada ARN, ID, nombre, ruta, tipo de entidad (usuario o rol) y cuando intentaron acceder al servicio por última vez. También puede utilizar esta operación para usuarios y roles, pero solo devuelve información acerca de dicha entidad.
     + [aws iam get-service-last-accessed-details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)

  1. Más información sobre las políticas basadas en identidad que una identidad (usuario, grupo de usuarios o rol) utiliza en un intento de acceder a un servicio específico. Cuando se especifica una identidad y un servicio, esta operación devuelve una lista de políticas de permisos que la identidad puede utilizar para acceder al servicio especificado. Esta operación proporciona el estado actual de las políticas y no depende del informe generado. Tampoco devuelve otros tipos de políticas, como las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte [Tipos de políticas](access_policies.md#access_policy-types) o [Evaluación de políticas para solicitudes dentro de una misma cuenta](reference_policies_evaluation-logic_policy-eval-basics.md).
     + [aws iam list-policies-granting-service-access](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)

------
#### [ API ]

Puede utilizar la API de AWS para recuperar información sobre la última vez que se utilizó un recurso de IAM para intentar acceder a servicios de AWS y acciones de Amazon S3, Amazon EC2, IAM, y Lambda. Un recurso de IAM puede ser un usuario, un grupo de usuarios, un rol o una política. Puede especificar el nivel de detalle con el que se va a generar el informe para ver los datos de acceso solo de los servicios o tanto de los servicios como de las acciones. 

1. Genere un informe. La solicitud debe incluir el ARN del recurso de IAM (usuario, grupo de usuarios, rol o política) para el que desea un informe. Devuelve un `JobId` que puede utilizar en las operaciones `GetServiceLastAccessedDetails` y `GetServiceLastAccessedDetailsWithEntities` para monitorizar el `JobStatus` hasta que se complete el trabajo.
   + [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)

1. Recupere detalles sobre el informe utilizando el parámetro `JobId` del paso anterior.
   + [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)

   Esta operación devuelve la siguiente información, en función del tipo de recurso y el nivel de detalle solicitado en la operación `GenerateServiceLastAccessedDetails`:
   + **Usuario**: devuelve una lista de los servicios a los que puede acceder el usuario especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del usuario y el ARN del usuario.
   + **Grupo de usuarios**: devuelve una lista de servicios a los que pueden acceder los miembros del grupo de usuarios especificado mediante las políticas adjuntas al grupo de usuarios. Para cada servicio, la operación devuelve la fecha y la hora del último intento realizado por cualquier miembro del grupo de usuarios. También devuelve el ARN de dicho usuario y el número total de los miembros del grupo de usuarios que han intentado para acceder al servicio. Utilice la operación [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) para recuperar una lista de todos los miembros.
   + **Rol**: devuelve una lista de los servicios a los que puede acceder el rol especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del ro y el ARN del rol.
   + **Política**: devuelve una lista de servicios a los que la política especificada permite el acceso. Para cada servicio, la operación devuelve la fecha y la hora a la que una entidad (usuario o rol) intento acceder por última vez al servicio utilizando la política. También devuelve el ARN de dicha entidad y el número total de entidades que intentaron acceder.

1. Obtenga más información sobre las entidades que utilizaron permisos de política de grupo de usuarios o política en un intento por acceder a un servicio específico. Esta operación devuelve una lista de entidades con cada ARN, ID, nombre, ruta, tipo de entidad (usuario o rol) y cuando intentaron acceder al servicio por última vez. También puede utilizar esta operación para usuarios y roles, pero solo devuelve información acerca de dicha entidad.
   + [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)

1. Más información sobre las políticas basadas en identidad que una identidad (usuario, grupo de usuarios o rol) utiliza en un intento de acceder a un servicio específico. Cuando se especifica una identidad y un servicio, esta operación devuelve una lista de políticas de permisos que la identidad puede utilizar para acceder al servicio especificado. Esta operación proporciona el estado actual de las políticas y no depende del informe generado. Tampoco devuelve otros tipos de políticas, como las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte [Tipos de políticas](access_policies.md#access_policy-types) o [Evaluación de políticas para solicitudes dentro de una misma cuenta](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)

------

# Generación de una política basada en la actividad de acceso
<a name="getting-started_reduce-permissions-edit-policy"></a>

Puede utilizar la actividad de acceso registrada en AWS CloudTrail para un usuario o rol de IAM con el fin de que el Analizador de acceso de IAM genere una política administrada por el cliente para permitir el acceso solo a los servicios que necesiten usuarios y roles específicos. 

Cuando el Analizador de acceso de IAM genera una política de IAM, se devuelve información para personalizar aún más la política. Cuando se genera una política, se pueden devolver dos categorías de información:
+ **Política con información de nivel de acción:** para algunos servicios de AWS, como Amazon EC2, el Analizador de acceso de IAM puede identificar las acciones encontradas en los eventos de CloudTrail y enumera las acciones utilizadas en la política que genera. Para obtener una lista de los servicios compatibles, consulte [Servicios de generación de políticas del Analizador de acceso de IAM](access-analyzer-policy-generation-action-last-accessed-support.md). Para algunos servicios, el Analizador de acceso de IAM le pide que agregue acciones para los servicios a la política generada.
+ **Política con información de nivel de servicio**: el Analizador de acceso de IAM utiliza la [última información a la que se accedió](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html) para crear una plantilla de política con todos los servicios utilizados recientemente. Cuando utilice la Consola de administración de AWS, le pedimos que revise los servicios y agregue acciones para completar la política.

## Para generar una política basada en la actividad de acceso
<a name="getting-started_reduce-permissions-edit-policy-section-1"></a>

En el siguiente procedimiento, reduciremos los permisos que se otorgan a un rol para que coincidan con el uso de un usuario. Cuando elija un usuario, elija uno cuyo uso ejemplifique el rol. Muchos clientes configuran cuentas de usuario de prueba con permisos de **PowerUser** y luego les piden que realicen un conjunto específico de tareas durante un periodo de tiempo breve para determinar qué acceso es necesario a fin de realizar esas tareas.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios** y luego el nombre de usuario para ir a la página de detalles del usuario.

1. En la pestaña **Permisos**, en Generar política basada en eventos de CloudTrail, seleccione **Generar política**. 

1. En la página **Generar política**, configure los siguientes elementos:
   + En **Seleccionar periodo de tiempo**, seleccione **Últimos 7 días**.
   + En **Rastro de CloudTrail que se va a analizar**, seleccione la región y el rastro donde se debe registrar la actividad de este usuario.
   + Elija **Crear y utilizar un nuevo rol de servicio**.

1. Seleccione **Generar política** y espere a que se cree el rol. No actualice ni salga de la página de la consola hasta que aparezca el mensaje de notificación **Generación de políticas en curso**.

1. Una vez que se genere la política, debe revisarla y personalizarla según sea necesario con los ID de cuenta y los ARN de los recursos. Además, es posible que, al haberse generado de manera automática, la política no incluya la información de nivel de acción necesaria para completarla. Para obtener más información, consulte [Generación de políticas del Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

   Por ejemplo, puede editar la primera instrucción que incluye el efecto `Allow` y el elemento `NotAction` para permitir únicamente acciones de Amazon EC2 y Amazon S3. Para ello, sustitúyalo por la instrucción con el ID `FullAccessToSomeServices`. La nueva política podría parecerse a la siguiente política de ejemplo.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Sid": "FullAccessToSomeServices",
             "Effect": "Allow",
             "Action": [
                 "ec2:*",
                 "s3:*"
             ],
             "Resource": "*"
         },
         {
             "Effect": "Allow",
             "Action": [
                 "iam:CreateServiceLinkedRole",
                 "iam:DeleteServiceLinkedRole",
                 "iam:ListRoles",
                 "organizations:DescribeOrganization"
             ],
             "Resource": "*"
         }
     ]
   }
   ```

------

1. Para apoyar la práctica recomendada de [conceder privilegios mínimos](best-practices.md#grant-least-privilege), revise y corrija los errores, advertencias o sugerencias devueltos durante la [validación de políticas](access_policies_policy-validator.md).

1. Para reducir aún más los permisos de sus políticas a acciones y recursos específicos, vea sus eventos en el **historial de eventos** de CloudTrail. Aquí podrá ver información detallada acerca de las acciones y recursos específicos a los que el usuario tenga acceso. Para obtener más información, consulte [Ver eventos de CloudTrail en la consola de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) en la *Guía del usuario de AWS CloudTrail*.

1. Una vez que haya revisado y validado la política, guárdela con un nombre descriptivo. 

1. Diríjase a la página **Roles** y elija el rol que asumirán las personas cuando realicen las tareas permitidas por la política nueva.

1. Seleccione la pestaña **Permisos**, **Agregar permisos** y, a continuación, **Asociar políticas**.

1. En la página **Asociar políticas de permisos**, en la lista **Otras políticas de permisos**, seleccione la política que ha creado anteriormente, y luego **Asociar políticas**.

1. Volverá a la página de detalles **Rol**. Hay dos políticas asociadas al rol, la política administrada de AWS anterior, como **PowerUserAccess**, y la política nueva. Seleccione la casilla de verificación para la política administrada de AWS y, a continuación, elija **Eliminar**. Cuando se le pida que confirme la eliminación, seleccione **Eliminar**.

Los usuarios de IAM, las entidades principales federadas de SAML y OIDC, y las cargas de trabajo que asumen este rol ahora tienen un acceso más restringido según la nueva política creada.

------
#### [ AWS CLI ]

Puede utilizar los siguientes comandos para generar una política mediante AWS CLI. 

**Cómo generar una política**
+ [iniciar generación de políticas de accessanalyzer de aws](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/start-policy-generation.html)

**Cómo ver una política generada**
+ [obtener política generada de accessanalyzer de aws](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/get-generated-policy.html)

**Cómo cancelar una solicitud de generación de política**
+ [cancelar generación de política de accessanalyzer de aws](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/cancel-policy-generation.html)

**Cómo ver una lista de solicitudes de generación de políticas**
+ [lista de generación de políticas de accessanalyzer de aws](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/list-policy-generations.html)

------
#### [ API ]

Puede utilizar las siguientes operaciones para generar una política mediante la API de AWS.

**Cómo generar una política**
+ [StartPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_StartPolicyGeneration.html)

**Cómo ver una política generada**
+ [GetGeneratedPolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetGeneratedPolicy.html)

**Cómo cancelar una solicitud de generación de política**
+ [CancelPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CancelPolicyGeneration.html)

**Cómo ver una lista de solicitudes de generación de políticas**
+ [ListPolicyGenerations](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListPolicyGenerations.html)

------

# Uso de la búsqueda para encontrar recursos de IAM
<a name="console_search"></a>

A medida que trabaje en sus resultados de acceso, puede utilizar la página de búsqueda de la consola de IAM como una opción más rápida para encontrar recursos de IAM. Puede buscar recursos mediante nombres de recursos parciales o ARN.

------
#### [ Console ]

La característica de búsqueda de la consola de IAM puede encontrar cualquiera de los siguientes elementos:
+ Nombres de entidades de IAM que coincidan con sus palabras clave de búsqueda (para usuarios, grupos, roles, proveedores de identidad y políticas)
+ Tareas que coincidan con sus palabras clave de búsqueda

La característica de búsqueda de la consola de IAM no devuelve información sobre IAM Access Analyzer.

Cada línea del resultado de búsqueda es un enlace activo. Por ejemplo, puede elegir el nombre de usuario en el resultado de búsqueda, que le lleva a la página de detalles del usuario. O también puede elegir el enlace de una acción, por ejemplo **Crear usuario**, para ir a la página **Crear usuario**.

**nota**  
La búsqueda de clave de acceso exige que escriba el ID de clave de acceso completo en el campo de búsqueda. El resultado de búsqueda muestra el usuario asociado a dicha clave. A partir de aquí, puede ir directamente a la página de dicho usuario, donde puede administrar la clave de acceso.

Utilice la página **Búsqueda** en la consola de IAM para encontrar elementos relacionados con la cuenta. 

**Para buscar elementos en la consola de IAM**

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, elija **Buscar**. 

1. En el cuadro **Búsqueda**, escriba las palabras clave de búsqueda.

1. Elija un enlace en la lista de resultados de búsqueda para ir a la parte correspondiente de la consola. 

Los siguientes iconos identifican los tipos de elementos que se encuentran mediante una búsqueda:


****  

| Icono | Descripción | 
| --- | --- | 
|  ![\[a portrait outline on gray background\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/search_user.png)  | Usuarios de IAM | 
|  ![\[multiple portrait outlines on a blue background\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/search_group.png)  | Grupos de IAM | 
|  ![\[a magic wand icon on a navy background\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/search_role.png)  | Roles de IAM | 
|  ![\[a document icon on an organe background\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/search_policy.png)  | Políticas de IAM | 
|  ![\[a white start on an organe background\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/search_action.png)  | Tareas, tales como "crear usuario" o "asociar política" | 
|  ![\[a white X on a red background\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/search_delete.png)  | Resultados obtenidos con la palabra clave delete | 

**Ejemplos de frases de búsqueda**

Puede utilizar las siguientes frases en la búsqueda de IAM. Sustituya los términos en cursiva por los nombres reales de los usuarios, los grupos, los roles, las claves de acceso, las políticas o los proveedores de identidad de IAM que desea encontrar.
+ ***user\$1name*** o ***group\$1name* ** o ***role\$1name*** o ***policy\$1name*** o ***identity\$1provider\$1name***
+ ***access\$1key***
+ **add user *user\$1name* to groups** o **add users to group *group\$1name***
+ **remove user *user\$1name* from groups**
+ **delete *user\$1name*** o **delete *group\$1name*** o **delete *role\$1name*** o **delete *policy\$1name*** o **delete *identity\$1provider\$1name***
+ **manage access keys *user\$1name***
+ **manage signing certificates *user\$1name***
+ **users**
+ **manage MFA for *user\$1name***
+ **manage password for *user\$1name***
+ **create role**
+ **password policy**
+ **edit trust policy for role *role\$1name***
+ **show policy document for role *role\$1name***
+ **attach policy to *role\$1name***
+ **create managed policy**
+ **create user**
+ **create group**
+ **attach policy to *group\$1name***
+ **attach entities to *policy\$1name***
+ **detach entities from *policy\$1name***

------