Administración de claves de acceso para usuarios de IAM
importante
Como práctica recomendada, utilice credenciales de seguridad temporales (por ejemplo, roles de IAM) en lugar de crear credenciales a largo plazo como claves de acceso. Antes de crear claves de acceso, revise las alternativas a las claves de acceso a largo plazo.
Las claves de acceso son credenciales a largo plazo para un usuario de IAM o el Usuario raíz de la cuenta de AWS. Puede utilizar las claves de acceso para firmar solicitudes mediante programación a la AWS CLI o a la API de AWS (directamente o mediante el SDK de AWS). Para obtener más información, consulte Acceso programático con credenciales de seguridad AWS.
Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo, AKIAIOSFODNN7EXAMPLE
) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
). Debe utilizar el ID de clave de acceso y la clave de acceso secreta juntos, como un nombre de usuario y contraseña, para autenticar sus solicitudes.
Cuando cree un par de claves de acceso, guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo se puede recuperar cuando se crea la clave. Si pierde su clave de acceso secreta, debe eliminar la clave de acceso y crear una nueva. Para obtener instrucciones adicionales, consulte Actualización de las claves de acceso.
Puede tener un máximo de dos claves de acceso por usuario.
importante
Los usuarios de IAM con claves de acceso suponen un riesgo para la seguridad de las cuentas. Administre las claves de acceso de forma segura. No proporcione sus claves de acceso a terceros no autorizados, ni siquiera para que le ayuden a buscar sus identificadores de cuenta. Si lo hace, podría conceder a otra persona acceso permanente a su cuenta.
Al trabajar con claves de acceso, tenga en cuenta lo siguiente:
-
NO use las credenciales raíz de la cuenta para crear claves de acceso.
-
NO incluya claves de acceso ni información sobre credenciales en sus archivos de aplicación.
-
NO incluya archivos que contengan información de credenciales ni claves de acceso en el área del proyecto.
-
La información de credenciales o claves de acceso almacenadas en el archivo de credenciales de AWS compartido se almacenan en texto no cifrado.
Recomendaciones de supervisión
Después de crear las claves de acceso:
-
Utilice AWS CloudTrail para supervisar el uso de las claves de acceso y detectar cualquier intento de acceso no autorizado. Para obtener más información, consulte Registro de llamadas a IAM y a la API de AWS STS con AWS CloudTrail.
-
Configure alarmas de CloudWatch para notificar los intentos de denegación de acceso a los administradores a fin de ayudar a detectar actividades maliciosas. Para obtener más información, consulte la Guía del usuario de Amazon CloudWatch.
-
Revise, actualice y elimine periódicamente las claves de acceso si es necesario.
En las siguientes secciones, se detallan las tareas de administración asociadas a las claves de acceso.
Temas
- Permisos requeridos para administrar claves de acceso
- Cómo los usuarios de IAM pueden gestionar sus propias claves de acceso
- Cómo un administrador de IAM puede gestionar las claves de acceso de los usuarios de IAM
- Actualización de las claves de acceso
- Protección de las claves de acceso
- Uso de IAM con Amazon Keyspaces (para Apache Cassandra)