Configuración de una política de contraseñas de la cuenta para usuarios de IAM - AWS Identity and Access Management
Reglas para configurar una política de contraseñasPermisos necesarios para establecer una política de contraseñasPolítica de contraseñas predeterminadaOpciones de la política de contraseñas personalizadaCómo configurar una política de contraseñas (consola)Cómo cambiar una política de contraseñas (consola)Para eliminar una política de contraseñas personalizada (consola)Configuración de una política de contraseñas (AWS CLI)Configuración de una política de contraseñas (API de AWS)

Configuración de una política de contraseñas de la cuenta para usuarios de IAM

Puede establecer una política de contraseñas personalizada en la Cuenta de AWS para especificar los requisitos de complejidad y los periodos de rotación obligatorios de las contraseñas de los usuarios de IAM. Si no establece una política de contraseñas personalizada, las contraseñas de los usuarios de IAM deberán cumplir con la política de contraseñas predeterminada de AWS. Para obtener más información, consulte Opciones de la política de contraseñas personalizada.

Reglas para configurar una política de contraseñas

La política de contraseñas de IAM no se aplica a la contraseña de Usuario raíz de la cuenta de AWS ni a las claves de acceso de los usuarios de IAM. Si una contraseña vence, el usuario de IAM no podrá iniciar sesión en la AWS Management Console, pero podrá seguir utilizando sus claves de acceso.

Al crear o cambiar una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Sin embargo, algunos de los ajustes se aplican de forma inmediata. Por ejemplo:

  • Cuando cambian los requisitos de longitud mínima y de tipos de caracteres, esta configuración se aplica la próxima vez que los usuarios cambian la contraseña. Los usuarios no están obligados a cambiar sus contraseñas, aunque las contraseñas existentes no cumplan la política de contraseñas actualizada.

  • Si configura el periodo de vencimiento de una contraseña, este se aplica de forma inmediata. Por ejemplo, supongamos que se establece un periodo de vencimiento de la contraseña de 90 días. En ese caso, la contraseña vence para todos los usuarios de IAM cuya contraseña existente tiene más de 90 días. Esos usuarios deberán cambiar su contraseña la próxima vez que inicien sesión.

No puede crear una “política de bloqueo” para bloquear a los usuarios el acceso a la cuenta después de un número específico de intentos fallidos de inicio de sesión. Para mejorar la seguridad, se recomienda combinar una política de contraseñas seguras con la autenticación multifactor (MFA). Para obtener más información acerca de MFA, consulte Autenticación multifactor de AWS en IAM.

Permisos necesarios para establecer una política de contraseñas

Debe configurar permisos para permitir que una entidad (usuario o rol) de IAM vea o edite la política de contraseñas de cuenta. Puede incluir las siguientes acciones de política de contraseñas en una política de IAM:

  • iam:GetAccountPasswordPolicy: permite a la entidad ver la política de contraseñas de su cuenta

  • iam:DeleteAccountPasswordPolicy: permite a la entidad eliminar la política de contraseñas personalizada para su cuenta y volver a la política de contraseñas predeterminada

  • iam:UpdateAccountPasswordPolicy: permite a la entidad crear o cambiar la política de contraseñas personalizada de su cuenta

La siguiente política permite el acceso total para ver y editar la política de contraseñas de la cuenta. Para obtener información sobre cómo crear una política de IAM mediante este documento de política JSON de ejemplo, consulte Creación de políticas mediante el editor JSON.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener información acerca de los permisos necesarios para que un usuario de IAM cambie su propia contraseña, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

Política de contraseñas predeterminada

Si un administrador no establece una política de contraseñas personalizada, las contraseñas de los usuarios de IAM deben cumplir con la política de contraseñas predeterminada de AWS.

La política de contraseñas predeterminada aplica las siguientes condiciones:

  • tener una longitud mínima de contraseña de 8 caracteres y una longitud máxima de 128 caracteres

  • Un mínimo de tres de los siguientes tipos de caracteres: mayúsculas, minúsculas, números y caracteres no alfanuméricos (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')

  • No ser idéntica al nombre de la Cuenta de AWS ni a la dirección de correo electrónico

  • La contraseña no caduca nunca

Opciones de la política de contraseñas personalizada

Cuando configure una política de contraseñas personalizada para su cuenta, podrá especificar las siguientes condiciones:

  • Establecer la longitud mínima de la contraseña: usted puede especificar un mínimo de 6 caracteres y un máximo de 128 caracteres.

  • Establecer la seguridad de la contraseña: usted puede seleccionar cualquiera de las siguientes casillas de verificación para definir la seguridad de las contraseñas de los usuarios de IAM:

    • Exija al menos una letra mayúscula del alfabeto latino (A-Z).

    • Exija al menos una letra minúscula del alfabeto latino (a-z).

    • Exija al menos un número

    • Exija al menos un carácter no alfanumérico ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '.

  • Activar el vencimiento de la contraseña: puede seleccionar y especificar un mínimo de 1 día y un máximo de 1095 días de validez de las contraseñas de los usuarios de IAM una vez establecidas. Por ejemplo, si especifica un vencimiento de 90 días, afecta inmediatamente a todos los usuarios. Los usuarios con contraseñas de más de 90 días, cuando inician sesión en la consola después del cambio, deben establecer una nueva contraseña. Los usuarios con contraseñas de entre 75 y 89 días de antigüedad reciben un aviso en la AWS Management Console sobre el vencimiento de su contraseña. Los usuarios de IAM pueden cambiar su contraseña en cualquier momento si tienen permiso para hacerlo. Cuando establecen una contraseña nueva, el periodo de vencimiento para esa contraseña vuelve a comenzar. Un usuario de IAM solo puede tener una contraseña válida a la vez.

  • La caducidad de la contraseña requiere un restablecimiento por parte del administrador: seleccione esta opción para evitar que los usuarios de IAM utilicen la AWS Management Console para actualizar sus propias contraseñas después de que la contraseña caduque. Antes de seleccionar esta opción, confirme que su Cuenta de AWS tenga más de un usuario con permisos administrativos para restablecer las contraseñas de los usuarios de IAM. Los administradores con el permiso iam:UpdateLoginProfile pueden restablecer las contraseñas de usuario de IAM. Los usuarios de IAM con el permiso iam:ChangePassword y las claves de acceso activas pueden restablecer su propia contraseña de la consola de usuario de IAM mediante programación. Si desactiva esta casilla de verificación, los usuarios de IAM con contraseñas vencidas aún deberán establecer una nueva contraseña antes de poder acceder a la AWS Management Console.

  • Permitir que los usuarios cambien su propia contraseña: puede permitir que todos los usuarios de IAM de su cuenta cambien su propia contraseña. Esto permite a los usuarios acceder a la acción iam:ChangePassword solo para su usuario y a la acción iam:GetAccountPasswordPolicy. Esta opción no adjunta una política de permisos a cada usuario. Más bien, IAM aplica los permisos en la cuenta para todos los usuarios. También puede permitir que solo algunos usuarios administren sus propias contraseñas. Para ello, desactive esta casilla de verificación. Para obtener más información acerca del uso de políticas para limitar quién puede administrar contraseñas, consulte Autorización para que los usuarios de IAM cambien sus contraseñas.

  • Impedir la reutilización de las contraseñas: puede impedir que los usuarios de IAM reutilicen una cantidad específica de contraseñas anteriores. Puede especificar un número mínimo de 1 y un número máximo de 24 contraseñas anteriores que no se pueden repetir.

Cómo configurar una política de contraseñas (consola)

Puede utilizar la AWS Management Console para crear, cambiar o eliminar una política de contraseñas personalizada. Los cambios en la política de contraseñas se aplican a los nuevos usuarios de IAM creados después de estos cambios y a los usuarios de IAM existentes cuando cambian sus contraseñas.

IAM console

  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación, elija Configuración de cuenta.

  4. En la sección Password policy (Política de contraseñas), elija Edit (Editar).

  5. Elija Custom (Personalizado) para usar una política de contraseñas personalizada.

  6. Seleccione las opciones que desee aplicar a su política de contraseñas y elija Save changes (Guardar cambios).

  7. Para confirmar que desea establecer la política de contraseñas personalizada, seleccione Set custom (Establecer la política personalizada).

La consola muestra un mensaje de estado en el que se le informa que se han actualizado los requisitos de contraseña para los usuarios de IAM.

Cómo cambiar una política de contraseñas (consola)

Puede utilizar la AWS Management Console para crear, cambiar o eliminar una política de contraseñas personalizada. Los cambios en la política de contraseñas se aplican a los nuevos usuarios de IAM creados después de estos cambios y a los usuarios de IAM existentes cuando cambian sus contraseñas.

IAM console

  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación, elija Configuración de cuenta.

  4. En la sección Password policy (Política de contraseñas), elija Edit (Editar).

  5. Seleccione las opciones que desee aplicar a su política de contraseñas y elija Save changes (Guardar cambios).

  6. Para confirmar que desea establecer la política de contraseñas personalizada, seleccione Set custom (Establecer la política personalizada).

La consola muestra un mensaje de estado en el que se le informa que se han actualizado los requisitos de contraseña para los usuarios de IAM.

Para eliminar una política de contraseñas personalizada (consola)

Puede utilizar la AWS Management Console para crear, cambiar o eliminar una política de contraseñas personalizada. Los cambios en la política de contraseñas se aplican a los nuevos usuarios de IAM creados después de estos cambios y a los usuarios de IAM existentes cuando cambian sus contraseñas.

IAM console

  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación, elija Configuración de cuenta.

  4. En la sección Password policy (Política de contraseñas), elija Edit (Editar).

  5. Elija IAM default (Predeterminado de IAM) para eliminar la política de contraseñas personalizada y elija Save changes (Guardar cambios).

  6. Para confirmar que desea establecer la política de contraseñas predeterminada de IAM, seleccione Set default (Establecer la política predeterminada).

La consola muestra un mensaje de estado en el que se le informa que la política de contraseñas está configurada como predeterminada de IAM.

Configuración de una política de contraseñas (AWS CLI)

Puede utilizar la AWS Command Line Interface para establecer una política de contraseñas.

Para administrar la política personalizada de contraseñas de cuentas desde la AWS CLI

Ejecute los comandos siguientes:

Configuración de una política de contraseñas (API de AWS)

Puede utilizar las operaciones de la API de AWS para establecer una política de contraseñas.

Para administrar la política personalizada de contraseñas de cuentas desde la API de AWS

Llame a las siguientes operaciones: