Administrar las contraseñas de los usuarios de IAM
Los usuarios de IAM que utilizan la AWS Management Console para trabajar con los recursos de AWS deben tener una contraseña para poder iniciar sesión. Puede crear, cambiar o eliminar la contraseña de un usuario de IAM en su cuenta de AWS.
Una vez que haya asignado una contraseña a un usuario, el usuario puede iniciar sesión en la AWS Management Console con la URL de inicio de sesión de su cuenta, que tiene este aspecto:
https://
12-digit-AWS-account-ID or alias
.signin.aws.amazon.com/console
Para obtener más información acerca de cómo los usuarios de IAM inician sesión en la AWS Management Console, consulte Cómo iniciar sesión en AWS en la Guía del usuario de AWS Sign-In.
Aunque los usuarios tengan sus propias contraseñas, deben seguir teniendo permisos para obtener acceso a los recursos de AWS. De forma predeterminada, un usuario no tiene permisos. Para conceder a los usuarios los permisos que necesitan, debe asignarles políticas o a los grupos a los que pertenezcan. Para obtener información sobre cómo crear usuarios y grupos, consulte Identidades de IAM . Para obtener información sobre cómo utilizar políticas para establecer permisos, consulte Cambio de los permisos de un usuario de IAM.
Puede conceder a los usuarios permiso para cambiar sus propias contraseñas. Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas. Para obtener más información acerca de cómo los usuarios acceden a la página de inicio de sesión de su cuenta, consulte Cómo iniciar sesión en AWS en la Guía del usuario de AWS Sign-In.
Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)
También puede utilizar la AWS Management Console para administrar contraseñas de los usuarios de IAM.
Las necesidades de acceso de sus usuarios pueden cambiar con el tiempo. Es posible que deba habilitar un usuario destinado al acceso a la CLI para poder acceder a la consola, cambiar la contraseña de un usuario porque recibe el correo electrónico con sus credenciales o eliminar un usuario cuando abandona la organización o ya no necesita acceso a AWS.
Para crear una contraseña para un usuario de IAM (consola)
Utilice este procedimiento para conceder a un usuario acceso a la consola mediante la creación de una contraseña asociada al nombre de usuario.
Para cambiar la contraseña de un usuario de IAM (consola)
Utilice este procedimiento para actualizar una contraseña asociada al nombre de usuario.
Para eliminar (desactivar) la contraseña de un usuario de IAM (consola)
Utilice este procedimiento para eliminar una contraseña asociada al nombre de usuario, lo que le quita al usuario el acceso a la consola.
importante
Puede desactivar el acceso de un usuario de IAM a la AWS Management Console eliminando su contraseña. Esto les impide iniciar sesión en la AWS Management Console utilizando sus credenciales de inicio de sesión. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de la AWS CLI, Tools for Windows PowerShell, API de AWS o Console Mobile Application de AWS.
Creación, cambio o eliminación de la contraseña de un usuario de IAM (AWS CLI)
También puede utilizar la API de la AWS CLI para administrar contraseñas de los usuarios de IAM.
Para crear una contraseña (AWS CLI)
-
(Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile
-
Para crear una contraseña, ejecute este comando: aws iam create-login-profile
Para cambiar la contraseña de un usuario (AWS CLI)
-
(Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile
-
Para cambiar una contraseña, ejecute este comando: aws iam update-login-profile
Para eliminar (deshabilitar) la contraseña de un usuario (AWS CLI)
-
(Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile
-
(Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: aws iam get-user
-
Para eliminar una contraseña, ejecute este comando: aws iam delete-login-profile
importante
Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la AWS Management Console. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de AWS CLI, Tools for Windows PowerShell, o llamadas de función de API de AWS. Cuando se utiliza la AWS CLI, Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una Cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte Eliminación de un usuario de IAM (AWS CLI).
Revocación de las sesiones de consola activas de un usuario antes de una hora específica (AWS CLI)
-
Para incrustar una política insertada que revoque las sesiones de consola activas de un usuario de IAM antes de una hora específica, utilice la siguiente política en línea y ejecute este comando: aws iam put-user-policy
Esta política insertada deniega todos los permisos e incluye la clave de condición
aws:TokenIssueTime
. Revoca las sesiones de consola activas del usuario antes de la hora especificada en el elementoCondition
de la política insertada. Reemplace el valor de la clave de condiciónaws:TokenIssueTime
por su propio valor.{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "
2014-05-07T23:47:00Z
" } } } } -
(Opcional) Para mostrar los nombres de las políticas insertadas en el usuario de IAM, ejecute este comando: aws iam list-user-policies
-
(Opcional) Para ver la política insertada con nombre incrustada en el usuario de IAM, ejecute este comando: aws iam get-user-policy
Creación, cambio o eliminación de la contraseña de un usuario de IAM (API de AWS)
También puede utilizar la API de la AWS para administrar contraseñas de los usuarios de IAM.
Para crear una contraseña (API de AWS)
-
(Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: GetLoginProfile
-
Para crear una contraseña, llame a esta operación: CreateLoginProfile
Para cambiar la contraseña de un usuario (API de AWS)
-
(Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: GetLoginProfile
-
Para cambiar una contraseña, llame a esta operación: UpdateLoginProfile
Para eliminar (deshabilitar) la contraseña de un usuario (API de AWS)
-
(Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: GetLoginProfile
-
(Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: GetUser
-
Para eliminar una contraseña, ejecute este comando: DeleteLoginProfile
importante
Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la AWS Management Console. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de AWS CLI, Tools for Windows PowerShell, o llamadas de función de API de AWS. Cuando se utiliza la AWS CLI, Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una Cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte Eliminación de un usuario de IAM (AWS CLI).
Revocación de las sesiones de consola activas de un usuario antes de una hora específica (API de AWS)
-
Para incrustar una política insertada que revoque las sesiones de consola activas de un usuario de IAM antes de una hora específica, utilice la siguiente política insertada y ejecute este comando: PutUserPolicy
Esta política insertada deniega todos los permisos e incluye la clave de condición
aws:TokenIssueTime
. Revoca las sesiones de consola activas del usuario antes de la hora especificada en el elementoCondition
de la política insertada. Reemplace el valor de la clave de condiciónaws:TokenIssueTime
por su propio valor.{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "
2014-05-07T23:47:00Z
" } } } } -
(Opcional) Para mostrar los nombres de las políticas insertadas en el usuario de IAM, ejecute este comando: ListUserPolicies
-
(Opcional) Para ver la política insertada con nombre incrustada en el usuario de IAM, ejecute este comando: GetUserPolicy