Administrar las contraseñas de los usuarios de IAM - AWS Identity and Access Management

Administrar las contraseñas de los usuarios de IAM

Los usuarios de IAM que utilizan la AWS Management Console para trabajar con los recursos de AWS deben tener una contraseña para poder iniciar sesión. Puede crear, cambiar o eliminar la contraseña de un usuario de IAM en su cuenta de AWS.

Una vez que haya asignado una contraseña a un usuario, el usuario puede iniciar sesión en la AWS Management Console con la URL de inicio de sesión de su cuenta, que tiene este aspecto:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Para obtener más información acerca de cómo los usuarios de IAM inician sesión en la AWS Management Console, consulte Cómo iniciar sesión en AWS en la Guía del usuario de AWS Sign-In.

Aunque los usuarios tengan sus propias contraseñas, deben seguir teniendo permisos para obtener acceso a los recursos de AWS. De forma predeterminada, un usuario no tiene permisos. Para conceder a los usuarios los permisos que necesitan, debe asignarles políticas o a los grupos a los que pertenezcan. Para obtener información sobre cómo crear usuarios y grupos, consulte Identidades de IAM . Para obtener información sobre cómo utilizar políticas para establecer permisos, consulte Cambio de los permisos de un usuario de IAM.

Puede conceder a los usuarios permiso para cambiar sus propias contraseñas. Para obtener más información, consulte Autorización para que los usuarios de IAM cambien sus contraseñas. Para obtener más información acerca de cómo los usuarios acceden a la página de inicio de sesión de su cuenta, consulte Cómo iniciar sesión en AWS en la Guía del usuario de AWS Sign-In.

Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)

También puede utilizar la AWS Management Console para administrar contraseñas de los usuarios de IAM.

Las necesidades de acceso de sus usuarios pueden cambiar con el tiempo. Es posible que deba habilitar un usuario destinado al acceso a la CLI para poder acceder a la consola, cambiar la contraseña de un usuario porque recibe el correo electrónico con sus credenciales o eliminar un usuario cuando abandona la organización o ya no necesita acceso a AWS.

Para crear una contraseña para un usuario de IAM (consola)

Utilice este procedimiento para conceder a un usuario acceso a la consola mediante la creación de una contraseña asociada al nombre de usuario.

IAM console
  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación, seleccione Usuarios.

  4. Elija el nombre del usuario cuya contraseña desea crear.

  5. Elija la pestaña Credenciales de seguridad y luego, en Inicio de sesión en la consola, elija Habilitar el acceso a la consola.

  6. En el cuadro de diálogo Habilitar el acceso a la consola, seleccione Restablecer contraseña y seleccione si IAM debe generar una contraseña o crear una contraseña personalizada:

    • Para que IAM genere una contraseña, elija Contraseña generada automáticamente.

    • Para crear una contraseña personalizada, elija Custom password (Contraseña personalizada) y escriba la contraseña.

      nota

      La contraseña que cree debe cumplir con la política de contraseñas de la cuenta.

  7. Para exigir al usuario que cree una contraseña nueva cuando inicie sesión, seleccione Exigir cambio de contraseña en el próximo inicio de sesión.

  8. Para exigir al usuario que utilice la nueva contraseña inmediatamente, seleccione Revocar sesiones activas de la consola. De este modo, se adjunta una política insertada al usuario de IAM que le deniega el acceso a los recursos si sus credenciales son anteriores a la fecha especificada en la política.

  9. Seleccione Restablecer contraseña.

  10. En el cuadro de diálogo Contraseña de la consola, se le informa que ha activado la nueva contraseña del usuario. Para ver la contraseña y poder compartirla con el usuario, seleccione Mostrar en el cuadro de diálogo Contraseña de la consola. Seleccione Descargar archivo .csv para descargar un archivo con las credenciales del usuario.

    importante

    Por motivos de seguridad, no puede obtener acceso a la contraseña después de completar este paso, pero puede crear una nueva contraseña en cualquier momento.

La consola muestra un mensaje de estado en el que se le informa que se ha habilitado el acceso a la consola.

Para cambiar la contraseña de un usuario de IAM (consola)

Utilice este procedimiento para actualizar una contraseña asociada al nombre de usuario.

IAM console
  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación, seleccione Usuarios.

  4. Elija el nombre del usuario cuya contraseña desea cambiar.

  5. Elija la pestaña Credenciales de seguridad y luego, en Inicio de sesión en la consola, elija Administrar el acceso a la consola.

  6. En el cuadro de diálogo Administrar el acceso a la consola, seleccione Restablecer contraseña y seleccione si IAM debe generar una contraseña o crear una contraseña personalizada:

    • Para que IAM genere una contraseña, elija Contraseña generada automáticamente.

    • Para crear una contraseña personalizada, elija Custom password (Contraseña personalizada) y escriba la contraseña.

      nota

      La contraseña que cree debe cumplir con la política de contraseñas de la cuenta.

  7. Para exigir al usuario que cree una contraseña nueva cuando inicie sesión, seleccione Exigir cambio de contraseña en el próximo inicio de sesión.

  8. Para exigir al usuario que utilice la nueva contraseña inmediatamente, seleccione Revocar sesiones activas de la consola. De este modo, se adjunta una política insertada al usuario de IAM que le deniega el acceso a los recursos si sus credenciales son anteriores a la fecha especificada en la política.

  9. Seleccione Restablecer contraseña.

  10. En el cuadro de diálogo Contraseña de la consola, se le informa que ha activado la nueva contraseña del usuario. Para ver la contraseña y poder compartirla con el usuario, seleccione Mostrar en el cuadro de diálogo Contraseña de la consola. Seleccione Descargar archivo .csv para descargar un archivo con las credenciales del usuario.

    importante

    Por motivos de seguridad, no puede obtener acceso a la contraseña después de completar este paso, pero puede crear una nueva contraseña en cualquier momento.

La consola muestra un mensaje de estado en el que se le informa que se ha actualizado el acceso a la consola.

Para eliminar (desactivar) la contraseña de un usuario de IAM (consola)

Utilice este procedimiento para eliminar una contraseña asociada al nombre de usuario, lo que le quita al usuario el acceso a la consola.

importante

Puede desactivar el acceso de un usuario de IAM a la AWS Management Console eliminando su contraseña. Esto les impide iniciar sesión en la AWS Management Console utilizando sus credenciales de inicio de sesión. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de la AWS CLI, Tools for Windows PowerShell, API de AWS o Console Mobile Application de AWS.

IAM console
  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación, seleccione Usuarios.

  4. Elija el nombre del usuario cuya contraseña desea eliminar.

  5. Elija la pestaña Credenciales de seguridad y luego, en Inicio de sesión en la consola, elija Administrar el acceso a la consola.

  6. Para exigir al usuario que deje de usar la consola inmediatamente, seleccione Revocar sesiones activas de la consola. De este modo, se adjunta una política insertada al usuario de IAM que le deniega el acceso a los recursos si sus credenciales son anteriores a la fecha especificada en la política.

  7. Seleccione Deshabilitar el acceso.

La consola muestra un mensaje de estado en el que se le informa que se ha deshabilitado el acceso a la consola.

Creación, cambio o eliminación de la contraseña de un usuario de IAM (AWS CLI)

También puede utilizar la API de la AWS CLI para administrar contraseñas de los usuarios de IAM.

Para crear una contraseña (AWS CLI)
  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile

  2. Para crear una contraseña, ejecute este comando: aws iam create-login-profile

Para cambiar la contraseña de un usuario (AWS CLI)
  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile

  2. Para cambiar una contraseña, ejecute este comando: aws iam update-login-profile

Para eliminar (deshabilitar) la contraseña de un usuario (AWS CLI)
  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: aws iam get-login-profile

  2. (Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: aws iam get-user

  3. Para eliminar una contraseña, ejecute este comando: aws iam delete-login-profile

importante

Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la AWS Management Console. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de AWS CLI, Tools for Windows PowerShell, o llamadas de función de API de AWS. Cuando se utiliza la AWS CLI, Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una Cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte Eliminación de un usuario de IAM (AWS CLI).

Revocación de las sesiones de consola activas de un usuario antes de una hora específica (AWS CLI)
  1. Para incrustar una política insertada que revoque las sesiones de consola activas de un usuario de IAM antes de una hora específica, utilice la siguiente política en línea y ejecute este comando: aws iam put-user-policy

    Esta política insertada deniega todos los permisos e incluye la clave de condición aws:TokenIssueTime. Revoca las sesiones de consola activas del usuario antes de la hora especificada en el elemento Condition de la política insertada. Reemplace el valor de la clave de condición aws:TokenIssueTime por su propio valor.

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (Opcional) Para mostrar los nombres de las políticas insertadas en el usuario de IAM, ejecute este comando: aws iam list-user-policies

  3. (Opcional) Para ver la política insertada con nombre incrustada en el usuario de IAM, ejecute este comando: aws iam get-user-policy

Creación, cambio o eliminación de la contraseña de un usuario de IAM (API de AWS)

También puede utilizar la API de la AWS para administrar contraseñas de los usuarios de IAM.

Para crear una contraseña (API de AWS)
  1. (Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: GetLoginProfile

  2. Para crear una contraseña, llame a esta operación: CreateLoginProfile

Para cambiar la contraseña de un usuario (API de AWS)
  1. (Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: GetLoginProfile

  2. Para cambiar una contraseña, llame a esta operación: UpdateLoginProfile

Para eliminar (deshabilitar) la contraseña de un usuario (API de AWS)
  1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: GetLoginProfile

  2. (Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: GetUser

  3. Para eliminar una contraseña, ejecute este comando: DeleteLoginProfile

importante

Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la AWS Management Console. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de AWS CLI, Tools for Windows PowerShell, o llamadas de función de API de AWS. Cuando se utiliza la AWS CLI, Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una Cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte Eliminación de un usuario de IAM (AWS CLI).

Revocación de las sesiones de consola activas de un usuario antes de una hora específica (API de AWS)
  1. Para incrustar una política insertada que revoque las sesiones de consola activas de un usuario de IAM antes de una hora específica, utilice la siguiente política insertada y ejecute este comando: PutUserPolicy

    Esta política insertada deniega todos los permisos e incluye la clave de condición aws:TokenIssueTime. Revoca las sesiones de consola activas del usuario antes de la hora especificada en el elemento Condition de la política insertada. Reemplace el valor de la clave de condición aws:TokenIssueTime por su propio valor.

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (Opcional) Para mostrar los nombres de las políticas insertadas en el usuario de IAM, ejecute este comando: ListUserPolicies

  3. (Opcional) Para ver la política insertada con nombre incrustada en el usuario de IAM, ejecute este comando: GetUserPolicy