# Grupos de usuarios de IAM
<a name="id_groups"></a>

Un [*grupo de usuarios*](#id_groups) de IAM es un conjunto de usuarios de IAM. Los grupos de usuarios le permiten especificar permisos para varios usuarios, lo que puede facilitar la administración de los permisos para dichos usuarios. Por ejemplo, podría tener un grupo de usuarios denominado *Admins* (Administradores) y proporcionar a dicho grupo de los tipos de permisos que los administradores suelen necesitar. Cualquier usuario de ese grupo tiene automáticamente permisos del grupo *Admins* (Administradores). Si un nuevo usuario se une a su organización y necesita privilegios de administrador, puede asignar los permisos adecuados al agregar el usuario al grupo de usuarios *Admins* (Administradores). Si una persona cambia de trabajo en su organización, en lugar de editar los permisos de ese usuario puede eliminarlo de los antiguos grupos de IAM y agregarlo a los nuevos grupos de IAM correspondientes. 

Puede asociar una política basada en identidad a un grupo de usuarios para que todos los usuarios del grupo reciban los permisos de la política. No puede identificar un grupo de usuarios como `Principal` en una política (como una política basada en recursos) porque los grupos están relacionados con los permisos, no con la autenticación, y las entidades principales son entidades de IAM autenticadas. Para obtener más información acerca de los tipos de políticas, consulte [Políticas basadas en identidad y políticas basadas en recursos](access_policies_identity-vs-resource.md).

A continuación, algunas características importantes de los grupos de IAM:
+ Un grupo de usuarios puede incluir muchos usuarios y un usuario puede pertenecer a varios grupos de usuarios.
+ Los grupos de usuarios no pueden anidarse; solo pueden contener usuarios y no otros grupos de IAM.
+ No hay ningún grupo de usuarios predeterminado que incluya automáticamente todos los usuarios de la Cuenta de AWS. Si desea tener un grupo de usuarios de este tipo, debe crearlo y asignarle cada nuevo usuario.
+ El número y tamaño de recursos de IAM de un Cuenta de AWS, como el número de grupos y el número de grupos de los que un usuario puede ser miembro, son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

En el siguiente diagrama se muestra un ejemplo sencillo de un pequeño negocio. El propietario del negocio crea un grupo de usuarios `Admins` para que los usuarios creen otros usuarios y los administren a medida que crece el negocio. La `Admins` crea un grupo de usuarios `Developers` y un grupo de usuarios `Test`. Cada uno de estos grupos de IAM se compone de usuarios (personas y aplicaciones) que interactúan con AWS (Jim, Brad, DevApp1, etc.). Cada usuario tiene un conjunto individual de credenciales de seguridad. En este ejemplo, cada usuario pertenece a un solo grupo de usuarios. Sin embargo, los usuarios pueden pertenecer a varios grupos de IAM.

![\[Ejemplo de relación entre Cuentas de AWS, usuarios y grupos de IAM\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/Relationship_Between_Entities_Example.diagram.png)


# Creación de grupos de IAM
<a name="id_groups_create"></a>

**nota**  
Como [práctica recomendada](best-practices.md), le recomendamos que exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales. Si sigue las prácticas recomendadas, no estará administrando usuarios ni grupos de IAM. En cambio, sus usuarios y grupos se administran fuera de AWS y pueden acceder a los recursos de AWS como una *identidad federada*. Una identidad federada es un usuario del directorio de usuarios de su empresa, un proveedor de identidades web, AWS Directory Service, el directorio de Identity Center o cualquier usuario que acceda a los servicios de AWS con credenciales proporcionadas a través de una fuente de identidades. Las identidades federadas utilizan los grupos definidos por su proveedor de identidades. Si utiliza AWS IAM Identity Center, consulte [Manage identities in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) (Administración de identidades en IAM Identity Center) en la *Guía del usuario de AWS IAM Identity Center* para obtener información sobre la creación de usuarios y grupos en IAM Identity Center.

Puede crear grupos de IAM para administrar los permisos de acceso de varios usuarios con responsabilidades o roles similares. Al adjuntar políticas a estos grupos, puede conceder permisos a conjuntos completos de usuarios o revocarlos. Esto simplifica el mantenimiento de las políticas de seguridad, ya que los cambios que haga en los permisos de un grupo se aplican automáticamente a todos los miembros de ese grupo, lo que garantiza un control de acceso coherente. Después de crear el grupo, asigne los permisos del grupo en función del tipo de trabajo que espera que los usuarios de IAM hagan en el grupo y agregue usuarios de IAM al grupo.

Para obtener información sobre los permisos necesarios para crear un grupo de IAM, consulte [Permisos obligatorios para obtener acceso a recursos de IAM](access_permissions-required.md). 

## Creación de un grupo de IAM y adjuntar políticas
<a name="id_groups_create-section-1"></a>

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Grupos de usuarios** y, a continuación, elija **Crear nuevo grupo**.

1. En **Nombre de grupo de usuarios**, escriba el nombre del grupo.
**nota**  
El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md). Los nombres de grupo pueden ser una combinación de un máximo de 128 letras, dígitos y los siguientes caracteres: más (\$1), igual (=), coma (,), punto (.), arroba (@), guion bajo (\$1) y guion (-). Los nombres deben ser únicos dentro de una cuenta. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear funciones denominados **ADMINS** ni **admins**.

1. En la lista de usuarios, seleccione la casilla de verificación de cada usuario que desee agregar al grupo.

1. En la lista de políticas, seleccione la casilla de verificación de cada política que desea aplicar a todos los miembros del grupo.

1. Elija **Crear grupo**.

------
#### [ AWS CLI ]

Ejecute el siguiente comando:
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)

------

# Visualización de grupos de IAM
<a name="id_groups_manage_list"></a>

Puede enumerar todos los grupos de IAM de su cuenta, enumerar los usuarios de un grupo de usuarios y enumerar los grupos de IAM a los que pertenece un usuario. Si utiliza la CLI o la API, puede enumerar todos los grupos de IAM de un determinado prefijo de ruta de acceso.

------
#### [ Console ]

Para enumerar todos los grupos de IAM de su cuenta:
+ En el panel de navegación, elija **Grupos de usuarios**.

Para enumerar los usuarios de IAM de un grupo específico de usuarios:
+ En el panel de navegación, elija **User groups** (Grupos de usuarios). A continuación, elija el nombre del grupo para abrir la página de detalles del grupo. Revise la pestaña **Usuarios** para ver los miembros del grupo.

Para enumerar todos los grupos de IAM en los que se encuentra un usuario:
+ En el panel de navegación, seleccione **Usuarios**. A continuación, elija el nombre del usuario para abrir la página de detalles del usuario. Elija la pestaña **Grupos** para ver una lista de los grupos a los que pertenece el usuario.

------
#### [ AWS CLI ]

Para enumerar todos los grupos de IAM de su cuenta:
+ [aws iam list-groups](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups.html)

Para obtener una lista de los usuarios de un grupo de IAM específico:
+ [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html)

Para enumerar todos los grupos de IAM en los que se encuentra un usuario:
+ [aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)

------
#### [ API ]

Para enumerar todos los grupos de IAM de su cuenta:
+ [ListGroups](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroups.html)

Para obtener una lista de los usuarios de un grupo de IAM específico:
+ [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)

Para enumerar todos los grupos de IAM en los que se encuentra un usuario:
+ [ListGroupsForUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)

------

# Edición de usuarios de grupos de IAM
<a name="id_groups_manage_add-remove-users"></a>

Utilice los grupos de IAM para aplicar las mismas políticas de permisos en varios usuarios a la vez. Puede entonces agregar o eliminar usuarios de un grupo de IAM. Esto resulta útil, ya que los empleados van y vienen de su organización.

## Revisión del acceso a las políticas
<a name="groups-remove_prerequisites"></a>

Antes de eliminar un grupo, use la página de detalles del grupo para revisar los miembros (usuarios de IAM) del grupo y las políticas adjuntas al grupo en la pestaña **Permisos** y revise la actividad reciente por servicio en la pestaña **Último acceso**. Esto ayuda a evitar que se le quite el acceso de forma involuntaria a una entidad principal (persona o aplicación) que lo esté utilizando. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Adición de un usuario de IAM a un grupo de IAM
<a name="groups-add-remove-console"></a>

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Grupos de usuarios** y, a continuación, elija el nombre del grupo.

1. Elija la pestaña **Usuarios** y, a continuación, elija **Agregar usuarios**. Seleccione la casilla de verificación junto a los usuarios que desee agregar.

1. Elija **Agregar usuarios**.

------
#### [ AWS CLI ]

Ejecute el siguiente comando:
+ `[aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)`

------
#### [ API ]

Llame a la operación siguiente:
+ `[AddUserToGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AddUserToGroup.html)`

------

## Eliminación de un usuario de IAM de un grupo de IAM
<a name="id_groups_manage_add-remove-users-section-1"></a>

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Grupos de usuarios** y, a continuación, elija el nombre del grupo.

1. Elija la pestaña **Users**. Seleccione la casilla de verificación junto a los usuarios que desee eliminar y, a continuación, elija **Eliminar usuarios**.

------
#### [ AWS CLI ]

Ejecute el siguiente comando:
+ `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)`

------
#### [ API ]

Llame a la operación siguiente:
+ `[RemoveUserFromGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html)`

------

# Adjunto de una política a un grupo de usuarios de IAM
<a name="id_groups_manage_attach-policy"></a>

Puede asociar una [política administrada de AWS](access_policies_managed-vs-inline.md#aws-managed-policies) es decir, una política escrita previamente proporcionada por AWS a un grupo de usuarios, tal como se explica en los pasos siguientes. Para asociar una política administrada por el cliente es decir, una política con los permisos personalizados que ha creado primero debe crear la política. Para obtener más información sobre la creación de políticas administradas por el cliente, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md). 

Para obtener más información sobre permisos y políticas, consulte [Recursos de AWS para administración de acceso](access.md). 

## Adjunción de una política a un grupo de IAM
<a name="id_groups_manage_attach-policy-section-1"></a>

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Grupos de usuarios** y, a continuación, elija el nombre del grupo.

1. Elija la pestaña **Permisos**.

1. Elija **Agregar permisos** y luego **Adjuntar políticas**.

1. Las políticas actuales adjuntas al grupo de usuarios se muestran en la lista de **Políticas de permisos actuales**. En la lista de **Otras políticas de permisos**, seleccione la casilla de verificación junto al nombre de las políticas que desea adjuntar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas por tipo y nombre de política.

1. Seleccione la política que desee adjuntar a su grupo de IAM y elija **Adjuntar políticas**.

------
#### [ AWS CLI ]

Ejecute el siguiente comando:
+ `[aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)`

------
#### [ API ]

Llame a la operación siguiente:
+ `[AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)`

------

# Cambio del nombre de un grupo de usuarios de IAM
<a name="id_groups_manage_rename"></a>

Cuando cambia la ruta o el nombre de un grupo de usuarios, ocurre lo siguiente: 
+ Todas las políticas asociadas al grupo de usuarios permanecen en el grupo con el nuevo nombre.
+ El grupo de usuarios conserva todos sus usuarios bajo el nuevo nombre.
+ El ID único del grupo de usuarios sigue siendo el mismo. Para obtener más información sobre los ID únicos, consulte [Identificadores únicos](reference_identifiers.md#identifiers-unique-ids). 

IAM no actualiza automáticamente las políticas que hacen referencia al grupo como recurso para utilizar el nuevo nombre. Por lo tanto, debe tener cuidado al cambiar el nombre de un grupo de usuarios. Antes de hacerlo, deberá comprobar manualmente todas sus políticas para encontrar aquellas en las que se menciona el nombre del grupo de usuarios. Por ejemplo, supongamos que Bob es el administrador de la parte de pruebas de la organización. Bob tiene una política asociada a su entidad de usuario de IAM que le permite agregar y quitar usuarios del grupo de usuarios Test. Si un administrador cambia el nombre del grupo de usuarios (o cambia la ruta del grupo), también debe actualizar la política asociada para que Bob utilice el nuevo nombre o ruta. De lo contrario, Bob no podrá agregar ni quitar usuarios del grupo de usuarios. 

**Para buscar las políticas que hacen referencia a un grupo de IAM como recurso:**

1. En el panel de navegación de la consola de IAM, elija **Políticas**.

1. Ordena por la columna **Tipo** para buscar sus políticas personalizadas **Gestión por el cliente**.

1. Elija el nombre de la política para editarlo.

1. Seleccione la pestaña **Permisos** y, a continuación, **Resumen**.

1. Elija **IAM** en la lista de servicios, en caso de que exista.

1. Busque el nombre del grupo de usuarios en la columna **Recurso**.

1. Seleccione **Editar** para cambiar el nombre del grupo de usuarios en la política.

## Para cambiar el nombre de un grupo de usuarios de IAM
<a name="id_groups_manage_rename-section-1"></a>

------
#### [ Console ]

1. En el panel de navegación, seleccione **Grupos de usuarios** y, a continuación, seleccione el nombre del grupo.

1. Seleccione **Editar**. Escriba el nuevo nombre del grupo de usuarios y, a continuación, elija **Guardar los cambios**.

------
#### [ AWS CLI ]

Ejecute el siguiente comando:
+ [aws iam update-group](https://docs.aws.amazon.com/cli/latest/reference/iam/update-group.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [UpdateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateGroup.html)

------

# Eliminación de un grupo de IAM
<a name="id_groups_manage_delete"></a>

Si elimina un grupo de IAM en la consola, esta eliminará automáticamente todos los miembros del grupo, desasociará todas las políticas administradas y eliminará todas las políticas insertadas. Sin embargo, dado que IAM no elimina automáticamente las políticas que hacen referencia al grupo como recurso, debe tener cuidado al eliminar un grupo de IAM. Antes de eliminar el grupo de IAM, revise manualmente las políticas para encontrar aquellas en las que se menciona el grupo por el nombre. Por ejemplo, John, el director del equipo de pruebas, tiene una política asociada a su entidad de usuario de IAM que le permite agregar y eliminar usuarios del grupo de usuarios de pruebas. Si un administrador elimina el grupo, también deberá eliminar la política asociada a John. De lo contrario, si el administrador vuelve a crear el grupo eliminado y le da el mismo nombre, los permisos de John seguirán vigentes, aunque haya abandonado el equipo de pruebas.

En cambio, si utiliza la CLI, el SDK o la API para eliminar un grupo de usuarios, antes debe eliminar los usuarios del grupo. A continuación, elimine cualquier política insertada que esté incrustada en el grupo de IAM. A continuación, desasocie cualquier política administrada que esté adjunta al grupo. Luego podrá eliminar el propio grupo de IAM.

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **User groups** (Grupos de usuarios).

1. En la lista de grupos de IAM, seleccione la casilla de verificación junto al nombre del grupo de IAM que desea eliminar. Puede utilizar el cuadro de búsqueda para filtrar la lista de grupos de IAM por tipo, permisos y nombre de grupo.

1. Elija **Eliminar**.

1. En el cuadro de confirmación, si desea eliminar un solo grupo, escriba el nombre del grupo y elija **Eliminar**. Si desea eliminar varios grupos, escriba el número de grupos de IAM que desea eliminar seguido de **user groups** y elija **Eliminar**. Por ejemplo, si elimina tres grupos, escriba **3 **user groups****.

------
#### [ AWS CLI ]

1. Elimine todos los usuarios del grupo de IAM.
   + [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) (para obtener la lista de usuarios del grupo de IAM) y [aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html) (para eliminar un usuario del grupo de IAM)

1. Elimine todas las políticas insertadas que estén incrustadas en el grupo de IAM.
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html) (para obtener una lista de las políticas insertadas del grupo de IAM) y [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html) (para eliminar las políticas insertadas del grupo de IAM)

1. Desasocie todas las políticas administradas asociadas al grupo de IAM.
   + [aws iam list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html) (para obtener una lista de las políticas administradas asociadas al grupo de IAM) y [aws iam detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html) (para desasociar una política administrada del grupo de IAM)

1. Elimine el grupo de IAM.
   + [aws iam delete-group](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group.html)

------
#### [ API ]

1. Elimine todos los usuarios del grupo de IAM.
   + [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html) (para obtener la lista de usuarios del grupo de IAM) y [RemoveUserFromGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) (para eliminar un usuario del grupo de IAM)

1. Elimine todas las políticas insertadas que estén incrustadas en el grupo de IAM.
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html) (para obtener una lista de las políticas insertadas del grupo de IAM) y [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html) (para eliminar las políticas insertadas del grupo de IAM)

1. Desasocie todas las políticas administradas asociadas al grupo de IAM.
   + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html) (para obtener una lista de las políticas administradas asociadas al grupo de IAM) y [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html) (para desasociar una política administrada del grupo de IAM)

1. Elimine el grupo de IAM.
   + [DeleteGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroup.html)

------