# Usuarios de IAM
<a name="id_users"></a>

**importante**  
 Las [prácticas recomendadas](best-practices.md) de IAM sugieren que exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales, en lugar de utilizar usuarios de IAM con credenciales a largo plazo. Para los [casos de uso específicos](gs-identities-iam-users.md) no compatibles con usuarios federados, recomendamos utilizar únicamente usuarios de IAM.

Un *usuario de IAM* es una entidad que se crea en Cuenta de AWS. El usuario de IAM representa al usuario humano o carga de trabajo que utiliza el usuario de IAM para interactuar con los recursos de AWS. Un usuario de IAM consta de un nombre y credenciales.

Un usuario de IAM con permisos de administrador no es lo mismo que el Usuario raíz de la cuenta de AWS. Para obtener más información sobre el usuario raíz, consulte [Usuario raíz de la cuenta de AWS](id_root-user.md).

## ¿Cómo AWS identifica un usuario de IAM?
<a name="id_users_create_aws-identifiers"></a>

Al crear un usuario de IAM, IAM crea estas formas de identificar dicho usuario:
+ Un “nombre fácil de recordar” para el usuario de IAM, que es el nombre que especificó al crear el usuario de IAM, como `Richard` o `Anaya`. Estos son los nombres que aparecen en la Consola de administración de AWS. Los nombres de usuario de IAM aparecen en los Nombres de Recursos de Amazon (ARN), por lo que no recomendamos incluir información de identificación personal en el nombre de IAM. Consulte [Requisitos de nombres de IAM](reference_iam-quotas.md#reference_iam-quotas-names) para obtener información sobre los requisitos y las restricciones de los nombres de IAM.
+ Un Amazon Resource Name (Nombre de recurso de Amazon [ARN]) para el usuario de IAM. Puede utilizar el ARN cuando necesite identificar de forma inequívoca el usuario de IAM en todo AWS. Por ejemplo, puede utilizar un ARN para especificar el usuario de IAM como entidad `Principal` en una política de IAM para un bucket de Amazon S3. Un ARN para un usuario de IAM podría ser el siguiente: 

  `arn:aws:iam::account-ID-without-hyphens:user/Richard`
+ Un identificador único para el usuario de IAM. Este ID solo se devuelve cuando utilice la API, Tools for Windows PowerShell o la AWS CLI para crear el usuario de IAM; no podrá verlo en la consola.

Para obtener más información sobre estos identificadores, consulte [Identificadores de IAM](reference_identifiers.md).

## Usuarios de IAM y credenciales
<a name="id_users_creds"></a>

Puede obtener acceso a AWS de diferentes formas en función de las credenciales de usuario de IAM:
+ [**Console password**](id_credentials_passwords.md) (Contraseña de la consola): una contraseña que el usuario de IAM puede escribir para iniciar sesión en sesiones interactivas, como la Consola de administración de AWS. Al desactivar la contraseña (acceso a la consola) para un usuario de IAM, se impide que inicien sesión en la Consola de administración de AWS con sus credenciales. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido. Los usuarios de IAM con acceso a la consola habilitado también pueden usar estas mismas credenciales para autenticarse y acceder con la AWS CLI y el SDK mediante el comando AWS CLI de la `aws login`. Estos usuarios deberán tener los permisos [SignInLocalDevelopmentAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SignInLocalDevelopmentAccess.html). Consulte [Credenciales de autenticación y acceso para la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) en la *Guía del usuario de AWS Command Line Interface* para obtener más información. 
+ [**Teclas de acceso**](id_credentials_access-keys.md): se utilizan para hacer llamadas programáticas a AWS. Sin embargo, hay alternativas más seguras que hay que tener en cuenta antes de crear claves de acceso para los usuarios de IAM. Para más información, consulte [Consideraciones y alternativas para las claves de acceso a largo plazo](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys) en la Guía de la *Referencia general de AWS*. Si el usuario de IAM dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de la AWS CLI, Tools for Windows PowerShell, API de AWS o Console Mobile Application de AWS.
+ [**Claves SSH para utilizar con CodeCommit**](id_credentials_ssh-keys.md): una clave SSH pública en formato OpenSSH que puede utilizarse para realizar la autenticación con CodeCommit.
+ [**Certificados de servidor**](id_credentials_server-certs.md): los certificados SSL/TLS que puede utilizar para realizar la autenticación con algunos servicios de AWS. Le recomendamos que utilice AWS Certificate Manager (ACM) para aprovisionar, administrar e implementar los certificados de servidor. Utilice IAM solo cuando tenga que admitir conexiones HTTPS en una región que no sea compatible con ACM. Para saber qué regiones admiten ACM , consulte [puntos finales y cuotas de AWS Certificate Manager](https://docs.aws.amazon.com/general/latest/gr/acm.html) en la *Referencia general de AWS*.

Puede elegir las credenciales adecuadas para el usuario de IAM. Cuando se utiliza la Consola de administración de AWS para crear un usuario de IAM, debe elegir como mínimo la inclusión de una contraseña de consola o claves de acceso. De forma predeterminada, los nuevos usuarios de IAM creados mediante la AWS CLI o API de AWS no tienen credenciales de ningún tipo. Debe crear el tipo de credenciales para un usuario de IAM en función de las necesidades de su usuario. 

Dispone de las opciones siguientes para administrar contraseñas, claves de acceso y dispositivos de autenticación multifactor (MFA):
+ **[Administrar las contraseñas de los usuarios de IAM](id_credentials_passwords.md).** Cree y cambie las contraseñas que permiten el acceso a la Consola de administración de AWS. Establezca una política de contraseñas para aplicar un mínimo de complejidad a las contraseñas. Permita que los usuarios de IAM cambien sus contraseñas. 
+ **[Administrar las claves de acceso para los usuarios de IAM](id_credentials_access-keys.md).** Cree y actualice claves de acceso para acceder a los recursos de la cuenta mediante programación. 
+ **[Active la autenticación multifactor (MFA) para el usuario de IAM](id_credentials_mfa.md).** Como [práctica recomendada](best-practices.md), le sugerimos exigir la autenticación multifactor para todos los usuarios de IAM de su cuenta. Con la MFA, los usuarios de IAM deben proporcionar dos formas de identificación: en primer lugar, proporcionar las credenciales que forman parte de su identidad del usuario (una contraseña o clave de acceso). Además, proporcionan un código numérico temporal que se genera en un dispositivo de hardware o mediante una aplicación en un smartphone o una tablet.
+ **[Buscar contraseñas y claves de acceso sin utilizar](id_credentials_finding-unused.md).** Cualquier persona que tenga una contraseña o clave de acceso para su cuenta o un usuario de IAM de su cuenta tendrá acceso a sus recursos de AWS. La [práctica recomendada](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) de seguridad es eliminar las contraseñas y claves de acceso cuando los usuarios de IAM ya no las necesiten.
+ **[Descargar un informe de credenciales para la cuenta](id_credentials_getting-report.md).** Puede generar y descargar un informe de credenciales que contenga una lista de todos los usuarios de IAM de su cuenta y el estado de sus credenciales, tales como contraseñas, claves de acceso y dispositivos MFA. Para las contraseñas y claves de acceso, el informe de credenciales muestra cuándo se ha utilizado la contraseña o una clave de acceso por última vez.

## Usuarios de IAM y permisos
<a name="id_users_perms"></a>

De forma predeterminada, un nuevo usuario de IAM no tiene [permisos](access.md) para realizar ninguna actividad. El usuario no está autorizado a realizar ninguna operación de AWS ni a tener acceso a los recursos de AWS. Un beneficio de tener usuarios de IAM individuales es que puede asignar permisos específicos para cada uno. Es posible asignar permisos administrativos a unos usuarios para que administren los recursos de AWS e incluso creen y administren otros usuarios de IAM. Sin embargo, en la mayoría de los casos, será necesario limitar los permisos de un usuario para que realice únicamente las tareas (acciones u operaciones de AWS) y utilice los recursos que necesita para su trabajo. 

Imagine que tiene un usuario denominado Diego. Al crear el usuario de IAM `Diego` , debe crear una contraseña para dicho usuario y asociar permisos al usuario que le permitan lanzar una determinada instancia de Amazon EC2 y leer información (`GET`) de una tabla en una base de datos de Amazon RDS. Para obtener los procedimientos que indican cómo crear usuarios de IAM y concederles permisos y credenciales iniciales, consulte [Creación de un usuario de IAM en su Cuenta de AWS](id_users_create.md). Para obtener los procedimientos que indican cómo cambiar los permisos de los usuarios existentes, consulte [Cambio de los permisos de un usuario de IAM](id_users_change-permissions.md). Para obtener los procedimientos que indican cómo cambiar las claves de acceso y la contraseña de un usuario, consulte [Contraseñas de los usuarios en AWS](id_credentials_passwords.md) y [Administración de claves de acceso para usuarios de IAM](id_credentials_access-keys.md).

También puede agregar un límite de permisos a los usuarios de IAM. Un límite de permisos es una característica avanzada que le permite utilizar políticas administradas de AWS para limitar los permisos máximos que puede conceder una política basada en identidad a un usuario de IAM o rol. Para obtener más información sobre los tipos de políticas y sus usos, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md).

## Usuarios de IAM y cuentas
<a name="id_users_accounts"></a>

Cada usuario de IAM está asociado a una única Cuenta de AWS. Dado que los usuarios de IAM se definen en la Cuenta de AWS, no necesitan tener un método de pago válido para AWS. Cualquier actividad de AWS realizada por los usuarios de IAM de la cuenta se factura en su cuenta.

El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

## Usuarios de IAM como cuentas de servicio
<a name="id_users_service_accounts"></a>

Un usuario de IAM es un recurso en IAM que tiene credenciales y permisos asociados. Un usuario de IAM puede representar una persona o una aplicación que utiliza sus credenciales para realizar solicitudes de AWS. Esto se suele conocer como *cuenta de servicio*. Si decide utilizar las credenciales a largo plazo de un usuario de IAM en su aplicación, **no integre las claves de acceso directamente en el código de la aplicación.** Los SDK de AWS y las AWS Command Line Interface le permiten colocar las claves de acceso en ubicaciones conocidas para que no tenga que mantenerlas en el código. Para obtener más información, consulte [Administración correcta de las claves de acceso de los usuarios de IAM](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#iam-user-access-keys) en la *Referencia general de AWS*. De forma alternativa, y como práctica recomendada, puede [utilizar credenciales de seguridad temporales (roles de IAM) en lugar de las claves de acceso a largo plazo](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#use-roles).

# Cómo inician sesión los usuarios de IAM en AWS
<a name="id_users_sign-in"></a>

Para iniciar sesión en Consola de administración de AWS como usuario de IAM, debe proporcionar el ID de la cuenta o alias de la cuenta además de su nombre de usuario y contraseña. Cuando su administrador creó su usuario de IAM en la consola, deberían haberle enviado sus credenciales de inicio de sesión, incluido su nombre de usuario y la URL a la página de inicio de sesión de su cuenta que incluye tu ID de cuenta o alias de cuenta. 

```
https://My_AWS_Account_ID.signin.aws.amazon.com/console/
```

**Sugerencia**  
Para crear un marcador en la página de inicio de sesión de la cuenta en el navegador web, debe escribir manualmente la URL de dicho inicio de sesión de su cuenta en la entrada de marcador. No utilice la función de marcador del navegador web, porque las redirecciones podrían ocultar la URL de inicio de sesión. 

También puede iniciar sesión en el siguiente punto de enlace de inicio de sesión general y escribir manualmente el ID de la cuenta o alias de la cuenta:

```
[https://console.aws.amazon.com/](https://console.aws.amazon.com/)
```

Para su comodidad, en la página de inicio de sesión de AWS se utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. La próxima vez que el usuario vaya a cualquier página en Consola de administración de AWS, la consola utiliza la cookie para redirigir al usuario a la página de inicio de sesión de la cuenta.

Solo tiene acceso a los recursos de AWS que su administrador especifica en la política que está asociada a su identidad de usuario de IAM. Para trabajar en la consola, usted debe disponer de permisos para llevar a cabo las acciones propias de la consola, como enumerar y crear recursos de AWS. Para obtener más información, consulte [Recursos de AWS para administración de acceso](access.md) y [Ejemplos de políticas basadas en identidad de IAM](access_policies_examples.md).

**nota**  
Si su organización ya cuenta con un sistema de identidad, puede ser conveniente crear una opción de inicio de sesión único (SSO). SSO proporciona a los usuarios acceso a la Consola de administración de AWS para su cuenta, aunque no dispongan de una identidad de usuario de IAM. El SSO también elimina la necesidad de que los usuarios inicien sesión por separado en el sitio web de la organización y en AWS. Para obtener más información, consulte [Permitir el acceso del agente de identidades personalizadas a la consola de AWS](id_roles_providers_enable-console-custom-url.md). 

**Registro de los detalles de inicio de sesión en CloudTrail**  
Si habilita CloudTrail para registrar los eventos de inicio de sesión en los registros, sea consciente del modo en que CloudTrail elige dónde registrar los eventos.
+ Si los usuarios inician sesión directamente en una consola, se les redirige a un punto de enlace de inicio de sesión global o regional, en función de si la consola de servicios seleccionada admite las regiones. Por ejemplo, la página de inicio de la consola admite las regiones, por lo que si inicia sesión en la URL siguiente:

  ```
  https://alias.signin.aws.amazon.com/console
  ```

  se le redirigirá a un punto de enlace de inicio de sesión regional, por ejemplo `https://us-east-2.signin.aws.amazon.com`, lo que se traduce en una entrada de log de CloudTrail regional en el registro de la región del usuario:

  Por otra parte, la consola de Amazon S3 no admite las regiones, por lo que si inicia sesión con la URL siguiente

  ```
  https://alias.signin.aws.amazon.com/console/s3
  ```

  AWS le redirige al punto de enlace de inicio de sesión global en `https://signin.aws.amazon.com`, lo que se traduce en una entrada de registro de CloudTrail global.
+ Puede solicitar manualmente un determinado punto de enlace de inicio de sesión regional iniciando sesión en la página de inicio principal de la consola habilitada para regiones, mediante una sintaxis de URL como la siguiente:

  ```
  https://alias.signin.aws.amazon.com/console?region=ap-southeast-1
  ```

  AWS le redirige al punto de enlace de inicio de sesión regional `ap-southeast-1`, lo que se traduce en un evento de registro de CloudTrail regional.

Para obtener más información acerca de CloudTrail e IAM, consulte [Registro de eventos de IAM con CloudTrail ](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html).

Si los usuarios necesitan acceso programático para trabajar con su cuenta, puede crear un par de claves de acceso (un ID de clave de acceso y una clave de acceso secreta) para cada usuario. Sin embargo, hay alternativas más seguras que hay que tener en cuenta antes de crear claves de acceso para los usuarios. Para más información, consulte [Consideraciones y alternativas para las claves de acceso a largo plazo](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys) en la Guía de la *Referencia general de AWS*.

## Recursos adicionales
<a name="id_users_sign-in-additional-resources"></a>

Los siguientes recursos pueden ayudarlo a obtener más información sobre el inicio de sesión en AWS.
+ Con la [Guía del usuario para el inicio de sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html), le resultará más fácil entender las diferentes formas en las que puede iniciar sesión en Amazon Web Services (AWS), según el tipo de usuario que sea.
+ Puede iniciar sesión en hasta cinco identidades diferentes al mismo tiempo en un solo navegador web en la Consola de administración de AWS. Para obtener más información, consulte [Cómo iniciar sesión en varias cuentas](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/multisession.html) en la *Guía de introducción a Consola de administración de AWS*.

# Inicio de sesión con MFA habilitado
<a name="console_sign-in-mfa"></a>

Los usuarios que están configurados con dispositivos de [autenticación multifactor (MFA)](id_credentials_mfa.md) deben utilizar sus dispositivos MFA para iniciar sesión en la Consola de administración de AWS. Después de que el usuario escriba sus credenciales de inicio de sesión, AWS comprueba la cuenta del usuario para ver si se necesita MFA. 

**importante**  
Si utiliza credenciales de clave de acceso y de clave secreta para el acceso directo a la Consola de administración de AWS con la llamada a la API [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) AWS STS, NO se requerirá la MFA. Para obtener más información, consulte [Uso de las credenciales de clave de acceso y de clave secreta para el acceso a la consola](securing_access-keys.md#console-access-security-keys).

En las siguientes secciones, se proporciona información sobre cómo los usuarios completan el inicio de sesión cuando se necesita un código MFA. 

**Topics**
+ [Varios dispositivos de MFA habilitados](#console_sign-in-multiple-mfa)
+ [Clave de seguridad FIDO](#console_sign-in-mfa-fido)
+ [Dispositivo de MFA virtual](#console_sign-in-mfa-virtual)
+ [Token TOTP de hardware](#console_sign-in-mfa-hardware)

## Varios dispositivos de MFA habilitados
<a name="console_sign-in-multiple-mfa"></a>

Si un usuario inicia sesión en la Consola de administración de AWS como usuario raíz de una Cuenta de AWS o usuario de IAM con varios dispositivos MFA habilitados para esa cuenta, solo tendrá que utilizar un dispositivo MFA para iniciar sesión. Después de que el usuario se autentique con su contraseña, selecciona qué tipo de dispositivo MFA desea utilizar para finalizar la autenticación. A continuación, se pide al usuario que se autentique con el tipo de dispositivo que ha seleccionado. 

## Clave de seguridad FIDO
<a name="console_sign-in-mfa-fido"></a>

Si el código MFA es obligatorio para el usuario, aparece una segunda página de inicio de sesión. El usuario tiene que tocar la clave de seguridad FIDO.

**nota**  
Los usuarios de Google Chrome no deben elegir ninguna de las opciones disponibles en la ventana emergente que pide **verificar su identidad con amazon.com**. Solo tiene que tocar la clave de seguridad.

A diferencia de otros dispositivos MFA, las claves de seguridad FIDO no se desincronizan. Los administradores pueden desactivar una clave de seguridad FIDO si se pierde o se rompe. Para obtener más información, consulte [Desactivación de dispositivos MFA (consola)](id_credentials_mfa_disable.md#deactive-mfa-console).

Para obtener información sobre los navegadores compatibles con WebAuthn y los dispositivos de AWS compatibles con FIDO, consulte [Configuraciones admitidas para usar las claves de acceso y las claves de seguridad](id_credentials_mfa_fido_supported_configurations.md).

## Dispositivo de MFA virtual
<a name="console_sign-in-mfa-virtual"></a>

Si el código MFA es obligatorio para el usuario, aparece una segunda página de inicio de sesión. En el cuadro **MFA code (Código MFA)**, el usuario escribe el código numérico proporcionado por la aplicación MFA.

Si el código MFA es correcto, el usuario obtiene acceso a la Consola de administración de AWS. Si el código es incorrecto, el usuario puede volver a intentarlo con otro código. 

Es posible que un dispositivo MFA virtual no se sincronice. Si después de varios intentos incorrectos, el usuario no puede iniciar sesión en la Consola de administración de AWS, se le solicitará que sincronice el dispositivo MFA virtual. El usuario puede seguir las instrucciones en pantalla para sincronizar el dispositivo MFA virtual. Para obtener información sobre cómo sincronizar un dispositivo en nombre de un usuario en la Cuenta de AWS, consulte [Resincronización de dispositivos MFA de hardware y virtuales](id_credentials_mfa_sync.md). 

## Token TOTP de hardware
<a name="console_sign-in-mfa-hardware"></a>

Si el código MFA es obligatorio para el usuario, aparece una segunda página de inicio de sesión. En el cuadro **MFA code** (Código MFA), el usuario debe ingresar el código numérico proporcionado por un token TOTP de hardware. 

Si el código MFA es correcto, el usuario obtiene acceso a la Consola de administración de AWS. Si el código es incorrecto, el usuario puede volver a intentarlo con otro código. 

Un token TOTP físico puede perder la sincronización. Si después de varios intentos incorrectos, el usuario no puede iniciar sesión en la Consola de administración de AWS, se le solicitará que sincronice el dispositivo de token MFA. El usuario puede seguir las instrucciones en pantalla para sincronizar el dispositivo de token MFA. Para obtener información sobre cómo sincronizar un dispositivo en nombre de un usuario en la Cuenta de AWS, consulte [Resincronización de dispositivos MFA de hardware y virtuales](id_credentials_mfa_sync.md). 

# Creación de un usuario de IAM en su Cuenta de AWS
<a name="id_users_create"></a>

**importante**  
 Las [prácticas recomendadas](best-practices.md) de IAM sugieren que exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales, en lugar de utilizar usuarios de IAM con credenciales a largo plazo. Para los [casos de uso específicos](gs-identities-iam-users.md) no compatibles con usuarios federados, recomendamos utilizar únicamente usuarios de IAM.

El proceso para crear un usuario de IAM y habilitarlo para que realice tareas incluye los siguientes pasos:

1. Cree el [usuario en el Consola de administración de AWS, el AWS CLI](getting-started-workloads.md), Tools for Windows PowerShell o mediante una Operación de la API de AWS. Si crea el usuario en la Consola de administración de AWS, los pasos 1 a 4 se realizan automáticamente de acuerdo con sus preferencias. Si crea los usuarios de IAM de forma programada, debe ejecutar cada uno de los pasos de forma individual.

1. Cree las credenciales del usuario en función del tipo de acceso que este requiera:
   + **Habilitar el acceso a la consola: *opcional***: si el usuario necesita acceder a la Consola de administración de AWS, [cree una contraseña para el usuario](id_credentials_passwords_admin-change-user.md). Al desactivar el acceso a la consola para un usuario, se impide que inicien sesión en la Consola de administración de AWS con su nombre de usuario y contraseña. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido.
**sugerencia**  
Cree solo las credenciales que necesite el usuario. Por ejemplo, en el caso de un usuario que necesite obtener acceso únicamente mediante la Consola de administración de AWS, no cree claves de acceso.

1. Proporcionar al usuario permisos para realizar las tareas requeridas. Le recomendamos colocar a los usuarios de IAM en grupos y administrar los permisos mediante políticas asociadas a esos grupos. Pero también puede otorgar permisos mediante la asociación directa de políticas de permisos al usuario. Si utiliza la consola para agregar el usuario, puede copiar los permisos de un usuario existente al nuevo usuario.

   También puede agregar un [límite de permisos](access_policies_boundaries.md) para limitar los permisos del usuario mediante una política que defina los permisos máximos que puede tener el usuario. Los límites de permisos no otorgan ningún permiso.

   Para obtener instrucciones sobre cómo crear una política de permisos personalizada que se pueda utilizar para conceder permisos o establecer un límite de permisos, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md).

1. (Opcional) Añadir metadatos al usuario asociando etiquetas. Para obtener más información acerca del uso de etiquetas en IAM, consulte [Etiquetas para recursos de AWS Identity and Access Management](id_tags.md).

1. Proporcione al usuario la información de inicio de sesión necesaria. Esto incluye la contraseña y la URL de la consola de la página de inicio de sesión de la cuenta en la que el usuario proporciona esas credenciales. Para obtener más información, consulte [Cómo inician sesión los usuarios de IAM en AWS](id_users_sign-in.md).

1. (Opcional) Configure [la autenticación multifactor (MFA)](id_credentials_mfa.md) para el usuario. MFA requiere que el usuario proporcione un código de un solo uso cada vez que inicia sesión en la Consola de administración de AWS.

1. (Opcional) Conceda a los usuarios de IAM permisos para administrar sus propias credenciales de seguridad. (De forma predeterminada, los usuarios de IAM no tienen permisos para administrar sus propias credenciales). Para obtener más información, consulte [Autorización para que los usuarios de IAM cambien sus contraseñas](id_credentials_passwords_enable-user-change.md).
**nota**  
Si utiliza la consola para crear el usuario y selecciona **El usuario debe crear una nueva contraseña en el siguiente inicio de sesión (recomendado)**, el usuario tiene los permisos necesarios.

Para obtener información sobre los permisos que necesita para poder crear un usuario, consulte [Permisos obligatorios para obtener acceso a recursos de IAM](access_permissions-required.md).

Para obtener instrucciones sobre cómo crear usuarios de IAM para casos de uso específicos, consulte los siguientes temas:
+ [Crear un usuario de IAM para el acceso de emergencia](getting-started-emergency-iam-user.md)
+ [Creación de un usuario de IAM para cargas de trabajo que no puedan usar roles de IAM](getting-started-workloads.md)

# Visualización de usuarios de IAM
<a name="id_users_list"></a>

Puede enumerar los usuarios de IAM de su Cuenta de AWS o de un determinado grupo de IAM y enumerar todos los grupos de IAM a los que pertenece un usuario. Para obtener información sobre los permisos que necesita para poder enumerar los usuarios, consulte [Permisos obligatorios para obtener acceso a recursos de IAM](access_permissions-required.md). 

## Cómo enumerar todos los usuarios de IAM de su cuenta
<a name="id_users_manage_list-users"></a>

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**. 

La consola muestra a los usuarios de IAM de su Cuenta de AWS.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ `[aws iam list-users](https://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html)`

------
#### [ API ]

Llame a la operación siguiente:
+ `[ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)` 

------

## Cómo enumerar los usuarios de IAM en un grupo de IAM
<a name="id_users_manage_list-users-group"></a>

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, elija **User groups** (Grupos de usuarios).

1. Seleccione el nombre del grupo de usuarios. 

Los usuarios de IAM que son miembros del grupo aparecen enumerados en la pestaña **Usuarios**.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ `[aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html)`

------
#### [ API ]

Llame a la operación siguiente:
+ `[GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)` 

------

## Enumeración de todos los grupos de IAM en los que un usuario se encuentra
<a name="id_users_manage_list-groups-users"></a>

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. En la lista **Users** (Usuarios), elija el nombre de usuario de IAM. 

1. Seleccione la pestaña **Grupos** para ver la lista de grupos que incluyen al usuario actual.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ `[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)`

------
#### [ API ]

Llame a la operación siguiente:
+ `[ListGroupsForUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)` 

------

## Siguientes pasos
<a name="id_users_list-next-steps"></a>

Una vez que tenga una lista de sus usuarios de IAM, puede cambiar el nombre de un usuario de IAM, eliminarlo o desactivarlo mediante los siguientes procedimientos.
+ [Cambio de nombre de un usuario de IAM](id_users_rename.md)
+ [Eliminación o desactivación de un usuario de IAM](id_users_remove.md)

# Cambio de nombre de un usuario de IAM
<a name="id_users_rename"></a>

**nota**  
Como [práctica recomendada](best-practices.md), le recomendamos que exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales. Si sigue las prácticas recomendadas, no estará administrando usuarios ni grupos de IAM. En cambio, sus usuarios y grupos se administran fuera de AWS y pueden acceder a los recursos de AWS como una *identidad federada*. Una identidad federada es un usuario del directorio de usuarios de su empresa, un proveedor de identidades web, AWS Directory Service, el directorio de Identity Center o cualquier usuario que acceda a los servicios de AWS con credenciales proporcionadas a través de una fuente de identidades. Las identidades federadas utilizan los grupos definidos por su proveedor de identidades. Si utiliza AWS IAM Identity Center, consulte [Manage identities in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) (Administración de identidades en IAM Identity Center) en la *Guía del usuario de AWS IAM Identity Center* para obtener información sobre la creación de usuarios y grupos en IAM Identity Center.

Amazon Web Services ofrece varias herramientas para administrar los usuarios de IAM en su Cuenta de AWS. Puede enumerar los usuarios de IAM de su cuenta o de un grupo de usuario o enumerar todos los grupos de IAM a los que pertenece un usuario. Puede cambiar el nombre o cambiar la ruta de un usuario de IAM. Si va a utilizar identidades federadas en lugar de usuarios de IAM, puede eliminar un usuario de IAM de su cuenta de AWS o desactivarlo.

Para obtener más información sobre cómo agregar, modificar o eliminar las políticas administradas para un usuario de IAM, consulte [Cambio de los permisos de un usuario de IAM](id_users_change-permissions.md). Para obtener información acerca de la administración de las políticas insertadas para usuarios de IAM, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md), [Edición de políticas de IAM](access_policies_manage-edit.md) y [Eliminación de políticas de IAM](access_policies_manage-delete.md). Como práctica recomendada, utilice políticas administradas en lugar de políticas en línea. Las *políticas administradas de AWS* conceden permisos para muchos casos de uso comunes. Tenga presente que es posible que las políticas administradas de AWS no concedan permisos de privilegios mínimos para sus casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. En consecuencia, se recomienda reducir aún más los permisos definiendo [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso. Para obtener más información, consulte [AWSPolíticas administradas por](access_policies_managed-vs-inline.md#aws-managed-policies). Para obtener más información acerca de las políticas administradas AWS que están diseñadas para funciones de trabajo específicas, consulte [AWSPolíticas administradas de para funciones de trabajo](access_policies_job-functions.md).

Para obtener información acerca de validar las políticas de IAM, consulte [Validación de la política de IAM](access_policies_policy-validator.md).

**sugerencia**  
El [Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) puede analizar los servicios y acciones que utilizan sus roles de IAM y, a continuación, generar una política detallada que puede utilizar. Después de probar cada política generada, puede implementarla en el entorno de producción. Eso garantiza que solo se concedan los permisos necesarios a las cargas de trabajo. Para obtener más información acerca de la generación de políticas, consulte [Generación de políticas de IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

Para obtener información sobre cómo administrar las contraseñas de usuario de IAM, consulte [Administrar las contraseñas de los usuarios de IAM](id_credentials_passwords_admin-change-user.md).

## Cambio de nombre de un usuario de IAM
<a name="id_users_renaming"></a>

Para cambiar el nombre de un usuario o ruta, debe utilizar la AWS CLI, Tools for Windows PowerShell o API de AWS. No hay ninguna otra opción en la consola para cambiar el nombre de un usuario. Para obtener información sobre los permisos que necesita para poder cambiar el nombre de un usuario, consulte [Permisos obligatorios para obtener acceso a recursos de IAM](access_permissions-required.md). 

Al cambiar la ruta de acceso o el nombre de un usuario, ocurrirá lo siguiente: 
+ Cualquier política asociada al usuario permanecerá con el usuario con el nuevo nombre.
+ El usuario permanecerá en los mismos grupos de IAM con el nuevo nombre.
+ El ID único del usuario seguirá siendo el mismo. Para obtener más información sobre los ID únicos, consulte [Identificadores únicos](reference_identifiers.md#identifiers-unique-ids).
+ Cualquier política de recurso o rol que haga referencia al usuario *como principal* (se concede acceso al usuario) se actualizará automáticamente para utilizar el nuevo nombre o ruta de acceso. Por ejemplo, las políticas basadas en colas de Amazon SQS o las políticas basadas en recursos de Amazon S3 se actualizarán automáticamente para utilizar el nuevo nombre y ruta de acceso. 

IAM no actualizará automáticamente políticas que hagan referencia al usuario *como recurso* para utilizar el nuevo nombre o ruta de acceso; debe hacerlo manualmente. Por ejemplo, imagine que el usuario `Richard` tiene una política asociada a él que le permite administrar sus credenciales de seguridad. Si un administrador cambia el nombre de `Richard` a `Rich`, el administrador también debe actualizar dicha política para cambiar el recurso de:

```
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard
```

a este:

```
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich
```

Lo mismo sucede si un administrador cambia la ruta de acceso; el administrador debe actualizar la política para reflejar la nueva ruta de acceso para el usuario. 

### Para cambiar el nombre de un usuario
<a name="id_users_manage_list-users-rename"></a>
+ AWS CLI: [aws iam update-user](https://docs.aws.amazon.com/cli/latest/reference/iam/update-user.html)
+ API de AWS: [UpdateUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html) 

# Eliminación o desactivación de un usuario de IAM
<a name="id_users_remove"></a>

Según [las prácticas recomendadas](best-practices.md#remove-credentials), lo ideal es eliminar de su Cuenta de AWS a los usuarios de IAM que no utiliza. Si desea conservar las credenciales de los usuarios de IAM para usarlas en el futuro, en lugar de eliminarlas de la cuenta, puede desactivar el acceso del usuario. Para obtener más información, consulte [Desactivación de un usuario de IAM](#id_users_deactivating).

**aviso**  
Una vez eliminados un usuario de IAM y sus claves de acceso, no se pueden restaurar ni recuperar.

## Requisito previo: ver el acceso del usuario de IAM
<a name="users-manage_prerequisites"></a>

Antes de eliminar a un usuario, revise su actividad reciente a nivel de servicio. Esto ayuda a evitar que se le quite el acceso a una entidad principal (persona o aplicación) que lo esté utilizando. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Eliminación de un usuario de IAM (consola)
<a name="id_users_deleting_console"></a>

Cuando se usa la Consola de administración de AWS para eliminar un usuario de IAM, IAM elimina automáticamente la siguiente información asociada: 
+ El identificador del usuario de IAM.
+ Las suscripciones a grupos, es decir, se elimina el usuario de IAM de todos los grupos a los que haya pertenecido.
+ Las contraseñas asociadas al usuario de IAM. 
+ Todas las políticas insertadas incrustadas en el usuario de IAM (las políticas que se aplicaron al usuario de IAM por medio de permisos de grupo de usuarios no se verán afectadas). 
**nota**  
IAM elimina todas las políticas administradas adjuntas al usuario de IAM cuando se elimina el usuario, pero no elimina las políticas administradas. 
+ Cualquier dispositivo MFA asociado

### Para eliminar un usuario de IAM (consola)
<a name="id_users_remove-section-1"></a>

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios** y, a continuación, seleccione la casilla de verificación junto al nombre del usuario de IAM que desee eliminar. 

1. En la parte superior de la página, elija **Eliminar**.
**nota**  
Si alguno de los usuarios tiene claves de acceso activas, debe desactivar las claves de acceso antes de eliminar los usuarios. Para obtener más información, consulte [Cómo desactivar una clave de acceso para un usuario de IAM](access-keys-admin-managed.md#admin-deactivate-access-key).

1. En el cuadro de diálogo de confirmación, ingrese el nombre de usuario en el campo de entrada de texto para confirmar la eliminación del usuario. Elija **Eliminar**. 

La consola muestra una notificación de estado en la que se indica que se borró el usuario de IAM.

------

## Eliminación de un usuario de IAM (AWS CLI)
<a name="id_users_deleting_cli"></a>

A diferencia de la Consola de administración de AWS, a la hora de eliminar un usuario de IAM con la AWS CLI, debe eliminar los elementos adjuntos al usuario de IAM manualmente. Este procedimiento ilustra el proceso. 

**Para eliminar un usuario de IAM de su Cuenta de AWS (AWS CLI)**

1. Elimine la contraseña de usuario, si el usuario dispone de una.

   `[aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)`

1. Elimine las claves de acceso de usuario, si el usuario dispone de ellas.

   `[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)` (para generar una lista de las claves de acceso del usuario) y `[aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)`

1. Elimine el certificado de firma del usuario. Tenga en cuenta que al eliminar una credencial de seguridad, ya nunca más podrá recuperarla.

   `[aws iam list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)` (para generar una lista de los certificados de firma del usuario) y `[aws iam delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)`

1. Elimine la clave pública SSH del usuario, si el usuario dispone de ella.

   `[aws iam list-ssh-public-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-ssh-public-keys.html)` (para generar una lista de las claves públicas SSH del usuario) y `[aws iam delete-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-ssh-public-key.html)`

1. Elimine las credenciales de Git del usuario.

   `[aws iam list-service-specific-credentials](https://docs.aws.amazon.com/cli/latest/reference/iam/list-service-specific-credentials.html)` (para generar una lista de las credenciales de Git del usuario) y `[aws iam delete-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-specific-credential.html)`

1. Desactive el dispositivo Multi-Factor Authentication (MFA) del usuario, si este dispone de uno.

   `[aws iam list-mfa-devices](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-devices.html)` (para generar una lista de los dispositivos MFA del usuario), `[aws iam deactivate-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)` (para desactivar el dispositivo) y `[aws iam delete-virtual-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)` (para eliminar de forma permanente un dispositivo de MFA virtual) 

1. Elimine las políticas insertadas del usuario. 

   `[aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)` (para generar una lista de las políticas insertadas para el usuario) y [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html) (para eliminar la política) 

1. Desasocie cualquier política administrada que esté asociada al usuario. 

   `[aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)` (para generar una lista de las políticas administradas adjuntas al usuario) y [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html) (para desasociar la política) 

1. Elimine el usuario de cualquier grupo de IAM. 

   `[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)` (para generar una lista de los grupos de IAM a los que pertenece el usuario) y `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)` 

1. Elimine el usuario.

   `[aws iam delete-user](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user.html)` 

## Desactivación de un usuario de IAM
<a name="id_users_deactivating"></a>

Puede que tenga que desactivar un usuario de IAM mientras esté temporalmente fuera de su empresa. Puede dejar sus credenciales de usuario de IAM en su lugar y seguir bloqueando su acceso a AWS.

Para desactivar un usuario, cree y asocie una política para denegar el acceso del usuario a AWS. Puede restaurar el acceso del usuario más adelante.

A continuación se muestran dos ejemplos de políticas de denegación que puede asociar a un usuario para denegar su acceso.

La siguiente política no incluye un límite de tiempo. Debe eliminar la política para restaurar el acceso del usuario.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}
```

------

La siguiente política incluye una condición que inicia la política el 24 de diciembre de 2024 a las 23:59 h (UTC) y la termina el 28 de febrero de 2025 a las 23:59 h (UTC).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}
```

------

# Control del acceso del usuario de IAM a la Consola de administración de AWS
<a name="console_controlling-access"></a>

Los usuarios de IAM con permiso que inicien sesión en su cuenta de Cuenta de AWS a través de la Consola de administración de AWS pueden acceder a sus recursos de AWS. En la siguiente lista se enumeran las formas en las que puede conceder a los usuarios de IAM acceso a los recursos de su cuenta de Cuenta de AWS a través de la Consola de administración de AWS. También se muestra cómo los usuarios de IAM pueden obtener acceso a otras características de la cuenta de AWS a través del sitio web de AWS.

**nota**  
No se cobra por utilizar IAM.

**la , Consola de administración de AWS**  
Cree una contraseña para cada usuario de IAM que necesite obtener acceso a la Consola de administración de AWS. Los usuarios obtienen acceso a la consola mediante la página de inicio de sesión de la cuenta de Cuenta de AWS habilitada para IAM. Para obtener más información acerca de cómo acceder a la página de inicio de sesión, consulte [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*. Para obtener información sobre cómo crear contraseñas, consulte [Contraseñas de los usuarios en AWS](id_credentials_passwords.md).  
Puede desactivar el acceso de un usuario de IAM a la Consola de administración de AWS eliminando su contraseña. Esto les impide iniciar sesión en Consola de administración de AWS utilizando sus credenciales de inicio de sesión. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de la AWS CLI, Tools for Windows PowerShell, API de AWS o Console Mobile Application de AWS.

**Sus recursos de AWS, como instancias de Amazon EC2, buckets de Amazon S3, etc.**  
Aunque sus usuarios de IAM tengan contraseñas, también necesitan tener permiso para obtener acceso a sus recursos de AWS. Cuando se crea un usuario de IAM, ese usuario no tiene permisos de manera predeterminada. Para dar a sus usuarios de IAM los permisos que necesitan, debe asociarles políticas. Si tiene muchos usuarios de IAM que realizan las mismas tareas con los mismos recursos, puede asignarlos a un grupo. A continuación, asigne los permisos a dicho grupo. Para obtener información sobre cómo crear usuarios de IAM y grupos, consulte [Identidades de IAM](id.md). Para obtener información sobre cómo utilizar políticas para establecer permisos, consulte [Recursos de AWS para administración de acceso](access.md).

**AWSForos de debate de **  
Todo el mundo puede leer las publicaciones de los [foros de debate de AWS](https://forums.aws.amazon.com/). Los usuarios que quieran publicar preguntas o comentarios en el foro de debate de AWS pueden hacerlo utilizando su nombre de usuario. La primera vez que un usuario publica en el foro de discusión de AWS, se le pide que introduzca un alias y una dirección de correo electrónico. Solo ese usuario puede utilizar ese alias en los foros de discusión de AWS. 

**Información de uso y facturación de su cuenta de Cuenta de AWS**  
Puede conceder a los usuarios acceso a la información de facturación y de uso de su cuenta de Cuenta de AWS. Para obtener más información, consulte [Control del acceso de los usuarios a su información de facturación](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html) en la *Guía del usuario de AWS Billing*. 

**Información de su perfil de Cuenta de AWS**  
Los usuarios no pueden obtener acceso a la información de su perfil de cuenta de Cuenta de AWS.

**Credenciales de seguridad de su cuenta de Cuenta de AWS**  
Los usuarios no pueden obtener acceso a las credenciales de seguridad de su cuenta de Cuenta de AWS.

**nota**  
Las políticas de IAM controlan el acceso independientemente de la interfaz. Por ejemplo, puede proporcionar a un usuario una contraseña para acceder a la Consola de administración de AWS. Las políticas para ese usuario (o cualquier grupo al que pertenezca) controlarían lo que el usuario puede hacer en la Consola de administración de AWS. O bien, podría proporcionar al usuario claves de acceso de AWS para realizar llamadas de API a AWS. Las políticas controlarían las acciones que el usuario podría llamar a través de una biblioteca o cliente que utiliza esas claves de acceso para la autenticación.

# Cambio de los permisos de un usuario de IAM
<a name="id_users_change-permissions"></a>

Puede modificar los permisos de un usuario de IAM de una Cuenta de AWS cambiando su pertenencia a grupos, copiando los permisos de un usuario existente, asociando políticas directamente al usuario o definiendo un [límite de permisos](access_policies_boundaries.md). Un límite de permisos controla los permisos que puede tener un usuario como máximo. Los límites de permisos son una característica avanzada de AWS.

Para obtener información sobre los permisos que necesita para poder modificar los permisos de un usuario, consulte [Permisos obligatorios para obtener acceso a recursos de IAM](access_permissions-required.md).

**Topics**
+ [Ver acceso de usuario](#users-modify_prerequisites)
+ [Generar una política basada en la actividad de acceso de un usuario](#users_change_permissions-gen-policy)
+ [Adición de permisos a un usuario (consola)](#users_change_permissions-add-console)
+ [Cambio de los permisos de un usuario (consola)](#users_change_permissions-change-console)
+ [Cómo eliminar una política de permisos de un usuario (consola)](#users_change_permissions-remove-policy-console)
+ [Cómo eliminar el límite de permisos de un usuario (consola)](#users_change_permissions-remove-boundary-console)
+ [Adición y eliminación de permisos de un usuario (AWS CLI o API de AWS)](#users_change_permissions-add-programmatic)

## Ver acceso de usuario
<a name="users-modify_prerequisites"></a>

Antes de cambiar los permisos para un usuario, debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Generar una política basada en la actividad de acceso de un usuario
<a name="users_change_permissions-gen-policy"></a>

A veces puede conceder permisos a una entidad de IAM (usuario o rol) de más allá de lo que requieren. Para ayudarle a refinar los permisos que concede, puede generar una política de IAM que esté basada en la actividad de acceso de una entidad. El analizador de acceso de IAM revisa los registros de AWS CloudTrail y genera una plantilla de política que contiene los permisos que ha utilizado la entidad en el intervalo de fechas especificado. Puede utilizar la plantilla para crear una política administrada con permisos detallados y, a continuación, adjuntarla a la entidad de IAM. De esta forma, solo concede los permisos que el usuario o rol necesita para interactuar con los recursos de AWS para su caso de uso específico. Para obtener más información, consulte [Generación de políticas del Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

## Adición de permisos a un usuario (consola)
<a name="users_change_permissions-add-console"></a>

IAM ofrece de tres formas de agregar políticas de permisos a un usuario:
+ **Agregar al usuario de IAM a un grupo de IAM**: Convierta al usuario en miembro de un grupo. Las políticas del grupo se asocian al usuario.
+ **Copiar los permisos de un usuario de IAM existente**: Copie todas las suscripciones a grupos, las políticas administradas asociadas, las políticas insertadas y todos los límites de permisos existentes del usuario de origen.
+ **Adjuntar políticas directamente al usuario de IAM**: Adjunte una política administrada directamente al usuario. Para facilitar la administración de permisos, adjunte sus políticas a un grupo y, a continuación, haga a los usuarios de IAM miembros de los grupos apropiados.

**importante**  
Si el usuario tiene un límite de permisos, no se pueden añadir permisos al usuario por encima de los que autoriza este límite.

### Cómo agregar permisos mediante la adición del usuario de IAM a un grupo
<a name="users_change_permissions-add-group-console"></a>

Cuando se añade un usuario de IAM a un grupo de IAM, se actualizan inmediatamente los permisos del usuario con los permisos definidos para el grupo.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. En la lista **Users** (Usuarios), elija el nombre de usuario de IAM. 

1. Seleccione la pestaña **Grupos** para ver la lista de grupos que incluyen al usuario actual.

1. Elija **Añadir usuario al grupo o grupos**. 

1. Seleccione la casilla de verificación de todos los grupos a los que desee que el usuario pertenezca. La lista muestra el nombre de cada grupo y las políticas que el usuario recibe si pasa a ser miembro de ese grupo.

1. (Opcional) Puede seleccionar **Crear grupo** para definir un grupo nuevo. Esto resulta útil si desea añadir al usuario a un grupo con políticas adjuntas diferentes a las de los grupos existentes:

   1. En la pestaña nueva, en **Nombre del grupo de usuarios**, escriba un nombre para el grupo nuevo.
**nota**  
El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md). Los nombres de grupo pueden ser una combinación de un máximo de 128 letras, dígitos y los siguientes caracteres: más (\$1), igual (=), coma (,), punto (.), arroba (@) y guion (-). Los nombres deben ser únicos dentro de una cuenta. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear dos grupos llamados *TESTGROUP* y *testgroup*.

   1. Seleccione una o varias casillas de verificación para las políticas administradas que desea asociar al grupo. También puede crear una política administrada nueva eligiendo **Create policy (Crear política)**. Si lo hace, vuelva a esta ventana o pestaña del navegador cuando haya acabado de crear la política nueva; elija **Refresh (Actualizar)** y, a continuación, elija la nueva política para asociarla a su grupo. Para obtener más información, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md).

   1. Elija **Crear grupo de usuarios**.

   1. Vuelva a la pestaña original y actualice la lista de grupos. A continuación, seleccione la casilla del grupo nuevo.

1. Seleccione **Añadir usuario a grupos**.

La consola muestra un mensaje de estado en el que se le informa que se ha añadido el usuario a los grupos que especificó.

------

### Cómo agregar permisos a partir de la copia de los permisos de otro usuario de IAM
<a name="users_change_permissions-add-copy-console"></a>

Cuando elige agregar permisos a partir de la copia a un usuario de IAM, IAM copia todas las suscripciones a grupos, las políticas administradas asociadas, las políticas insertadas y los límites de permisos existentes del usuario especificado y los aplica inmediatamente al usuario seleccionado.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. En la lista **Users** (Usuarios), elija el nombre de usuario de IAM. 

1. En la pestaña **Permisos**, seleccione **Agregar permisos**.

1. En la página **Agregar permisos**, seleccione **Copiar permisos**. La lista muestra los usuarios de IAM disponibles junto con sus suscripciones a grupos y las políticas que tienen asociadas. 

1. Seleccione el botón de opción que está junto al usuario cuyos permisos quiere copiar. 

1. Elija **Siguiente** para ver la lista de cambios que se realizarán en el usuario. A continuación, elija **Add permissions (Añadir permisos)**.

La consola muestra un mensaje de estado en el que se le informa que se han copiado los permisos del usuario de IAM que especificó.

------

### Cómo agregar permisos mediante la asociación directa de políticas al usuario de IAM
<a name="users_change_permissions-add-directly-console"></a>

Usted puede asociar una política administrada directamente al usuario de IAM. Los permisos actualizados se aplican inmediatamente.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. En la lista **Users** (Usuarios), elija el nombre de usuario de IAM. 

1. En la pestaña **Permisos**, seleccione **Agregar permisos**.

1. En la página **Agregar permisos**, seleccione **Asociar políticas directamente**. La lista **Políticas de permisos** muestra las políticas disponibles junto con sus tipos de políticas y las entidades asociadas. 

1. Seleccione el botón de opción situado junto al **nombre de la política** que quiere asociar. 

1. Elija **Siguiente** para ver la lista de cambios que se realizarán en el usuario. A continuación, elija **Add permissions (Añadir permisos)**.

La consola muestra un mensaje de estado en el que se le informa que se ha agregado la política al usuario de IAM que especificó.

------

### Cómo configurar el límite de permisos de un usuario de IAM
<a name="users_change_permissions-set-boundary-console"></a>

El límite de permisos es una característica avanzada para administrar los permisos en AWS que se usa para configurar la cantidad máxima de permisos que puede tener un usuario de IAM. Cuando se configura un límite de permisos, se restringen inmediatamente los permisos del usuario de IAM al límite, independientemente de los demás permisos concedidos.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. En la lista **Usuarios**, elija el nombre del usuario de IAM cuyo límite de permisos desea modificar. 

1. Elija la pestaña **Permisos**. Si es necesario, abra la sección **Límite de permisos** y luego, elija **Configurar límite de permisos**.

1. En la página **Configurar límite de permisos**, en **Políticas de permisos**, seleccione la política que quiera usar para definir el límite de permisos.

1. Elija **Set boundary (Configurar límite)**.

La consola muestra un mensaje de estado en el que se le informa que se ha agregado el límite de permisos.

------

## Cambio de los permisos de un usuario (consola)
<a name="users_change_permissions-change-console"></a>

IAM le permite cambiar los permisos asociados a un usuario de las siguientes maneras:
+ **Editar una política de permisos**: editar la política insertada del usuario, la política insertada del grupo del usuario o una política administrada que esté asociada al usuario directamente o a través de un grupo. Si el usuario tiene un límite de permisos, no se le pueden conceder permisos por encima de los que autoriza la política utilizada como límite de permisos del usuario.
+ **Cambiar el límite de permisos**: cambiar la política utilizada como límite de permisos para el usuario. Esto puede ampliar o reducir los permisos máximos que puede tener un usuario. 

### Edición de una política de permisos asociada a un usuario
<a name="users_change_permissions-edit-policy-console"></a>

Cuando se modifican los permisos, se actualiza el acceso del usuario inmediatamente.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. En la lista **Usuarios**, elija el nombre del usuario de IAM cuyo límite de permisos desea modificar. 

1. Elija la pestaña **Permisos**. Si es necesario, abra la sección **Límite de permisos**.

1. Elija el nombre de la política que desea editar para ver sus detalles. Seleccione la pestaña **Entidades asociadas** para ver otras entidades (usuarios, grupos y roles de IAM) que podrían verse afectadas si se edita la política. 

1. Elija la pestaña **Permissions (Permisos)** y revise los permisos que concede la política. Para efectuar cambios en los permisos, seleccione **Editar**. 

1. Edite la política y resuelva las recomendaciones de [validación de políticas](access_policies_policy-validator.md). Para obtener más información, consulte [Edición de políticas de IAM](access_policies_manage-edit.md).

1. Seleccione **Siguiente**, revise el resumen de la política y, a continuación, elija **Guardar cambios**.

La consola muestra un mensaje de estado en el que se le informa que se ha actualizado la política.

------

### Cómo modificar el límite de permisos de un usuario
<a name="users_change_permissions-change-boundary-console"></a>

Cuando se modifica el límite de permisos, se actualiza el acceso del usuario inmediatamente.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. En la lista **Usuarios**, elija el nombre del usuario de IAM cuyo límite de permisos desea modificar. 

1. Elija la pestaña **Permisos**. Si es necesario, abra la sección **Permissions boundary (Límite de permisos)** y, a continuación, elija **Change boundary (Cambiar límite)**.

1. Seleccione la política que desea utilizar para el límite de permisos.

1. Elija **Set boundary (Configurar límite)**.

La consola muestra un mensaje de estado en el que se le informa que se ha modificado el límite de permisos.

------

## Cómo eliminar una política de permisos de un usuario (consola)
<a name="users_change_permissions-remove-policy-console"></a>

Cuando se elimina una política de permisos, se actualiza el acceso del usuario inmediatamente.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. Seleccione el nombre del usuario cuyas políticas de permisos desea eliminar. 

1. Elija la pestaña **Permisos**. 

1. Si desea eliminar permisos mediante la remoción de una política existente, consulte la columna **Medio de asociación** para comprender cómo el usuario obtiene la política antes de elegir **Eliminar** para eliminar la política:
   + Si la política se aplica por la suscripción a un grupo, cuando elija **Eliminar** eliminará al usuario del grupo. Recuerde que es posible que tenga varias políticas asociadas a un único grupo. Si elimina al usuario de ese grupo, el usuario perderá el acceso a *todas* las políticas que recibió al pertenecer a dicho grupo.
   + Si la política es una política administrada asociada directamente al usuario, cuando elija **Eliminar** separará la política del usuario. Esto no afecta a la política en sí o a cualquier otra entidad a la que la política pueda estar asociada.
   + Si la política es una política insertada incrustada y selecciona **Eliminar**, se elimina la política de IAM. Las políticas insertadas que están directamente asociadas a un usuario existen únicamente en dicho usuario.

Si la política se otorgó al usuario mediante la suscripción a un grupo, la consola muestra un mensaje de estado en el que se le informa que se ha eliminado el usuario de IAM del grupo de IAM. Si la política está directamente asociada o insertada, en el mensaje de estado se le informa que se ha eliminado la política.

------

## Cómo eliminar el límite de permisos de un usuario (consola)
<a name="users_change_permissions-remove-boundary-console"></a>

Cuando se elimina el límite de permisos, se actualiza el acceso del usuario inmediatamente.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. En la lista **Usuarios**, seleccione el nombre del usuario de IAM cuyo límite de permisos desea eliminar. 

1. Elija la pestaña **Permisos**. Si es necesario, abra la sección **Límite de permisos**.

1.  Elija **Change boundary (Cambiar límite)**. Para confirmar que desea eliminar el límite de permisos, seleccione **Eliminar límite** en el cuadro de diálogo de confirmación.

La consola muestra un mensaje de estado en el que se le informa que se ha eliminado el límite de permisos.

------

## Adición y eliminación de permisos de un usuario (AWS CLI o API de AWS)
<a name="users_change_permissions-add-programmatic"></a>

Para añadir o eliminar permisos de forma programada, debe añadir o eliminar las suscripciones a grupos, asociar o separar las políticas administradas o eliminar las políticas insertadas. Para obtener más información, consulte los temas siguientes:
+ [Edición de usuarios de grupos de IAM](id_groups_manage_add-remove-users.md)
+ [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md)

# Contraseñas de los usuarios en AWS
<a name="id_credentials_passwords"></a>

Puede administrar las contraseñas de los usuarios de IAM de su cuenta. Los usuarios de IAM necesitan contraseñas para obtener acceso a la Consola de administración de AWS. Los usuarios no necesitan contraseñas para obtener acceso a los recursos de AWS mediante programación, utilizando la AWS CLI, Tools for Windows PowerShell, los SDK de AWS o las API. Para esos entornos, tiene la opción de asignar [claves de acceso](id_credentials_access-keys.md) a los usuarios de IAM. Sin embargo, existen otras alternativas más seguras a las claves de acceso que le recomendamos que tenga en cuenta en primer lugar. Para obtener más información, consulte [AWSCredenciales de seguridad de](security-creds.md).

**nota**  
Si uno de sus usuarios de IAM pierde u olvida la contraseña, usted *no* podrá recuperarla de IAM. En función de su configuración, el usuario o el administrador debe crear una contraseña nueva.

**Topics**
+ [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](id_credentials_passwords_account-policy.md)
+ [Administrar las contraseñas de los usuarios de IAM](id_credentials_passwords_admin-change-user.md)
+ [Autorización para que los usuarios de IAM cambien sus contraseñas](id_credentials_passwords_enable-user-change.md)
+ [Cómo un usuario de IAM cambia su propia contraseña](id_credentials_passwords_user-change-own.md)

# Configuración de una política de contraseñas de la cuenta para usuarios de IAM
<a name="id_credentials_passwords_account-policy"></a>

Puede establecer una política de contraseñas personalizada en la Cuenta de AWS para especificar los requisitos de complejidad y los periodos de rotación obligatorios de las contraseñas de los usuarios de IAM. Si no establece una política de contraseñas personalizada, las contraseñas de los usuarios de IAM deberán cumplir con la política de contraseñas predeterminada de AWS. Para obtener más información, consulte [Opciones de la política de contraseñas personalizada](#password-policy-details).

**Topics**
+ [Reglas para configurar una política de contraseñas](#password-policy-rules)
+ [Permisos necesarios para establecer una política de contraseñas](#default-policy-permissions-required)
+ [Política de contraseñas predeterminada](#default-policy-details)
+ [Opciones de la política de contraseñas personalizada](#password-policy-details)
+ [Cómo configurar una política de contraseñas (consola)](#IAMPasswordPolicy)
+ [Cómo cambiar una política de contraseñas (consola)](#id_credentials_passwords_account-policy-section-1)
+ [Para eliminar una política de contraseñas personalizada (consola)](#id_credentials_passwords_account-policy-section-2)
+ [Configuración de una política de contraseñas (AWS CLI)](#PasswordPolicy_CLI)
+ [Configuración de una política de contraseñas (API de AWS)](#PasswordPolicy_API)

## Reglas para configurar una política de contraseñas
<a name="password-policy-rules"></a>

La política de contraseñas de IAM no se aplica a la contraseña de Usuario raíz de la cuenta de AWS ni a las claves de acceso de los usuarios de IAM. Si una contraseña vence, el usuario de IAM no podrá iniciar sesión en la Consola de administración de AWS, pero podrá seguir utilizando sus claves de acceso.

Al crear o cambiar una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Sin embargo, algunos de los ajustes se aplican de forma inmediata. Por ejemplo: 
+ Cuando cambian los requisitos de longitud mínima y de tipos de caracteres, esta configuración se aplica la próxima vez que los usuarios cambian la contraseña. Los usuarios no están obligados a cambiar sus contraseñas, aunque las contraseñas existentes no cumplan la política de contraseñas actualizada.
+ Si configura el periodo de vencimiento de una contraseña, este se aplica de forma inmediata. Por ejemplo, supongamos que se establece un periodo de vencimiento de la contraseña de 90 días. En ese caso, la contraseña vence para todos los usuarios de IAM cuya contraseña existente tiene más de 90 días. Esos usuarios deberán cambiar su contraseña la próxima vez que inicien sesión.

No puede crear una “política de bloqueo” para bloquear a los usuarios el acceso a la cuenta después de un número específico de intentos fallidos de inicio de sesión. Para mejorar la seguridad, se recomienda combinar una política de contraseñas seguras con la autenticación multifactor (MFA). Para obtener más información acerca de MFA, consulte [Autenticación multifactor de AWS en IAM](id_credentials_mfa.md).

## Permisos necesarios para establecer una política de contraseñas
<a name="default-policy-permissions-required"></a>

Debe configurar permisos para permitir que una entidad (usuario o rol) de IAM vea o edite la política de contraseñas de cuenta. Puede incluir las siguientes acciones de política de contraseñas en una política de IAM: 
+ `iam:GetAccountPasswordPolicy`: permite a la entidad ver la política de contraseñas de su cuenta
+ `iam:DeleteAccountPasswordPolicy`: permite a la entidad eliminar la política de contraseñas personalizada para su cuenta y volver a la política de contraseñas predeterminada
+ `iam:UpdateAccountPasswordPolicy`: permite a la entidad crear o cambiar la política de contraseñas personalizada de su cuenta

La siguiente política permite el acceso total para ver y editar la política de contraseñas de la cuenta. Para obtener información sobre cómo crear una política de IAM mediante este documento de política JSON de ejemplo, consulte [Creación de políticas mediante el editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Para obtener información acerca de los permisos necesarios para que un usuario de IAM cambie su propia contraseña, consulte [Autorización para que los usuarios de IAM cambien sus contraseñas](id_credentials_passwords_enable-user-change.md).

## Política de contraseñas predeterminada
<a name="default-policy-details"></a>

Si un administrador no establece una política de contraseñas personalizada, las contraseñas de los usuarios de IAM deben cumplir con la política de contraseñas predeterminada de AWS.

La política de contraseñas predeterminada aplica las siguientes condiciones:
+ tener una longitud mínima de contraseña de 8 caracteres y una longitud máxima de 128 caracteres
+ Un mínimo de tres de los siguientes tipos de caracteres: mayúsculas, minúsculas, números y caracteres no alfanuméricos (`! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`)
+ No ser idéntica al nombre de la Cuenta de AWS ni a la dirección de correo electrónico
+ La contraseña no caduca nunca

## Opciones de la política de contraseñas personalizada
<a name="password-policy-details"></a>

Cuando configure una política de contraseñas personalizada para su cuenta, podrá especificar las siguientes condiciones:
+ **Establecer la longitud mínima de la contraseña**: usted puede especificar un mínimo de 6 caracteres y un máximo de 128 caracteres.
+ **Establecer la seguridad de la contraseña**: usted puede seleccionar cualquiera de las siguientes casillas de verificación para definir la seguridad de las contraseñas de los usuarios de IAM:
  + Exija al menos una letra mayúscula del alfabeto latino (A-Z).
  + Exija al menos una letra minúscula del alfabeto latino (a-z).
  + Exija al menos un número
  + Exija al menos un carácter no alfanumérico . `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '` 
+ **Activar el vencimiento de la contraseña**: puede seleccionar y especificar un mínimo de 1 día y un máximo de 1095 días de validez de las contraseñas de los usuarios de IAM una vez establecidas. Por ejemplo, si especifica un vencimiento de 90 días, afecta inmediatamente a todos los usuarios. Los usuarios con contraseñas de más de 90 días, cuando inician sesión en la consola después del cambio, deben establecer una nueva contraseña. Los usuarios con contraseñas de entre 75 y 89 días de antigüedad reciben un aviso en la Consola de administración de AWS sobre el vencimiento de su contraseña. Los usuarios de IAM pueden cambiar su contraseña en cualquier momento si tienen permiso para hacerlo. Cuando establecen una contraseña nueva, el periodo de vencimiento para esa contraseña vuelve a comenzar. Un usuario de IAM solo puede tener una contraseña válida a la vez.
+ **La caducidad de la contraseña requiere un restablecimiento por parte del administrador**: seleccione esta opción para evitar que los usuarios de IAM utilicen la Consola de administración de AWS para actualizar sus propias contraseñas después de que la contraseña caduque. Antes de seleccionar esta opción, confirme que su Cuenta de AWS tenga más de un usuario con permisos administrativos para restablecer las contraseñas de los usuarios de IAM. Los administradores con el permiso `iam:UpdateLoginProfile` pueden restablecer las contraseñas de usuario de IAM. Los usuarios de IAM con el permiso `iam:ChangePassword` y las claves de acceso activas pueden restablecer su propia contraseña de la consola de usuario de IAM mediante programación. Si desactiva esta casilla de verificación, los usuarios de IAM con contraseñas vencidas aún deberán establecer una nueva contraseña antes de poder acceder a la Consola de administración de AWS.
+ **Permitir que los usuarios cambien su propia contraseña**: puede permitir que todos los usuarios de IAM de su cuenta cambien su propia contraseña. Esto permite a los usuarios acceder a la acción `iam:ChangePassword` solo para su usuario y a la acción `iam:GetAccountPasswordPolicy`. Esta opción no adjunta una política de permisos a cada usuario. Más bien, IAM aplica los permisos en la cuenta para todos los usuarios. También puede permitir que solo algunos usuarios administren sus propias contraseñas. Para ello, desactive esta casilla de verificación. Para obtener más información acerca del uso de políticas para limitar quién puede administrar contraseñas, consulte [Autorización para que los usuarios de IAM cambien sus contraseñas](id_credentials_passwords_enable-user-change.md).
+ **Impedir la reutilización de las contraseñas**: puede impedir que los usuarios de IAM reutilicen una cantidad específica de contraseñas anteriores. Puede especificar un número mínimo de 1 y un número máximo de 24 contraseñas anteriores que no se pueden repetir. 

## Cómo configurar una política de contraseñas (consola)
<a name="IAMPasswordPolicy"></a>

Puede utilizar la Consola de administración de AWS para crear, cambiar o eliminar una política de contraseñas personalizada. Los cambios en la política de contraseñas se aplican a los nuevos usuarios de IAM creados después de estos cambios y a los usuarios de IAM existentes cuando cambian sus contraseñas.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, elija **Configuración de cuenta**.

1. En la sección **Password policy** (Política de contraseñas), elija **Edit** (Editar). 

1. Elija **Custom** (Personalizado) para usar una política de contraseñas personalizada.

1. Seleccione las opciones que desee aplicar a su política de contraseñas y elija **Save changes (Guardar cambios)**. 

1. Para confirmar que desea establecer la política de contraseñas personalizada, seleccione **Set custom** (Establecer la política personalizada).

La consola muestra un mensaje de estado en el que se le informa que se han actualizado los requisitos de contraseña para los usuarios de IAM.

------

## Cómo cambiar una política de contraseñas (consola)
<a name="id_credentials_passwords_account-policy-section-1"></a>

Puede utilizar la Consola de administración de AWS para crear, cambiar o eliminar una política de contraseñas personalizada. Los cambios en la política de contraseñas se aplican a los nuevos usuarios de IAM creados después de estos cambios y a los usuarios de IAM existentes cuando cambian sus contraseñas.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, elija **Configuración de cuenta**.

1. En la sección **Password policy** (Política de contraseñas), elija **Edit** (Editar). 

1. Seleccione las opciones que desee aplicar a su política de contraseñas y elija **Save changes (Guardar cambios)**. 

1. Para confirmar que desea establecer la política de contraseñas personalizada, seleccione **Set custom** (Establecer la política personalizada).

La consola muestra un mensaje de estado en el que se le informa que se han actualizado los requisitos de contraseña para los usuarios de IAM.

------

## Para eliminar una política de contraseñas personalizada (consola)
<a name="id_credentials_passwords_account-policy-section-2"></a>

Puede utilizar la Consola de administración de AWS para crear, cambiar o eliminar una política de contraseñas personalizada. Los cambios en la política de contraseñas se aplican a los nuevos usuarios de IAM creados después de estos cambios y a los usuarios de IAM existentes cuando cambian sus contraseñas.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, elija **Configuración de cuenta**.

1. En la sección **Password policy** (Política de contraseñas), elija **Edit** (Editar). 

1. Elija **IAM default** (Predeterminado de IAM) para eliminar la política de contraseñas personalizada y elija **Save changes** (Guardar cambios).

1. Para confirmar que desea establecer la política de contraseñas predeterminada de IAM, seleccione **Set default** (Establecer la política predeterminada).

La consola muestra un mensaje de estado en el que se le informa que la política de contraseñas está configurada como predeterminada de IAM.

------

## Configuración de una política de contraseñas (AWS CLI)
<a name="PasswordPolicy_CLI"></a>

Puede utilizar la AWS Command Line Interface para establecer una política de contraseñas.

**Para administrar la política personalizada de contraseñas de cuentas desde la AWS CLI**  
Ejecute los comandos siguientes:
+ Para crear o cambiar la política de contraseñas personalizada: [https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)
+ Para ver la política de contraseñas: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html) 
+ Para eliminar la política de contraseñas personalizada: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html) 

## Configuración de una política de contraseñas (API de AWS)
<a name="PasswordPolicy_API"></a>

Puede utilizar las operaciones de la API de AWS para establecer una política de contraseñas.

**Para administrar la política personalizada de contraseñas de cuentas desde la API de AWS**  
Llame a las siguientes operaciones:
+ Para crear o cambiar la política de contraseñas personalizada: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)
+ Para ver la política de contraseñas: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) 
+ Para eliminar la política de contraseñas personalizada: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html) 

# Administrar las contraseñas de los usuarios de IAM
<a name="id_credentials_passwords_admin-change-user"></a>

Los usuarios de IAM que utilizan la Consola de administración de AWS para trabajar con los recursos de AWS deben tener una contraseña para poder iniciar sesión. Puede crear, cambiar o eliminar la contraseña de un usuario de IAM en su cuenta de AWS. 

Una vez que haya asignado una contraseña a un usuario, el usuario puede iniciar sesión en la Consola de administración de AWS con la URL de inicio de sesión de su cuenta, que tiene este aspecto: 

```
https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console
```

Para obtener más información acerca de cómo los usuarios de IAM inician sesión en la Consola de administración de AWS, consulte [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*. 

Aunque los usuarios tengan sus propias contraseñas, deben seguir teniendo permisos para obtener acceso a los recursos de AWS. De forma predeterminada, un usuario no tiene permisos. Para conceder a los usuarios los permisos que necesitan, debe asignarles políticas o a los grupos a los que pertenezcan. Para obtener información sobre cómo crear usuarios y grupos, consulte [Identidades de IAM](id.md). Para obtener información sobre cómo utilizar políticas para establecer permisos, consulte [Cambio de los permisos de un usuario de IAM](id_users_change-permissions.md). 

Puede conceder a los usuarios permiso para cambiar sus propias contraseñas. Para obtener más información, consulte [Autorización para que los usuarios de IAM cambien sus contraseñas](id_credentials_passwords_enable-user-change.md). Para obtener más información acerca de cómo los usuarios acceden a la página de inicio de sesión de su cuenta, consulte [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*. 

**Topics**
+ [Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)](#id_credentials_passwords_admin-change-user_console)

## Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)
<a name="id_credentials_passwords_admin-change-user_console"></a>

También puede utilizar la Consola de administración de AWS para administrar contraseñas de los usuarios de IAM.

Las necesidades de acceso de sus usuarios pueden cambiar con el tiempo. Es posible que deba habilitar un usuario destinado al acceso a la CLI para poder acceder a la consola, cambiar la contraseña de un usuario porque recibe el correo electrónico con sus credenciales o eliminar un usuario cuando abandona la organización o ya no necesita acceso a AWS. 

### Para crear una contraseña para un usuario de IAM (consola)
<a name="id_credentials_passwords_admin-change-user-section-1"></a>

Utilice este procedimiento para conceder a un usuario acceso a la consola mediante la creación de una contraseña asociada al nombre de usuario.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre del usuario cuya contraseña desea crear. 

1. Elija la pestaña **Credenciales de seguridad** y luego, en **Inicio de sesión en la consola**, elija **Habilitar el acceso a la consola**.

1. En el cuadro de diálogo **Habilitar el acceso a la consola**, seleccione **Restablecer contraseña** y seleccione si IAM debe generar una contraseña o crear una contraseña personalizada: 
   + Para que IAM genere una contraseña, elija **Contraseña generada automáticamente**.
   + Para crear una contraseña personalizada, elija **Custom password (Contraseña personalizada)** y escriba la contraseña. 
**nota**  
La contraseña que cree debe cumplir con la [política de contraseñas](id_credentials_passwords_account-policy.md) de la cuenta.

1. Para exigir al usuario que cree una contraseña nueva cuando inicie sesión, seleccione **Exigir cambio de contraseña en el próximo inicio de sesión**. 

1. Para exigir al usuario que utilice la nueva contraseña inmediatamente, seleccione **Revocar sesiones activas de la consola**. De este modo, se adjunta una política insertada al usuario de IAM que le deniega el acceso a los recursos si sus credenciales son anteriores a la fecha especificada en la política.

1. Seleccione **Restablecer contraseña**.

1. En el cuadro de diálogo **Contraseña de la consola**, se le informa que ha activado la nueva contraseña del usuario. Para ver la contraseña y poder compartirla con el usuario, seleccione **Mostrar** en el cuadro de diálogo **Contraseña de la consola**. Seleccione **Descargar archivo .csv** para descargar un archivo con las credenciales del usuario.
**importante**  
Por motivos de seguridad, no puede obtener acceso a la contraseña después de completar este paso, pero puede crear una nueva contraseña en cualquier momento.

La consola muestra un mensaje de estado en el que se le informa que se ha habilitado el acceso a la consola.

------

### Para cambiar la contraseña de un usuario de IAM (consola)
<a name="id_credentials_passwords_admin-change-user-section-2"></a>

Utilice este procedimiento para actualizar una contraseña asociada al nombre de usuario.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre del usuario cuya contraseña desea cambiar. 

1. Elija la pestaña **Credenciales de seguridad** y luego, en **Inicio de sesión en la consola**, elija **Administrar el acceso a la consola**.

1. En el cuadro de diálogo **Administrar el acceso a la consola**, seleccione **Restablecer contraseña** y seleccione si IAM debe generar una contraseña o crear una contraseña personalizada: 
   + Para que IAM genere una contraseña, elija **Contraseña generada automáticamente**.
   + Para crear una contraseña personalizada, elija **Custom password (Contraseña personalizada)** y escriba la contraseña. 
**nota**  
La contraseña que cree debe cumplir con la [política de contraseñas](id_credentials_passwords_account-policy.md) de la cuenta.

1. Para exigir al usuario que cree una contraseña nueva cuando inicie sesión, seleccione **Exigir cambio de contraseña en el próximo inicio de sesión**. 

1. Para exigir al usuario que utilice la nueva contraseña inmediatamente, seleccione **Revocar sesiones activas de la consola**. De este modo, se adjunta una política insertada al usuario de IAM que le deniega el acceso a los recursos si sus credenciales son anteriores a la fecha especificada en la política.

1. Seleccione **Restablecer contraseña**.

1. En el cuadro de diálogo **Contraseña de la consola**, se le informa que ha activado la nueva contraseña del usuario. Para ver la contraseña y poder compartirla con el usuario, seleccione **Mostrar** en el cuadro de diálogo **Contraseña de la consola**. Seleccione **Descargar archivo .csv** para descargar un archivo con las credenciales del usuario.
**importante**  
Por motivos de seguridad, no puede obtener acceso a la contraseña después de completar este paso, pero puede crear una nueva contraseña en cualquier momento.

La consola muestra un mensaje de estado en el que se le informa que se ha actualizado el acceso a la consola.

------

### Para eliminar (desactivar) la contraseña de un usuario de IAM (consola)
<a name="id_credentials_passwords_admin-change-user-section-3"></a>

Utilice este procedimiento para eliminar una contraseña asociada al nombre de usuario, lo que le quita al usuario el acceso a la consola.

**importante**  
Puede desactivar el acceso de un usuario de IAM a la Consola de administración de AWS eliminando su contraseña. Esto les impide iniciar sesión en la Consola de administración de AWS utilizando sus credenciales de inicio de sesión. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de la AWS CLI, Tools for Windows PowerShell, API de AWS o Console Mobile Application de AWS.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre del usuario cuya contraseña desea eliminar. 

1. Elija la pestaña **Credenciales de seguridad** y luego, en **Inicio de sesión en la consola**, elija **Administrar el acceso a la consola**.

1. Para exigir al usuario que deje de usar la consola inmediatamente, seleccione **Revocar sesiones activas de la consola**. De este modo, se adjunta una política insertada al usuario de IAM que le deniega el acceso a los recursos si sus credenciales son anteriores a la fecha especificada en la política.

1. Seleccione **Deshabilitar el acceso**.

La consola muestra un mensaje de estado en el que se le informa que se ha deshabilitado el acceso a la consola.

------

### Creación, cambio o eliminación de la contraseña de un usuario de IAM (AWS CLI)
<a name="Using_ManagingPasswordsCLIAPI"></a>

También puede utilizar la API de la AWS CLI para administrar contraseñas de los usuarios de IAM.

**Para crear una contraseña (AWS CLI)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. Para crear una contraseña, ejecute este comando: [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)

**Para cambiar la contraseña de un usuario (AWS CLI)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. Para cambiar una contraseña, ejecute este comando: [aws iam update-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/update-login-profile.html)

**Para eliminar (deshabilitar) la contraseña de un usuario (AWS CLI)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. (Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)

1. Para eliminar una contraseña, ejecute este comando: [aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)

**importante**  
Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la Consola de administración de AWS. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de AWS CLI, Tools for Windows PowerShell, o llamadas de función de API de AWS. Cuando se utiliza la AWS CLI, Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una Cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte [Eliminación de un usuario de IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli). 

**Revocación de las sesiones de consola activas de un usuario antes de una hora específica (AWS CLI)**

1. Para incrustar una política insertada que revoque las sesiones de consola activas de un usuario de IAM antes de una hora específica, utilice la siguiente política en línea y ejecute este comando: [aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

   Esta política insertada deniega todos los permisos e incluye la clave de condición `aws:TokenIssueTime`. Revoca las sesiones de consola activas del usuario antes de la hora especificada en el elemento `Condition` de la política insertada. Reemplace el valor de la clave de condición `aws:TokenIssueTime` por su propio valor.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (Opcional) Para mostrar los nombres de las políticas insertadas en el usuario de IAM, ejecute este comando: [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)

1. (Opcional) Para ver la política insertada con nombre incrustada en el usuario de IAM, ejecute este comando: [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)

### Creación, cambio o eliminación de la contraseña de un usuario de IAM (API de AWS)
<a name="Using_ManagingPasswordsAPI"></a>

También puede utilizar la API de la AWS para administrar contraseñas de los usuarios de IAM.

**Para crear una contraseña (API de AWS)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. Para crear una contraseña, llame a esta operación: [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

**Para cambiar la contraseña de un usuario (API de AWS)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. Para cambiar una contraseña, llame a esta operación: [UpdateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateLoginProfile.html)

**Para eliminar (deshabilitar) la contraseña de un usuario (API de AWS)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. (Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)

1. Para eliminar una contraseña, ejecute este comando: [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)

**importante**  
Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la Consola de administración de AWS. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de AWS CLI, Tools for Windows PowerShell, o llamadas de función de API de AWS. Cuando se utiliza la AWS CLI, Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una Cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte [Eliminación de un usuario de IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli). 

**Revocación de las sesiones de consola activas de un usuario antes de una hora específica (API de AWS)**

1. Para incrustar una política insertada que revoque las sesiones de consola activas de un usuario de IAM antes de una hora específica, utilice la siguiente política insertada y ejecute este comando: [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

   Esta política insertada deniega todos los permisos e incluye la clave de condición `aws:TokenIssueTime`. Revoca las sesiones de consola activas del usuario antes de la hora especificada en el elemento `Condition` de la política insertada. Reemplace el valor de la clave de condición `aws:TokenIssueTime` por su propio valor.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (Opcional) Para mostrar los nombres de las políticas insertadas en el usuario de IAM, ejecute este comando: [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)

1. (Opcional) Para ver la política insertada con nombre incrustada en el usuario de IAM, ejecute este comando: [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)

# Autorización para que los usuarios de IAM cambien sus contraseñas
<a name="id_credentials_passwords_enable-user-change"></a>

**nota**  
Los usuarios con identidades federadas utilizarán el proceso definido por su proveedor de identidades para cambiar sus contraseñas. Como [práctica recomendada](best-practices.md), exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales.

Puede permitir a los usuarios de IAM que cambien sus propias contraseñas para iniciar sesión en la Consola de administración de AWS. Puede hacerlo de una de las dos formas siguientes:
+ [Permitir a todos los usuarios de IAM de la cuenta cambiar sus propias contraseñas](#proc_letalluserschangepassword). 
+ [Permitir solo a usuarios de IAM determinados cambiar sus propias contraseñas](#proc_letselectuserschangepassword). En este caso, desactive la opción para que todos los usuarios cambien sus propias contraseñas y utilice una política de IAM para otorgar permisos solo a algunos usuarios. Este enfoque permite a esos usuarios cambiar sus propias contraseñas y, de manera opcional, otras credenciales, como sus propias claves de acceso. 

**importante**  
Se recomienda [establecer una política de contraseñas personalizada](id_credentials_passwords_account-policy.md) que requiera que los usuarios de IAM creen contraseñas seguras.

## Para permitir que todos los usuarios de IAM cambien sus contraseñas
<a name="proc_letalluserschangepassword"></a>

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, haga clic en **Account settings (Configuración de la cuenta)**.

1. En la sección **Password policy** (Política de contraseñas), elija **Edit** (Editar).

1. Elija **Custom** (Personalizado) para usar una política de contraseñas personalizada.

1. Seleccione **Allow users to change their own password** (Permitir que los usuarios cambien su propia contraseña) y, a continuación, elija **Save changes** (Guardar cambios). Esto permite a todos los usuarios de la cuenta acceder a la acción `iam:ChangePassword` solo para su usuario y a la acción `iam:GetAccountPasswordPolicy`.

1. Proporcione a los usuarios las siguientes instrucciones para cambiar sus contraseñas: [Cómo un usuario de IAM cambia su propia contraseña](id_credentials_passwords_user-change-own.md). 

------
#### [ AWS CLI ]

Ejecute el siguiente comando:
+ `[aws iam update-account-password-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)`

------
#### [ API ]

Para crear un alias para la URL de la página de inicio de sesión de la Consola de administración de AWS, llame a la siguiente operación:
+ `[UpdateAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)` 

------

## Para permitir a usuarios de IAM determinados cambiar sus propias contraseñas
<a name="proc_letselectuserschangepassword"></a>

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, haga clic en **Account settings (Configuración de la cuenta)**. 

1. En la sección **Password policy (Política de contraseñas)**, asegúrese de que la opción **Allow users to change their own password (Permitir que los usuarios cambien su propia contraseña)** no esté seleccionada. Si la casilla de verificación está marcada, todos los usuarios podrán cambiar sus contraseñas. (Lea el procedimiento previo.) 

1. Cree usuarios que puedan cambiar sus propias contraseñas, si no existen todavía. Para obtener más información, consulte [Creación de un usuario de IAM en su Cuenta de AWS](id_users_create.md). 

1. (Opcional) Cree un grupo de IAM para los usuarios que deberían poder cambiar sus contraseñas y, a continuación, agregue los usuarios del paso anterior al grupo. Para obtener más información, consulte [Grupos de usuarios de IAM](id_groups.md). 

1. Asigne la siguiente política al grupo. Para obtener más información, consulte [Administración de políticas de IAM](access_policies_manage.md).

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:GetAccountPasswordPolicy",
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": "iam:ChangePassword",
         "Resource": "arn:aws:iam::*:user/${aws:username}"
       }
     ]
   }
   ```

------

   Esta política otorga acceso a la acción [cambiar contraseña](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html), que permite a los usuarios cambiar únicamente sus propias contraseñas desde la consola, la AWS CLI, Tools for Windows PowerShell o la API. También otorga acceso a la acción [GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html), que permite al usuario ver la política de contraseñas actual. Este permiso es necesario para que el usuario pueda ver la política de contraseñas de cuentas en la página **Change Password (Cambiar contraseña)**. El usuario debe poder leer la política de contraseñas actual para asegurarse de que la contraseña cambiada cumpla los requisitos de la política.

1. Proporcione a los usuarios las siguientes instrucciones para cambiar sus contraseñas: [Cómo un usuario de IAM cambia su propia contraseña](id_credentials_passwords_user-change-own.md). 

------

### Para obtener más información
<a name="HowToPwdIAMUser-moreinfo"></a>

Para obtener más información acerca de cómo administrar credenciales, consulte los siguientes temas:
+ [Autorización para que los usuarios de IAM cambien sus contraseñas](#id_credentials_passwords_enable-user-change) 
+ [Contraseñas de los usuarios en AWS](id_credentials_passwords.md)
+ [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](id_credentials_passwords_account-policy.md)
+ [Administración de políticas de IAM](access_policies_manage.md)
+ [Cómo un usuario de IAM cambia su propia contraseña](id_credentials_passwords_user-change-own.md)

# Cómo un usuario de IAM cambia su propia contraseña
<a name="id_credentials_passwords_user-change-own"></a>

Si dispone de permiso para cambiar su propia contraseña de usuario de IAM, puede utilizar una página especial en la Consola de administración de AWS para hacerlo. También puede utilizar la AWS CLI o la API de AWS.

**Topics**
+ [Permisos necesarios](#change-own-passwords-permissions-required)
+ [Cómo cambian los usuarios de IAM su propia contraseña (consola)](#ManagingUserPwdSelf-Console)
+ [Cómo cambian los usuarios de IAM su propia contraseña (AWS CLI o API de AWS)](#ManagingUserPwdSelf-CLIAPI)

## Permisos necesarios
<a name="change-own-passwords-permissions-required"></a>

Para cambiar la contraseña de su propio usuario de IAM, debe contar con los permisos de la siguiente política: [AWS: permite a los usuarios de IAM cambiar su propia contraseña de consola en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).

## Cómo cambian los usuarios de IAM su propia contraseña (consola)
<a name="ManagingUserPwdSelf-Console"></a>

En el siguiente procedimiento se describe cómo un usuario de IAM puede utilizar la Consola de administración de AWS para cambiar su propia contraseña.

**Para cambiar la contraseña de su propio usuario de IAM (consola)**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la pestaña **Credenciales de AWS IAM**, elija **Actualizar contraseña**.

1. En **Current password (Contraseña actual)**, escriba la contraseña actual. Escriba una contraseña nueva **New password (Nueva contraseña)** y **Confirm new password (Confirmar nueva contraseña)**. A continuación, elija **Actualizar contraseña**.
**nota**  
La nueva contraseña debe cumplir los requisitos de la política de contraseñas de cuentas. Para obtener más información, consulte [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](id_credentials_passwords_account-policy.md). 

## Cómo cambian los usuarios de IAM su propia contraseña (AWS CLI o API de AWS)
<a name="ManagingUserPwdSelf-CLIAPI"></a>

En el siguiente procedimiento se describe cómo un usuario de IAM puede utilizar la AWS CLI o la API de AWS para cambiar su propia contraseña.

**Para cambiar su propia contraseña de IAM, utilice lo siguiente:**
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html](https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)

# Administración de claves de acceso para usuarios de IAM
<a name="id_credentials_access-keys"></a>

**importante**  
Como [práctica recomendada](best-practices.md), utilice credenciales de seguridad temporales (por ejemplo, roles de IAM) en lugar de crear credenciales a largo plazo como claves de acceso. Antes de crear claves de acceso, revise las [alternativas a las claves de acceso a largo plazo](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

Las claves de acceso son credenciales a largo plazo para un usuario de IAM o el Usuario raíz de la cuenta de AWS. Puede utilizar las claves de acceso para firmar solicitudes mediante programación a la AWS CLI o a la API de AWS (directamente o mediante el SDK de AWS). Para obtener más información, consulte [Acceso programático con credenciales de seguridad AWS](security-creds-programmatic-access.md).

Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo, `AKIAIOSFODNN7EXAMPLE`) y una clave de acceso secreta (por ejemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Debe utilizar el ID de clave de acceso y la clave de acceso secreta juntos, como un nombre de usuario y contraseña, para autenticar sus solicitudes.



Cuando cree un par de claves de acceso, guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo se puede recuperar cuando se crea la clave. Si pierde su clave de acceso secreta, debe eliminar la clave de acceso y crear una nueva. Para obtener instrucciones adicionales, consulte [Actualización de las claves de acceso](id-credentials-access-keys-update.md).

Puede tener un máximo de dos claves de acceso por usuario.

**importante**  
Los usuarios de IAM con claves de acceso suponen un riesgo para la seguridad de las cuentas. Administre las claves de acceso de forma segura. No proporcione sus claves de acceso a terceros no autorizados, ni siquiera para que le ayuden a [buscar sus identificadores de cuenta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Si lo hace, podría conceder a otra persona acceso permanente a su cuenta.  
Al trabajar con claves de acceso, tenga en cuenta lo siguiente:  
**NO** use las credenciales raíz de la cuenta para crear claves de acceso.
**NO** incluya claves de acceso ni información sobre credenciales en sus archivos de aplicación. 
**NO** incluya archivos que contengan información de credenciales ni claves de acceso en el área del proyecto.
La información de credenciales o claves de acceso almacenadas en el archivo de credenciales de AWS compartido se almacenan en texto no cifrado.

## Recomendaciones de supervisión
<a name="monitor-access-keys"></a>

Después de crear las claves de acceso:
+ Utilice AWS CloudTrail para supervisar el uso de las claves de acceso y detectar cualquier intento de acceso no autorizado. Para obtener más información, consulte [Registro de llamadas a IAM y a la API de AWS STS con AWS CloudTrail](cloudtrail-integration.md).
+ Configure alarmas de CloudWatch para notificar los intentos de denegación de acceso a los administradores a fin de ayudar a detectar actividades maliciosas. Para obtener más información, consulte la [Guía del usuario de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ Revise, actualice y elimine periódicamente las claves de acceso si es necesario.

En las siguientes secciones, se detallan las tareas de administración asociadas a las claves de acceso.

**Topics**
+ [Recomendaciones de supervisión](#monitor-access-keys)
+ [Control del uso de las claves de acceso adjuntando una política insertada a un usuario de IAM](access-keys_inline-policy.md)
+ [Permisos requeridos para administrar claves de acceso](access-keys_required-permissions.md)
+ [Cómo los usuarios de IAM pueden gestionar sus propias claves de acceso](access-key-self-managed.md)
+ [Cómo un administrador de IAM puede gestionar las claves de acceso de los usuarios de IAM](access-keys-admin-managed.md)
+ [Actualización de las claves de acceso](id-credentials-access-keys-update.md)
+ [Protección de las claves de acceso](securing_access-keys.md)

# Control del uso de las claves de acceso adjuntando una política insertada a un usuario de IAM
<a name="access-keys_inline-policy"></a>

Otra práctica recomendada es que las [cargas de trabajo utilicen credenciales temporales con roles de IAM](best-practices.md#bp-workloads-use-roles) para acceder a AWS. A los usuarios de IAM con claves de acceso se les debe asignar el acceso con privilegio mínimo; además, deben tener activada la [autenticación multifactor (MFA](id_credentials_mfa.md)). Para obtener más información sobre cómo asumir roles de IAM, consulte [Métodos para asumir un rol](id_roles_manage-assume.md).

Sin embargo, si va a crear una prueba de concepto de una automatización de servicios u otro caso de uso a corto plazo y decide ejecutar las cargas de trabajo con un usuario de IAM con claves de acceso, le recomendamos que [utilice condiciones de políticas a fin de restringir aún más el acceso](best-practices.md#use-policy-conditions) de sus credenciales de usuario de IAM.

En este caso, puede crear una política con límite de tiempo que haga caducar las credenciales una vez que transcurra el tiempo especificado o, si ejecuta una carga de trabajo desde una red segura, puede utilizar una política de restricción de IP.

Para ambos casos de uso, puede utilizar una política insertada que se adjunte al usuario de IAM que tenga las claves de acceso.

**Configuración de una política con límite de tiempo para un usuario de IAM**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Usuarios** y, a continuación, seleccione el nombre del usuario para el caso de uso a corto plazo. Si todavía no ha creado el usuario, puede [crearlo](getting-started-workloads.md) ahora.

1. En la página **Detalles**, elija la pestaña **Permisos**.

1. Elija **Agregar permisos** y, a continuación, seleccione **Crear política insertada**.

1. En la sección **Editor de políticas**, seleccione **JSON** para que se muestre el editor JSON.

1. En el editor JSON, ingrese la siguiente política y sustituya el valor de la marca de tiempo `aws:CurrentTime` por la fecha y hora de caducidad deseadas:

------
#### [ JSON ]

****  

   ```
   {
   "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
         "DateGreaterThan": {
         "aws:CurrentTime": "2025-03-01T00:12:00Z"
           }
         }
       }
     ]
   }
   ```

------

   Esta política utiliza el efecto `Deny` para restringir todas las acciones en todos los recursos después de la fecha especificada. La condición `DateGreaterThan` compara la hora actual con la marca de tiempo que configuró.

1. Seleccione **Siguiente** para dirigirse a la página **Revisar y crear**. En los detalles de la **política**, en **Nombre de la política**, ingrese un nombre para la política y, a continuación, elija **Crear política**.

Una vez creada la política, se mostrará en la pestaña **Permisos** del usuario. Cuando la hora actual sea posterior o igual a la hora especificada en la política, el usuario dejará de tener acceso a los recursos de AWS. Asegúrese de informar a los desarrolladores de cargas de trabajo de la fecha de caducidad que especificó para estas claves de acceso. 

**Configuración de una política de restricción de IP para un usuario de IAM**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Usuarios** y luego seleccione el usuario que ejecutará la carga de trabajo desde la red segura. Si todavía no ha creado el usuario, puede [crearlo](getting-started-workloads.md) ahora.

1. En la página **Detalles**, elija la pestaña **Permisos**.

1. Elija **Agregar permisos** y, a continuación, seleccione **Crear política insertada**.

1. En la sección **Editor de políticas**, seleccione **JSON** para que se muestre el editor JSON.

1. Copie la siguiente política de IAM en el editor de JSON y cambie las direcciones o rangos de direcciones IPv4 o IPv6 públicas según sus necesidades. Puede usar [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/) para determinar su dirección IP pública actual. Puede especificar direcciones IP individuales o rangos de direcciones IP mediante la notación de barra diagonal. Para obtener más información, consulte [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). 
**nota**  
Las direcciones IP no deben estar ocultas por una VPN o un servidor proxy.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid":"IpRestrictionIAMPolicyForIAMUser",
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
           "NotIpAddress": {
             "aws:SourceIp": [
               "203.0.113.0/24",
               "2001:DB8:1234:5678::/64",
               "203.0.114.1"
             ]
           },
           "BoolIfExists": {
             "aws:ViaAWSService": "false"
           }
         }
       }
     ]
   }
   ```

------

   Este ejemplo de política deniega el uso de las claves de acceso de un usuario de IAM con esta política aplicada, a menos que la solicitud se haya originado en las redes (especificadas en la notación CIDR) “203.0.113.0/24”, “2001:DB8:1234:5678::/64” o en la dirección IP específica “203.0.114.1”. 

1. Seleccione **Siguiente** para dirigirse a la página **Revisar y crear**. En los detalles de la **política**, en **Nombre de la política**, ingrese un nombre para la política y, a continuación, elija **Crear política**.

Una vez creada la política, se mostrará en la pestaña **Permisos** del usuario. 

También podría aplicar esta política como una política de control de servicio (SCP) en varias cuentas de AWS en AWS Organizations; le recomendamos que utilice una condición adicional, `aws:PrincipalArn`, para que esta declaración de política solo se aplique a los usuarios de IAM dentro de las cuentas de AWS sujetas a esta SCP. La siguiente política incluye esa actualización:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::*:user/*"
        }
      }
    }
  ]
}
```

------

# Permisos requeridos para administrar claves de acceso
<a name="access-keys_required-permissions"></a>

**nota**  
`iam:TagUser` es un permiso opcional para agregar y editar las descripciones de la clave de acceso. Para obtener más información, consulte [Etiquetado de usuarios de IAM](id_tags_users.md)

Para crear claves de acceso para su usuario de IAM, debe contar con los permisos de la siguiente política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Para actualizar claves de acceso para su propio usuario de IAM, debe contar con los permisos de la siguiente política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# Cómo los usuarios de IAM pueden gestionar sus propias claves de acceso
<a name="access-key-self-managed"></a>

Los administradores de IAM pueden conceder permiso a los usuarios de IAM para autogestionar sus claves de acceso mediante la asociación de la política que se describe en [Permisos requeridos para administrar claves de acceso](access-keys_required-permissions.md).

Con estos permisos, el usuario de IAM puede utilizar los siguientes procedimientos para crear, activar, desactivar y eliminar las claves de acceso asociadas a su nombre de usuario.

**Topics**
+ [Cómo crear su propia clave de acceso (consola)](#Using_CreateAccessKey)
+ [Cómo desactivar su clave de acceso (consola)](#deactivate-access-key-seccreds)
+ [Cómo activar su clave de acceso (consola)](#activate-access-key-seccreds)
+ [Cómo eliminar su clave de acceso (consola)](#delete-access-key-seccreds)

## Cómo crear su propia clave de acceso (consola)
<a name="Using_CreateAccessKey"></a>

Si se le han concedido los permisos adecuados, puede utilizar la Consola de administración de AWS para crear sus propias claves de acceso.

**Para crear sus propias claves de acceso (consola)**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la sección **Claves de acceso**, haga clic en **Crear clave de acceso**. Si ya dispone de dos claves de acceso, este botón estará desactivado y deberá eliminar una clave de acceso antes de poder crear una nueva.

1. En la página **Access key best practices & alternatives** (Prácticas recomendadas y alternativas para la clave de acceso), elija su caso de uso para conocer las opciones adicionales que pueden ayudarle a evitar la creación de una clave de acceso de larga duración. Si determina que su caso de uso aún requiere una clave de acceso, elija **Other** (Otro) y, a continuación, **Next** (Siguiente).

1. (Opcional) Establezca un valor de etiqueta de descripción para la clave de acceso. Esto agrega un par clave-valor de etiqueta a su usuario de IAM. Esto puede ayudarlo a identificar y actualizar claves de acceso más adelante. La clave de la etiqueta se establece en el ID de la clave de acceso. El valor de la etiqueta se establece en la descripción de la clave de acceso que especifique. Cuando haya terminado, seleccione **Create access key** (Crear clave de acceso).

1. En la página **Retrieve access keys** (Recuperar claves de acceso), elija **Show** (Mostrar) para revelar el valor de la clave de acceso secreta de su usuario o **Download .csv file** (Descargar archivo .csv). Esta es su única oportunidad de guardar su clave de acceso secreta. Una vez guardada la clave de acceso secreta en un lugar seguro, seleccione **Done** (Listo).

## Cómo desactivar su clave de acceso (consola)
<a name="deactivate-access-key-seccreds"></a>

Si se le han concedido los permisos adecuados, puede utilizar la Consola de administración de AWS para desactivar su clave de acceso.

**Para desactivar una clave de acceso**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la sección **Access keys** (Claves de acceso), busque la clave que desea desactivar, seleccione **Actions** (Acciones) y, a continuación, seleccione **Deactivate** (Desactivar). Cuando se le pida confirmación, elija **Deactivate** (Desactivar). Una clave de acceso desactivada sigue contando para el límite de dos claves de acceso.

## Cómo activar su clave de acceso (consola)
<a name="activate-access-key-seccreds"></a>

Si se le han concedido los permisos adecuados, puede utilizar la Consola de administración de AWS para activar su clave de acceso.

**Para activar una clave de acceso**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la sección **Access keys** (Claves de acceso), busque la clave que desea activar, seleccione **Actions** (Acciones) y, a continuación, **Activate** (Activar).

## Cómo eliminar su clave de acceso (consola)
<a name="delete-access-key-seccreds"></a>

Si se le han concedido los permisos adecuados, puede utilizar la Consola de administración de AWS para eliminar su clave de acceso.

**Para eliminar una clave de acceso cuando ya no la necesite**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la sección **Access keys** (Claves de acceso), busque la clave que desea eliminar, seleccione **Actions** (Acciones) y, a continuación, **Eliminar**. Siga las instrucciones del cuadro de diálogo para, en primer lugar, **Deactivate** (Desactivar) y, a continuación, confirmar la eliminación. Le recomendamos que compruebe que la clave de acceso ya no se utilice antes de eliminarla definitivamente.

# Cómo un administrador de IAM puede gestionar las claves de acceso de los usuarios de IAM
<a name="access-keys-admin-managed"></a>

Los administradores de IAM pueden crear, activar, desactivar y eliminar las claves de acceso asociadas a cada usuario de IAM. También pueden enumerar los usuarios de IAM de la cuenta que tienen claves de acceso y localizar qué usuario de IAM tiene una clave de acceso específica.

**Topics**
+ [Cómo crear una clave de acceso para un usuario de IAM](#admin-create-access-key)
+ [Cómo desactivar una clave de acceso para un usuario de IAM](#admin-deactivate-access-key)
+ [Cómo activar una clave de acceso para un usuario de IAM](#admin-activate-access-key)
+ [Cómo eliminar una clave de acceso para un usuario de IAM](#admin-delete-access-key)
+ [Cómo enumerar las claves de acceso de un usuario de IAM](#admin-list-access-key)
+ [Cómo enumerar las claves de acceso de un usuario de IAM](#admin-list-access-key)
+ [Cómo mostrar todos los ID de las claves de acceso de los usuarios de su cuenta](#admin-list-all-access-keys)
+ [Cómo usar el ID de una clave de acceso para buscar un usuario](#admin-find-user-access-keys)
+ [Cómo buscar el uso más reciente del ID de una clave de acceso](#admin-find-most-recent-use-access-keys)

## Cómo crear una clave de acceso para un usuario de IAM
<a name="admin-create-access-key"></a>

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, seleccione **Crear clave de acceso**.

   Si el botón se encuentra desactivado, deberá borrar una de las claves existentes antes de poder crear una nueva.

1. En la página **Access key best practices & alternatives** (Prácticas recomendadas y alternativas para la clave de acceso), revise las prácticas recomendadas y las alternativas. Elija su caso de uso para conocer las opciones adicionales que pueden permitirle evitar la creación de una clave de acceso a largo plazo.

1. Si determina que su caso de uso aún requiere una clave de acceso, elija **Other** (Otro) y, a continuación, **Next** (Siguiente).

1. **(Opcional)** En la página **Establecer una etiqueta de descripción**, puede agregar una etiqueta descriptiva a la clave de acceso para facilitar el seguimiento de la clave de acceso. Seleccione **Crear clave de acceso**.

1. En la página **Retrieve access key page** (Recuperar clave de acceso), elija **Show** (Mostrar) para revelar el valor de la clave de acceso secreta de su usuario.

1. Para guardar el ID de la clave de acceso y la clave de acceso secreta en un archivo `.csv` en una ubicación segura de su ordenador, seleccione el botón **Download .csv file** (Descargar archivo .csv).
**importante**  
Esta será su única oportunidad para ver y descargar esta clave de acceso que acaba de crear y no podrá recuperarla. Asegúrese de mantener su clave de acceso de forma segura.

Cuando se crea una clave de acceso para un usuario, el par de claves se activa de forma predeterminada y el usuario puede utilizarlo inmediatamente.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) 

------

## Cómo desactivar una clave de acceso para un usuario de IAM
<a name="admin-deactivate-access-key"></a>

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, seleccione el menú desplegable **Acciones** y, a continuación, seleccione **Desactivar**.

1. En el cuadro de diálogo **Desactivar**, seleccione **Desactivar** para confirmar que desea desactivar la clave de acceso.

Después de desactivar una clave de acceso, ya no puede ser usada por las llamadas a la API. Puede volver a activarla si es necesario.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Cómo activar una clave de acceso para un usuario de IAM
<a name="admin-activate-access-key"></a>

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, seleccione el menú desplegable **Acciones** y, a continuación, seleccione **Activar**.

Después de activar una clave de acceso, puede ser usada por las llamadas a la API. Puede volver a desactivarla si es necesario.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Cómo eliminar una clave de acceso para un usuario de IAM
<a name="admin-delete-access-key"></a>

Una vez que se desactivó una clave de acceso, si ya no es necesaria, elimínela.

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, seleccione el menú desplegable **Acciones** correspondiente a la clave de acceso inactiva y, a continuación, seleccione **Eliminar**.

1. En el cuadro de diálogo **Eliminar**, introduzca el ID de la clave de acceso en el campo de entrada de texto y, a continuación, seleccione **Eliminar** para confirmar que desea eliminar la clave de acceso.

Después de eliminar una clave de acceso, no se puede recuperar.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## Cómo enumerar las claves de acceso de un usuario de IAM
<a name="admin-list-access-key"></a>

Puede ver una lista de los ID de las claves de acceso asociadas a un usuario de IAM. 

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, se enumeran las claves de acceso del usuario.

Cada usuario de IAM puede tener dos claves de acceso.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Cómo enumerar las claves de acceso de un usuario de IAM
<a name="admin-list-access-key"></a>

Puede ver una lista de los ID de las claves de acceso asociadas a un usuario de IAM. 

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, se enumeran los ID de las claves de acceso del usuario, incluido el estado de cada clave que se muestra.
**nota**  
Solo se ve el ID de clave de acceso del usuario. La clave de acceso secreta solo se puede recuperar cuando se crea la clave.

Cada usuario de IAM puede tener dos claves de acceso.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Cómo mostrar todos los ID de las claves de acceso de los usuarios de su cuenta
<a name="admin-list-all-access-keys"></a>

Puede ver una lista de los ID de las claves de acceso en su Cuenta de AWS. 

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. Si es necesario, agregue la columna **ID de clave de acceso** a la tabla de usuarios ejecutando los siguientes pasos:

   1. Arriba de la tabla, en el extremo derecho, seleccione el ícono **Preferencias** (![\[Preferences icon\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. En el cuadro de diálogo **Preferencias**, en **Seleccionar columnas visibles**, active la opción **ID de clave de acceso**.

   1. Elija **Confirmar** para volver a la lista de usuarios. La lista se actualiza para incluir el ID de la clave de acceso.

1. La columna **ID de clave de acceso** muestra el estado de cada clave de acceso, seguido de su ID; por ejemplo, **`Active - AKIAIOSFODNN7EXAMPLE`** o **`Inactive - AKIAI44QH8DHBEXAMPLE`**. 

   Puede utilizar esta información para ver y copiar los ID de las claves de acceso de los usuarios que tengan una o dos claves de acceso. La columna muestra un **`-`** cuando los usuarios no tienen claves de acceso.
**nota**  
La clave de acceso secreta solo se puede recuperar cuando se crea la clave.

Cada usuario de IAM puede tener dos claves de acceso.

------

## Cómo usar el ID de una clave de acceso para buscar un usuario
<a name="admin-find-user-access-keys"></a>

Puede usar el ID de una clave de acceso para buscar un usuario en su Cuenta de AWS. 

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, en el cuadro de búsqueda, introduzca el **ID de la clave de acceso**, por ejemplo, AKIAI44QH8DHBEXAMPLE. 

1. El usuario de IAM al que está asociado el ID de la clave de acceso aparecerá en el panel de navegación. Elija el nombre de usuario para abrir la página de datos del usuario.

------

## Cómo buscar el uso más reciente del ID de una clave de acceso
<a name="admin-find-most-recent-use-access-keys"></a>

El uso más reciente de una clave de acceso se muestra en la lista de usuarios de la página de usuarios de IAM, en la página de detalles del usuario, y forma parte del informe de credenciales. 

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En la lista de usuarios, consulte la columna **Último uso de la clave de acceso**.

   Si la columna no aparece, seleccione el ícono **Preferencias** (![\[Preferences icon\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-settings-icon.console.png)) y, en **Seleccionar columnas visibles**, active **Clave de acceso utilizada por última vez** para que se muestre la columna.

1. (opcional) En el panel de navegación, en **Informes de acceso**, seleccione **Informe de credenciales** para descargar un informe que incluye la información del último uso de las claves de acceso de todos los usuarios de IAM de su cuenta.

1. (opcional) Seleccione un usuario de IAM para ver los detalles del usuario. La sección **Resumen** incluye los ID de las claves de acceso, su estado y cuándo se usaron por última vez.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) 

------

# Actualización de las claves de acceso
<a name="id-credentials-access-keys-update"></a>

Como [práctica recomendada](best-practices.md#update-access-keys) de seguridad, se recomienda actualizar las claves de acceso de usuario de IAM cuando sea necesario; por ejemplo, cuando un empleado deje la empresa. Los usuarios de IAM pueden actualizar sus propias claves de acceso si se les han concedido los permisos necesarios.

Para obtener más información sobre cómo conceder a sus usuarios de IAM permisos para actualizar sus propias claves de acceso, consulte [AWS: permite a los usuarios de IAM administrar su propia contraseña, sus claves de acceso y sus claves públicas SSH en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md). También puede aplicar una política de contraseñas a su cuenta para solicitarles a todos los usuarios de IAM que actualicen sus contraseñas periódicamente, e informarles cuán seguido deben hacerlo. Para obtener más información, consulte [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](id_credentials_passwords_account-policy.md). 

**nota**  
Si pierde su clave de acceso secreta, debe eliminar la clave de acceso y crear una nueva. La clave de acceso secreta solo se puede recuperar cuando se crea la clave. Utilice este procedimiento para desactivar y reemplazar las claves de acceso perdidas por credenciales nuevas.

**Topics**
+ [Actualización de las claves de acceso de usuario de IAM (consola)](#rotating_access_keys_console)
+ [Actualización de las claves de acceso (AWS CLI)](#rotating_access_keys_cli)
+ [Actualización de las claves de acceso (API de AWS)](#rotating_access_keys_api)

## Actualización de las claves de acceso de usuario de IAM (consola)
<a name="rotating_access_keys_console"></a>

Puede actualizar las claves de acceso desde la Consola de administración de AWS.

**Para actualizar las claves de acceso de un usuario de IAM sin interrumpir sus aplicaciones (consola)**

1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso.

   1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. En el panel de navegación, seleccione **Users (Usuarios)**.

   1. Elija el nombre del usuario que desee y, a continuación, elija la pestaña **Security credentials (Credenciales de seguridad)**.

   1. En la sección **Claves de acceso**, haga clic en **Crear clave de acceso**. En la página **Access key best practices & alternatives** (Prácticas recomendadas y alternativas para la clave de acceso), seleccione **Other** (Otros) y, a continuación, **Next** (Siguiente).

   1. (Opcional) Establezca un valor de etiqueta de descripción para la clave de acceso para agregar un par clave-valor de etiqueta a este usuario de IAM. Esto puede ayudarlo a identificar y actualizar claves de acceso más adelante. La clave de la etiqueta se establece en el ID de la clave de acceso. El valor de la etiqueta se establece en la descripción de la clave de acceso que especifique. Cuando haya terminado, seleccione **Create access key** (Crear clave de acceso).

   1. En la página **Retrieve access keys** (Recuperar claves de acceso), elija **Show** (Mostrar) para revelar el valor de la clave de acceso secreta de su usuario o **Download .csv file** (Descargar archivo .csv). Esta es su única oportunidad de guardar su clave de acceso secreta. Una vez guardada la clave de acceso secreta en un lugar seguro, seleccione **Done** (Listo).

      Cuando se crea una clave de acceso para un usuario, el par de claves se activa de forma predeterminada y el usuario puede utilizarlo inmediatamente. En este punto, el usuario tiene dos claves de acceso activas.

1. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

1. <a name="id_credentials_access-keys-key-still-in-use"></a>Para determinar si la primera clave de acceso todavía está en uso, consulte la información **Last used** (Último uso) de la clave de acceso más antigua. Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

1. Aunque la información de **Last used** (Último uso) indique que la clave antigua nunca se ha utilizado, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, elija **Actions** (Acciones) y, a continuación, seleccione **Deactivate** (Desactivar) para desactivar la primera clave de acceso.

1. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si encuentra una aplicación o herramienta de este tipo, puede reactivar la primera clave de acceso. A continuación, vuelva a [Step 3](#id_credentials_access-keys-key-still-in-use) y actualice esta aplicación para utilizar la nueva clave.

1. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso:

   1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. En el panel de navegación, seleccione **Users (Usuarios)**.

   1. Elija el nombre del usuario que desee y, a continuación, elija la pestaña **Security credentials (Credenciales de seguridad)**.

   1. En la sección **Access keys** (Claves de acceso) de la clave de acceso que desea eliminar, seleccione **Actions** (Acciones) y, a continuación, **Delete** (Eliminar). Siga las instrucciones del cuadro de diálogo para, en primer lugar, **Deactivate** (Desactivar) y, a continuación, confirmar la eliminación.

**Para determinar qué claves de acceso deben actualizarse o eliminarse (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Si es necesario, añada la columna **Access key age (Antigüedad de la clave de acceso)** a la tabla de usuarios ejecutando los siguientes pasos:

   1. Encima de la tabla, en el extremo derecho, elija el icono de configuración (![\[Settings icon\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. En **Manage columns (Administrar columnas)**, seleccione **Access key age (Antigüedad de la clave de acceso)**.

   1. Seleccione **Close (Cerrar)** para volver a la lista de usuarios.

1. La columna **Access key age (Antigüedad de la clave de acceso)** muestra el número de días que han transcurrido desde la creación de la clave de acceso activa más antigua. Puede utilizar esta información para encontrar usuarios con claves de acceso que deban actualizarse o eliminarse. La columna muestra **None (Ninguna)** cuando los usuarios no tienen clave de acceso.

## Actualización de las claves de acceso (AWS CLI)
<a name="rotating_access_keys_cli"></a>

Puede actualizar las claves de acceso desde la AWS Command Line Interface.

**Para actualizar las claves de acceso sin interrumpir sus aplicaciones (AWS CLI)**

1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso que, de forma predeterminada, está activa. Use el siguiente comando:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     En este punto, el usuario tiene dos claves de acceso activas.

1. <a name="step-update-apps"></a>Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

1. <a name="step-determine-use"></a>Determine si la primera clave de acceso todavía está en uso utilizando este comando:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

   Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

1. Aunque el paso [Step 3](#step-determine-use) indique que la clave antigua no se usa, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, cambie el estado de la primera clave de acceso a `Inactive` utilizando este comando:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

1. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede cambiar de nuevo su estado a `Active` para volver a activar la primera clave de acceso. A continuación, vuelva al paso [Step 2](#step-update-apps) y actualice esta aplicación para utilizar la nueva clave.

1. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso con este comando:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

## Actualización de las claves de acceso (API de AWS)
<a name="rotating_access_keys_api"></a>

Puede actualizar las claves de acceso con la API de AWS.

**Para actualizar claves de acceso sin interrumpir sus aplicaciones (API de AWS)**

1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso que, de forma predeterminada, está activa. Llame a la operación siguiente:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)

     En este punto, el usuario tiene dos claves de acceso activas.

1. <a name="step-update-apps-2"></a>Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

1. <a name="step-determine-use-2"></a>Determine si la primera clave de acceso todavía está en uso llamando a esta operación:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)

   Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

1. Aunque el paso [Step 3](#step-determine-use-2) indique que la clave antigua no se usa, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, cambie el estado de la primera clave de acceso a `Inactive` llamando a esta operación:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)

1. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede cambiar de nuevo su estado a `Active` para volver a activar la primera clave de acceso. A continuación, vuelva al paso [Step 2](#step-update-apps-2) y actualice esta aplicación para utilizar la nueva clave.

1. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso llamando a esta operación:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)

# Protección de las claves de acceso
<a name="securing_access-keys"></a>

Cualquier persona que tenga su clave de acceso disfrutará del mismo nivel de acceso a los recursos de AWS que usted. Por lo tanto, AWS adopta importantes medidas para proteger las claves de acceso y, en consonancia con nuestro [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/), también usted debería adoptarlas. 

Amplíe las siguientes secciones para obtener orientación que le permita proteger sus claves de acceso. 

**nota**  
Puede que su organización tenga políticas y requisitos de seguridad distintos de los descritos en este tema. Las sugerencias proporcionadas aquí pretenden ser directrices generales. 

## Eliminar (o no generar) claves de acceso Usuario raíz de la cuenta de AWS
<a name="root-password"></a>

**Una de las mejores formas de proteger su cuenta es no tener una clave de acceso para su Usuario raíz de la cuenta de AWS.** A menos que necesite tener una clave de acceso de usuario raíz (lo que es poco frecuente), es mejor no generarla. En su lugar, cree un usuario administrativo en AWS IAM Identity Center para las tareas administrativas diarias. Para obtener más información sobre cómo crear un usuario administrativo en IAM Identity Center, consulte [Introducción](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) en la *Guía del usuario de IAM Identity Center*.

Si ya tiene una clave de acceso de usuario raíz para su cuenta, le recomendamos hacer lo siguiente: buscar lugares en las aplicaciones donde utiliza dicha clave actualmente (si procede) y sustituir la clave de acceso de usuario raíz por una clave de acceso de usuario de IAM. Luego deshabilite y elimine la clave de acceso de usuario raíz. Para obtener más información sobre cómo actualizar claves de acceso, consulte . [Actualización de las claves de acceso](id-credentials-access-keys-update.md)



## Utilice credenciales de seguridad temporales (roles de IAM) en lugar de claves de acceso a largo plazo
<a name="use-roles"></a>

En muchos casos, no necesita claves de acceso a largo plazo que nunca caducan (como sucede con un usuario de IAM). En su lugar, puede crear roles de IAM y generar credenciales de seguridad temporales. Las credenciales de seguridad temporales se componen de un ID de clave de acceso y una clave de acceso secreta, pero, además, incluyen un token de seguridad que indica cuándo caducan las credenciales. 

Las claves de acceso a largo plazo, como las asociadas a los usuarios de IAM y al usuario raíz, siguen siendo válidas hasta que se revocan manualmente. No obstante, las credenciales de seguridad temporales obtenidas a través de roles de IAM y otras características de AWS Security Token Service caducan tras un breve periodo de tiempo. Utilice las credenciales de seguridad temporales para ayudar a reducir el riesgo en caso de se vean expuestas accidentalmente.

Utilice un rol de IAM y credenciales de seguridad temporales en las siguientes situaciones:
+ **Tiene una aplicación o scripts de AWS CLI que se ejecutan en una instancia de Amazon EC2.** No utilice claves de acceso directamente en su aplicación. No transfiera una clave de acceso a la aplicación, no la integre en la aplicación y no deje que la aplicación lea claves de cualquier origen. En cambio, defina un rol de IAM que tenga los permisos adecuados para su aplicación y lance la instancia Amazon Elastic Compute Cloud (Amazon EC2) con [roles para EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Al hacerlo, se asocia un rol de IAM a la instancia de Amazon EC2. Esta práctica también habilita a la aplicación para obtener credenciales de seguridad temporales que, a su vez, puede usar para realizar llamadas mediante programación a AWS. AWS SDK y AWS Command Line Interface (AWS CLI) pueden obtener credenciales temporales del rol automáticamente. 
+ **Debe conceder acceso entre cuentas.** Utilice un rol de IAM para establecer la confianza entre cuentas y, a continuación, conceder a los usuarios de una cuenta permisos limitados para acceder a la cuenta de confianza. Para obtener más información, consulte [Tutorial de IAM: delegación del acceso entre cuentas de AWS mediante roles de IAM](tutorial_cross-account-with-roles.md).
+ **Tiene una aplicación móvil.** No integre una clave de acceso en la aplicación, ni siquiera en el almacenamiento cifrado. En su lugar, utilice [Amazon Cognito](https://aws.amazon.com/cognito/) para administrar identidades de los usuarios en su aplicación. Este servicio permite autenticar a los usuarios mediante Login with Amazon, Facebook, Google o cualquier proveedor de identidad compatible con OpenID Connect (OIDC). A continuación, puede utilizar el proveedor de credenciales de Amazon Cognito a fin de administrar las credenciales que la aplicación utiliza para realizar solicitudes a AWS.
+ **Desea utilizar la federación en AWS y su organización admite SAML 2.0.** Si trabaja para una organización que tiene un proveedor de identidad compatible con SAML 2.0, configure el proveedor para que use SAML. Puede utilizar SAML para intercambiar información de autenticación con AWS y recuperar un conjunto de credenciales de seguridad temporales. Para obtener más información, consulte [Federación SAML 2.0](id_roles_providers_saml.md).
+ **Desea utilizar la federación en AWS y su organización tiene un almacén de identidades local.** Si los usuarios pueden autenticarse dentro de su organización, puede escribir una aplicación que emita credenciales de seguridad temporales para obtener acceso a los recursos de AWS. Para obtener más información, consulte [Permitir el acceso del agente de identidades personalizadas a la consola de AWS](id_roles_providers_enable-console-custom-url.md).
+ **Utilice las condiciones de las políticas de IAM para permitir el acceso únicamente desde las redes previstas.** Puede limitar dónde y cómo se utilizan sus claves de acceso mediante la implementación de [políticas de IAM con condiciones](reference_policies_elements_condition_operators.md) que especifiquen y permitan únicamente las redes previstas, como sus direcciones IP públicas o sus nubes privadas virtuales (VPC). De esta forma, sabrá que las claves de acceso solo se pueden usar en las redes previstas y aceptables. 

**nota**  
¿Está utilizando una instancia de Amazon EC2 con una aplicación que requiere acceso a los recursos de AWS? Si es así, utilice [roles de IAM para EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).

## Administración correcta de las claves de acceso de usuario de IAM
<a name="iam-user-access-keys"></a>

Si debe crear claves de acceso para el acceso mediante programación a AWS, créelas para los usuarios de IAM y conceda a los usuarios solo los permisos que necesitan.

Tenga en cuenta estas precauciones para ayudar a proteger las claves de acceso de usuario de IAM:
+ **No integre las claves de acceso directamente en el código.** Los [AWS SDK](https://aws.amazon.com/tools/#sdk) de y las [Herramientas de línea de comandos de AWS](https://aws.amazon.com/tools/#cli) le permiten colocar las claves de acceso en ubicaciones conocidas para que no tenga que mantenerlas en código. 

  Ponga las claves de acceso en una de las siguientes ubicaciones:
  + **El archivo de credenciales de AWS.** Los SDK de AWS y la AWS CLI utilizan automáticamente las credenciales que se guardan en el archivo de credenciales de AWS. 

    Para obtener información acerca de cómo utilizar el archivo de credenciales de AWS, consulte la documentación del SDK. Los ejemplos incluyen [Conjunto de AWS credenciales y región](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) en la *Guía de desarrollo de AWS SDK para Java* y[ Archivos de configuración y credenciales](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) en la *Guía del usuario de AWS Command Line Interface*.

    Para almacenar las credenciales para AWS SDK para .NET y AWS Tools for Windows PowerShell, recomendamos utilizar la tienda del SDK. Para obtener más información, consulte [Uso de la tienda del SDK](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) en la *Guía de desarrollo de AWS SDK para .NET*.
  + **Variables de entorno.** En un sistema multitenencia, opte por las variables de entorno de usuario, en lugar de las variables de entorno de sistema. 

    Para obtener más información acerca de cómo utilizar las variables de entorno para almacenar credenciales, consulte [Variables de entorno](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html) en la *Guía del usuario de AWS Command Line Interface*. 
+ **Utilice claves de acceso distintas para las diferentes aplicaciones.** Hacer esto le permitirá aislar los permisos y revocar las claves de acceso para aplicaciones individuales si se ven expuesta. Tener claves de acceso separadas para diferentes aplicaciones también genera entradas distintas en los archivos de registro de [AWS CloudTrail](https://aws.amazon.com/cloudtrail/). Esta configuración hace más sencillo determinar qué aplicación realizó acciones concretas. 
+ **Actualice las claves de acceso cuando sea necesario.** Si existe el riesgo de que la clave de acceso se vea comprometida, actualícela y elimine la anterior. Para obtener más información, consulte [Actualización de las claves de acceso](id-credentials-access-keys-update.md) 
+ **Elimine las claves de acceso no utilizadas.** Si un usuario deja la organización, elimine el usuario de IAM correspondiente, de tal forma que ya no pueda obtener acceso a los recursos. Para saber cuándo se utilizó por última vez una clave de acceso, utilice la API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) (comando de AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)).
+ **Utilice las credenciales temporales y configure la autenticación multifactor para las operaciones de API más confidenciales.** Con las políticas de IAM, puede especificar qué operaciones de API puede llamar un usuario. En algunos casos, es posible que quiera la seguridad adicional de exigir a los usuarios que se autentiquen con MFA de AWS antes de permitirles llevar a cabo acciones especialmente confidenciales. Por ejemplo, es posible que tenga una política que permita a un usuario realizar las acciones de Amazon EC2 `RunInstances`, `DescribeInstances` y de `StopInstances`. Sin embargo, es posible que quiera restringir una acción destructiva, como `TerminateInstances` y asegurarse de que los usuarios solo pueden realizar esta acción si se autentican mediante un dispositivo MFA de AWS. Para obtener más información, consulte [Acceso seguro a la API con MFA](id_credentials_mfa_configure-api-require.md).

## Acceder a la aplicación móvil usando claves de acceso de AWS
<a name="access-keys-mobile-app"></a>

Puede acceder a un conjunto limitado de servicios y características de AWS mediante la aplicación móvil de AWS. La aplicación móvil le permite dar soporte a la respuesta frente a incidentes mientras está en movimiento. Para obtener más información y descargar la aplicación, consulte [Aplicación móvil de la consola de AWS](https://aws.amazon.com/console/mobile/).

Puede iniciar sesión en la aplicación móvil con la contraseña de la consola o las claves de acceso. Como práctica recomendada, no utilice las clave de acceso de usuario raíz. En su lugar, le recomendamos encarecidamente que, además de utilizar una contraseña o un bloqueo biométrico en su dispositivo móvil, cree un usuario de IAM específicamente para administrar los recursos de AWS mediante la aplicación móvil. Si pierde su dispositivo móvil, puede eliminar el acceso del usuario de IAM.

**Para iniciar sesión con las teclas de acceso (aplicación móvil)**

1. Abra la aplicación en su dispositivo móvil.

1. Si es la primera vez que agrega una identidad al dispositivo, elija **Add an identity (Agregar una identidad)** y, a continuación, elija **Access keys (Teclas de acceso)**.

   Si ya ha iniciado sesión con otra identidad, elija el icono de menú y elija **Switch identity (Cambiar identidad)**. A continuación, elija **Sign in as a different identity (Iniciar sesión con una identidad diferente)** y, a continuación, **Access keys (Teclas de acceso)**.

1. En la página **Access keys (Claves de acceso)** introduzca su información:
   + **ID de clave de acceso**: introduzca el ID de clave de acceso.
   + **Clave de acceso secreta**: introduzca la clave de acceso secreta.
   + **Nombre de identidad**: introduzca el nombre de la identidad que aparecerá en la aplicación móvil. No es necesario que coincida con su nombre de usuario de IAM.
   + **PIN de identidad**: cree un número de identificación personal (PIN) que utilizará en los futuros inicios de sesión.
**nota**  
Si habilita la biometría para la aplicación móvil de AWS, se le pedirá que utilice su huella digital o reconocimiento facial para la verificación en lugar del PIN. Si la biometría falla, es posible que se le pida el PIN en su lugar.

1. Elija **Verify and add keys (Verificar y agregue claves)**.

   Ahora puede acceder a un conjunto selecto de sus recursos mediante la aplicación móvil.

## Información relacionada
<a name="more-resources"></a>

En las siguientes secciones, se proporciona información sobre cómo configurar los AWS SDK y la AWS CLI para utilizar claves de acceso:
+ [Conjunto de AWS credenciales y región](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) en la *Guía para desarrolladores de AWS SDK para Java*
+ [Uso de la tienda del SDK](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) en la *Guía para desarrolladores de AWS SDK para .NET*.
+ [Proporcione credenciales al SDK](https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html) en la *Guía para desarrolladores de AWS SDK para PHP*.
+ [Configuración](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html#configuration) en la documentación de Boto 3 (AWS SDK para Python).
+ [Using AWS Credentials](https://docs.aws.amazon.com/powershell/latest/userguide/specifying-your-aws-credentials.html) en la *Guía del usuario de AWS Tools for Windows PowerShell* 
+ [Archivos de configuración y credenciales](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) en la *Guía del usuario de AWS Command Line Interface*. 
+ [Conceder acceso mediante un rol de IAM](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-hosm.html) en la Guía *AWS SDK para .NETpara desarrolladores*
+ [Configure los roles de IAM para Amazon EC2](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-roles.html) en el *AWS SDK for Java 2.x*

## Uso de las credenciales de clave de acceso y de clave secreta para el acceso a la consola
<a name="console-access-security-keys"></a>

Es posible utilizar las credenciales de clave de acceso y de clave secreta para el acceso directo a la Consola de administración de AWS, no solo la AWS CLI. Esto se puede lograr mediante la llamada a la API [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) AWS STS. Al crear una URL de consola con las credenciales y el token temporales proporcionados por `GetFederationToken`, las entidades principales de IAM pueden acceder a la consola. Para obtener más información, consulte [Permitir el acceso del agente de identidades personalizadas a la consola de AWS](id_roles_providers_enable-console-custom-url.md).

Vale la pena aclarar que al iniciar sesión en la consola directamente con credenciales de usuario raíz o de IAM con la MFA habilitada, se requerirá la MFA. Sin embargo, si se utiliza el método descrito anteriormente (usar credenciales temporales con `GetFederationToken`), NO se requerirá la MFA.



## Auditoría de las claves de acceso
<a name="Using_access-keys-audit"></a>

Puede revisar las claves de acceso de AWS en su código para determinar si las claves proceden de una cuenta de su propiedad. Puede transferir un ID de clave de acceso mediante el comando [https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html) de la AWS CLI o la operación [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html) de la API de AWS.

Las operaciones de AWS CLI y de la API de AWS devuelven el ID de la cuenta de Cuenta de AWS a la que pertenece la clave de acceso. Los ID de clave de acceso que comienzan por `AKIA` son credenciales a largo plazo para un usuario de IAM o un Usuario raíz de la cuenta de AWS. Los ID de clave de acceso que comienzan por `ASIA` son credenciales temporales que se crean mediante operaciones de AWS STS. Si la cuenta de la respuesta le pertenece, puede iniciar sesión como usuario raíz y revisar las claves de acceso de usuario raíz. A continuación, puede extraer un [informe de credenciales](id_credentials_getting-report.md) para saber qué usuario de IAM es el propietario de las claves. Para saber quién solicitó las credenciales temporales para una clave de acceso `ASIA`, consulte los eventos de AWS STS en los registros de CloudTrail.

Por motivos de seguridad, puede [revisar los registros de AWS CloudTrail](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds) para saber quién realizó una acción en AWS. Puede utilizar la clave de condición de `sts:SourceIdentity` en la política de confianza de rol para exigir a los usuarios que especifiquen una identidad cuando asuman un rol. Por ejemplo, puede requerir que los usuarios de IAM especifiquen su propio nombre de usuario como su identidad de origen. Esto puede permitirle determinar qué usuario hizo una acción específica en AWS. Para obtener más información, consulte [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity).

Esta operación no indica el estado de la clave de acceso. La clave podría estar activa, inactiva o eliminada. Es posible que las claves activas no tengan permisos para realizar una operación. Proporcionar una clave de acceso eliminada podría devolver un error que indicara que la clave no existe.

# Autenticación multifactor de AWS en IAM
<a name="id_credentials_mfa"></a>

Para más seguridad, le recomendamos que configure la autenticación multifactor (MFA) para ayudar a proteger sus recursos de AWS. Puede habilitar la MFA para Usuario raíz de la cuenta de AWS de todas las Cuentas de AWS, incluidas las cuentas independientes, las cuentas de administración y las cuentas miembro, así como para sus usuarios de IAM. Recomendamos, en lo posible, utilizar la MFA resistente al phishing, como las claves de paso y de seguridad. Estos autenticadores basados en FIDO utilizan criptografía de clave pública y son resistentes al phishing, a los ataques de intermediarios y a los de repetición, por lo que ofrecen un mayor nivel de seguridad que las opciones basadas en TOTP.

La MFA se aplica a todos los tipos de cuentas para su usuario raíz. Para obtener más información, consulte [Protección de sus credenciales de usuario raíz de la cuenta de AWS Organizations](root-user-best-practices.md#ru-bp-organizations). 

Cuando habilita MFA para el usuario raíz, esto solo afecta a las credenciales del usuario raíz. Los usuarios de IAM de la cuenta son identidades diferenciadas que tienen sus propias credenciales, y cada identidad tiene su propia configuración de MFA. Para obtener más información sobre cómo usar la MFA para proteger al usuario raíz, consulte [Autenticación multifactor para Usuario raíz de la cuenta de AWS](enable-mfa-for-root.md).

Los usuarios de IAM y Usuario raíz de la cuenta de AWS pueden registrar hasta ocho dispositivos de MFA de cualquier tipo. El registro de varios dispositivos de MFA puede proporcionar flexibilidad y ayudarlo a reducir el riesgo de interrupción del acceso en caso de pérdida o rotura de un dispositivo. Solo necesita un dispositivo de MFA para iniciar sesión en la Consola de administración de AWS o crear una sesión a través de la AWS CLI.

**nota**  
Se recomienda exigir a los usuarios humanos que utilicen credenciales temporales cuando accedan a AWS. ¿Ha considerado la posibilidad de usar AWS IAM Identity Center? Puede usar IAM Identity Center para administrar de forma centralizada el acceso a múltiples Cuentas de AWS y proporcionar a los usuarios un acceso protegido por MFA y de inicio de sesión único a todas sus cuentas asignadas desde un solo lugar. Con IAM Identity Center, puede crear y administrar identidades de usuario en IAM Identity Center o conectarse fácilmente a su proveedor de identidades existente compatible con SAML 2.0. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center*.

La MFA aporta seguridad adicional que exige a los usuarios que proporcionen una autenticación exclusiva obtenida de un mecanismo de MFA admitido de AWS, además de las credenciales de inicio de sesión cuando se accede a sitios web o servicios de AWS.

## Tipos de MFA
<a name="id_credentials_mfa-types"></a>

AWS admite los siguientes tipos de MFA:

**Contents**
+ [Claves de acceso y claves de seguridad](#passkeys-security-keys-for-iam-users)
+ [Aplicaciones de autenticador virtual](#virtual-auth-apps-for-iam-users)
+ [Tokens TOTP físicos](#hardware-totp-token-for-iam-users)

### Claves de acceso y claves de seguridad
<a name="passkeys-security-keys-for-iam-users"></a>

AWS Identity and Access Management admite claves de acceso y claves de seguridad para MFA. Según los estándares FIDO, las claves de acceso utilizan la criptografía de clave pública para proporcionar una autenticación sólida y resistente a la suplantación de identidad que es más segura que las contraseñas. AWS admite dos tipos de claves de acceso: claves de acceso vinculadas al dispositivo (claves de seguridad) y claves de acceso sincronizadas.
+ **Claves de seguridad**: son dispositivos físicos, como una YubiKey, que se utilizan como segundo factor de autenticación. Una sola clave de seguridad puede admitir varias cuentas de usuario raíz y usuarios de IAM.
+ **Claves de acceso sincronizadas**: utilizan administradores de credenciales de proveedores como Google, Apple, cuentas de Microsoft y servicios de terceros como 1Password, Dashlane y Bitwarden como segundo factor.

Puede utilizar autenticadores biométricos integrados, como Touch ID en los MacBooks de Apple, para desbloquear el administrador de credenciales e iniciar sesión en AWS. Las claves de acceso se crean con el proveedor que elija mediante su huella digital, su rostro o el PIN del dispositivo. También puede utilizar una clave de acceso de autenticación entre dispositivos (CDA) de un dispositivo, como un dispositivo móvil o una clave de seguridad de hardware, para iniciar sesión en otro dispositivo, como una computadora portátil. Para obtener más información, consulte [cross-device authentication](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).

Puede sincronizar las claves de acceso entre sus dispositivos para facilitar el inicio de sesión con AWS y mejorar la usabilidad y la capacidad de recuperación. Para obtener más información acerca de la habilitación de las claves de acceso y las claves de seguridad, consulte [Habilitación de una clave de acceso o clave de seguridad para el usuario raíz (consola)](enable-fido-mfa-for-root.md).

FIDO Alliance mantiene una lista de todos los [productos certificados por FIDO](https://fidoalliance.org/certification/fido-certified-products/) que son compatibles con las especificaciones de FIDO.

### Aplicaciones de autenticador virtual
<a name="virtual-auth-apps-for-iam-users"></a>

Una aplicación de autenticador virtual se ejecuta en un teléfono u otro dispositivo y emula un dispositivo físico. Las aplicaciones de autenticación virtual aplican el algoritmo de [contraseña temporal de un solo uso](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP) y admiten varios tokens en un mismo dispositivo. El usuario debe escribir un código válido del dispositivo cuando se le solicite durante el proceso de inicio de sesión. Cada token asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el token de otro usuario para la autenticación.

Recomendamos utilizar MFA resistentes al phishing, [como las claves de paso o de seguridad](#passkeys-security-keys-for-iam-users), para obtener la máxima protección. Si aún no puede utilizar las claves de paso o de seguridad, recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de la compra de hardware o su llegada. Para ver una lista de algunas aplicaciones compatibles que puede utilizar como dispositivos de MFA virtuales, consulte [Autenticación multifactor (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).

Para obtener instrucciones acerca de cómo configurar un dispositivo de MFA virtual para un usuario de IAM, consulte [Asignación de un dispositivo de MFA virtual en la Consola de administración de AWS](id_credentials_mfa_enable_virtual.md).

**nota**  
Los dispositivos MFA virtuales no asignados en su Cuenta de AWS se eliminan al agregar nuevos dispositivos MFA virtuales a través de la Consola de administración de AWS o mediante el proceso de inicio de sesión. Los dispositivos MFA virtuales no asignados son dispositivos de su cuenta, pero que el usuario raíz de la cuenta o los usuarios de IAM no utilizan para el proceso de inicio de sesión. Se eliminan para poder agregar nuevos dispositivos MFA virtuales a su cuenta. También le permite reutilizar los nombres de los dispositivos.  
Para ver los dispositivos MFA virtuales no asignados en su cuenta, puede usar el comando [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI o una llamada a la [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html).
Para desactivar un dispositivo MFA virtual, puede utilizar el comando [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI o una llamada a la [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html). El dispositivo dejará de estar asignado.
Para conectar un dispositivo MFA virtual no asignado al usuario raíz o los usuarios de IAM de su Cuenta de AWS, necesitará el código de autenticación generado por el dispositivo junto con el comando [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html) AWS CLI o la llamada a la [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html).

### Tokens TOTP físicos
<a name="hardware-totp-token-for-iam-users"></a>

Un dispositivo de hardware genera un código numérico de seis dígitos basado en el [algoritmo de contraseña temporal de un solo uso (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238). El usuario debe escribir un código válido del dispositivo en otra página web durante el inicio de sesión.

Estos tokens se utilizan exclusivamente con Cuentas de AWS. Solo se pueden utilizar tokens que posean sus propias semillas de token que estén compartidas de manera secura con AWS. Las semillas de token son claves secretas que se generan en el momento de la producción de los tokens. Los tokens comprados en otras fuentes no funcionarán con IAM. Para garantizar la compatibilidad, debe comprar su dispositivo MFA de hardware en uno de los siguientes enlaces: [token OTP](https://www.amazon.com/SafeNet-IDProve-Time-based-6-Digit-Services/dp/B002CRN5X8) o [tarjeta de pantalla OTP](https://www.amazon.com/SafeNet-IDProve-Card-Amazon-Services/dp/B00J4NGUO4).
+ Cada dispositivo MFA asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el dispositivo de otro usuario para la autenticación. Para obtener más información sobre los dispositivos MFA físicos admitidos, consulte [Autenticación multifactor (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).
+ Si desea utilizar un dispositivo de MFA físico, le recomendamos que utilice las claves de seguridad como una alternativa a los dispositivos TOTP físicos. Las claves de seguridad no requieren batería, son eficaces ante intentos de suplantación de identidad y admiten varios usuarios en un solo dispositivo.

Solo puede habilitar una clave de acceso o clave de seguridad desde la Consola de administración de AWS, no desde la AWS CLI ni desde la API de AWS. Para poder habilitar una clave de seguridad, debe tener acceso físico al dispositivo.

Para obtener instrucciones sobre cómo configurar un token TOTP físico para un usuario de IAM, consulte [Asignación de un token de TOTP de hardware en la Consola de administración de AWS](id_credentials_mfa_enable_physical.md).

**nota**  
**MFA basada en mensaje de texto SMS**: AWS finalizó la compatibilidad con la habilitación de la autenticación multifactor (MFA) por SMS. Recomendamos a los clientes que tienen usuarios de IAM que utilizan la MFA basada en mensajes de texto SMS que cambien a uno de los siguientes métodos alternativos: [clave de acceso o clave de seguridad](id_credentials_mfa_enable_fido.md), [dispositivo MFA virtual (basado en software)](id_credentials_mfa_enable_virtual.md) o [dispositivo MFA físico](id_credentials_mfa_enable_physical.md). Puede identificar a los usuarios de su cuenta con un dispositivo MFA de SMS asignado. En la consola de IAM, seleccione **Usuarios** en el panel de navegación y busque usuarios con **SMS** en la columna **MFA** de la tabla.

## Recomendaciones de MFA
<a name="id_credentials_mfa-recommendations"></a>

Para ayudar a proteger sus identidades de AWS, siga estas recomendaciones para la autenticación MFA. 
+ Recomendamos utilizar MFA resistentes al phishing, como las [claves de paso y de seguridad](#passkeys-security-keys-for-iam-users), como dispositivo de MFA. Los autenticadores basados en FIDO brindan la mejor protección contra ataques como el phishing.
+ Le recomendamos que habilite varios dispositivos MFA para el Usuario raíz de la cuenta de AWS y los usuarios de IAM en las Cuentas de AWS. Esto le permite subir el nivel de seguridad de sus Cuentas de AWS y simplificar la administración de acceso a usuarios con privilegios elevados, como el Usuario raíz de la cuenta de AWS.
+ Puede registrar hasta **ocho** dispositivos MFA de cualquier combinación de los [tipos de MFA admitidos actualmente](https://aws.amazon.com/iam/features/mfa/) con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Con varios dispositivos MFA, solo necesita un dispositivo MFA para iniciar sesión en la Consola de administración de AWS o crear una sesión a través de AWS CLI como ese usuario. Un usuario de IAM debe autenticarse con un dispositivo de MFA existente para habilitar o deshabilitar un dispositivo de MFA adicional.
+ En caso de pérdida, robo o inaccesibilidad de un dispositivo MFA, puede utilizar uno de los dispositivos MFA restantes para acceder a la Cuenta de AWS sin seguir el procedimiento de recuperación de Cuenta de AWS. En caso de pérdida o robo de un dispositivo MFA, este debe disociarse del principal de IAM al que está asociado.
+ El uso de varios MFA permite que sus empleados que se encuentren en ubicaciones geográficamente dispersas o que trabajen de forma remota utilicen MFA basado en hardware para acceder a AWS sin necesidad de coordinar un intercambio físico de un único dispositivo de hardware entre empleados.
+ El uso de dispositivos MFA adicionales para los directores de IAM permite utilizar uno o más MFA para el uso diario y, al mismo tiempo, mantener los dispositivos MFA físicos en una ubicación física segura, como una bóveda o una caja fuerte para realizar copias de seguridad y redundancia.

**Notas**  
No se puede pasar la información del MFA de una clave de seguridad o de paso a las operaciones de la API de AWS STS para solicitar credenciales temporales. Obtenga credenciales para utilizarlas con la AWS CLI y los SDK de AWS cuando use una clave de seguridad o de paso ejecutando el comando `aws login`.
No puede utilizar los comandos de la AWS CLI ni operaciones de la API de AWS para activar [FIDO security keys](id_credentials_mfa_enable_fido.md) (Claves de seguridad FIDO).
No puede utilizar el mismo nombre para más de un usuario raíz o dispositivo MFA de IAM.

## Recursos adicionales
<a name="id_credentials_mfa-resources"></a>

Los siguientes recursos pueden ayudarle a obtener más información sobra MFA.
+ Para obtener más información sobre el uso de MFA para acceder a AWS, consulte [Inicio de sesión con MFA habilitado](console_sign-in-mfa.md).
+  Puede aprovechar IAM Identity Center para activar el acceso seguro de MFA al portal de acceso de AWS, a las aplicaciones integradas de IAM Identity Center y a la AWS CLI. Para obtener más información, consulte [Habilitar la MFA en IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html).

# Asignación de una clave de acceso o de seguridad en la Consola de administración de AWS
<a name="id_credentials_mfa_enable_fido"></a>

Las claves de acceso son un tipo de [dispositivo de autenticación multifactor (MFA)](id_credentials_mfa.md) que puede utilizar para proteger sus recursos de AWS. AWS admite claves de acceso sincronizadas y claves de acceso vinculadas al dispositivo, también conocidas como claves de seguridad. 

Las claves de acceso sincronizadas le permiten a los usuarios de IAM acceder a sus credenciales de inicio de sesión de FIDO en muchos de sus dispositivos, incluso en los nuevos, sin tener que volver a inscribir todos los dispositivos en cada cuenta. Las claves de acceso sincronizadas incluyen administradores de credenciales propios, como Google, Apple y Microsoft, y administradores de credenciales de terceros, como 1Password, Dashlane y Bitwarden, como segundo factor. También puede utilizar la tecnología biométrica en el dispositivo (por ejemplo, TouchID, FaceID) para desbloquear el administrador de credenciales elegido para utilizar contraseñas. 

Como alternativa, las claves de acceso vinculadas al dispositivo están vinculadas a una clave de seguridad FIDO que se conecta a un puerto USB de su computadora y, a continuación, se pulsa cuando se le solicite para completar el proceso de inicio de sesión de forma segura. Si ya utiliza una clave de seguridad FIDO con otros servicios y tiene una [configuración compatible con AWS](id_credentials_mfa_fido_supported_configurations.md) (por ejemplo, YubiKey 5 Series de Yubico), también puede utilizarla con AWS. De lo contrario, deberá adquirir una clave de seguridad FIDO si desea utilizar WebAuthn para MFA en AWS. Además, las llaves de seguridad FIDO con compatibles con varios usuarios raíz o de IAM en el mismo dispositivo, lo que mejora su utilidad para la seguridad de las cuentas. Para obtener información sobre las especificaciones y opciones de compra de ambos tipos de dispositivo, consulte [Autenticación multifactor](https://aws.amazon.com/iam/details/mfa/).

Puede registrar hasta **ocho** dispositivos MFA de cualquier combinación de los [tipos de MFA admitidos actualmente](https://aws.amazon.com/iam/features/mfa/) con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Con varios dispositivos MFA, solo necesita un dispositivo MFA para iniciar sesión en la Consola de administración de AWS o crear una sesión a través de AWS CLI como ese usuario. Le recomendamos que registre varios dispositivos MFA. Por ejemplo, puede registrar un autenticador integrado y también una clave de seguridad que guarde en un lugar físico seguro. Si no puede utilizar el autenticador integrado, puede utilizar su clave de seguridad registrada. Para las aplicaciones de autenticación, también recomendamos activar la copia de seguridad en la nube o la característica de sincronización en esas aplicaciones para evitar perder el acceso a la cuenta si pierde o se rompe el dispositivo que contiene las aplicaciones de autenticación.

**nota**  
Se recomienda exigir a los usuarios humanos que utilicen credenciales temporales cuando accedan a AWS. Sus usuarios pueden federarse en AWS con un proveedor de identidades donde se autentican con sus credenciales corporativas y configuraciones MFA. Para administrar el acceso a AWS y a las aplicaciones empresariales, le recomendamos que utilice IAM Identity Center. Para obtener más información, consulte la [Guía del usuario del IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). 

**Topics**
+ [Permisos necesarios](#enable-fido-mfa-for-iam-user-permissions-required)
+ [Habilitación de una clave de acceso o clave de seguridad para su propio usuario de IAM (consola)](#enable-fido-mfa-for-own-iam-user)
+ [Habilitación de una clave de acceso o clave de seguridad para otro usuario de IAM (consola)](#enable-fido-mfa-for-iam-user)
+ [Sustitución de una clave de acceso o clave de seguridad](#replace-fido-mfa)
+ [Configuraciones admitidas para usar las claves de acceso y las claves de seguridad](id_credentials_mfa_fido_supported_configurations.md)

## Permisos necesarios
<a name="enable-fido-mfa-for-iam-user-permissions-required"></a>

Para administrar una clave de acceso FIDO para su propio usuario de IAM mientras protege las acciones confidenciales relacionadas con MFA, debe tener los permisos de la siguiente política:

**nota**  
Los valores de ARN son valores estáticos y no son un indicador de qué protocolo se utilizó para registrar el autenticador. El protocolo U2F está obsoleto, por lo que todas las nuevas implementaciones utilizan WebAuthn.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Habilitación de una clave de acceso o clave de seguridad para su propio usuario de IAM (consola)
<a name="enable-fido-mfa-for-own-iam-user"></a>

Solo puede habilitar una clave de acceso o clave de seguridad para su propio usuario de IAM desde la Consola de administración de AWS, no desde la AWS CLI ni desde la API de AWS. Para poder habilitar una clave de seguridad, debe tener acceso físico al dispositivo.

**Cómo habilitar una clave de acceso o clave de seguridad para su propio usuario de IAM (consola)**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la página del usuario de IAM seleccionado, elija la pestaña **Credenciales de seguridad**.

1. En **autenticación multifactor (MFA)**, seleccione **Asignar dispositivo MFA**.

1. En la página de **Nombres del dispositivo de MFA**, introduzca un **Nombre de dispositivo**, elija **Clave de acceso o Clave de seguridad** y, a continuación, elija **Siguiente**.

1. En **Configurar dispositivo**, configure su clave de acceso. Cree una clave de acceso con datos biométricos, como su rostro o huella digital, con el PIN del dispositivo o al insertar la clave de seguridad FIDO en el puerto USB de la computadora y al pulsarla.

1. Siga las instrucciones de su navegador y, a continuación, seleccione **Continuar**.

Ya ha registrado su clave de acceso o clave de seguridad para utilizarla con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte [Inicio de sesión con MFA habilitado](console_sign-in-mfa.md). 

## Habilitación de una clave de acceso o clave de seguridad para otro usuario de IAM (consola)
<a name="enable-fido-mfa-for-iam-user"></a>

Solo puede habilitar una clave de acceso o clave de seguridad para otro usuario de IAM desde la Consola de administración de AWS, no desde la AWS CLI ni desde la API de AWS.

**Cómo habilitar una clave de acceso o clave de seguridad para otro usuario de IAM (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Users (Usuarios)**.

1. En **Usuarios**, elija el nombre del usuario para el que desea activar la MFA.

1. En la página del usuario de IAM seleccionado, elija la pestaña **Credenciales de seguridad**. 

1. En **autenticación multifactor (MFA)**, seleccione **Asignar dispositivo MFA**.

1. En la página de **Nombres del dispositivo de MFA**, introduzca un **Nombre de dispositivo**, elija **Clave de acceso o Clave de seguridad** y, a continuación, elija **Siguiente**.

1. En **Configurar dispositivo**, configure su clave de acceso. Cree una clave de acceso con datos biométricos, como su rostro o huella digital, con el PIN del dispositivo o al insertar la clave de seguridad FIDO en el puerto USB de la computadora y al pulsarla.

1. Siga las instrucciones de su navegador y, a continuación, seleccione **Continuar**.

Ya ha registrado una clave de acceso o clave de seguridad para que la utilice otro usuario de IAM con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte [Inicio de sesión con MFA habilitado](console_sign-in-mfa.md).

## Sustitución de una clave de acceso o clave de seguridad
<a name="replace-fido-mfa"></a>

Puede tener hasta ocho dispositivos de MFA de cualquier combinación de los [tipos de MFA admitidos actualmente](https://aws.amazon.com/iam/features/mfa/) asignados a un usuario a la vez con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Si el usuario pierde un autenticador FIDO o necesita sustituirlo por cualquier motivo, antes debe desactivar el autenticador FIDO antiguo. Después, puede añadir un nuevo dispositivo MFA para el usuario.
+ Para desactivar el dispositivo que tenga asociado actualmente a otro usuario de IAM, consulte [Desactivación de un dispositivo MFA](id_credentials_mfa_disable.md).
+ Para agregar una nueva clave de seguridad FIDO para un usuario de IAM, consulte [Habilitación de una clave de acceso o clave de seguridad para su propio usuario de IAM (consola)](#enable-fido-mfa-for-own-iam-user).

Si no tiene acceso a una nueva clave de acceso o clave de seguridad, puede habilitar un nuevo dispositivo MFA virtual o token TOTP físico. Consulte una de las siguientes opciones para obtener instrucciones:
+ [Asignación de un dispositivo de MFA virtual en la Consola de administración de AWS](id_credentials_mfa_enable_virtual.md) 
+ [Asignación de un token de TOTP de hardware en la Consola de administración de AWS](id_credentials_mfa_enable_physical.md) 

# Configuraciones admitidas para usar las claves de acceso y las claves de seguridad
<a name="id_credentials_mfa_fido_supported_configurations"></a>

Puede utilizar las claves de acceso de FIDO2 vinculadas al dispositivo, también conocidas como claves de seguridad, como un método de autenticación multifactor (MFA) con IAM mediante el uso de las configuraciones admitidas actualmente. Entre ellos, se encuentran los dispositivos FIDO2 admitidos por IAM y los navegadores que con compatibles con FIDO2. Antes de registrar su dispositivo FIDO2, compruebe que esté utilizando la última versión del navegador y del sistema operativo (SO). Las funciones pueden comportarse de forma diferente en los distintos navegadores, autenticadores y clientes del sistema operativo. Si el registro del dispositivo falla en un navegador, puede intentar registrarse en otro navegador. 

FIDO2 es un estándar de autenticación abierto y una extensión de FIDO U2F, que ofrece el mismo alto nivel de seguridad basado en la criptografía de clave pública. FIDO2 se compone de la especificación de autenticación web del W3C (WebAuthn API) y del Protocolo de cliente a autenticador (CTAP) de FIDO Alliance, un protocolo de capa de aplicación. El CTAP permite la comunicación entre el cliente o la plataforma, como un navegador o un sistema operativo, con un autenticador externo. Cuando se habilita un autenticador certificado FIDO en AWS, la clave de seguridad crea un nuevo par de claves para utilizarlo solo con AWS. En primer lugar, introduzca sus credenciales. Cuando se le solicite, pulse en la clave de seguridad, que responde a la solicitud de verificación de autenticación emitida por AWS. Para obtener más información sobre el estándar FIDO2, consulte [FIDO2 Project](https://en.wikipedia.org/wiki/FIDO2_Project) (Proyecto FIDO2).

## Dispositivos FIDO2 compatibles con AWS
<a name="id_credentials_mfa_fido_supported_devices"></a>

IAM es compatible con dispositivos de seguridad FIDO2 que se conectan a sus dispositivos a través de USB, Bluetooth o NFC. IAM también admite autenticadores de plataforma como TouchID o FaceID. IAM no admite el registro de contraseña local para Windows Hello. Para crear y utilizar contraseñas, los usuarios de Windows deben utilizar la [autenticación entre dispositivos](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda), en la que se utiliza una contraseña de un dispositivo, como un dispositivo móvil o una clave de seguridad de hardware, para iniciar sesión en otro dispositivo, como un portátil.

**nota**  
AWS requiere acceso al puerto USB físico en el equipo para verificar su dispositivo FIDO2. Las claves de seguridad no funcionan con máquinas virtuales, conexiones remotas o en el modo incógnito de un navegador.

FIDO Alliance mantiene una lista de todos los [productos FIDO2](https://fidoalliance.org/certification/fido-certified-products/) que son compatibles con las especificaciones de FIDO.

## Navegadores compatibles con FIDO2
<a name="id_credentials_mfa_fido_browsers"></a>

La disponibilidad de los dispositivos de seguridad FIDO2 que se ejecutan en un navegador web depende de la combinación del navegador y el sistema operativo. En la actualidad, los siguientes navegadores admiten el uso de claves de seguridad:


****  

| Navegador web | macOS 10.15\$1 | Windows 10 | Linux | iOS 14.5\$1 | Android 7\$1 | 
| --- | --- | --- | --- | --- | --- | 
| Chrome | Sí | Sí | Sí | Sí | No | 
| Safari | Sí | No | No | Sí | No | 
| Edge | Sí | Sí | No | Sí | No | 
| Firefox | Sí | Sí | No | Sí | No | 

**nota**  
La mayoría de las versiones de Firefox que actualmente admiten FIDO2 no lo hacen de forma predeterminada. Para obtener instrucciones sobre la habilitación de FIDO2 en Firefox, consulte [Solucionar problemas con claves de acceso y claves de seguridad FIDO](troubleshoot_mfa-fido.md).  
Es posible que Firefox en macOS no sea totalmente compatible con los flujos de trabajo de autenticación entre dispositivos para las claves de acceso. Es posible que se le pida que toque una clave de seguridad en lugar de continuar con la autenticación entre dispositivos. Le recomendamos usar otro navegador, como Chrome o Safari, para iniciar sesión con claves de acceso en macOS.

Para más información sobre la compatibilidad del navegador con un dispositivo certificado para FIDO2, como YubiKey, consulte [Compatibilidad de los sistemas operativos y los navegadores web con FIDO2 y U2F](https://support.yubico.com/hc/en-us/articles/360016615020-Operating-system-and-web-browser-support-for-FIDO2-and-U2F).

### Complementos de navegador
<a name="id_credentials_mfa_fido_plugins"></a>

AWS es compatible solo con los navegadores que admiten FIDO2 de forma nativa. AWS no es compatible con el uso de complementos para agregar compatibilidad con los navegadores de FIDO2. Algunos complementos de navegador son incompatibles con el estándar FIDO2 y pueden causar resultados inesperados con las claves de seguridad FIDO2. 

Para obtener información sobre la desactivación de complementos del navegador y otras sugerencias para la solución de problemas, consulte [No puedo habilitar mi clave de seguridad FIDO](troubleshoot_mfa-fido.md#troubleshoot_mfa-fido-cant-enable). 

## Certificaciones de dispositivos
<a name="id_credentials_mfa_fido_certifications"></a>

Recopilamos y asignamos certificaciones relacionadas con el dispositivo, como la validación FIPS y el nivel de certificación FIDO, solo durante el registro de una clave de seguridad. La certificación de su dispositivo se obtiene del [Servicio de metadatos (MDS) de FIDO Alliance](https://fidoalliance.org/metadata/). Si el estado de certificación o el nivel de su clave de seguridad cambian, eso no se reflejará de manera automática en las etiquetas del dispositivo. Para actualizar la información de certificación de un dispositivo, vuelva a registrar el dispositivo para obtener la información de certificación actualizada. 

AWS proporciona los siguientes tipos de certificación como claves de condición durante el registro del dispositivo, obtenidos del FIDO MDS: niveles de certificación FIPS-140-2, FIPS-140-3 y FIDO. Puede especificar el registro de autenticadores específicos en sus políticas de IAM, según el tipo y el nivel de certificación que prefiera. Para obtener más información, consulte las políticas a continuación.

### Ejemplos de políticas para certificaciones de dispositivos
<a name="id_credentials_mfa_fido_certifications_policies"></a>

Los siguientes casos de uso muestran ejemplos de políticas que le permiten registrar dispositivos MFA con certificaciones FIPS.

**Topics**
+ [Caso de uso 1: permitir el registro únicamente de dispositivos que tengan certificaciones FIPS-140-2 L2](#id_credentials_mfa_fido_certifications_policies_use_case_1)
+ [Caso de uso 2: permitir el registro de dispositivos que tengan las certificaciones FIPS-140-2 L2 y FIDO L1](#id_credentials_mfa_fido_certifications_policies_use_case_2)
+ [Caso de uso 3: permitir el registro de dispositivos que tengan las certificaciones FIPS-140-2 L2 o FIPS-140-3 L2](#id_credentials_mfa_fido_certifications_policies_use_case_3)
+ [Caso de uso 4: permitir el registro de dispositivos que cuentan con la certificación FIPS-140-2 L2 y que admiten otros tipos de MFA, como los autenticadores virtuales y el TOTP físico](#id_credentials_mfa_fido_certifications_policies_use_case_4)

#### Caso de uso 1: permitir el registro únicamente de dispositivos que tengan certificaciones FIPS-140-2 L2
<a name="id_credentials_mfa_fido_certifications_policies_use_case_1"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}
```

------

#### Caso de uso 2: permitir el registro de dispositivos que tengan las certificaciones FIPS-140-2 L2 y FIDO L1
<a name="id_credentials_mfa_fido_certifications_policies_use_case_2"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}
```

------

#### Caso de uso 3: permitir el registro de dispositivos que tengan las certificaciones FIPS-140-2 L2 o FIPS-140-3 L2
<a name="id_credentials_mfa_fido_certifications_policies_use_case_3"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}
```

------

#### Caso de uso 4: permitir el registro de dispositivos que cuentan con la certificación FIPS-140-2 L2 y que admiten otros tipos de MFA, como los autenticadores virtuales y el TOTP físico
<a name="id_credentials_mfa_fido_certifications_policies_use_case_4"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:RegisterSecurityKey": "Create"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:RegisterSecurityKey": "Activate",
          "iam:FIDO-FIPS-140-2-certification": "L2"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "Null": {
          "iam:RegisterSecurityKey": "true"
        }
      }
    }
  ]
}
```

------

## AWS CLI y API de AWS
<a name="id_credentials_mfa_fido_cliapi"></a>

AWS admite el uso de claves de acceso y claves de seguridad solo en la Consola de administración de AWS. El uso de claves de acceso y claves de seguridad para la MFA no es compatible con la [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/) ni la [API de AWS](https://aws.amazon.com/tools/), y tampoco se pueden utilizar para acceder a las [operaciones de la API protegidas por la MFA](id_credentials_mfa_configure-api-require.md).

## Recursos adicionales
<a name="id_credentials_mfa_fido_additional_resources"></a>
+ Para obtener más información sobre el uso de claves de seguridad en AWS, consulte [Asignación de una clave de acceso o de seguridad en la Consola de administración de AWS](id_credentials_mfa_enable_fido.md).
+ Para obtener ayuda con la resolución de problemas de claves de acceso y claves de seguridad en AWS, consulte [Solucionar problemas con claves de acceso y claves de seguridad FIDO](troubleshoot_mfa-fido.md).
+ Para obtener información general del sector sobre la compatibilidad con FIDO2, consulte [Proyecto FIDO2](https://en.wikipedia.org/wiki/FIDO2_Project). 

# Asignación de un dispositivo de MFA virtual en la Consola de administración de AWS
<a name="id_credentials_mfa_enable_virtual"></a>

**importante**  
AWS recomienda, en lo posible, utilizar una clave de paso o de seguridad para la MFA en AWS. Para obtener más información, consulte [Asignación de una clave de acceso o de seguridad en la Consola de administración de AWS](id_credentials_mfa_enable_fido.md).

Puede utilizar un teléfono u otro dispositivo como dispositivo de autenticación multifactor (MFA) virtual. Para ello, instale una aplicación móvil que cumpla con [RFC 6238, un algoritmo TOTP (contraseña de un solo uso basada en el tiempo) basado en estándares](https://datatracker.ietf.org/doc/html/rfc6238). Estas aplicaciones generan un código de autenticación de seis dígitos. Dado que los autenticadores pueden usarse en dispositivos móviles que no son seguros y los códigos podrían compartirse con personas no autorizadas, la MFA basada en TOTP no brinda el mismo nivel de seguridad que las opciones resistentes al phishing, como las claves de acceso y de seguridad de [FIDO2](https://en.wikipedia.org/wiki/FIDO_Alliance#FIDO2). Recomendamos utilizar las claves de paso o de seguridad para la MFA a fin de obtener la máxima protección contra ataques como el phishing.

Si aún no puede utilizar las claves de paso o de seguridad, recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de la compra de cualquier hardware o su llegada

La mayoría de aplicaciones de MFA virtual admiten la creación de varios dispositivos virtuales, lo que le permite utilizar la misma aplicación para varias Cuentas de AWS o usuarios. Puede registrar hasta **ocho** dispositivos de MFA de cualquier combinación de los [tipos de MFA](https://aws.amazon.com/iam/features/mfa/) con los usuarios de IAM y Usuario raíz de la cuenta de AWS. Solo necesita un dispositivo de MFA para iniciar sesión en la Consola de administración de AWS o crear una sesión a través de la AWS CLI. Le recomendamos que registre varios dispositivos MFA. En el caso de las aplicaciones de autenticación, también recomendamos habilitar la copia de seguridad en la nube o la característica de sincronización para evitar perder el acceso a la cuenta si pierde o se rompe su dispositivo.

AWS requiere una aplicación de MFA virtual que genere una contraseña de un solo uso (OTP) de seis dígitos. Para obtener una lista de las aplicaciones MFA virtuales que puede utilizar, consulte [Autenticación multifactor](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). 

**Topics**
+ [Permisos necesarios](#mfa_enable_virtual_permissions-required)
+ [Habilite un dispositivo MFA virtual para un usuario de IAM (Consola)](#enable-virt-mfa-for-iam-user)
+ [Reemplazar un dispositivo MFA virtual](#replace-virt-mfa)

## Permisos necesarios
<a name="mfa_enable_virtual_permissions-required"></a>

Para administrar dispositivos MFA virtuales para su usuario de IAM, debe contar con los permisos de la siguiente política: [AWS: permite a los usuarios de IAM autenticados por MFA administrar su propio dispositivo MFA en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).

## Habilite un dispositivo MFA virtual para un usuario de IAM (Consola)
<a name="enable-virt-mfa-for-iam-user"></a>

Puede utilizar IAM en la Consola de administración de AWS para habilitar y administrar un dispositivo MFA virtual para un usuario de IAM en su cuenta. Puede asociar etiquetas a los recursos de IAM, incluidos los dispositivos MFA virtuales, a fin de identificar, organizar y controlar el acceso a ellos. Puede etiquetar dispositivos MFA virtuales solo cuando utiliza la AWS CLI o la API de AWS. Para habilitar y administrar un dispositivo MFA utilizando la AWS CLI o la API de AWS, consulte [Asignación de dispositivos de MFA en la AWS CLI o API de AWS](id_credentials_mfa_enable_cliapi.md). Para más información acerca del etiquetado de recursos de IAM, consulte [Etiquetas para recursos de AWS Identity and Access Management](id_tags.md). 

**nota**  
Debe tener acceso físico al hardware que alojará el dispositivo MFA virtual del usuario para poder configurar la MFA. Por ejemplo, puede configurar MFA para un usuario que utilice un dispositivo MFA virtual que se ejecute en un smartphone. En ese caso, debe tener el smartphone disponible para completar el asistente. Por este motivo, puede interesarle que los usuarios puedan configurar y administrar sus propios dispositivos MFA virtuales. En ese caso, debe conceder a los usuarios los permisos necesarios para realizar las acciones de IAM necesarias. Para obtener más información y consultar un ejemplo de una política de IAM que concede dichos permisos, consulte el [Tutorial de IAM: permitir a los usuarios administrar sus credenciales y configuración de MFA](tutorial_users-self-manage-mfa-and-creds.md) y [AWS: permite a los usuarios de IAM autenticados por MFA administrar su propio dispositivo MFA en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md) en la política de ejemplo. 

**Para habilitar un dispositivo MFA virtual para un usuario de IAM (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. En la lista **Users** (Usuarios), elija el nombre de usuario de IAM.

1. Elija la pestaña **Credenciales de seguridad**. En **autenticación multifactor (MFA)**, seleccione **Asignar dispositivo MFA**.

1. En el asistente, escriba un **Nombre de dispositivo**, elija **Aplicación del autenticador** y luego, **Siguiente**.

   IAM generará y mostrará la información de configuración del dispositivo MFA virtual, incluido un gráfico de código QR. El gráfico es una representación de la "clave de configuración secreta" que se puede introducir manualmente en dispositivos que no admiten códigos QR.

1. Abra su aplicación de MFA virtual. Para ver una lista de las aplicaciones que puede utilizar para alojar dispositivos MFA virtuales, consulte [Multi-Factor Authentication](https://aws.amazon.com/iam/details/mfa/). 

   Si la aplicación de MFA virtual admite varios dispositivos o cuentas de MFA, elija la opción para crear un nuevo dispositivo o cuenta de MFA virtual.

1. Determine si la aplicación MFA admite códigos QR y, a continuación, lleve a cabo alguna de las siguientes operaciones:
   + Desde el asistente, elija **Show QR code (Mostrar código QR)** y, a continuación, utilice la aplicación para escanear el código QR. Puede ser un ícono de cámara o una opción de **Código de escaneo** que utiliza la cámara del dispositivo para escanear el código.
   + En el asistente, elija **Show secret key** (Mostrar clave secreta) y, a continuación, escriba la clave secreta en su aplicación MFA.

   Cuando haya terminado, el dispositivo MFA virtual comenzará a generar contraseñas de uso único. 

1. En la página **Configurar el dispositivo**, en el cuadro **Código MFA 1**, escriba la contraseña de uso único que aparece actualmente en el dispositivo MFA virtual. Espere hasta 30 segundos a que el dispositivo genere una nueva contraseña de uso único. A continuación, escriba la otra contraseña de uso único en el cuadro **MFA code 2 (Código MFA 2)**. Elija **Add MFA** (Agregar MFA). 
**importante**  
Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede [volver a sincronizar el dispositivo](id_credentials_mfa_sync.md).

Ahora el dispositivo MFA virtual ya está listo para utilizarlo con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte [Inicio de sesión con MFA habilitado](console_sign-in-mfa.md).

**nota**  
Los dispositivos MFA virtuales no asignados en su Cuenta de AWS se eliminan al agregar nuevos dispositivos MFA virtuales a través de la Consola de administración de AWS o mediante el proceso de inicio de sesión. Los dispositivos MFA virtuales no asignados son dispositivos de su cuenta, pero que el usuario raíz de la cuenta o los usuarios de IAM no utilizan para el proceso de inicio de sesión. Se eliminan para poder agregar nuevos dispositivos MFA virtuales a su cuenta. También le permite reutilizar los nombres de los dispositivos.  
Para ver los dispositivos MFA virtuales no asignados en su cuenta, puede usar el comando [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI o una llamada a la [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html).
Para desactivar un dispositivo MFA virtual, puede utilizar el comando [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI o una llamada a la [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html). El dispositivo dejará de estar asignado.
Para conectar un dispositivo MFA virtual no asignado al usuario raíz o los usuarios de IAM de su Cuenta de AWS, necesitará el código de autenticación generado por el dispositivo junto con el comando [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html) AWS CLI o la llamada a la [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html).

## Reemplazar un dispositivo MFA virtual
<a name="replace-virt-mfa"></a>

Los usuarios de IAM y Usuario raíz de la cuenta de AWS pueden registrar hasta **ocho** dispositivos de MFA de cualquier combinación de los tipos de MFA. Si el usuario pierde un dispositivo o debe reemplazarlo por cualquier motivo, desactive el antiguo dispositivo. Después, puede añadir el nuevo dispositivo para el usuario.
+ Para desactivar el dispositivo que tenga asociado actualmente a otro usuario de IAM, consulte [Desactivación de un dispositivo MFA](id_credentials_mfa_disable.md).
+ Para agregar un dispositivo MFA virtual de sustitución para otro usuario de IAM, siga los pasos que se indican en el procedimiento [Habilite un dispositivo MFA virtual para un usuario de IAM (Consola)](#enable-virt-mfa-for-iam-user) anterior.
+ Para agregar un dispositivo MFA virtual de reemplazo para Usuario raíz de la cuenta de AWS, siga los pasos que se indican en el procedimiento [Habilitación de un dispositivo MFA virtual para el usuario raíz (consola)](enable-virt-mfa-for-root.md).

# Asignación de un token de TOTP de hardware en la Consola de administración de AWS
<a name="id_credentials_mfa_enable_physical"></a>

**importante**  
AWS recomienda, en lo posible, utilizar una clave de paso o de seguridad para la MFA en AWS. Para obtener más información, consulte [Asignación de una clave de acceso o de seguridad en la Consola de administración de AWS](id_credentials_mfa_enable_fido.md).

Un token TOTP de hardware genera un código numérico de seis dígitos basado en un algoritmo de contraseña temporal de un solo uso (TOTP). El usuario debe escribir un código válido del dispositivo cuando se le solicite durante el proceso de inicio de sesión. Todos los dispositivos MFA asignados a un usuario deben ser únicos; un usuario no puede escribir el código del dispositivo de otro usuario para autenticarlo. Los dispositivos MFA no se pueden compartir entre cuentas o usuarios.

Los tokens TOTP de hardware y las [claves de seguridad FIDO](id_credentials_mfa_enable_fido.md) son dispositivos físicos que se compran. Los dispositivos MFA de hardware generan códigos TOTP para la autenticación al iniciar sesión en AWS. Se basan en baterías, las cuales pueden necesitar ser reemplazadas y resincronizadas con AWS en el tiempo. Las claves de seguridad FIDO, que utilizan criptografía de clave pública, no requieren baterías y ofrecen un proceso de autenticación perfecto. Recomendamos utilizar las claves de seguridad FIDO para evitar la suplantación de identidad, ya que ofrecen una alternativa más segura a los dispositivos TOTP. Además, las llaves de seguridad FIDO con compatibles con varios usuarios raíz o de IAM en el mismo dispositivo, lo que mejora su utilidad para la seguridad de las cuentas. Para obtener información sobre las especificaciones y opciones de compra de ambos tipos de dispositivo, consulte [Autenticación multifactor](https://aws.amazon.com/iam/details/mfa/).



Se puede habilitar un token TOTP de hardware para un usuario de IAM desde la Consola de administración de AWS, la línea de comandos o la API de IAM. Para habilitar un dispositivo MFA para su Usuario raíz de la cuenta de AWS, consulte [Habilitación de un token TOTP de hardware para el usuario raíz de la (consola)](enable-hw-mfa-for-root.md).

Puede registrar hasta **ocho** dispositivos MFA de cualquier combinación de los [tipos de MFA admitidos actualmente](https://aws.amazon.com/iam/features/mfa/) con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Con varios dispositivos MFA, solo necesita un dispositivo MFA para iniciar sesión en la Consola de administración de AWS o crear una sesión a través de AWS CLI como ese usuario.

**importante**  
Se recomienda habilitar varios dispositivos MFA para que los usuarios puedan seguir accediendo a la cuenta en caso de pérdida o inaccesibilidad del dispositivo MFA.

**nota**  
Si desea habilitar el dispositivo MFA desde la línea de comandos, utilice [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html). Para habilitar el dispositivo MFA con la API de IAM, utilice la operación [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html). 

**Topics**
+ [Permisos necesarios](#enable-hw-mfa-for-iam-user-permissions-required)
+ [Habilitar un token TOTP de hardware para su propio usuario de IAM (consola)](#enable-hw-mfa-for-own-iam-user)
+ [Habilitar un token TOTP de hardware para otro usuario de IAM (consola)](#enable-hw-mfa-for-iam-user)
+ [Reemplazar un dispositivo MFA físico](#replace-phys-mfa)

## Permisos necesarios
<a name="enable-hw-mfa-for-iam-user-permissions-required"></a>

Para administrar un token TOTP de hardware para su propio usuario de IAM mientras protege acciones sensibles relacionadas con MFA, debe tener los permisos de la siguiente política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Habilitar un token TOTP de hardware para su propio usuario de IAM (consola)
<a name="enable-hw-mfa-for-own-iam-user"></a>

 Puede habilitar su propio token TOTP de hardware desde la Consola de administración de AWS.

**nota**  
Para poder habilitar un dispositivo MFA físico, debe tener acceso físico al dispositivo.

**Para habilitar un token TOTP de hardware para su propio usuario de IAM (consola)**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la pestaña **Credenciales de AWS IAM**, en la sección **Autenticación multifactor (MFA)**, elija **Asignar dispositivo MFA**.

1. En el asistente, escriba un **Device name** (Nombre del dispositivo), elija **Hardware TOTP token** (Token TOTP de hardware) y, a continuación, elija **Next** (Siguiente).

1. Escriba el número de serie del dispositivo. Por lo general, se encuentra en la parte posterior del dispositivo.

1. En el cuadro **Código MFA 1**, escriba el número de seis dígitos que se encuentra en el dispositivo MFA. Es posible que tenga que pulsar el botón de la parte anterior del dispositivo para mostrar el número.  
![\[Panel de IAM, dispositivo MFA\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/MFADevice.png)

1. Espere 30 segundos a que el dispositivo actualice el código y, a continuación, escriba el número de seis dígitos siguiente en el cuadro **Código MFA 2**. Es posible que tenga que volver a pulsar el botón de la parte anterior del dispositivo para mostrar el otro número.

1. Elija **Agregar MFA**.
**importante**  
Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede [volver a sincronizar el dispositivo](id_credentials_mfa_sync.md).

El dispositivo ya está listo para utilizarlo con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte [Inicio de sesión con MFA habilitado](console_sign-in-mfa.md).

## Habilitar un token TOTP de hardware para otro usuario de IAM (consola)
<a name="enable-hw-mfa-for-iam-user"></a>

 Puede habilitar un token TOTP de hardware para otro usuario de IAM desde la Consola de administración de AWS.

**Para habilitar un token TOTP de hardware para otro usuario de IAM (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre del usuario para el que desea activar la MFA.

1. Elija la pestaña **Credenciales de seguridad**. En **autenticación multifactor (MFA)**, seleccione **Asignar dispositivo MFA**.

1. En el asistente, escriba un **Nombre del dispositivo**, elija **Token TOTP de hardware** y, a continuación, elija **Siguiente**.

1. Escriba el número de serie del dispositivo. Por lo general, se encuentra en la parte posterior del dispositivo.

1. En el cuadro **Código MFA 1**, escriba el número de seis dígitos que se encuentra en el dispositivo MFA. Es posible que tenga que pulsar el botón de la parte anterior del dispositivo para mostrar el número.  
![\[Panel de IAM, dispositivo MFA\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/MFADevice.png)

1. Espere 30 segundos a que el dispositivo actualice el código y, a continuación, escriba el número de seis dígitos siguiente en el cuadro **Código MFA 2**. Es posible que tenga que volver a pulsar el botón de la parte anterior del dispositivo para mostrar el otro número.

1. Elija **Agregar MFA**.
**importante**  
Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede [volver a sincronizar el dispositivo](id_credentials_mfa_sync.md).

El dispositivo ya está listo para utilizarlo con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte [Inicio de sesión con MFA habilitado](console_sign-in-mfa.md).

## Reemplazar un dispositivo MFA físico
<a name="replace-phys-mfa"></a>

Puede tener hasta ocho dispositivos MFA de cualquier combinación de los [tipos de MFA admitidos actualmente](https://aws.amazon.com/iam/features/mfa/) asignados a un usuario a la vez con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Si el usuario pierde un dispositivo o debe reemplazarlo por cualquier motivo, primero debe desactivar el antiguo dispositivo. Después, puede añadir el nuevo dispositivo para el usuario.
+ Para desactivar el dispositivo que tenga asociado actualmente a un usuario, consulte [Desactivación de un dispositivo MFA](id_credentials_mfa_disable.md).
+ Para agregar un token TOTP de hardware de reemplazo para un usuario de IAM, siga los pasos del procedimiento [Habilitar un token TOTP de hardware para otro usuario de IAM (consola)](#enable-hw-mfa-for-iam-user) anterior en este tema.
+ Para agregar un token TOTP de hardware de reemplazo para el Usuario raíz de la cuenta de AWS, siga los pasos del procedimiento [Habilitación de un token TOTP de hardware para el usuario raíz de la (consola)](enable-hw-mfa-for-root.md) anterior de este tema.

# Asignación de dispositivos de MFA en la AWS CLI o API de AWS
<a name="id_credentials_mfa_enable_cliapi"></a>

Puede utilizar comandos de la AWS CLI u operaciones de la API de AWS para habilitar un dispositivo MFA virtual para un usuario de IAM. No es posible habilitar un dispositivo MFA para el Usuario raíz de la cuenta de AWS con la AWS CLI, la API de AWS, las herramientas para Windows PowerShell ni con ninguna otra herramienta de línea de comandos. Sin embargo, puede utilizar la Consola de administración de AWS para habilitar un dispositivo MFA para el usuario raíz. 

Al habilitar un dispositivo MFA desde la Consola de administración de AWS, esta ejecuta varias operaciones automáticamente. En cambio, si crea un dispositivo virtual utilizando la AWS CLI, las Tools for Windows PowerShell o la API de AWS, entonces deberá realizar los pasos manualmente y en el orden correcto. Por ejemplo, para crear un dispositivo MFA virtual, debe crear el objeto de IAM y extraer el código como una cadena o un código QR gráfico. A continuación, debe sincronizar el dispositivo y asociarlo con un usuario de IAM. Consulte la sección **Examples** de [New-IAMVirtualMFADevice](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=New-IAMVirtualMFADevice.html&tocid=New-IAMVirtualMFADevice) para obtener más detalles. Para un dispositivo físico, puede omitir el paso de creación e ir directamente a sincronizar el dispositivo y asociarlo con el usuario. 

Puede asociar etiquetas a los recursos de IAM, incluidos los dispositivos MFA virtuales, a fin de identificar, organizar y controlar el acceso a ellos. Puede etiquetar dispositivos MFA virtuales solo cuando utiliza la AWS CLI o la API de AWS.

Un usuario de IAM que utilice el SDK o la CLI puede habilitar un dispositivo MFA adicional llamando a [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) o desactivar un dispositivo MFA existente mediante una llamada a [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html). Para hacerlo correctamente, primero deben llamar a [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) y enviar los códigos MFA con un dispositivo MFA existente. Esta llamada devuelve credenciales de seguridad temporales que luego se pueden usar para firmar las operaciones de API que requieren la autenticación MFA. Para ver un ejemplo de solicitud y respuesta, consulte [`GetSessionToken`: credenciales temporales para usuarios de entornos que no son de confianza](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken). 

**Para crear la entidad del dispositivo virtual en IAM para representar un dispositivo de MFA virtual**  
Estos comandos proporcionan un ARN para el dispositivo que se utiliza en lugar de un número de serie en muchos de los siguientes comandos.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html) 

**Para habilitar un dispositivo MFA para su uso con AWS**  
Estos comandos sincronizan el dispositivo con AWS y lo asocian con un usuario. Si el dispositivo es virtual, utilice el ARN del dispositivo virtual como número de serie.

**importante**  
Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede resincronizar el dispositivo utilizando los comandos que se describen a continuación.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) 

**Para desactivar un dispositivo**  
Utilice estos comandos para desvincular el dispositivo del usuario y desactivarlo. Si el dispositivo es virtual, utilice el ARN del dispositivo virtual como número de serie. Asimismo, debe eliminar la entidad de dispositivo virtual por separado. 
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)

**Para crear una lista de entidades de dispositivo de MFA virtual**  
Utilice estos comandos para una lista de entidades de dispositivo de MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) 

**Cómo etiquetar un dispositivo MFA virtual**  
Utilice estos comandos para etiquetar un dispositivo MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html) 

**Enumerar etiquetas para un dispositivo MFA virtual**  
Utilice estos comandos para enumerar las etiquetas asociadas a un dispositivo MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html) 

**Quitar etiquetas de un dispositivo MFA virtual**  
Utilice estos comandos para quitar las etiquetas asociadas a un dispositivo MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html) 

**Para resincronizar un dispositivo de MFA**  
Utilice estos comandos si el dispositivo genera códigos que no acepta AWS. Si el dispositivo es virtual, utilice el ARN del dispositivo virtual como número de serie.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html) 

**Para eliminar una entidad de dispositivo MFA virtual en IAM**  
En cuanto el dispositivo se desvincule del usuario, puede eliminar la entidad de dispositivo.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html) 

**Para recuperar un dispositivo MFA virtual perdido o que no funciona**  
A veces, el dispositivo de un usuario que aloja la aplicación de MFA virtual se pierde, se reemplaza o no funciona. Cuando esto sucede, el usuario no puede recuperarlo por sí mismo. Los usuarios deben ponerse en contacto con un administrador para desactivar el dispositivo. Para obtener más información, consulte [Recuperación de una identidad protegida por MFA en IAM](id_credentials_mfa_lost-or-broken.md).

# Comprobación del estado de MFA
<a name="id_credentials_mfa_checking-status"></a>

Utilice la consola de IAM para comprobar si un Usuario raíz de la cuenta de AWS o un usuario de IAM tiene un dispositivo MFA válido habilitado.

**Para comprobar el estado de un usuario raíz MFA**

1. Inicie sesión en la Consola de administración de AWS con sus credenciales de usuario raíz y, a continuación, abrir la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).

1. Compruebe en **Multi-factor Authentication (MFA) (Autenticación multifactor [MFA])** para ver si la MFA está habilitada o desactivada. Si la MFA no se ha activado, aparecerá un símbolo de alerta (![\[Alert icon\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png)). 

Si desea activar MFA para la cuenta, consulte una de las siguientes opciones:
+ [Habilitación de un dispositivo MFA virtual para el usuario raíz (consola)](enable-virt-mfa-for-root.md)
+ [Habilitación de una clave de acceso o clave de seguridad para el usuario raíz (consola)](enable-fido-mfa-for-root.md)
+ [Habilitación de un token TOTP de hardware para el usuario raíz de la (consola)](enable-hw-mfa-for-root.md)

**Para verificar el estado de MFA de los usuarios de IAM**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 

1. En el panel de navegación, seleccione **Usuarios**.

1. Si es necesario, agregue la columna **MFA** a la tabla de usuarios realizando los siguientes pasos:

   1. Encima de la tabla, en el extremo derecho, elija el icono de configuración (![\[Settings icon\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. En **Manage Columns (Administrar columnas)**, seleccione **MFA**.

   1. (Opcional) Desactive la casilla de verificación de los encabezados de columna que no quiera que aparezcan en la tabla de los usuarios.

   1. Seleccione **Close (Cerrar)** para volver a la lista de usuarios.

1. La columna **MFA** le informa sobre el dispositivo MFA que está activado. Si ningún dispositivo MFA está activado para el usuario, la consola muestra **None** (Ninguno). Si el usuario tiene un dispositivo MFA activado, la columna **MFA** muestra el tipo de dispositivo que está activado con un valor **Virtual**, **FIDO Security Key** (Clave de seguridad FIDO), **Hardware** o **SMS**.
**nota**  
AWS finalizó el soporte para habilitar la autenticación multifactor (MFA) por SMS. Recomendamos a los clientes que tienen usuarios de IAM que utilizan MFA basado en mensajes de texto SMS que cambien a uno de los siguientes métodos alternativos: [dispositivo MFA virtual (basado en software)](id_credentials_mfa_enable_virtual.md), [clave de seguridad FIDO](id_credentials_mfa_enable_fido.md) o [dispositivo MFA de hardware](id_credentials_mfa_enable_physical.md). Puede identificar a los usuarios de su cuenta con un dispositivo MFA de SMS asignado. Para ello, vaya a la consola de IAM, elija **Users (Usuarios)** en el panel de navegación y busque los usuarios con **SMS** en la columna **MFA** de la tabla.

1. Para ver información adicional sobre el dispositivo MFA de un usuario, seleccione el nombre del usuario cuyo estado de MFA quiere comprobar. A continuación, elija la pestaña **Security credentials (Credenciales de seguridad)**. 

1. Si no hay ningún dispositivo MFA activo para el usuario, la consola muestra **No hay dispositivos MFA. Asigne un dispositivo MFA para mejorar la seguridad de su entorno de AWS** en la sección **Autenticación multifactor (MFA)**. Si el usuario tiene dispositivos MFA activados, la sección **Multi-factor authentication (MFA)** (Autenticación multifactor [MFA]) muestra detalles sobre los dispositivos:
   + El nombre del dispositivo
   + El tipo de dispositivo
   + El identificador del dispositivo, como el número de serie de un dispositivo físico o el ARN en AWS de un dispositivo virtual
   + Cuándo se creó el dispositivo

Para eliminar o volver a sincronizar un dispositivo, seleccione el botón de radio situado junto al dispositivo y, a continuación, **Remove** (Eliminar) o **Resync** (Volver a sincronizar).

Para obtener más información sobre la habilitación de MFA, consulte los siguientes temas: 
+ [Asignación de un dispositivo de MFA virtual en la Consola de administración de AWS](id_credentials_mfa_enable_virtual.md)
+ [Asignación de una clave de acceso o de seguridad en la Consola de administración de AWS](id_credentials_mfa_enable_fido.md)
+ [Asignación de un token de TOTP de hardware en la Consola de administración de AWS](id_credentials_mfa_enable_physical.md)

# Resincronización de dispositivos MFA de hardware y virtuales
<a name="id_credentials_mfa_sync"></a>

Puede utilizar AWS para volver a sincronizar sus dispositivos MFA (autenticación multifactor [MFA]) físicos y virtuales. Si el dispositivo no se sincroniza al intentar utilizarlo, el intento de inicio de sesión del usuario dará un error e IAM le pedirá que vuelva a sincronizar el dispositivo.

**nota**  
Las claves de seguridad FIDO no pierden la sincronización. Si una llave de seguridad FIDO se pierde o avería, puede desactivarla. Para obtener instrucciones sobre cómo desactivar cualquier tipo de dispositivo MFA, consulte [Para desactivar un dispositivo MFA de otro usuario de IAM (consola)](id_credentials_mfa_disable.md#deactivate-mfa-for-user).

Como administrador de AWS, puede volver a sincronizar sus dispositivos MFA físicos y virtuales de los usuarios de IAM si pierden la sincronización.

Si el dispositivo MFA de Usuario raíz de la cuenta de AWS no funciona, puede volver a sincronizarlo con la consola de IAM y completar o no el proceso de inicio de sesión. Si no puedes resincronizar correctamente el dispositivo, es posible que tengas que desasociarlo y volver a asociarlo. Para obtener más información acerca de cómo hacerlo, consulte [Desactivación de un dispositivo MFA](id_credentials_mfa_disable.md) y [Autenticación multifactor de AWS en IAM](id_credentials_mfa.md).

**Topics**
+ [Permisos necesarios](#id_credentials_mfa_sync_console-permissions-required)
+ [Resincronización de dispositivos MFA físicos y virtuales (consola de IAM)](#id_credentials_mfa_sync_console)
+ [Resincronización de dispositivos MFA físicos y virtuales (AWS CLI)](#id_credentials_mfa_sync_cli)
+ [Resincronización de dispositivos MFA físicos y virtuales (API de AWS)](#id_credentials_mfa_sync_api)

## Permisos necesarios
<a name="id_credentials_mfa_sync_console-permissions-required"></a>

Para resincronizar dispositivos MFA virtuales o de hardware para su propio usuario de IAM, debe tener los permisos de la siguiente política. Esta política no permite crear ni desactivar un dispositivo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "BlockAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Resincronización de dispositivos MFA físicos y virtuales (consola de IAM)
<a name="id_credentials_mfa_sync_console"></a>

Puede utilizar la consola de IAM para volver a sincronizar dispositivos de MFA físicos y virtuales.

**Para volver a sincronizar un dispositivo MFA físico o virtual para su propio usuario de IAM (consola)**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la pestaña **Credenciales de AWS IAM**, en la sección **Autenticación multifactor (MFA)**, elija el botón de opción junto al dispositivo MFA y elija **Volver a sincronizar**.

1. Escriba los dos códigos generados de forma secuencial desde el dispositivo en **MFA code 1 (Código MFA 1)** y **MFA code 2 (Código MFA 2)**. Luego, seleccione **Resync** (Volver a sincronizar).
**importante**  
Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y, a continuación, espera demasiado tiempo para enviar la solicitud, la solicitud parece funcionar, pero el dispositivo permanece sin sincronizar. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo.

**Para volver a sincronizar un dispositivo MFA físico o virtual para otro usuario de IAM (consola)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Users (Usuarios)** y, a continuación, elija el nombre del usuario cuyo dispositivo MFA debe volver a sincronizarse.

1. Seleccione la **pestaña de credenciales de** seguridad. En la sección **Autenticación multifactor (MFA)**, elija el botón de opción junto al dispositivo MFA y seleccione **Volver a sincronizar**.

1. Escriba los dos códigos generados de forma secuencial desde el dispositivo en **MFA code 1 (Código MFA 1)** y **MFA code 2 (Código MFA 2)**. Luego, seleccione **Resync** (Volver a sincronizar).
**importante**  
Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y, a continuación, espera demasiado tiempo para enviar la solicitud, la solicitud parece funcionar, pero el dispositivo permanece sin sincronizar. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo.

**Para volver a sincronizar su MFA de usuario raíz antes de iniciar sesión (consola)**

1. En la página **Inicio de sesión en Amazon Web Services con un dispositivo de autenticación**, seleccione **¿Tiene problemas con su dispositivo de autenticación? Click here (Haga clic aquí**.
**nota**  
Puede ver texto diferente, como, por ejemplo, **Iniciar sesión mediante MFA** y **Solución de problemas con el dispositivo de autenticación**. Sin embargo, se proporcionan las mismas características.

1. En la sección **Re-Sync With Our Servers (Volver a sincronizar con nuestros servidores)**, escriba los dos códigos generados de forma secuencial desde el dispositivo en **MFA code 1 (Código MFA 1)** y **MFA code 2 (Código MFA 2)**. A continuación, seleccione **Re-sync authentication device (Volver a sincronizar dispositivo de autenticación)**.

1. Si es necesario, escriba la contraseña de nuevo y elija **Sign in (Iniciar sesión)**. Finalmente, complete el inicio de sesión con su dispositivo MFA.

**Para volver a sincronizar su dispositivo MFA de su usuario raíz tras iniciar sesión (consola)**

1. Inicie sesión en la [consola de IAM](https://console.aws.amazon.com/iam/) como el propietario de la cuenta; para ello, elija **Root user (Usuario raíz)** e ingrese el email de su Cuenta de AWS. En la siguiente página, escriba su contraseña.
**nota**  
Como usuario raíz, no puede iniciar sesión en la página **Iniciar sesión como usuario de IAM**. Si aparece la página **Iniciar sesión como usuario de IAM**, elija **Iniciar sesión con el correo electrónico de usuario raíz** en la parte inferior de la página. Para obtener ayuda para iniciar sesión como usuario raíz, consulte [Inicio de sesión a la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-          root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la parte derecha de la barra de navegación, elija su nombre de cuenta y, a continuación, **Security credentials** (Credenciales de seguridad). Si es necesario, elija **Continue to Security Credentials** (Seguir en Credenciales de seguridad).  
![\[Credenciales de seguridad en el menú de navegación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Expanda la sección **Multi-factor authentication (MFA) (Autenticación multifactor [MFA])** en la página.

1. Seleccione el botón de opción situado junto al dispositivo y haga clic en **Resync** (Volver a sincronizar).

1. En el cuadro de diálogo **Resync MFA device** (Volver a sincronizar el dispositivo MFA), escriba los dos códigos generados de forma secuencial desde el dispositivo en **MFA code 1** (Código MFA 1) y **MFA code 2** (Código MFA 2). Luego, seleccione **Resync** (Volver a sincronizar).
**importante**  
Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo.

## Resincronización de dispositivos MFA físicos y virtuales (AWS CLI)
<a name="id_credentials_mfa_sync_cli"></a>

Puede volver a sincronizar dispositivos MFA físicos y virtuales con la AWS CLI.

**Para volver a sincronizar un dispositivo MFA físico o virtual para un usuario de IAM (AWS CLI)**  
En una línea de comandos, emita el comando [aws iam resync-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html):
+ Dispositivo MFA virtual: especifique el nombre de recurso de Amazon (ARN) del dispositivo como el número de serie.

  ```
  aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654
  ```
+ Dispositivo MFA físico: especifique el número de serie del dispositivo físico como el número de serie. El formato es específico del proveedor. Por ejemplo, puede comprar un token Gemalto de Amazon. Su número de serie suele ser de cuatro letras seguidas de cuatro números.

  ```
  aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
  ```

**importante**  
Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y después espera demasiado tiempo para enviar la solicitud, esta dará un error porque los códigos caducan tras un breve intervalo de tiempo.

## Resincronización de dispositivos MFA físicos y virtuales (API de AWS)
<a name="id_credentials_mfa_sync_api"></a>

IAM tiene una llamada a la API que realiza la sincronización. En este caso, le recomendamos que dé permiso a los usuarios de dispositivos MFA físicos y virtuales para obtener acceso a esta llamada a la API. A continuación, debe crear una herramienta basada en esa llamada a la API que permita a sus usuarios volver a sincronizar sus dispositivos siempre que sea necesario.

**Para volver a sincronizar un dispositivo MFA físico o virtual para un usuario de IAM (API de AWS)**
+ Envíe la solicitud [ResyncMFADevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html).

# Desactivación de un dispositivo MFA
<a name="id_credentials_mfa_disable"></a>

Si tiene problemas para iniciar sesión con un dispositivo de autenticación multifactor (MFA) como un usuario de IAM, póngase en contacto con su administrador para obtener ayuda.

Como administrador, puede desactivar el dispositivo para otro usuario de IAM. Esto permite al usuario iniciar sesión sin utilizar MFA. Puede hacerlo como una solución temporal, mientras se sustituye el dispositivo MFA o si no está disponible temporalmente. Sin embargo, le recomendamos que habilite un nuevo dispositivo para el usuario tan pronto como sea posible. Para obtener información sobre cómo habilitar un nuevo dispositivo MFA, consulte [Autenticación multifactor de AWS en IAM](id_credentials_mfa.md).

**nota**  
Si utiliza la API o la AWS CLI para eliminar un usuario de su Cuenta de AWS, debe desactivar o eliminar el dispositivo MFA del usuario. Puede realizar este cambio como parte del proceso de eliminación del usuario. Para obtener más información acerca de la eliminación de usuarios, consulte [Eliminación o desactivación de un usuario de IAM](id_users_remove.md).

**Topics**
+ [Desactivación de dispositivos MFA (consola)](#deactive-mfa-console)
+ [Desactivación de dispositivos MFA (AWS CLI)](#deactivate-mfa-cli)
+ [Desactivación de dispositivos MFA (API de AWS)](#deactivate-mfa-api)

## Desactivación de dispositivos MFA (consola)
<a name="deactive-mfa-console"></a><a name="deactivate-mfa-for-user"></a>

**Para desactivar un dispositivo MFA de otro usuario de IAM (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Para desactivar el dispositivo MFA para un usuario, elija el nombre del usuario cuyo MFA desea eliminar.

1. Seleccione la **pestaña de credenciales de** seguridad.

1. En **Autenticación multifactor (MFA)**, elija el botón de opción junto al dispositivo MFA, seleccione **Eliminar** y luego, **Eliminar**.

   El dispositivo se elimina de AWS. No puede utilizarse para iniciar sesión ni autenticar solicitudes hasta que se vuelva a activar y asociar a una cuenta de usuario de AWS o Usuario raíz de la cuenta de AWS.<a name="deactivate-mfa-for-root"></a>

**Para deshabilitar el dispositivo de MFA para su usuario Usuario raíz de la cuenta de AWS (consola)**

1. Inicie sesión en la [consola de IAM](https://console.aws.amazon.com/iam/) como el propietario de la cuenta; para ello, elija **Root user (Usuario raíz)** e ingrese el email de su Cuenta de AWS. En la siguiente página, escriba su contraseña.
**nota**  
Como usuario raíz, no puede iniciar sesión en la página **Iniciar sesión como usuario de IAM**. Si aparece la página **Iniciar sesión como usuario de IAM**, elija **Iniciar sesión con el correo electrónico de usuario raíz** en la parte inferior de la página. Para obtener ayuda para iniciar sesión como usuario raíz, consulte [Inicio de sesión a la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-          root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la parte derecha de la barra de navegación, elija su nombre de cuenta y, a continuación, **Security credentials** (Credenciales de seguridad). Si es necesario, elija **Continue to Security Credentials** (Seguir en Credenciales de seguridad).  
![\[Credenciales de seguridad en el menú de navegación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. En la sección **Multi-factor authentication (MFA)** (Autenticación multifactor [MFA]), seleccione el botón de opción situado junto al dispositivo MFA que desea desactivar y, a continuación, **Remove** (Eliminar).

1. Elija **Eliminar**.

   Se ha desactivado el dispositivo MFA para la Cuenta de AWS. Busque en la bandeja del correo electrónico asociado con su Cuenta de AWS un mensaje de confirmación de Amazon Web Services. El correo electrónico le informa de que su autenticación multifactor (MFA) de Amazon Web Services se ha desactivado. El mensaje vendrá de `@amazon.com` o `@aws.amazon.com`.

**nota**  
Los dispositivos MFA virtuales no asignados en su Cuenta de AWS se eliminan al agregar nuevos dispositivos MFA virtuales a través de la Consola de administración de AWS o mediante el proceso de inicio de sesión. Los dispositivos MFA virtuales no asignados son dispositivos de su cuenta, pero que el usuario raíz de la cuenta o los usuarios de IAM no utilizan para el proceso de inicio de sesión. Se eliminan para poder agregar nuevos dispositivos MFA virtuales a su cuenta. También le permite reutilizar los nombres de los dispositivos.

## Desactivación de dispositivos MFA (AWS CLI)
<a name="deactivate-mfa-cli"></a>

**Para desactivar un dispositivo MFA para un usuario de IAM (AWS CLI)**
+ Ejecute este comando: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)

## Desactivación de dispositivos MFA (API de AWS)
<a name="deactivate-mfa-api"></a>

**Para desactivar un dispositivo MFA para un usuario de IAM (API de AWS)**
+ Llame a esta operación: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)

# Recuperación de una identidad protegida por MFA en IAM
<a name="id_credentials_mfa_lost-or-broken"></a>

Si el [dispositivo MFA virtual](id_credentials_mfa_enable_virtual.md) o el [token TOTP de hardware](id_credentials_mfa_enable_physical.md) parece funcionar correctamente, pero no puede utilizarlo para obtener acceso a sus recursos de AWS, es posible que no esté sincronizado con AWS. Para obtener más información acerca de cómo sincronizar un dispositivo de MFA virtual o físico, consulte [Resincronización de dispositivos MFA de hardware y virtuales](id_credentials_mfa_sync.md). Las [claves de seguridad FIDO](id_credentials_mfa_enable_fido.md) no pierden la sincronización.

Si el [dispositivo de MFA](id_credentials_mfa.md) de Usuario raíz de la cuenta de AWS se ha perdido, está averiado o no funciona, puede recuperar el acceso a su cuenta. Los usuarios de IAM deben ponerse en contacto con un administrador para desactivar el dispositivo.

**importante**  
Le recomendamos que active varios dispositivos de MFA. El registro de varios dispositivos de MFA ayuda a garantizar el acceso continuo en caso de pérdida o rotura de un dispositivo. Los usuarios de IAM y Usuario raíz de la cuenta de AWS pueden registrar hasta ocho dispositivos de MFA de cualquier tipo.

## Requisito previo: utilizar otro dispositivo de MFA
<a name="mfa-lost-or-broken-prerequisites"></a>

Si su dispositivo de [autenticación multifactor (MFA)](id_credentials_mfa.md) se pierde, se daña o no funciona, puede iniciar sesión con otro dispositivo MFA registrado para el mismo usuario raíz o usuario de IAM.

**Cómo iniciar sesión con otro dispositivo de MFA**

1. Inicie sesión en la [Consola de administración de AWS](url-comsole-domain;iam) con su identificador de Cuenta de AWS o con el alias y la contraseña de la cuenta.

1. En la página **Additional verification required** o en la página **Multi-factor authentication**, elija **Pruebe con otro método de MFA**.

1. Autentíque con el tipo de dispositivo de MFA que haya seleccionado.

1. El siguiente paso varía en función de si ha iniciado sesión correctamente con un dispositivo de MFA alternativo.
   + Si ha iniciado sesión correctamente, puede [Resincronización de dispositivos MFA de hardware y virtuales](id_credentials_mfa_sync.md), lo que podría resolver el problema. Si ha perdido su dispositivo de MFA, o si el dispositivo se ha dañado, puede desactivarlo. Para obtener instrucciones sobre cómo desactivar cualquier tipo de dispositivo MFA, consulte [Desactivación de un dispositivo MFA](id_credentials_mfa_disable.md).
   + Si no puede iniciar sesión con MFA, siga los pasos de [Recuperación de un dispositivo MFA de usuario raíz](#root-mfa-lost-or-broken) o [Recuperación de un dispositivo MFA de usuario de IAM](#iam-user-mfa-lost-or-broken) para recuperar su identidad protegida por MFA.



## Recuperación de un dispositivo MFA de usuario raíz
<a name="root-mfa-lost-or-broken"></a>

Si no puede iniciar sesión con su dispositivo de MFA, puede utilizar métodos alternativos e iniciar sesión mediante la verificación de su identidad mediante el correo electrónico y el número de teléfono de contacto principal registrados en su cuenta.

Confirme que puede acceder al correo electrónico y al número de teléfono de contacto principal asociados a su cuenta antes de utilizar factores de autenticación alternativos a fin de iniciar sesión como usuario raíz. Si necesita actualizar el número de teléfono de contacto principal, inicie sesión como usuario de IAM con acceso de *Administrador* en lugar del usuario raíz. Para obtener instrucciones adicionales sobre cómo actualizar la información de contacto de la cuenta, consulte [Editar la información de contacto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) en la *Guía del usuario de AWS Billing*. Si no tiene acceso a un correo electrónico ni a un número de teléfono de contacto principal, debe contactar con [AWS Support](https://support.aws.amazon.com/#/contacts/aws-mfa-support).

**importante**  
Se recomienda mantener actualizados la dirección de correo electrónico y el número de teléfono de contacto vinculados al usuario raíz para recuperar la cuenta correctamente. Para obtener más información, consulte [Actualizar su contacto principal para Cuenta de AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) en la *Guía de referencia de AWS Account Management*.

**Para iniciar sesión con otros factores de autenticación como Usuario raíz de la cuenta de AWS**

1.  Inicie sesión en [Consola de administración de AWS](https://console.aws.amazon.com/) como propietario de la cuenta; para ello, elija **Usuario raíz** e introduzca el correo electrónico de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

1. En la página **Se requiere verificación adicional**, seleccione un método de MFA con el que autenticarse y elija **Siguiente**. 
**nota**  
Es posible que aparezca un texto alternativo, como **Sign in using MFA** (Iniciar sesión con MFA), **Troubleshoot your authentication device** (Solucionar problemas de su dispositivo de autenticación) o **Troubleshoot MFA** (Solucionar problemas de MFA), pero la funcionalidad es la misma. Si no puede utilizar factores de autenticación alternativos para verificar la dirección de correo electrónico y el número de teléfono de contacto principal de su cuenta, contacte con [AWS Support](https://support.aws.amazon.com/#/contacts/aws-mfa-support) a fin de desactivar su dispositivo de MFA.

1. Según el tipo de MFA que utilice, verá una página diferente, pero la opción **Solución de problemas de MFA** funciona igual. En la página **Se requiere verificación adicional** o en la página **Autenticación multifactor**, elija **Solución problemas de MFA**.

1. Si se le solicita, escriba la contraseña de nuevo y elija **Sign in (Inicio de sesión)**.

1. En la página **Solución de problemas con el dispositivo de autenticación**, en la sección **Iniciar sesión con otros factores de autenticación**, elija **Iniciar sesión con otros factores**.

1. En la página **Iniciar sesión con otros factores de autenticación**, autentique su cuenta verificando la dirección de correo electrónico y seleccione **Enviar correo electrónico de verificación**. 

1. Busque en la bandeja del correo electrónico asociado a su Cuenta de AWS un mensaje de Amazon Web Services (no-reply-aws@amazon.com). Siga las indicaciones del correo electrónico.

   Si no ve el correo electrónico en su cuenta, revise la carpeta de spam o vuelva a su navegador y seleccione **Resend the email (Reenviar el correo electrónico)**.

1. Después de verificar su dirección de correo electrónico, podrá continuar el proceso de autenticación de la cuenta. Para verificar su número de teléfono de contacto principal, elija **Call me now** (Llamarme ahora).

1. Responda a la llamada de AWS y, cuando se le solicite, introduzca el número de 6 dígitos del sitio web de AWS en el teclado de su teléfono. 

   Si no recibe la llamada de AWS, seleccione **Sign in (Iniciar sesión)** para iniciar sesión de nuevo en la consola y volver a comenzar. O consulte [Lost or unusable Multi-Factor Authentication (MFA) device](https://support.aws.amazon.com/#/contacts/aws-mfa-support) (Dispositivo de autenticación multifactor [MFA] perdido o inutilizado) para contactar con el servicio de asistencia técnica para obtener ayuda.

1. Después de verificar su número de teléfono, podrá iniciar sesión en su cuenta. Para ello, elija **Sign in to the console (Iniciar sesión en la consola)**.

1. El siguiente paso varía en función del tipo de MFA que utilice:
   + Si utiliza un dispositivo MFA virtual, elimine la cuenta del dispositivo. A continuación, diríjase a la página [Credenciales de seguridad de AWS](https://console.aws.amazon.com/iam/home?#security_credential) y elimine la entidad de dispositivo MFA virtual antigua antes de crear una nueva.
   + Para obtener una clave de seguridad FIDO, diríjase a la página [Credenciales de seguridad de AWS](https://console.aws.amazon.com/iam/home?#security_credential) y desactive la clave de seguridad FIDO antigua antes de habilitar una nueva.
   + En el caso de un token de TOTP de hardware, contacte con el proveedor externo para que lo ayude a reparar o sustituir el dispositivo. Puede seguir iniciando sesión a través de factores de autenticación alternativos hasta que reciba su nuevo dispositivo. Una vez que tenga su nuevo dispositivo de MFA de hardware, visite la página [Credenciales de seguridad de AWS](https://console.aws.amazon.com/iam/home?#security_credential) y elimine el dispositivo de MFA antiguo.
**nota**  
No es necesario reemplazar un dispositivo MFA perdido o robado con el mismo tipo de dispositivo. Por ejemplo, si se rompe la clave de seguridad FIDO y pide una nueva, puede utilizar la MFA virtual o un token de TOTP de hardware hasta que reciba una clave FIDO nueva.

**importante**  
Si su dispositivo de MFA ha desaparecido o se lo han robado, cambie la contraseña de usuario raíz después de iniciar sesión y establecer el dispositivo de MFA de reemplazo. Es posible que un atacante haya robado el dispositivo de autenticación y también tenga su contraseña actual. Para obtener más información, consulte [Cambiar la contraseña para Usuario raíz de la cuenta de AWS](root-user-password.md).

## Recuperación de un dispositivo MFA de usuario de IAM
<a name="iam-user-mfa-lost-or-broken"></a>

Si es usuario de IAM, pero no puede iniciar sesión con MFA, no podrá recuperar un dispositivo de MFA usted mismo. Debe ponerse en contacto con un administrador para desactivar el dispositivo. Después, puede habilitar un nuevo dispositivo.

**Para obtener ayuda relacionada con un dispositivo de MFA asociado a un usuario de IAM**

1. Póngase en contacto con el administrador de AWS o cualquier otra persona que le diera el nombre de usuario y la contraseña de usuario de IAM. El administrador debe desactivar el dispositivo de MFA tal y como se describe en [Desactivación de un dispositivo MFA](id_credentials_mfa_disable.md) para que pueda iniciar sesión.

1. El siguiente paso varía en función del tipo de MFA que utilice:
   + Si utiliza un dispositivo MFA virtual, elimine la cuenta del dispositivo. A continuación, active el dispositivo virtual tal y como se describe en [Asignación de un dispositivo de MFA virtual en la Consola de administración de AWS](id_credentials_mfa_enable_virtual.md).
   + Si se trata de una clave de seguridad FIDO, contacte con el proveedor externo para que lo ayude a sustituir el dispositivo. Cuando reciba la nueva clave de seguridad FIDO, habilítela como se describe en [Asignación de una clave de acceso o de seguridad en la Consola de administración de AWS](id_credentials_mfa_enable_fido.md).
   + En el caso de un token de TOTP de hardware, contacte con el proveedor externo para que lo ayude a reparar o sustituir el dispositivo. Una vez que tenga el nuevo dispositivo de MFA físico, habilítelo tal y como se describe en [Asignación de un token de TOTP de hardware en la Consola de administración de AWS](id_credentials_mfa_enable_physical.md).
**nota**  
No es necesario reemplazar un dispositivo MFA perdido o robado con el mismo tipo de dispositivo. Puede tener hasta ocho dispositivos MFA de cualquier combinación. Por ejemplo, si se rompe la clave de seguridad FIDO y pide una nueva, puede utilizar la MFA virtual o un token de TOTP de hardware hasta que reciba una clave FIDO nueva.

1. Si su dispositivo MFA ha sido robado o se ha extraviado, cambie su contraseña para que la persona que tenga el dispositivo de autenticación no tenga también su contraseña actual. Para obtener más información, consulte [Administrar las contraseñas de los usuarios de IAM](id_credentials_passwords_admin-change-user.md)

# Acceso seguro a la API con MFA
<a name="id_credentials_mfa_configure-api-require"></a>

Con las políticas de IAM, puede especificar qué operaciones de API puede llamar un usuario. Puede aplicar seguridad adicional al exigir a los usuarios que se autentiquen con la autenticación multifactor (MFA) antes de permitirles realizar acciones particularmente sensibles.

Por ejemplo, es posible que tenga una política que permita a un usuario realizar las acciones de Amazon EC2 `RunInstances`, `DescribeInstances` y de `StopInstances`. Sin embargo, es posible que quiera restringir una acción destructiva, como `TerminateInstances` y asegurarse de que los usuarios solo pueden realizar esta acción si se autentican mediante un dispositivo MFA de AWS.

**Topics**
+ [Descripción general](#MFAProtectedAPI-overview)
+ [Situación: protección de MFA para la delegación entre cuentas](#MFAProtectedAPI-cross-account-delegation)
+ [Situación: protección de MFA para el acceso a operaciones de API de la cuenta actual](#MFAProtectedAPI-user-mfa)
+ [Situación: protección de MFA para recursos que tienen políticas basadas en recursos](#MFAProtectedAPI-resource-policies)

## Descripción general
<a name="MFAProtectedAPI-overview"></a>

Para agregar la protección de MFA a las operaciones de API es preciso realizar estas tareas:

1. El administrador configura un dispositivo de MFA de AWS para cada usuario que deba realizar solicitudes de la API que requieran una autenticación MFA. Para obtener más información, consulte [Autenticación multifactor de AWS en IAM](id_credentials_mfa.md). 

1. El administrador crea políticas para los usuarios que contienen un elemento `Condition` que comprueba si el usuario se ha autenticado con un dispositivo MFA de AWS.

1. El usuario llama a una de las operaciones de la API de AWS STS que admiten los parámetros de MFA: [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) o [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html). Dentro de la llamada, el usuario incluye el identificador del dispositivo que está asociado al usuario. El usuario también incluye la contraseña de un solo uso basada en el tiempo (TOTP) que el dispositivo genera. En cualquier caso, el usuario obtiene credenciales de seguridad temporales que puede utilizar para realizar solicitudes adicionales a AWS.
**nota**  
La protección de MFA para las operaciones de API de un servicio solo está disponible si el servicio es compatible con las credenciales de seguridad temporales. Para obtener una lista de estos servicios, consulte [Uso de credenciales de seguridad temporales para acceder a AWS](https://docs.aws.amazon.com/STS/latest/UsingSTS/UsingTokens.html).

Si se produce un error en la autorización, AWS devuelve un mensaje de error de acceso denegado (al igual que con cualquier otro acceso no autorizado). Con las políticas de API protegidas mediante MFA, AWS deniega el acceso a las operaciones de API especificadas en las políticas si el usuario intenta llamar a una operación de API sin una autenticación MFA válida. La operación también se deniega si la marca temporal de la solicitud de la operación API no entra en el rango especificado en la política. Debe volver a autenticarse al usuario en MFA solicitando nuevas credenciales de seguridad temporales con un código de MFA y el número de serie del dispositivo.

### Políticas de IAM con condiciones de MFA
<a name="MFAProtectedAPI-policies"></a>

Las políticas con condiciones de MFA se pueden asociar a los elementos siguientes:
+ Un usuario o grupo de IAM
+ Un recurso, como un bucket de Amazon S3, una cola de Amazon SQS o un tema de Amazon SNS
+ La política de confianza de un rol de IAM que un usuario puede asumir

Puede utilizar una condición de MFA de una política para comprobar las propiedades siguientes:
+ Existencia: para simplemente verificar que el usuario se autenticó realmente con MFA, compruebe que la clave `aws:MultiFactorAuthPresent` sea `True` en una condición `Bool`. La clave solo está presente cuando el usuario se autentica con credenciales a corto plazo. Las credenciales a largo plazo, como, por ejemplo, las claves de acceso, no contienen esta clave.
+ Duración: si quiere conceder acceso únicamente dentro de un periodo determinado de tiempo después de la autenticación MFA, utilice un tipo de condición numérica para comparar la edad de la clave `aws:MultiFactorAuthAge` con un valor (por ejemplo, 3600 segundos). Tenga en cuenta que la clave `aws:MultiFactorAuthAge` no está presente si no se ha utilizado la MFA.

El siguiente ejemplo muestra la política de confianza de un rol de IAM que contiene una condición MFA para probar la existencia de la autenticación MFA. Con esta política, los usuarios de la cuenta de Cuenta de AWS especificada en el elemento `Principal` (sustituir `ACCOUNT-B-ID` por un ID de cuenta de Cuenta de AWS válido) pueden asumir la función a la que esta política está asociada. Sin embargo, tales usuarios solo puede asumir la función si el usuario está autenticado con MFA.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Principal": {"AWS": "ACCOUNT-B-ID"},
    "Action": "sts:AssumeRole",
    "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
  }
}
```

------

Para obtener más información sobre los tipos de condición para MFA, consulte [Claves de contexto de condición globales de AWS](reference_policies_condition-keys.md), [Operadores de condición numérica](reference_policies_elements_condition_operators.md#Conditions_Numeric) y [Operador de condición para comprobar la existencia de claves de condición](reference_policies_elements_condition_operators.md#Conditions_Null). 

### Elegir entre GetSessionToken y AssumeRole
<a name="scenarios"></a>

AWS STS proporciona dos operaciones de la API que permiten a los usuarios transmitir información de MFA: `GetSessionToken` y `AssumeRole`. La operación de API a la que el usuario llama para obtener credenciales de seguridad temporales depende de la situación a la que la API se aplique. 

**Utilice `GetSessionToken` en las situaciones siguientes:**
+ Llamadas a operaciones de API que tienen acceso a los recursos en la misma cuenta de Cuenta de AWS que el usuario de IAM que realiza la solicitud. Tenga en cuenta que las credenciales temporales de una solicitud `GetSessionToken` pueden obtener acceso a IAM y a las operaciones de la API de AWS STS y *solo* si contienen información de MFA en la solicitud de credenciales. Dado que las credenciales temporales devueltas por `GetSessionToken` contienen información de MFA, puede buscar la presencia de MFA en llamadas a las operaciones de API realizadas por las credenciales. 
+ El acceso a recursos que están protegidos con políticas basadas en recursos que contienen una condición de MFA.

La finalidad de la operación `GetSessionToken` es autenticar al usuario mediante MFA. No se pueden utilizar políticas para controlar las operaciones de autenticación.

**Utilice `AssumeRole` en las situaciones siguientes:**
+ Llamadas a operaciones de API que obtienen acceso a los recursos que están en la misma cuenta de Cuenta de AWS o en otra. Las llamadas a la API pueden incluir cualquier API de IAM o AWS STS. Tenga en cuenta que, para proteger el acceso, aplicar MFA en el momento en que el usuario asume el rol. Las credenciales temporales devueltas por `AssumeRole` no contienen información de MFA en el contexto, por lo que no puede buscar la presencia de MFA en operaciones de API individuales. Por ello debe utilizar `GetSessionToken` para restringir el acceso a los recursos protegidos por políticas basadas en recursos.

**nota**  
Los registros AWS CloudTrail contendrán información de MFA cuando el usuario de IAM inicie sesión con MFA. Si el usuario de IAM asume un rol de IAM, CloudTrail también registrará `mfaAuthenticated: true` en los atributos `sessionContext` para las acciones realizadas utilizando el rol asumido. Sin embargo, el registro de CloudTrail es independiente de lo que requiere IAM cuando se realizan llamadas a la API con las credenciales del rol asumido. Para obtener más información, consulte [Elemento userIdentity de CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

Más adelante, se proporciona información detallada sobre cómo implementar estas situaciones.

### Información importante sobre el acceso mediante API protegido por MFA
<a name="MFAProtectedAPI-important-points"></a>

Es importante comprender los siguientes aspectos de la protección de operaciones de API con MFA:
+ La protección con MFA solo está disponible con credenciales de seguridad temporales, las cuales deben obtenerse con `AssumeRole` o `GetSessionToken`. 
+ No puede utilizar el acceso a API protegido por MFA con las credenciales de usuario Usuario raíz de la cuenta de AWS.
+ No puede utilizar el acceso a API protegido por MFA con las llaves de seguridad U2F.
+ A los usuarios federados no se les puede asignar un dispositivo MFA para utilizarlo con servicios de AWS, por lo que no pueden obtener acceso a recursos de AWS controlados por MFA. (véase el punto siguiente). 
+ Las demás operaciones de API de AWS STS que devuelven credenciales temporales no admiten MFA. En `AssumeRoleWithWebIdentity` y `AssumeRoleWithSAML`, un proveedor externo autentica al usuario y AWS no puede determinar si ese proveedor exige una MFA. En `GetFederationToken`, MFA no está obligatoriamente asociado a un usuario concreto. 
+ Del mismo modo, las credenciales a largo plazo (claves de acceso de usuario de IAM y claves de acceso de usuario raíz) no se pueden utilizar con el acceso mediante API protegido por MFA, ya que no caducan.
+ También se puede llamar a `AssumeRole` y `GetSessionToken` sin información de MFA. En este caso, el intermediario obtiene credenciales de seguridad temporales, pero la información de la sesión para dichas credenciales temporales no indica si el usuario se autenticó con MFA.
+ Para establecer una protección de MFA para las operaciones de API, agregue condiciones de MFA a las políticas. Una política debe incluir la clave de condición `aws:MultiFactorAuthPresent` para aplicar el uso de MFA. Para la delegación entre cuentas, la política de confianza de la función debe incluir la clave de condición.
+ Cuando se permite que otra cuenta de Cuenta de AWS obtenga acceso a los recursos de su cuenta, la seguridad de los recursos dependerá de la configuración de la cuenta de confianza; es decir, de la otra cuenta (no de la suya). Esto es válido aunque se exija la autenticación multifactor. Cualquier identidad de la cuenta de confianza que tenga permiso para crear dispositivos MFA virtuales puede crear una notificación de MFA que respete la parte de la política de confianza de su rol. Antes de permitir que los miembros de otra cuenta obtengan acceso a sus recursos de AWS que requieren autenticación multifactor, debe asegurarse de que el propietario de la cuenta de confianza aplique las prácticas recomendadas de seguridad. Por ejemplo, la cuenta de confianza debe restringir exclusivamente a identidades concretas y de confianza el acceso a las operaciones de API confidenciales, tales como las operaciones de API de administración de dispositivos MFA.
+ Si una política contiene una condición de MFA, se deniega una solicitud si los usuarios de esta no se han autenticado con MFA o si proporcionan un identificador de dispositivo MFA no válido o una TOTP no válida.

## Situación: protección de MFA para la delegación entre cuentas
<a name="MFAProtectedAPI-cross-account-delegation"></a>

En este caso, quiere delegar el acceso de usuarios de IAM a otra cuenta, pero solo si dichos usuarios se autentican con un dispositivo MFA de AWS. Para obtener más información acerca de la delegación entre cuentas, consulte [Términos y conceptos de roles](id_roles.md#id_roles_terms-and-concepts). 

Supongamos que tiene una cuenta A (la cuenta que confía y es propietaria del recurso al que debe accederse) con la usuaria de IAM Anaya, que tiene permiso de administrador. Alice quiere conceder acceso al usuario Richard de la cuenta B (la cuenta de confianza), pero antes quiere asegurarse de que Richard se autentica con MFA antes de asumir el rol. 

1. En la cuenta que confía A, Anaya crea un rol de IAM denominado `CrossAccountRole` y establece la entidad principal de la política de confianza del rol en el ID de la cuenta B. La política de confianza concede permiso a la acción AWS STS `AssumeRole`. Anaya también añade una condición de MFA a la política de confianza, como la del siguiente ejemplo. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Allow",
       "Principal": {"AWS": "ACCOUNT-B-ID"},
       "Action": "sts:AssumeRole",
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }
   }
   ```

------

1. Anaya añade una política de permisos al rol que especifica lo que le permite hacer la función. La política de permisos de un rol con protección de MFA no es diferente de cualquier otra política de permisos de rol. En el siguiente ejemplo, se muestra la política que Anaya agrega al rol; permite al usuario que la asume realizar cualquier acción de Amazon DynamoDB en la tabla `Books` de la cuenta A. Esta política también permite la acción `dynamodb:ListTables`, que es necesaria para llevar a cabo acciones en la consola. 
**nota**  
La política de permisos no incluye una condición de MFA. Es importante comprender que la autenticación MFA solo se usa para determinar si un usuario puede asumir el rol. Una vez que el usuario haya asumido el rol, no se realizarán más verificaciones de MFA. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "TableActions",
               "Effect": "Allow",
               "Action": "dynamodb:*",
               "Resource": "arn:aws:dynamodb:*:111122223333:table/Books"
           },
           {
               "Sid": "ListTables",
               "Effect": "Allow",
               "Action": "dynamodb:ListTables",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. En la cuenta de confianza B, el administrador se asegura de que el usuario de IAM Richard se haya configurado con un dispositivo MFA de AWS y de que conozca el ID del dispositivo. El ID de dispositivo es el número de serie si se trata de un dispositivo MFA físico, o bien el ARN si se trata de un dispositivo MFA virtual.

1. En la cuenta B, el administrador asocia la siguiente política al usuario Richard (o a un grupo del que sea miembro) que le permita llamar a la acción `AssumeRole`. El recurso se establece en el ARN del rol que Anaya creó en el paso 1. Observe que esta política no contiene una condición de MFA.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRole"
               ],
               "Resource": [
                   "arn:aws:iam::111122223333:role/CrossAccountRole"
               ]
           }
       ]
   }
   ```

------

1. En la cuenta B, Richard (o una aplicación que Richard esté ejecutando) llama a `AssumeRole`. La llamada a la API contiene el ARN del rol que se asumirá (`arn:aws:iam::ACCOUNT-A-ID:role/CrossAccountRole`), el ID del dispositivo de MFA, y la TOTP actual que Richard obtiene de su dispositivo. 

   Cuando Richard llama a `AssumeRole`, AWS determina si tiene credenciales válidas, incluido la exigencia de MFA. En caso afirmativo, Richard asume el rol efectivamente y puede realizar cualquier acción de DynamoDB de la tabla denominada `Books` de la cuenta A con las credenciales temporales del rol. 

   Si desea ver un ejemplo de un programa que llame a `AssumeRole`, consulte [Llamada a AssumeRole con autenticación MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-assumerole).

## Situación: protección de MFA para el acceso a operaciones de API de la cuenta actual
<a name="MFAProtectedAPI-user-mfa"></a>

En este caso, debe asegurarse de que un usuario de su cuenta de Cuenta de AWS pueda obtener acceso a operaciones de la API confidenciales solamente cuando el usuario se haya autenticado con un dispositivo MFA de AWS.

Supongamos que tiene una cuenta A que contiene un grupo de desarrolladores que necesitan trabajar con instancias EC2. Los desarrolladores normales pueden trabajar con las instancias, pero no se les conceden permisos para las acciones `ec2:StopInstances` o `ec2:TerminateInstances`. Usted quiere limitar estas acciones privilegiadas "destructivas" solo a unos cuantos usuarios de confianza, por lo que añade protección de MFA a la política que permite estas acciones de Amazon EC2 de gran importancia. 

En este escenario, uno de los usuarios de confianza es Sofía. La usuaria Anaya es administradora de la cuenta A. 

1. Anaya se asegura de que Sofía esté configurada con un dispositivo MFA de AWS y de que Sofía conozca el ID del dispositivo. El ID de dispositivo es el número de serie si se trata de un dispositivo MFA físico, o bien el ARN si se trata de un dispositivo MFA virtual. 

1. Anaya crea un grupo denominado `EC2-Admins` y añade a la usuario Sofía al grupo.

1. Anaya asocia la siguiente política al grupo `EC2-Admins`. Esta política concede a los usuarios permiso para llamar a las acciones de Amazon EC2 `StopInstances` y `TerminateInstances` solo si el usuario se ha autenticado con MFA. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [{
       "Effect": "Allow",
       "Action": [
         "ec2:StopInstances",
         "ec2:TerminateInstances"
       ],
       "Resource": ["*"],
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }]
   }
   ```

------

1. 
**nota**  
Para que esta política surta efecto, antes los usuarios deben cerrar la sesión e iniciarla de nuevo.

   Si el usuario Sofía tiene que detener o terminar una instancia de Amazon EC2, ella (o una aplicación que esté ejecutando) llamará a `GetSessionToken`. Esta operación de API transmite el ID del dispositivo MFA y la TOTP actual que Sofía obtiene de su dispositivo.

1. La usuaria Sofía (o una aplicación que Sofía esté usando) utiliza las credenciales temporales que ofrece `GetSessionToken` para llamar a la acción de Amazon EC2 `StopInstances` o la acción de `TerminateInstances`. 

   Si desea ver un ejemplo de un programa que llame a `GetSessionToken`, consulte [Llamada a GetSessionToken con autenticación MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken), más adelante en el documento.

## Situación: protección de MFA para recursos que tienen políticas basadas en recursos
<a name="MFAProtectedAPI-resource-policies"></a>

En este caso, es usted propietario de un bucket de S3, una cola de SQS o un tema de SNS. Quiere asegurarse de que todos los usuarios de todas las cuentas de Cuenta de AWS que tengan acceso al recurso se autentiquen mediante un dispositivo MFA de AWS. 

Esta situación ilustra una forma de proporcionar una protección MFA entre cuentas en la que no se exija al usuario que asuma primero un rol. En este caso, el usuario puede obtener acceso al recursos si se cumplen tres condiciones. el usuario debe estar autenticado por MFA, debe poder obtener credenciales de seguridad temporales de `GetSessionToken` y debe pertenecer a una cuenta que sea de confianza para la política del recurso. 

Supongamos que está en la cuenta A y que crea un bucket de S3. Quiere conceder acceso a este bucket a usuarios que están en varias cuentas de Cuentas de AWS, pero solo si dichos usuarios están autenticados con MFA.

En este escenario, la usuaria Anaya es administradora de la cuenta A. El usuario Nikhil es un usuario de IAM de la cuenta C.

1. En la cuenta A, Anaya crea un bucket denominado `Account-A-bucket`.

1. Anaya añade la política de bucket al bucket. La política permite a todos los usuarios de la cuenta A, la cuenta B o la cuenta C las acciones de Amazon S3 `PutObject` y de `DeleteObject` en el bucket. La política contiene una condición de MFA. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [{
       "Effect": "Allow",
       "Principal": {"AWS": [
         "ACCOUNT-A-ID",
         "ACCOUNT-B-ID",
         "ACCOUNT-C-ID"
       ]},
       "Action": [
         "s3:PutObject",
         "s3:DeleteObject"
       ],
       "Resource": ["arn:aws:s3:::ACCOUNT-A-BUCKET-NAME/*"],
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }]
   }
   ```

------
**nota**  
Amazon S3 tiene una función de eliminación de MFA para el acceso de cuenta *raíz* (solo). Puede habilitar la eliminación de MFA de Amazon S3 cuando establezca el estado de control de versiones del bucket. La eliminación de MFA de Amazon S3 no se puede aplicar a un usuario de IAM y se administra de forma independiente del acceso mediante API protegido por MFA. Un usuario de IAM con permisos para eliminar un bucket no puede eliminar un bucket si la eliminación de MFA de Amazon S3 está habilitada. Para obtener más información acerca de la eliminación de MFA de Amazon S3, consulte [Eliminación de MFA](https://docs.aws.amazon.com/AmazonS3/latest/dev/MultiFactorAuthenticationDelete.html).

1. En la cuenta de confianza C, un administrador se asegura de que el usuario Nikhil se haya configurado con un dispositivo MFA de AWS y de que conozca el ID del dispositivo. El ID de dispositivo es el número de serie si se trata de un dispositivo MFA físico, o bien el ARN si se trata de un dispositivo MFA virtual. 

1. En la cuenta C, Nikhil (o una aplicación que esté ejecutando) llama a `GetSessionToken`. La llamada contiene el ID o el ARN del dispositivo de MFA y la TOTP actual que Nikhil obtiene de su dispositivo. 

1. Nikhil (o una aplicación que esté utilizando) utiliza las credenciales temporales devueltas por `GetSessionToken` para llamar a la acción `PutObject` Amazon S3 para cargar un archivo en `Account-A-bucket`. 

   Si desea ver un ejemplo de un programa que llame a `GetSessionToken`, consulte [Llamada a GetSessionToken con autenticación MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken), más adelante en el documento.
**nota**  
Las credenciales temporales que `AssumeRole` devuelve no funcionarán en este caso. Aunque el usuario puede proporcionar información de MFA para asumir un rol, las credenciales temporales devueltas por `AssumeRole` no contienen la información de MFA. Esa información se requiere para cumplir la condición de MFA de la política. 

# Código de muestra: solicitud de credenciales con autenticación multifactor
<a name="id_credentials_mfa_sample-code"></a>

En los siguientes ejemplos se muestra cómo llamar a las operaciones `GetSessionToken` y `AssumeRole` y transmitir los parámetros de autenticación MFA. No se requieren permisos para llamar a `GetSessionToken`, pero debe tener una política que le permita llamar a `AssumeRole`. Las credenciales devueltas se utilizan para enumerar todos los buckets de S3 de la cuenta.

## Llamada a GetSessionToken con autenticación MFA
<a name="MFAProtectedAPI-example-getsessiontoken"></a>

Los siguientes ejemplos muestran cómo llamar a `GetSessionToken` y transmitir la información de autenticación MFA. Las credenciales de seguridad temporales devueltas por la operación `GetSessionToken` se utilizarán para enumerar todos los buckets de S3 de la cuenta.

La política adjunta al usuario que ejecuta este código (o a un grupo al que pertenezca el usuario) proporciona los permisos para las credenciales temporales devueltas. En el código de este ejemplo, la política debe conceder al usuario permiso para solicitar la operación de Amazon S3 `ListBuckets`. 

Los siguientes ejemplos de código muestran cómo utilizar `GetSessionToken`.

------
#### [ CLI ]

**AWS CLI**  
**Cómo obtener un conjunto de credenciales a corto plazo para una identidad de IAM**  
El siguiente comando `get-session-token` recupera un conjunto de credenciales a corto plazo para la identidad de IAM que realiza la llamada. Las credenciales resultantes se pueden utilizar para las solicitudes donde la política requiere la autenticación multifactor (MFA). Las credenciales caducan 15 minutos después de haberse generado.  

```
aws sts get-session-token \
    --duration-seconds 900 \
    --serial-number "YourMFADeviceSerialNumber" \
    --token-code 123456
```
Salida:  

```
{
    "Credentials": {
        "AccessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2020-05-19T18:06:10+00:00"
    }
}
```
Para obtener más información, consulte [Solicitud de credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken) en la *Guía del usuario de AWS IAM*.  
+  Para obtener información sobre la API, consulte [GetSessionToken](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-session-token.html) en la *Referencia de comandos de la AWS CLI*. 

------
#### [ PowerShell ]

**Herramientas para PowerShell V4**  
**Ejemplo 1: devuelve una instancia `Amazon.RuntimeAWSCredentials` que contiene credenciales temporales válidas durante un período de tiempo determinado. Las credenciales utilizadas para solicitar credenciales temporales se deducen de los valores predeterminados actuales del intérprete de comandos. Para especificar otras credenciales, utilice los parámetros -ProfileName o -AccessKey/-SecretKey.**  

```
Get-STSSessionToken
```
**Salida:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Ejemplo 2: devuelve una instancia de `Amazon.RuntimeAWSCredentials` que contiene credenciales temporales válidas durante una hora. Las credenciales utilizadas para realizar la solicitud se obtienen del perfil especificado.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Salida:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Ejemplo 3: devuelve una instancia `Amazon.RuntimeAWSCredentials` que contiene credenciales temporales válidas durante una hora con el número de identificación del dispositivo MFA asociado a la cuenta, cuyas credenciales se especifican en el perfil “myprofilename” y el valor proporcionado por el dispositivo.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Salida:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
+  Para obtener información sobre la API, consulte [GetSessionToken](https://docs.aws.amazon.com/powershell/v4/reference) en la *Referencia de Cmdlet de las Herramientas de AWS para PowerShell (V4)*. 

**Herramientas para PowerShell V5**  
**Ejemplo 1: devuelve una instancia `Amazon.RuntimeAWSCredentials` que contiene credenciales temporales válidas durante un período de tiempo determinado. Las credenciales utilizadas para solicitar credenciales temporales se deducen de los valores predeterminados actuales del intérprete de comandos. Para especificar otras credenciales, utilice los parámetros -ProfileName o -AccessKey/-SecretKey.**  

```
Get-STSSessionToken
```
**Salida:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Ejemplo 2: devuelve una instancia de `Amazon.RuntimeAWSCredentials` que contiene credenciales temporales válidas durante una hora. Las credenciales utilizadas para realizar la solicitud se obtienen del perfil especificado.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Salida:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Ejemplo 3: devuelve una instancia `Amazon.RuntimeAWSCredentials` que contiene credenciales temporales válidas durante una hora con el número de identificación del dispositivo MFA asociado a la cuenta, cuyas credenciales se especifican en el perfil “myprofilename” y el valor proporcionado por el dispositivo.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Salida:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
+  Para obtener información sobre la API, consulte [GetSessionToken](https://docs.aws.amazon.com/powershell/v5/reference) en la *Referencia de Cmdlet de las Herramientas de AWS para PowerShell (V5)*. 

------
#### [ Python ]

**SDK para Python (Boto3)**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples). 
Obtenga un token de sesión al pasar un token MFA y utilícelo para enumerar los buckets de Amazon S3 de la cuenta.  

```
def list_buckets_with_session_token_with_mfa(mfa_serial_number, mfa_totp, sts_client):
    """
    Gets a session token with MFA credentials and uses the temporary session
    credentials to list Amazon S3 buckets.

    Requires an MFA device serial number and token.

    :param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
                              device, this is an Amazon Resource Name (ARN).
    :param mfa_totp: A time-based, one-time password issued by the MFA device.
    :param sts_client: A Boto3 STS instance that has permission to assume the role.
    """
    if mfa_serial_number is not None:
        response = sts_client.get_session_token(
            SerialNumber=mfa_serial_number, TokenCode=mfa_totp
        )
    else:
        response = sts_client.get_session_token()
    temp_credentials = response["Credentials"]

    s3_resource = boto3.resource(
        "s3",
        aws_access_key_id=temp_credentials["AccessKeyId"],
        aws_secret_access_key=temp_credentials["SecretAccessKey"],
        aws_session_token=temp_credentials["SessionToken"],
    )

    print(f"Buckets for the account:")
    for bucket in s3_resource.buckets.all():
        print(bucket.name)
```
+  Para obtener detalles sobre la API, consulte [GetSessionToken](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/GetSessionToken) en la *Referencia de la API del AWS SDK para Python (Boto3)*. 

------

## Llamada a AssumeRole con autenticación MFA
<a name="MFAProtectedAPI-example-assumerole"></a>

Los siguientes ejemplos muestran cómo llamar a `AssumeRole` y transmitir la información de autenticación MFA. Las credenciales de seguridad temporales devueltas por `AssumeRole` se utilizan para enumerar todos los buckets de Amazon S3 de la cuenta.

Para obtener más información acerca de esta situación, consulte [Situación: protección de MFA para la delegación entre cuentas](id_credentials_mfa_configure-api-require.md#MFAProtectedAPI-cross-account-delegation). 

Los siguientes ejemplos de código muestran cómo utilizar `AssumeRole`.

------
#### [ .NET ]

**SDK para .NET**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/STS#code-examples). 

```
using System;
using System.Threading.Tasks;
using Amazon;
using Amazon.SecurityToken;
using Amazon.SecurityToken.Model;

namespace AssumeRoleExample
{
    class AssumeRole
    {
        /// <summary>
        /// This example shows how to use the AWS Security Token
        /// Service (AWS STS) to assume an IAM role.
        ///
        /// NOTE: It is important that the role that will be assumed has a
        /// trust relationship with the account that will assume the role.
        ///
        /// Before you run the example, you need to create the role you want to
        /// assume and have it trust the IAM account that will assume that role.
        ///
        /// See https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html
        /// for help in working with roles.
        /// </summary>

        // A region property may be used if the profile or credentials loaded do not specify a region,
        // or to use a specific region.
        private static readonly RegionEndpoint REGION = RegionEndpoint.USWest2;

        static async Task Main()
        {
            // Create the SecurityToken client and then display the identity of the
            // default user.
            var roleArnToAssume = "arn:aws:iam::123456789012:role/testAssumeRole";

            var client = new Amazon.SecurityToken.AmazonSecurityTokenServiceClient(REGION);

            // Get and display the information about the identity of the default user.
            var callerIdRequest = new GetCallerIdentityRequest();
            var caller = await client.GetCallerIdentityAsync(callerIdRequest);
            Console.WriteLine($"Original Caller: {caller.Arn}");

            // Create the request to use with the AssumeRoleAsync call.
            var assumeRoleReq = new AssumeRoleRequest()
            {
                DurationSeconds = 1600,
                RoleSessionName = "Session1",
                RoleArn = roleArnToAssume
            };

            var assumeRoleRes = await client.AssumeRoleAsync(assumeRoleReq);

            // Now create a new client based on the credentials of the caller assuming the role.
            var client2 = new AmazonSecurityTokenServiceClient(credentials: assumeRoleRes.Credentials, REGION);

            // Get and display information about the caller that has assumed the defined role.
            var caller2 = await client2.GetCallerIdentityAsync(callerIdRequest);
            Console.WriteLine($"AssumedRole Caller: {caller2.Arn}");
        }
    }
}
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.aws.amazon.com/goto/DotNetSDKV3/sts-2011-06-15/AssumeRole) en la *Referencia de la API de AWS SDK para .NET*. 

------
#### [ Bash ]

**AWS CLI con Bash script**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/aws-cli/bash-linux/iam#code-examples). 

```
###############################################################################
# function iecho
#
# This function enables the script to display the specified text only if
# the global variable $VERBOSE is set to true.
###############################################################################
function iecho() {
  if [[ $VERBOSE == true ]]; then
    echo "$@"
  fi
}

###############################################################################
# function errecho
#
# This function outputs everything sent to it to STDERR (standard error output).
###############################################################################
function errecho() {
  printf "%s\n" "$*" 1>&2
}

###############################################################################
# function sts_assume_role
#
# This function assumes a role in the AWS account and returns the temporary
#  credentials.
#
# Parameters:
#       -n role_session_name -- The name of the session.
#       -r role_arn -- The ARN of the role to assume.
#
# Returns:
#       [access_key_id, secret_access_key, session_token]
#     And:
#       0 - If successful.
#       1 - If an error occurred.
###############################################################################
function sts_assume_role() {
  local role_session_name role_arn response
  local option OPTARG # Required to use getopts command in a function.

  # bashsupport disable=BP5008
  function usage() {
    echo "function sts_assume_role"
    echo "Assumes a role in the AWS account and returns the temporary credentials:"
    echo "  -n role_session_name -- The name of the session."
    echo "  -r role_arn -- The ARN of the role to assume."
    echo ""
  }

  while getopts n:r:h option; do
    case "${option}" in
      n) role_session_name=${OPTARG} ;;
      r) role_arn=${OPTARG} ;;
      h)
        usage
        return 0
        ;;
      \?)
        echo "Invalid parameter"
        usage
        return 1
        ;;
    esac
  done

  response=$(aws sts assume-role \
    --role-session-name "$role_session_name" \
    --role-arn "$role_arn" \
    --output text \
    --query "Credentials.[AccessKeyId, SecretAccessKey, SessionToken]")

  local error_code=${?}

  if [[ $error_code -ne 0 ]]; then
    aws_cli_error_log $error_code
    errecho "ERROR: AWS reports create-role operation failed.\n$response"
    return 1
  fi

  echo "$response"

  return 0
}
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.aws.amazon.com/goto/aws-cli/sts-2011-06-15/AssumeRole) en la *Referencia de comandos de la AWS CLI*. 

------
#### [ C\$1\$1 ]

**SDK para C\$1\$1**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp/example_code/sts#code-examples). 

```
bool AwsDoc::STS::assumeRole(const Aws::String &roleArn,
                             const Aws::String &roleSessionName,
                             const Aws::String &externalId,
                             Aws::Auth::AWSCredentials &credentials,
                             const Aws::Client::ClientConfiguration &clientConfig) {
    Aws::STS::STSClient sts(clientConfig);
    Aws::STS::Model::AssumeRoleRequest sts_req;

    sts_req.SetRoleArn(roleArn);
    sts_req.SetRoleSessionName(roleSessionName);
    sts_req.SetExternalId(externalId);

    const Aws::STS::Model::AssumeRoleOutcome outcome = sts.AssumeRole(sts_req);

    if (!outcome.IsSuccess()) {
        std::cerr << "Error assuming IAM role. " <<
                  outcome.GetError().GetMessage() << std::endl;
    }
    else {
        std::cout << "Credentials successfully retrieved." << std::endl;
        const Aws::STS::Model::AssumeRoleResult result = outcome.GetResult();
        const Aws::STS::Model::Credentials &temp_credentials = result.GetCredentials();

        // Store temporary credentials in return argument.
        // Note: The credentials object returned by assumeRole differs
        // from the AWSCredentials object used in most situations.
        credentials.SetAWSAccessKeyId(temp_credentials.GetAccessKeyId());
        credentials.SetAWSSecretKey(temp_credentials.GetSecretAccessKey());
        credentials.SetSessionToken(temp_credentials.GetSessionToken());
    }

    return outcome.IsSuccess();
}
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.aws.amazon.com/goto/SdkForCpp/sts-2011-06-15/AssumeRole) en la *Referencia de la API de AWS SDK para C\$1\$1*. 

------
#### [ CLI ]

**AWS CLI**  
**Cómo asumir un rol**  
El siguiente comando `assume-role` recupera un conjunto de credenciales a corto plazo para el rol de IAM `s3-access-example`.  

```
aws sts assume-role \
    --role-arn arn:aws:iam::123456789012:role/xaccounts3access \
    --role-session-name s3-access-example
```
Salida:  

```
{
    "AssumedRoleUser": {
        "AssumedRoleId": "AROA3XFRBF535PLBIFPI4:s3-access-example",
        "Arn": "arn:aws:sts::123456789012:assumed-role/xaccounts3access/s3-access-example"
    },
    "Credentials": {
        "SecretAccessKey": "9drTJvcXLB89EXAMPLELB8923FB892xMFI",
        "SessionToken": "AQoXdzELDDY//////////wEaoAK1wvxJY12r2IrDFT2IvAzTCn3zHoZ7YNtpiQLF0MqZye/qwjzP2iEXAMPLEbw/m3hsj8VBTkPORGvr9jM5sgP+w9IZWZnU+LWhmg+a5fDi2oTGUYcdg9uexQ4mtCHIHfi4citgqZTgco40Yqr4lIlo4V2b2Dyauk0eYFNebHtYlFVgAUj+7Indz3LU0aTWk1WKIjHmmMCIoTkyYp/k7kUG7moeEYKSitwQIi6Gjn+nyzM+PtoA3685ixzv0R7i5rjQi0YE0lf1oeie3bDiNHncmzosRM6SFiPzSvp6h/32xQuZsjcypmwsPSDtTPYcs0+YN/8BRi2/IcrxSpnWEXAMPLEXSDFTAQAM6Dl9zR0tXoybnlrZIwMLlMi1Kcgo5OytwU=",
        "Expiration": "2016-03-15T00:05:07Z",
        "AccessKeyId": "ASIAJEXAMPLEXEG2JICEA"
    }
}
```
El resultado del comando contiene una clave de acceso, una clave secreta y un token de sesión que puede utilizar para autenticarse con AWS.  
Para el uso de la CLI de AWS, puede configurar un perfil con nombre asociado a un rol. Cuando utilice el perfil, la CLI de AWS llamará a assume-role y administrará las credenciales por usted. Para obtener más información, consulte [Uso de un rol de IAM en la CLI de AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html) en la *Guía del usuario de la CLI de AWS*.  
+  Para obtener información sobre la API, consulte [AssumeRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html) en la *Referencia de comandos de la AWS CLI*. 

------
#### [ Java ]

**SDK para Java 2.x**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2/example_code/sts#code-examples). 

```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.sts.StsClient;
import software.amazon.awssdk.services.sts.model.AssumeRoleRequest;
import software.amazon.awssdk.services.sts.model.StsException;
import software.amazon.awssdk.services.sts.model.AssumeRoleResponse;
import software.amazon.awssdk.services.sts.model.Credentials;
import java.time.Instant;
import java.time.ZoneId;
import java.time.format.DateTimeFormatter;
import java.time.format.FormatStyle;
import java.util.Locale;

/**
 * To make this code example work, create a Role that you want to assume.
 * Then define a Trust Relationship in the AWS Console. You can use this as an
 * example:
 *
 * {
 * "Version":"2012-10-17",		 	 	 
 * "Statement": [
 * {
 * "Effect": "Allow",
 * "Principal": {
 * "AWS": "<Specify the ARN of your IAM user you are using in this code example>"
 * },
 * "Action": "sts:AssumeRole"
 * }
 * ]
 * }
 *
 * For more information, see "Editing the Trust Relationship for an Existing
 * Role" in the AWS Directory Service guide.
 *
 * Also, set up your development environment, including your credentials.
 *
 * For information, see this documentation topic:
 *
 * https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/get-started.html
 */
public class AssumeRole {
    public static void main(String[] args) {
        final String usage = """

                Usage:
                    <roleArn> <roleSessionName>\s

                Where:
                    roleArn - The Amazon Resource Name (ARN) of the role to assume (for example, arn:aws:iam::000008047983:role/s3role).\s
                    roleSessionName - An identifier for the assumed role session (for example, mysession).\s
                """;

        if (args.length != 2) {
            System.out.println(usage);
            System.exit(1);
        }

        String roleArn = args[0];
        String roleSessionName = args[1];
        Region region = Region.US_EAST_1;
        StsClient stsClient = StsClient.builder()
                .region(region)
                .build();

        assumeGivenRole(stsClient, roleArn, roleSessionName);
        stsClient.close();
    }

    public static void assumeGivenRole(StsClient stsClient, String roleArn, String roleSessionName) {
        try {
            AssumeRoleRequest roleRequest = AssumeRoleRequest.builder()
                    .roleArn(roleArn)
                    .roleSessionName(roleSessionName)
                    .build();

            AssumeRoleResponse roleResponse = stsClient.assumeRole(roleRequest);
            Credentials myCreds = roleResponse.credentials();

            // Display the time when the temp creds expire.
            Instant exTime = myCreds.expiration();
            String tokenInfo = myCreds.sessionToken();

            // Convert the Instant to readable date.
            DateTimeFormatter formatter = DateTimeFormatter.ofLocalizedDateTime(FormatStyle.SHORT)
                    .withLocale(Locale.US)
                    .withZone(ZoneId.systemDefault());

            formatter.format(exTime);
            System.out.println("The token " + tokenInfo + "  expires on " + exTime);

        } catch (StsException e) {
            System.err.println(e.getMessage());
            System.exit(1);
        }
    }
}
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.aws.amazon.com/goto/SdkForJavaV2/sts-2011-06-15/AssumeRole) en la *Referencia de la API de AWS SDK for Java 2.x*. 

------
#### [ JavaScript ]

**SDK para JavaScript (v3)**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3/example_code/sts#code-examples). 
Cree el cliente.  

```
import { STSClient } from "@aws-sdk/client-sts";
// Set the AWS Region.
const REGION = "us-east-1";
// Create an AWS STS service client object.
export const client = new STSClient({ region: REGION });
```
Asuma el rol de IAM.  

```
import { AssumeRoleCommand } from "@aws-sdk/client-sts";

import { client } from "../libs/client.js";

export const main = async () => {
  try {
    // Returns a set of temporary security credentials that you can use to
    // access Amazon Web Services resources that you might not normally
    // have access to.
    const command = new AssumeRoleCommand({
      // The Amazon Resource Name (ARN) of the role to assume.
      RoleArn: "ROLE_ARN",
      // An identifier for the assumed role session.
      RoleSessionName: "session1",
      // The duration, in seconds, of the role session. The value specified
      // can range from 900 seconds (15 minutes) up to the maximum session
      // duration set for the role.
      DurationSeconds: 900,
    });
    const response = await client.send(command);
    console.log(response);
  } catch (err) {
    console.error(err);
  }
};
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.aws.amazon.com/AWSJavaScriptSDK/v3/latest/client/sts/command/AssumeRoleCommand) en la *Referencia de la API de AWS SDK para JavaScript*. 

**SDK para JavaScript (v2)**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascript/example_code/sts#code-examples). 

```
// Load the AWS SDK for Node.js
const AWS = require("aws-sdk");
// Set the region
AWS.config.update({ region: "REGION" });

var roleToAssume = {
  RoleArn: "arn:aws:iam::123456789012:role/RoleName",
  RoleSessionName: "session1",
  DurationSeconds: 900,
};
var roleCreds;

// Create the STS service object
var sts = new AWS.STS({ apiVersion: "2011-06-15" });

//Assume Role
sts.assumeRole(roleToAssume, function (err, data) {
  if (err) console.log(err, err.stack);
  else {
    roleCreds = {
      accessKeyId: data.Credentials.AccessKeyId,
      secretAccessKey: data.Credentials.SecretAccessKey,
      sessionToken: data.Credentials.SessionToken,
    };
    stsGetCallerIdentity(roleCreds);
  }
});

//Get Arn of current identity
function stsGetCallerIdentity(creds) {
  var stsParams = { credentials: creds };
  // Create STS service object
  var sts = new AWS.STS(stsParams);

  sts.getCallerIdentity({}, function (err, data) {
    if (err) {
      console.log(err, err.stack);
    } else {
      console.log(data.Arn);
    }
  });
}
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/sts-2011-06-15/AssumeRole) en la *Referencia de la API de AWS SDK para JavaScript*. 

------
#### [ PowerShell ]

**Herramientas para PowerShell V4**  
**Ejemplo 1: devuelve un conjunto de credenciales temporales (clave de acceso, clave secreta y token de sesión) que se pueden usar durante una hora para acceder a recursos de AWS a los que el usuario solicitante normalmente no tendría acceso. Las credenciales devueltas tienen los permisos permitidos por la política de acceso del rol que se está asumiendo y por la política proporcionada (no se puede usar la política proporcionada para conceder permisos superiores a los definidos en la política de acceso del rol que se está asumiendo).**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Ejemplo 2: devuelve un conjunto de credenciales temporales, válidas durante una hora, que tienen los mismos permisos que se definen en la política de acceso del rol que se está asumiendo.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Ejemplo 3: devuelve un conjunto de credenciales temporales que proporcionan el número de serie y el token generado a partir de una MFA asociada a las credenciales de usuario utilizadas para ejecutar el cmdlet.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Ejemplo 4: devuelve un conjunto de credenciales temporales que han asumido un rol definido en la cuenta de un cliente. Para cada rol que el tercero pueda asumir, la cuenta del cliente debe crear un rol con un identificador que se debe pasar en el parámetro -ExternalId cada vez que se asuma el rol.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.aws.amazon.com/powershell/v4/reference) en la *Referencia de Cmdlet de las Herramientas de AWS para PowerShell (V4)*. 

**Herramientas para PowerShell V5**  
**Ejemplo 1: devuelve un conjunto de credenciales temporales (clave de acceso, clave secreta y token de sesión) que se pueden usar durante una hora para acceder a recursos de AWS a los que el usuario solicitante normalmente no tendría acceso. Las credenciales devueltas tienen los permisos permitidos por la política de acceso del rol que se está asumiendo y por la política proporcionada (no se puede usar la política proporcionada para conceder permisos superiores a los definidos en la política de acceso del rol que se está asumiendo).**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Ejemplo 2: devuelve un conjunto de credenciales temporales, válidas durante una hora, que tienen los mismos permisos que se definen en la política de acceso del rol que se está asumiendo.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Ejemplo 3: devuelve un conjunto de credenciales temporales que proporcionan el número de serie y el token generado a partir de una MFA asociada a las credenciales de usuario utilizadas para ejecutar el cmdlet.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Ejemplo 4: devuelve un conjunto de credenciales temporales que han asumido un rol definido en la cuenta de un cliente. Para cada rol que el tercero pueda asumir, la cuenta del cliente debe crear un rol con un identificador que se debe pasar en el parámetro -ExternalId cada vez que se asuma el rol.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.aws.amazon.com/powershell/v5/reference) en la *Referencia de Cmdlet de las Herramientas de AWS para PowerShell (V5)*. 

------
#### [ Python ]

**SDK para Python (Boto3)**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples). 
Asuma un rol de IAM que requiera un token MFA y utilice credenciales temporales para enumerar los buckets de Amazon S3 para la cuenta.  

```
def list_buckets_from_assumed_role_with_mfa(
    assume_role_arn, session_name, mfa_serial_number, mfa_totp, sts_client
):
    """
    Assumes a role from another account and uses the temporary credentials from
    that role to list the Amazon S3 buckets that are owned by the other account.
    Requires an MFA device serial number and token.

    The assumed role must grant permission to list the buckets in the other account.

    :param assume_role_arn: The Amazon Resource Name (ARN) of the role that
                            grants access to list the other account's buckets.
    :param session_name: The name of the STS session.
    :param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
                              device, this is an ARN.
    :param mfa_totp: A time-based, one-time password issued by the MFA device.
    :param sts_client: A Boto3 STS instance that has permission to assume the role.
    """
    response = sts_client.assume_role(
        RoleArn=assume_role_arn,
        RoleSessionName=session_name,
        SerialNumber=mfa_serial_number,
        TokenCode=mfa_totp,
    )
    temp_credentials = response["Credentials"]
    print(f"Assumed role {assume_role_arn} and got temporary credentials.")

    s3_resource = boto3.resource(
        "s3",
        aws_access_key_id=temp_credentials["AccessKeyId"],
        aws_secret_access_key=temp_credentials["SecretAccessKey"],
        aws_session_token=temp_credentials["SessionToken"],
    )

    print(f"Listing buckets for the assumed role's account:")
    for bucket in s3_resource.buckets.all():
        print(bucket.name)
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/AssumeRole) en la *Referencia de la API del AWS SDK para Python (Boto3)*. 

------
#### [ Ruby ]

**SDK para Ruby**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby/example_code/iam#code-examples). 

```
  # Creates an AWS Security Token Service (AWS STS) client with specified credentials.
  # This is separated into a factory function so that it can be mocked for unit testing.
  #
  # @param key_id [String] The ID of the access key used by the STS client.
  # @param key_secret [String] The secret part of the access key used by the STS client.
  def create_sts_client(key_id, key_secret)
    Aws::STS::Client.new(access_key_id: key_id, secret_access_key: key_secret)
  end

  # Gets temporary credentials that can be used to assume a role.
  #
  # @param role_arn [String] The ARN of the role that is assumed when these credentials
  #                          are used.
  # @param sts_client [AWS::STS::Client] An AWS STS client.
  # @return [Aws::AssumeRoleCredentials] The credentials that can be used to assume the role.
  def assume_role(role_arn, sts_client)
    credentials = Aws::AssumeRoleCredentials.new(
      client: sts_client,
      role_arn: role_arn,
      role_session_name: 'create-use-assume-role-scenario'
    )
    @logger.info("Assumed role '#{role_arn}', got temporary credentials.")
    credentials
  end
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.aws.amazon.com/goto/SdkForRubyV3/sts-2011-06-15/AssumeRole) en la *Referencia de la API de AWS SDK para Ruby*. 

------
#### [ Rust ]

**SDK para Rust**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/rustv1/examples/sts/#code-examples). 

```
async fn assume_role(config: &SdkConfig, role_name: String, session_name: Option<String>) {
    let provider = aws_config::sts::AssumeRoleProvider::builder(role_name)
        .session_name(session_name.unwrap_or("rust_sdk_example_session".into()))
        .configure(config)
        .build()
        .await;

    let local_config = aws_config::from_env()
        .credentials_provider(provider)
        .load()
        .await;
    let client = Client::new(&local_config);
    let req = client.get_caller_identity();
    let resp = req.send().await;
    match resp {
        Ok(e) => {
            println!("UserID :               {}", e.user_id().unwrap_or_default());
            println!("Account:               {}", e.account().unwrap_or_default());
            println!("Arn    :               {}", e.arn().unwrap_or_default());
        }
        Err(e) => println!("{:?}", e),
    }
}
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://docs.rs/aws-sdk-sts/latest/aws_sdk_sts/client/struct.Client.html#method.assume_role) en la *Referencia de la API de AWS SDK para Rust*. 

------
#### [ Swift ]

**SDK para Swift**  
 Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el [Repositorio de ejemplos de código de AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/swift/example_code/iam#code-examples). 

```
import AWSSTS

    public func assumeRole(role: IAMClientTypes.Role, sessionName: String)
        async throws -> STSClientTypes.Credentials
    {
        let input = AssumeRoleInput(
            roleArn: role.arn,
            roleSessionName: sessionName
        )
        do {
            let output = try await stsClient.assumeRole(input: input)

            guard let credentials = output.credentials else {
                throw ServiceHandlerError.authError
            }

            return credentials
        } catch {
            print("Error assuming role: ", dump(error))
            throw error
        }
    }
```
+  Para obtener información sobre la API, consulte [AssumeRole](https://sdk.amazonaws.com/swift/api/awssts/latest/documentation/awssts/stsclient/assumerole(input:)) en la *Referencia de la API de AWS SDK para Swift*. 

------

# Credenciales específicas del servicio para los usuarios de IAM
<a name="id_credentials_service-specific-creds"></a>

Las credenciales específicas del servicio son mecanismos de autenticación especializados que se han diseñados para servicios de AWS específicos. Estas credenciales proporcionan una autenticación simplificada en comparación con las credenciales de AWS estándar, y se adaptan a los requisitos de autenticación de los servicios de AWS individuales. A diferencia de las claves de acceso, que se pueden usar en varios servicios de AWS, las credenciales específicas del servicio están diseñadas para usarse únicamente con el servicio para el que se crearon. Este enfoque específico mejora la seguridad al limitar el alcance de las credenciales.

Las credenciales específicas del servicio suelen consistir en un nombre de usuario y una contraseña o en claves de API especializadas que se formatean de acuerdo con los requisitos del servicio específico. Cuando se crean credenciales específicas de un servicio, se activan de forma predeterminada y se pueden usar inmediatamente. Puede tener un máximo de dos conjuntos de credenciales específicas del servicio para cada servicio compatible por usuario de IAM. Este límite permite mantener un conjunto activo y, al mismo tiempo, cambiar a un conjunto nuevo cuando sea necesario. Actualmente, AWS admite credenciales específicas del servicio para los siguientes servicios:

## Cuándo usar credenciales específicas del servicio
<a name="id_credentials_service-specific-creds-usecase"></a>

Las credenciales específicas del servicio están diseñadas para ser compatibles con bibliotecas, SDK, herramientas o aplicaciones de terceros que no son compatibles nativamente con las credenciales de AWS, los SDK de AWS o las API de AWS. Dichos casos de uso incluyen la migración a servicios de AWS desde una infraestructura autohospedada o de servicios alojados por otros proveedores.

Al empezar desde cero, recomendamos, en lo posible, utilizar credenciales temporales de AWS, como las que entrega un rol de IAM, para autenticarse en un servicio de AWS mediante un SDK de AWS o una biblioteca que admita credenciales temporales de AWS.

## Rotación de credenciales específicas del servicio
<a name="id_credentials_service-specific-creds-rotation"></a>

Como práctica recomendada de seguridad, haga rotación de las credenciales específicas del servicio con regularidad. Para hacer una rotación de las credenciales sin interrumpir sus aplicaciones:

1. Cree un segundo conjunto de credenciales específicas de un servicio para un usuario de IAM.

1. Actualice todas las aplicaciones para que usen las nuevas credenciales y comprobar que funcionan correctamente.

1. Cambie el estado de las credenciales originales a "Inactivo".

1. Compruebe que todas las aplicaciones siguen funcionando correctamente.

1. Elimine las credenciales inactivas específicas del servicio cuando esté seguro de que ya no son necesarias.

## Monitoreo de las credenciales específicas del servicio
<a name="id_credentials_service-specific-creds-monitoring"></a>

Puede usar AWS CloudTrail para monitorear el uso de credenciales específicas del servicio en su cuenta de AWS. Para ver los eventos de CloudTrail relacionados con el uso de credenciales de un servicio específico, revise los registros de CloudTrail para ver los eventos del servicio en el que se utilizan las credenciales. Para obtener más información, consulte [Registro de llamadas a IAM y a la API de AWS STS con AWS CloudTrail](cloudtrail-integration.md).

Para mayor seguridad, piense en la posibilidad de configurar alarmas de CloudWatch para que notifiquen patrones de uso de credenciales específicos que puedan indicar un acceso no autorizado u otros problemas de seguridad. Para obtener más información, consulte [Monitoreo de archivos de registro de CloudTrail con Registros de Amazon CloudWatch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html) en la *Guía del usuario de AWS CloudTrail*.

En los siguientes temas se proporciona información acerca de las credenciales específicas del servicio.

**Topics**
+ [Cuándo usar credenciales específicas del servicio](#id_credentials_service-specific-creds-usecase)
+ [Rotación de credenciales específicas del servicio](#id_credentials_service-specific-creds-rotation)
+ [Monitoreo de las credenciales específicas del servicio](#id_credentials_service-specific-creds-monitoring)
+ [Claves de API para Amazon Bedrock y Registros de Amazon CloudWatch](id_credentials_bedrock_cloudwatchlogs.md)
+ [Uso de IAM con Amazon Keyspaces (para Apache Cassandra)](id_credentials_keyspaces.md)

# Claves de API para Amazon Bedrock y Registros de Amazon CloudWatch
<a name="id_credentials_bedrock_cloudwatchlogs"></a>

**nota**  
Las claves de API de Registros de Amazon CloudWatch están disponibles actualmente en versión preliminar y estarán disponibles de forma general en las próximas semanas. Las claves de API para Registros de Amazon CloudWatch son muy similares a las claves de API a largo plazo de Amazon Bedrock descritas en esta página. Para obtener más información sobre las claves de API a largo plazo de Registros de Amazon CloudWatch, consulte [Envío de registros a Registros de Amazon CloudWatch mediante el punto de conexión HLC](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HLC_Endpoint.html).

Amazon Bedrock es un servicio totalmente administrado que ofrece modelos fundacionales de empresas líderes en IA y de Amazon. Puede acceder a Amazon Bedrock a través de la Consola de administración de AWS y mediante programación con la AWS CLI o la API de AWS. Al realizar solicitudes programáticas a Amazon Bedrock, puede autenticarse mediante [credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) o claves de API de Amazon Bedrock. Amazon Bedrock admite dos tipos de claves de API:
+ **Claves de API a corto plazo**: una clave de API a corto plazo es una URL prefirmada que utiliza la versión 4 de AWS Signature. Las claves de API a corto plazo comparten los mismos permisos y caducidad que las credenciales de la identidad que genera la clave de API y son válidas durante un máximo de 12 horas o el tiempo restante de la sesión de consola, lo que sea más corto. Puede usar la consola Amazon Bedrock, el paquete `aws-bedrock-token-generator` de Python y los paquetes de otros lenguajes de programación a fin de generar claves de API a corto plazo. Para obtener más información, consulte [Generar claves de API de Amazon Bedrock para acceder fácilmente a la API de Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys.html) en la *Guía del usuario de Amazon Bedrock*.
+ **Claves de API a largo plazo**: las claves de API a largo plazo se asocian a un usuario de IAM y se generan con [credenciales específicas del servicio](id_credentials_service-specific-creds.md) de IAM. Estas credenciales están diseñadas para usarse únicamente con Amazon Bedrock, lo que mejora la seguridad al limitar el alcance de las credenciales. Puede establecer una fecha de caducidad para el momento en que caduque la clave de API a largo plazo. Puede usar la consola de IAM o Amazon Bedrock, la CLI de AWS o la API de AWS para generar claves de API a largo plazo.

Un usuario de IAM puede tener hasta dos claves de API a largo plazo para Amazon Bedrock, que ayudan a implementar prácticas de rotación de claves seguras. 

Al generar una clave de API a largo plazo, la política administrada de AWS [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/bedrock/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonBedrockLimitedAccess) se adjunta automáticamente al usuario de IAM. Esta política otorga acceso a las principales operaciones de la API de Amazon Bedrock. Si necesita acceso adicional a Amazon Bedrock, puede modificar los permisos del usuario de IAM. Para obtener más información acerca de la modificación de permisos, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md). Para obtener más información sobre cómo usar una clave de Amazon Bedrock, consulte [Use an Amazon Bedrock API key](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) en la *Guía del usuario de Amazon Bedrock*.

**nota**  
Las claves de API a largo plazo presentan un mayor riesgo de seguridad en comparación con las claves de API a corto plazo. Cuando sea posible, le recomendamos que utilice claves de API a corto plazo o credenciales de seguridad temporales. Si utiliza claves de API a largo plazo, recomendamos la implementación de prácticas de rotación regular de claves.

## Requisitos previos
<a name="id_credentials_bedrock_prerequisites"></a>

Antes de que pueda generar una clave de API a largo plazo de Amazon Bedrock desde la consola de IAM, debe cumplir estos requisitos previos:
+ Un usuario de IAM para asociar con la clave de API a largo plazo. Para obtener instrucciones sobre la creación de un usuario de IAM, consulte [Creación de un usuario de IAM en su Cuenta de AWS](id_users_create.md).
+ Asegúrese de tener los siguientes permisos de política de IAM para administrar las credenciales específicas del servicio para un usuario de IAM. La política de ejemplo otorga permiso para crear, enumerar, actualizar, eliminar y restablecer las credenciales específicas del servicio. Reemplace el valor `username` del elemento Resource con el nombre del usuario de IAM para el que generará las claves de API de Amazon Bedrock:

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "ManageBedrockServiceSpecificCredentials",
              "Effect": "Allow",
              "Action": [
                  "iam:CreateServiceSpecificCredential",
                  "iam:ListServiceSpecificCredentials",
                  "iam:UpdateServiceSpecificCredential",
                  "iam:DeleteServiceSpecificCredential",
                  "iam:ResetServiceSpecificCredential"
              ],
              "Resource": "arn:aws:iam::*:user/username"
          }
      ]
  }
  ```

------

## Generación de una clave de API a largo plazo para Amazon Bedrock (consola)
<a name="id_credentials_bedrock_console_create"></a>

**Para generar una clave de API a largo plazo para Amazon Bedrock (consola)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola de IAM, elija **Usuarios**.

1. Seleccione el usuario de IAM para el que desea generar las claves de API a largo plazo de Amazon Bedrock.

1. Seleccione la pestaña de **credenciales de seguridad**.

1. En la sección **Claves de API para Amazon Bedrock**, seleccione **Generar clave de API**.

1. Para **Expiración de la clave de API**, realice una de las siguientes acciones:
   + Seleccione una duración de la expiración de la clave de API de **1**, **5** , **30**, **90** o **365** días.
   + Elija **Duración personalizada** para especificar una fecha de expiración personalizada de la clave de API.
   + Seleccione **Nunca caduca** (no se recomienda)

1. Seleccione **Generar clave de API**.

1. Copie o descargue su clave de API. Esta es la única vez que puede ver el valor de la clave de API.
**importante**  
Guarde su clave de API de forma segura. Después de cerrar el cuadro de diálogo, no podrá volver a recuperar esta clave de API. Si pierde u olvida la clave de acceso secreta, no podrá recuperarla. En su lugar, cree una nueva clave de acceso e inactive la antigua.

## Generación de una clave de API a largo plazo para Amazon Bedrock (AWS CLI)
<a name="id_credentials_bedrock_cli_create"></a>

Para generar una clave de API a largo plazo para Amazon Bedrock mediante la AWS CLI, siga los pasos a continuación:

1. Cree un usuario de IAM que se utilizará con Amazon Bedrock mediante el comando [create-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html):

   ```
   aws iam create-user \
       --user-name BedrockAPIKey_1
   ```

1. Adjunte la política `AmazonBedrockLimitedAccess` administrada de AWS al usuario de IAM de Amazon Bedrock mediante el comando [attach-user-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-user-policy.html):

   ```
   aws iam attach-user-policy --user-name BedrockAPIKey_1 \
       --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
   ```

1. Genere la clave de API a largo plazo de Amazon Bedrock mediante el comando [create-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html). Para la antigüedad de la credencial, puede especificar un valor entre 1 y 36 600 días. Si no especifica una antigüedad de la credencial, la clave de API no caducará.

   Para generar una clave de API a largo plazo con una expiración de 30 días:

   ```
   aws iam create-service-specific-credential \
       --user-name BedrockAPIKey_1 \
       --service-name bedrock.amazonaws.com \
       --credential-age-days 30
   ```

La `ServiceApiKeyValue` devuelta en la respuesta es su clave de API de Amazon Bedrock a largo plazo. Guarde el valor `ServiceApiKeyValue` de forma segura, ya que no podrá recuperarlo más tarde.

### Enumeración de las claves de API a largo plazo (AWS CLI)
<a name="id_credentials_bedrock_cli_list"></a>

Para enumerar los metadatos de las claves de API a largo plazo de Amazon Bedrock para un usuario específico, utilice el comando [list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html) con el parámetro `--user-name`:

```
aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name BedrockAPIKey_1
```

Para enumerar todos los metadatos de las claves de API a largo plazo de Amazon Bedrock de la cuenta, utilice el comando [list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html) con el parámetro `--all-users`:

```
aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users
```

### Actualización del estado de la clave de API a largo plazo (AWS CLI)
<a name="id_credentials_bedrock_cli_update"></a>

Para actualizar el estado de una clave de API a largo plazo para Amazon Bedrock, utilice el comando [update-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-service-specific-credential.html):

```
aws iam update-service-specific-credential \
    --user-name "BedrockAPIKey_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active
```

## Generación de una clave de API a largo plazo para Amazon Bedrock (API de AWS)
<a name="id_credentials_bedrock_api"></a>

Puede utilizar las siguientes operaciones de API para generar y administrar claves de API a largo plazo para Amazon Bedrock:
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html) 

# Uso de IAM con Amazon Keyspaces (para Apache Cassandra)
<a name="id_credentials_keyspaces"></a>

El servicio Amazon Keyspaces (for Apache Cassandra) es un servicio de bases de datos administrado, de alta disponibilidad y escalable compatible con Apache Cassandra. Puede acceder a Amazon Keyspaces a través de la Consola de administración de AWS o mediante programación. Para acceder a Amazon Keyspaces mediante programación con credenciales específicas del servicio, puede utilizar `cqlsh` o los controladores Cassandra de código abierto. *Las credenciales específicas del servicio* incluyen un nombre de usuario y una contraseña como los que utiliza Cassandra para la autenticación y la administración del acceso. Puede tener un máximo de dos conjuntos de credenciales específicas del servicio para cada servicio compatible por usuario.

Para acceder a Amazon Keyspaces mediante programación con claves de acceso de AWS, puede utilizar el SDK de AWS, la AWS Command Line Interface (AWS CLI) o los controladores de código abierto de Cassandra con el plugin SigV4. Para obtener más información, consulte [Crear y configurar credenciales de AWS para Amazon Keyspaces](https://docs.aws.amazon.com//keyspaces/latest/devguide/access.credentials.html) en la *Guía para desarrolladores de Amazon Keyspaces (para Apache Cassandra)*.

**nota**  
Si tiene previsto interactuar con Amazon Keyspaces únicamente a través de la consola, no es necesario que genere credenciales específicas del servicio. Para obtener más información, consulte [Accessing Amazon Keyspaces using the console](https://docs.aws.amazon.com/keyspaces/latest/devguide/console_keyspaces.html) (Acceso a Amazon Keyspaces mediante la consola) en la *Amazon Keyspaces (for Apache Cassandra) Developer Guide* (Guía para desarrolladores de Amazon Keyspaces [para Apache Cassandra]).

Para obtener más información sobre los permisos necesarios para acceder a Amazon Keyspaces, consulte [ejemplos de políticas basadas en identidad de Amazon Keyspaces (for Apache Cassandra)](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html#security_iam_id-based-policy-examples-console) en la *Guía para desarrolladores de Amazon Keyspaces (for Apache Cassandra)*.

## Generar credenciales de Amazon Keyspaces (consola)
<a name="keyspaces_credentials_console"></a>

Puede utilizar la Consola de administración de AWS para generar credenciales de Amazon Keyspaces (for Apache Cassandra) para los usuarios de IAM.

**Para generar credenciales específicas del servicio de Amazon Keyspaces (consola)**

1. Inicie sesión en Consola de administración de AWS Management Console y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Users (Usuarios)** y, a continuación, el nombre del usuario que requiere las credenciales.

1. En la pestaña **Credenciales de seguridad** debajo de **Credenciales para el servicio Amazon Keyspaces (for Apache Cassandra)**, seleccione **Generar credenciales**.

1. Las credenciales específicas del servicio ya están disponibles. Esta es la única vez que se puede ver o descargar la contraseña. No puede recuperarla más adelante. Sin embargo, puede restablecerla en cualquier momento. Guarde el usuario y la contraseña en una ubicación segura, ya que los necesitará más adelante.

## Generación de credenciales de Amazon Keyspaces (AWS CLI)
<a name="keyspaces_credentials_cli"></a>

Puede utilizar la AWS CLI para generar credenciales de Amazon Keyspaces (for Apache Cassandra) para los usuarios de IAM.

**Para generar credenciales específicas del servicio de Amazon Keyspaces (AWS CLI)**
+ Para ello, utilice el siguiente comando:
  + [aws iam create-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-specific-credential.html)

## Generación de credenciales de Amazon Keyspaces (API de AWS)
<a name="keyspaces_credentials_api"></a>

Puede utilizar la API de AWS para generar credenciales de Amazon Keyspaces (for Apache Cassandra) para los usuarios de IAM.

**Para generar credenciales específicas del servicio de Amazon Keyspaces (API de AWS)**
+ Complete la siguiente operación:
  + [CreateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html) 

# Búsqueda de credenciales AWS no utilizadas
<a name="id_credentials_finding-unused"></a>

Para aumentar la seguridad de su cuenta de Cuenta de AWS, elimine las credenciales de usuario de IAM (es decir, contraseñas y claves de acceso) que no sean necesarias. Por ejemplo, cuando los usuarios dejen su organización o ya no necesiten obtener acceso a AWS, busque las credenciales que utilizaron y asegúrese de que ya no sean operativas. Lo ideal es eliminar las credenciales si ya no son necesarias. Siempre puede volver a crearlas más tarde, en caso de que surja la necesidad. Como mínimo, debe cambiar la contraseña o desactivar las claves de acceso para que los antiguos usuarios ya no puedan obtener acceso.

Por supuesto, la definición de *sin utilizar* puede variar y normalmente significa una credencial que no se ha utilizado en un periodo de tiempo especificado.

## Búsqueda de contraseñas no utilizadas
<a name="finding-unused-passwords"></a>

Puede utilizar la Consola de administración de AWS para ver la información de uso de la contraseña por parte de sus usuarios. Si tiene una gran cantidad de usuarios, puede utilizar la consola para descargar un informe de credenciales que le indique cuándo cada usuario utilizó por última vez su contraseña de la consola. También puede obtener acceso a la información desde la AWS CLI o la API de IAM.

**Para encontrar contraseñas no utilizadas (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Users (Usuarios)**.

1. Si es necesario, añada la columna **Console last sign-in (Último inicio de sesión de la consola)** a la tabla de usuarios:

   1. Encima de la tabla, en el extremo derecho, elija el icono de configuración (![\[Settings icon\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. En **Seleccionar columnas visibles**, seleccione **Último inicio de sesión de la consola**.

   1. Elija **Confirmar** para volver a la lista de usuarios.

1. La columna **Console last sign-in (Último inicio de sesión de la consola)** muestra la fecha de la última vez que el usuario inició sesión en AWS a través de la consola. Puede utilizar esta información para encontrar usuarios que tengan contraseñas y que no hayan iniciado sesión en un periodo de tiempo superior al especificado. La columna muestra **Never (Nunca)** para los usuarios que tengan contraseñas y que nunca hayan iniciado sesión. **None (Ninguna)** indica los usuarios sin contraseñas. Las contraseñas que no se hayan utilizado recientemente probablemente deban eliminarse.
**importante**  
Debido a un problema de servicio, los datos de la última vez que se utilizó la contraseña no incluyen el uso de la contraseña desde el 3 de mayo de 2018 22:50 PDT al 23 de mayo de 2018 14:08 PDT. Esto afecta a las fechas del [último inicio de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) mostradas en la consola de IAM y las fechas de la última vez que se utilizó la contraseña en el [Informe de credenciales de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html) y devueltas mediante la [Operación de la API GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html). Si los usuarios han iniciado sesión durante el tiempo afectado, la fecha de la última vez que se utilizó la contraseña que se devuelve es la fecha en que el usuario inició sesión antes del 3 de mayo de 2018. Para los usuarios que iniciaron sesión después del 23 de mayo de 2018 14:08 PDT, la fecha devuelta de la última vez que se utilizó la contraseña es precisa.  
Si utiliza la información de la última vez que se utilizó la contraseña para identificar las credenciales de no utilizados para su eliminación, como, por ejemplo, eliminar los usuarios que no iniciaron sesión en AWS en los últimos 90 días, recomendamos ajustar la ventana de evaluación para incluir fechas después del 23 de mayo de 2018. De forma alternativa, si los usuarios utilizan claves de acceso para acceder a AWS mediante programación puede hacer referencia a la información de la última vez que se utilizó la clave de acceso ya que es precisa para todas las fechas. 

**Para encontrar contraseñas no utilizadas descargando el informe de credenciales (consola)**

1. Inicie sesión en Consola de administración de AWS Management Console y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En panel de navegación, elija **Credential report (Informe de credenciales)**.

1. Seleccione **Download Report (Descargar informe)** para descargar un archivo de valores separados por comas (CSV) denominado `status_reports_<date>T<time>.csv`. La quinta columna es la columna `password_last_used` con las fechas o uno de los títulos siguientes:
   + **N/A** - Usuarios que no tienen una contraseña asignada en absoluto.
   + **no\$1information (sin\$1información)** - Usuarios que no han utilizado la contraseña desde que IAM comenzó a hacer un seguimiento del tiempo de la contraseña, el 20 de octubre de 2014.

**Para encontrar contraseñas no utilizadas (AWS CLI)**  
Ejecute el siguiente comando para encontrar contraseñas no utilizadas:
+ `[aws iam list-users](https://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html)` devuelve una lista de usuarios, cada uno con un valor `PasswordLastUsed`. Si el valor no aparece significa que el usuario no tiene contraseña o no la ha utilizado desde que IAM comenzó a hacer un seguimiento de la antigüedad de las contraseñas, el 20 de octubre de 2014.

**Para encontrar contraseñas no utilizadas (API de AWS)**  
Llame a la siguiente operación para encontrar contraseñas no utilizadas:
+  ` [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)` devuelve una colección de usuarios; cada uno con un valor `<PasswordLastUsed>`. Si el valor no aparece significa que el usuario no tiene contraseña o no la ha utilizado desde que IAM comenzó a hacer un seguimiento de la antigüedad de las contraseñas, el 20 de octubre de 2014.

Para obtener más información sobre los comandos de descarga del informe de credenciales, consulte [Obtención de informes de credenciales (AWS CLI)](id_credentials_getting-report.md#getting-credential-reports-cliapi).

## Búsqueda de claves de acceso no utilizadas
<a name="finding-unused-access-keys"></a>

Puede utilizar la Consola de administración de AWS para ver la información de uso de la clave de acceso de sus usuarios. Si tiene una gran cantidad de usuarios, puede utilizar la consola para descargar un informe de credenciales para saber cuándo cada usuario utilizó por última vez sus claves de acceso de la consola. También puede obtener acceso a la información desde la AWS CLI o la API de IAM.

**Para encontrar claves de acceso no utilizadas (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Users (Usuarios)**.

1. Si es necesario, añada la columna **Access key last used (Último uso de la clave de acceso)** a la tabla de usuarios:

   1. Encima de la tabla, en el extremo derecho, elija el icono de configuración (![\[Settings icon\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. En **Seleccionar columnas visibles**, seleccione **Último uso de la clave de acceso**.

   1. Elija **Confirmar** para volver a la lista de usuarios.

1. La columna **Access key last used (Último uso de la clave de acceso)** muestra el número de días que ha pasado desde que el usuario obtuvo acceso por última vez a AWS mediante programación. Puede utilizar esta información para encontrar usuarios con claves de acceso que no se han usado por más días que un periodo de tiempo especificado. La columna muestra **–** cuando los usuarios no tienen claves de acceso. Las claves de acceso que no se han utilizado recientemente probablemente deban eliminarse.

**Para encontrar claves de acceso no utilizadas descargando el informe de credenciales (consola)**

1. Inicie sesión en Consola de administración de AWS Management Console y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En panel de navegación, elija **Credential Report (Informe de credenciales)**.

1. Seleccione **Download Report (Descargar informe)** para descargar un archivo de valores separados por comas (CSV) denominado `status_reports_<date>T<time>.csv`. Las columnas 11 a 13 contienen la información sobre la fecha de última utilización, la región y el servicio de la clave de acceso 1. Las columnas 16 a 18 contienen la misma información sobre la clave de acceso 2. El valor es **N/A** si el usuario no tiene una clave de acceso o no ha utilizado la clave de acceso desde que IAM comenzó a realizar el seguimiento de la antigüedad de la clave de acceso, el 22 de abril de 2015.

**Para encontrar claves de acceso no utilizadas (AWS CLI)**  
Ejecute los siguientes comandos para encontrar claves de acceso no utilizadas:
+ `[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)` devuelve información sobre las claves de acceso de un usuario, incluido el `AccessKeyID`.
+ `[aws iam get-access-key-last-used](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)` toma un ID de clave de acceso y devuelve una salida que incluye la `LastUsedDate`, la `Region` en la que se utilizó la clave de acceso por última vez y el `ServiceName` del último servicio solicitado. Si `LastUsedDate` no existe, la clave de acceso no se ha utilizado desde que IAM comenzó a realizar el seguimiento de la clave de acceso, el 22 de abril de 2015.

**Para encontrar claves de acceso no utilizadas (API de AWS)**  
Llame a las siguientes operaciones para encontrar claves de acceso no utilizadas:
+ `[ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)` devuelve una lista de valores `AccessKeyID` de las claves de acceso que están asociadas al usuario especificado. 
+ `[GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)` toma un ID de clave de acceso y devuelve una colección de valores. Se incluyen la `LastUsedDate`, la `Region` en la que se utilizó por última vez la clave de acceso y el `ServiceName` del último servicio solicitado. Si el valor no aparece, el usuario no tiene una clave de acceso o no la ha utilizado desde que IAM comenzó a realizar el seguimiento de la antigüedad de la clave de acceso, el 22 de abril de 2015.

Para obtener más información sobre los comandos de descarga del informe de credenciales, consulte [Obtención de informes de credenciales (AWS CLI)](id_credentials_getting-report.md#getting-credential-reports-cliapi).

# Generación de informes de credenciales para su Cuenta de AWS
<a name="id_credentials_getting-report"></a>

Puede generar y descargar un *informe de credenciales* que contenga una lista de todos los usuarios de su cuenta y el estado de sus credenciales, tales como contraseñas, claves de acceso y dispositivos MFA. Puede obtener un informe de credenciales de la Consola de administración de AWS, los [SDK de AWS](https://aws.amazon.com/tools) y las [herramientas de línea de comandos](https://aws.amazon.com/tools/#Command_Line_Tools) o la API de IAM. 

**nota**  
El informe de credenciales de IAM solo incluye las siguientes credenciales administradas por IAM: contraseñas, las dos primeras claves de acceso por usuario, dispositivos de MFA y certificados de firma X.509. El informe no incluye credenciales específicas del servicio (como las contraseñas de CodeCommit o las claves de la API a largo plazo de Amazon Bedrock o Registros de Amazon CloudWatch) ni ninguna otra clave de acceso de usuario aparte de las dos primeras. Para obtener una visibilidad completa de las credenciales, use las API [ListServiceSpecificCredentials](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html) y [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html).

Puede utilizar los informes de credenciales para fines de auditoría y conformidad. Puede utilizar el informe para auditar los efectos de los requisitos del ciclo de vida de la credencial, como las actualizaciones de contraseñas y claves de acceso. Puede proporcionar el informe a un auditor externo o conceder permisos a un auditor, para que pueda descargar el informe directamente.

Puede generar un informe de credenciales cada cuatro horas. Al solicitar un informe, IAM comprueba primero si se ha generado algún informe para la cuenta de Cuenta de AWS en las últimas cuatro horas. En caso afirmativo, se descarga el informe más reciente. Si el informe más reciente de la cuenta es de hace más de cuatro horas, o si no hay informes anteriores de la cuenta, IAM genera y descarga un nuevo informe. 

**Topics**
+ [Permisos necesarios](#id_credentials_required_permissions)
+ [Descripción del formato del informe](#id_credentials_understanding_the_report_format)
+ [Obtención de informes de credenciales (consola)](#getting-credential-reports-console)
+ [Obtención de informes de credenciales (AWS CLI)](#getting-credential-reports-cliapi)
+ [Obtención de informes de credenciales (API de AWS)](#getting-credential-reports-api)

## Permisos necesarios
<a name="id_credentials_required_permissions"></a>

Se necesitan los siguientes permisos para crear y descargar informes:
+ Para crear un informe de credenciales: `iam:GenerateCredentialReport` 
+ Para descargar el informe: `iam:GetCredentialReport`

## Descripción del formato del informe
<a name="id_credentials_understanding_the_report_format"></a>

Los informes de credenciales tienen el formato de ficheros CSV (valores separados por comas). Puede abrir archivos CSV con software de hojas de cálculo comunes para analizar, o bien puede crear una aplicación que consuma los archivos CSV mediante programación y realice análisis personalizados. 

El archivo CSV contiene las siguientes columnas:

**usuario**  
Es el nombre fácil de recordar del usuario. 

**arn**  
Es el nombre de recurso de Amazon (ARN) del usuario. Para obtener más información sobre los ARN, consulte [ARN de IAM](reference_identifiers.md#identifiers-arns). 

**user\$1creation\$1time**  
Es la fecha y la hora en que se creó el usuario con el [formato de fecha y hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601).

**password\$1enabled**  
Cuando el usuario tiene una contraseña, el valor es `TRUE`. De lo contrario es `FALSE`. Este valor es `FALSE` para las nuevas cuentas miembros creadas como parte de su organización, ya que no tienen credenciales de usuario raíz de forma predeterminada.

**password\$1last\$1used**  
La fecha y la hora en que se utilizó por última vez la contraseña del Usuario raíz de la cuenta de AWS o de un usuario para iniciar sesión en un sitio web de AWS, con el [formato de fecha-hora ISO 8601](http://www.iso.org/iso/iso8601). Los sitios web de AWS que capturan el momento en que un usuario inició sesión por última vez son la Consola de administración de AWS, los foros de debate de AWS y AWS Marketplace. Cuando una contraseña se utiliza más de una vez en un periodo de 5 minutos, solo se registra el primer uso en este campo.   
+ El valor de este campo es `no_information` en los siguientes casos:
  + La contraseña del usuario no se ha utilizado nunca.
  + No hay datos de inicio de sesión asociados con la contraseña, como, por ejemplo, cuando la contraseña del usuario no se ha utilizado después de que IAM empezara a realizar el seguimiento de esta información a partir del 20 de octubre de 2014.
+ El valor en este campo es `N/A` (no aplicable) cuando el usuario no tiene ninguna contraseña.

**importante**  
Debido a un problema de servicio, los datos de la última vez que se utilizó la contraseña no incluyen el uso de la contraseña desde el 3 de mayo de 2018 22:50 PDT al 23 de mayo de 2018 14:08 PDT. Esto afecta a las fechas del [último inicio de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) mostradas en la consola de IAM y las fechas de la última vez que se utilizó la contraseña en el [Informe de credenciales de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html) y devueltas mediante la [Operación de la API GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html). Si los usuarios han iniciado sesión durante el tiempo afectado, la fecha de la última vez que se utilizó la contraseña que se devuelve es la fecha en que el usuario inició sesión antes del 3 de mayo de 2018. Para los usuarios que iniciaron sesión después del 23 de mayo de 2018 14:08 PDT, la fecha devuelta de la última vez que se utilizó la contraseña es precisa.  
Si utiliza la información de la última vez que se utilizó la contraseña para identificar las credenciales de no utilizados para su eliminación, como, por ejemplo, eliminar los usuarios que no iniciaron sesión en AWS en los últimos 90 días, recomendamos ajustar la ventana de evaluación para incluir fechas después del 23 de mayo de 2018. De forma alternativa, si los usuarios utilizan claves de acceso para acceder a AWS mediante programación puede hacer referencia a la información de la última vez que se utilizó la clave de acceso ya que es precisa para todas las fechas. 

**password\$1last\$1changed**  
Es la fecha y la hora en que se definió la contraseña del usuario por última vez con el [formato de fecha y hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Si el usuario no tiene ninguna contraseña, el valor en este campo es `N/A` (no aplicable).

**password\$1next\$1rotation**  
Si la cuenta tiene una [política de contraseñas](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html) que requiere la rotación de contraseñas, este campo contiene la fecha y la hora en [formato de fecha y hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601), cuando el usuario debe definir una contraseña nueva. El valor de la cuenta de Cuenta de AWS (raíz) es siempre `not_supported`.

**mfa\$1active**  
Si se activa una [autenticación multifactor](id_credentials_mfa.md) (MFA) para el usuario, el valor será `TRUE`. De lo contrario es `FALSE`.

**access\$1key\$11\$1active**  
Si el usuario tiene una clave de acceso y el estado de la clave de acceso es `Active`, el valor será `TRUE`. De lo contrario es `FALSE`. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.

**access\$1key\$11\$1last\$1rotated**  
Es la fecha y la hora en que se creó o modificó por última vez la clave de acceso del usuario con el [formato de fecha y hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Si el usuario no tiene ninguna clave de acceso activa, el valor en este campo será `N/A` (no aplicable). Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.

**access\$1key\$11\$1last\$1used\$1date**  
Es la fecha y hora en que se utilizó la clave de acceso del usuario por última vez para iniciar sesión en una solicitud de la API de AWS con el [formato de fecha y hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.  
El valor de este campo es `N/A` (no aplicable) en los siguientes casos:  
+ El usuario no tiene ninguna clave de acceso.
+ La clave de acceso no se ha utilizado nunca.
+ La clave de acceso no se ha utilizado después de que IAM empezara a realizar el seguimiento de esta información a partir del 22 de abril de 2015.

**access\$1key\$11\$1last\$1used\$1region**  
Es la [región de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) en la que se ha utilizado por última vez la clave de acceso. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.  
El valor de este campo es `N/A` (no aplicable) en los siguientes casos:  
+ El usuario no tiene ninguna clave de acceso.
+ La clave de acceso no se ha utilizado nunca.
+ La clave de acceso se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.
+ El último servicio utilizado no es específico de una región, como Amazon S3.

**access\$1key\$11\$1last\$1used\$1service**  
Es el servicio de AWS al que se ha accedido más recientemente con la clave de acceso. El valor de este campo utiliza el espacio de nombres del servicio, por ejemplo, `s3` para Amazon S3 y `ec2` para Amazon EC2. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.  
El valor de este campo es `N/A` (no aplicable) en los siguientes casos:  
+ El usuario no tiene ninguna clave de acceso.
+ La clave de acceso no se ha utilizado nunca.
+ La clave de acceso se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.

**access\$1key\$12\$1active**  
Si el usuario tiene una segunda clave de acceso y el estado de la segunda clave de acceso es `Active`, el valor será `TRUE`. De lo contrario es `FALSE`. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.  
Los usuarios pueden tener un máximo de dos claves de acceso para facilitar la rotación mediante la actualización de la clave en primer lugar y de la eliminación de la clave anterior en segundo lugar. Para obtener más información acerca de la actualización de las claves de acceso, consulte [Actualización de las claves de acceso](id-credentials-access-keys-update.md).

**access\$1key\$12\$1last\$1rotated**  
Fecha y hora, en [formato de fecha y hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601), en las que se creó o modificó por última vez la segunda clave de acceso del usuario. Si el usuario no tiene ninguna segunda clave de acceso activa, el valor en este campo será `N/A` (no aplicable). Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.

**access\$1key\$12\$1last\$1used\$1date**  
Es la fecha y hora en que se utilizó la segunda clave de acceso del usuario por última vez para iniciar sesión en una solicitud de la API de AWS con el [formato de fecha y hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM.  
El valor de este campo es `N/A` (no aplicable) en los siguientes casos:  
+ El usuario no tiene ninguna segunda clave de acceso.
+ La segunda clave de acceso del usuario no se ha utilizado nunca.
+ La segunda clave de acceso del usuario se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.

**access\$1key\$12\$1last\$1used\$1region**  
Es la [región de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) en la que se ha utilizado por última vez la segunda clave de acceso. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM. El valor de este campo es `N/A` (no aplicable) en los siguientes casos:  
+ El usuario no tiene ninguna segunda clave de acceso.
+ La segunda clave de acceso del usuario no se ha utilizado nunca.
+ La segunda clave de acceso del usuario se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.
+ El último servicio utilizado no es específico de una región, como Amazon S3.

**access\$1key\$12\$1last\$1used\$1service**  
Es el servicio de AWS al que se ha accedido más recientemente con la segunda clave de acceso del usuario. El valor de este campo utiliza el espacio de nombres del servicio, por ejemplo, `s3` para Amazon S3 y `ec2` para Amazon EC2. Si una clave de acceso se utiliza más de una vez en un periodo de 15 minutos, solo se registra el primer uso en este campo. Se aplica tanto al usuario raíz de la cuenta como a los usuarios de IAM. El valor de este campo es `N/A` (no aplicable) en los siguientes casos:  
+ El usuario no tiene ninguna segunda clave de acceso.
+ La segunda clave de acceso del usuario no se ha utilizado nunca.
+ La segunda clave de acceso del usuario se utilizó por última vez antes de que IAM empezara a realizar el seguimiento de esta información el 22 de abril de 2015.

**cert\$11\$1active**  
Si el usuario dispone de un certificado de firma X.509 y el estado del certificado es `Active`, este valor es `TRUE`. De lo contrario es `FALSE`.

**cert\$11\$1last\$1rotated**  
Es la fecha y la hora en que se creó o modificó por última vez el certificado de firma del usuario con el [formato de fecha y hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Si el usuario no tiene ningún certificado de firma activo, el valor en este campo será `N/A` (no aplicable).

**cert\$12\$1active**  
Si el usuario dispone de un segundo certificado de firma X.509 y el estado del certificado es `Active`, este valor es `TRUE`. De lo contrario es `FALSE`.  
Los usuarios pueden tener hasta dos certificados de firma X.509, para facilitar la rotación de los certificados.

**cert\$12\$1last\$1rotated**  
Es la fecha y la hora en que se creó o modificó por última vez el segundo certificado de firma del usuario con el [formato de fecha y hora ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Si el usuario no tiene ningún segundo certificado de firma activo, el valor en este campo será `N/A` (no aplicable).

**additional\$1credentials\$1info**  
Cuando el usuario tiene más de dos claves de acceso o certificados, este valor es el número de claves de acceso o certificados adicionales y las acciones que puede utilizar para enumerar las claves de acceso o los certificados asociados al usuario.

## Obtención de informes de credenciales (consola)
<a name="getting-credential-reports-console"></a>

Puede utilizar la Consola de administración de AWS para descargar un informe de credenciales como archivo CSV (valores separados por comas).

**Para descargar un informe de credenciales mediante la (consola)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En panel de navegación, elija **Credential report (Informe de credenciales)**.

1. Elija **Download Report (Descargar informe)**.

## Obtención de informes de credenciales (AWS CLI)
<a name="getting-credential-reports-cliapi"></a>

**Para descargar un informe de credenciales (AWS CLI)**

1. Genere un informe de credenciales. AWS almacena un único informe. Si existe un informe, cuando se genera un nuevo informe de credenciales, se sobrescribe el anterior. [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-credential-report.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-credential-report.html)

1. Ver el último informe que se generó: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-credential-report.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-credential-report.html)

## Obtención de informes de credenciales (API de AWS)
<a name="getting-credential-reports-api"></a>

**Para descargar un informe de credenciales (API de AWS)**

1. Genere un informe de credenciales. AWS almacena un único informe. Si existe un informe, cuando se genera un nuevo informe de credenciales, se sobrescribe el anterior. [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)

1. Ver el último informe que se generó: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)

# Credenciales de IAM para CodeCommit: credenciales Git, claves SSH y claves de acceso de AWS
<a name="id_credentials_ssh-keys"></a>

CodeCommit es un servicio de control de versiones administrado que aloja repositorios privados Git en la nube de AWS. Para utilizar CodeCommit, debe configurar su cliente de Git para comunicarse con los repositorios de CodeCommit. Como parte de esta configuración, debe proporcionar credenciales de IAM que CodeCommit puede utilizar para autenticarle. IAM admite CodeCommit con tres tipos de credenciales:
+ Credenciales de Git, un nombre de usuario y contraseña generados por IAM que puede utilizar para comunicarse con los repositorios de CodeCommit a través de HTTPS.
+ Claves SSH, un par de claves pública y privada generadas a nivel local que puede asociar a su usuario de IAM para comunicarse con los repositorios de CodeCommit a través de SSH.
+  [Claves de acceso de AWS](id_credentials_access-keys.md), que puede utilizar con el auxiliar de credenciales incluido con AWS CLI para comunicarse con los repositorios de CodeCommit a través de HTTPS.

**nota**  
No puede utilizar las claves SSH ni las credenciales de Git para obtener acceso a los repositorios de otra cuenta de AWS. Para obtener más información sobre cómo configurar el acceso a los repositorios de CodeCommit para los usuarios y grupos de IAM en otra Cuenta de AWS, consulte [Configurar el acceso entre cuentas a un repositorio de AWS CodeCommit mediante roles](https://docs.aws.amazon.com/codecommit/latest/userguide/cross-account.html) en la *Guía del usuario de AWS CodeCommit*.

Consulte las siguientes secciones para obtener más información sobre cada opción. 

## Uso de las credenciales de Git y HTTPS con CodeCommit (recomendado)
<a name="git-credentials-code-commit"></a>

Con las credenciales de Git, puede generar un nombre de usuario y contraseña estáticos para su usuario de IAM y, a continuación, utilizar dichas credenciales para conexiones HTTPS. También puede utilizar estas credenciales con cualquier herramienta de terceros o entorno de desarrollo integrado (IDE) que admita credenciales de Git estáticas.

Dado que estas credenciales son universales para todos los sistemas operativos admitidos y compatibles con la mayoría de los sistemas de administración de credenciales, entornos de desarrollo y otras herramientas de desarrollo de software, este es el método recomendado. Puede restablecer la contraseña para las credenciales de Git en cualquier momento. También puede desactivarlas o eliminarlas si ya no las necesita.

**nota**  
No puede elegir su propio nombre de usuario o contraseña para las credenciales de Git. IAM genera estas credenciales para que pueda asegurarse de que cumplen los estándares de seguridad de AWS y protegen los repositorios de CodeCommit. Puede descargar las credenciales solo una vez, en el momento en que se generan. Asegúrese de guardarlas en un lugar seguro. Si es necesario, puede restablecer la contraseña en cualquier momento, pero si lo hace, anulará las conexiones configuradas con la antigua contraseña. Debe volver a configurar las conexiones para utilizar la nueva contraseña antes de poder conectarse.

Consulte los siguientes temas para obtener más información: 
+ Para crear un usuario de IAM, consulte [Creación de un usuario de IAM en su Cuenta de AWS](id_users_create.md). 
+ Para generar y utilizar las credenciales de Git, con CodeCommit, consulte [Para usuarios HTTPS mediante credenciales de Git](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-gc.html) en la *Guía del usuario de AWS CodeCommit*. 

**nota**  
Cambiar el nombre de un usuario de IAM después de generar las credenciales de Git no cambia el nombre de usuario de las credenciales de Git. El nombre de usuario y la contraseña siguen siendo los mismos y siguen siendo válidos. 

**Para actualizar las credenciales específicas del servicio**

1. Cree un segundo conjunto de credenciales específicas de servicios, además del conjunto que se utiliza actualmente.

1. Actualice todas sus aplicaciones para utilizar el nuevo conjunto de credenciales y compruebe que las aplicaciones están funcionando.

1. Cambie el estado de las credenciales originales a "Inactive".

1. Asegúrese de que todas las aplicaciones siguen funcionando.

1. Elimine las credenciales específicas de servicios que no estén activas.

## Uso de las claves SSH y SSH con CodeCommit
<a name="ssh-keys-code-commit"></a>

Con conexiones SSH, debe crear archivos de claves públicas y privadas en su equipo local que Git y CodeCommit utilizarán para la autenticación SSH. Puede asociar la clave pública con el usuario de IAM y almacenar la clave privada en el equipo local. Consulte los siguientes temas para obtener más información: 
+ Para crear un usuario de IAM, consulte [Creación de un usuario de IAM en su Cuenta de AWS](id_users_create.md). 
+ Para crear una clave pública SSH y asociarla a un usuario IAM, consulte [Para conexiones SSH en Linux, macOS o Unix](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-ssh-unixes.html) o consulte [Para conexiones SSH en Windows](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-ssh-windows.html) en la* Guía del usuario de AWS CodeCommit*. 

**nota**  
La clave pública debe estar codificada en formato ssh-rsa o PEM. La longitud mínima de bits de la clave pública es de 2 048 bits, y la longitud máxima es de 16 384 bits. Este valor es independiente del tamaño del archivo que se cargue. Por ejemplo, puede generar una clave de 2 048 bits y el archivo PEM resultante tiene una longitud de 1 679 bytes. Si proporciona la clave pública en otro formato o tamaño, aparecerá un mensaje de error que indica que el formato de clave no es válido.

## Uso de HTTPS con el auxiliar de credenciales de AWS CLI y CodeCommit
<a name="access-keys-code-commit"></a>

Además de las conexiones HTTPS con las credenciales de Git, puede permitir a Git utilizar una versión con firma criptográfica de sus credenciales de usuario de IAM o del rol de la instancia de Amazon EC2 cada vez que Git requiera autenticación en AWS para interactuar con los repositorios de CodeCommit. Este es el único método de conexión para repositorios de CodeCommit que no exige un usuario de IAM. Este también es el único método que funciona con acceso federado y credenciales temporales. Consulte los siguientes temas para obtener más información:
+ Para obtener más información sobre el acceso federado, consulte [Proveedores de identidades y federación en AWS](id_roles_providers.md) y [Acceder a usuarios autenticados externamente (federación de identidades)](id_roles_common-scenarios_federated-users.md). 
+ Para obtener más información sobre las credenciales temporales, consulte [Credenciales de seguridad temporales en IAM](id_credentials_temp.md) y [Acceso temporal a los repositorios de CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/temporary-access.html). 

El auxiliar de credenciales de AWS CLI no es compatible con otros sistemas auxiliares de credenciales, como Keychain Access o Windows Credential Management. Existen otras consideraciones de configuración cuando establece conexiones HTTPS con el auxiliar de credenciales. Para más información, consulte [Para conexiones HTTPS en Linux, macOS o Unix con el Ayudante de credenciales de AWS CLI](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-https-unixes.html) o [Conexiones HTTPS en Windows con el Ayudante de credenciales de AWS CLI](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-https-windows.html) en la *Guía del usuario de AWS CodeCommit*.

# Administración de certificados de servidor en IAM
<a name="id_credentials_server-certs"></a>

Para habilitar las conexiones HTTPS en su sitio web o aplicación en AWS, necesita un *certificado de servidor* SSL/TLS. Si se trata de una región compatible con AWS Certificate Manager (ACM), le recomendamos que utilice ACM para aprovisionar, administrar e implementar los certificados de servidor. En las regiones no compatibles, debe utilizar IAM como Certificate Manager. Para saber qué regiones admite , consulte [puntos finales y cuotas de AWS Certificate Manager](https://docs.aws.amazon.com/general/latest/gr/acm.html) en la *Referencia general de AWS*.

**importante**  
ACM es la herramienta preferida para aprovisionar, administrar e implementar los certificados de servidor. Con ACM puede solicitar un certificado o implementar un certificado de ACM existente o un certificado externo en los recursos de AWS. Los certificados que proporciona ACM son gratuitos y se renuevan automáticamente. En las [regiones compatibles](https://docs.aws.amazon.com/general/latest/gr/acm.html), puede utilizar ACM para administrar los certificados de servidor desde la consola o mediante programación. Para obtener más información sobre ACM, consulte la [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). Para obtener más información sobre cómo solicitar un certificado de ACM, consulte [Solicitar un certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) o [Solicitar un certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) en la *Guía del usuario de AWS Certificate Manager*. Para obtener más información sobre la importación de certificados de terceros en ACM, consulte [Importar certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) en la *Guía del usuario de AWS Certificate Manager*.

Utilice IAM como Certificate Manager solo cuando tenga que admitir conexiones HTTPS en una región que no es [compatible con ACM](https://docs.aws.amazon.com/general/latest/gr/acm.html). IAM cifra de forma segura sus claves privadas y almacena la versión cifrada en el almacenamiento de certificados SSL de IAM. IAM admite la implementación de certificados de servidor en todas las regiones, pero debe obtener su certificado de un proveedor externo para utilizarlo con AWS. No puede cargar un certificado de ACM en IAM. Además, no puede administrar los certificados desde la consola de IAM.

Para obtener más información acerca de cómo cargar certificados de terceros en IAM, consulte los siguientes temas.

**Topics**
+ [Carga de un certificado de servidor (API de AWS)](#upload-server-certificate)
+ [Operaciones de API de AWS para certificados de servidor](#id_credentials_server-certs-api)
+ [Solución de problemas de certificados de servidor](#server-certificate-troubleshooting)

## Carga de un certificado de servidor (API de AWS)
<a name="upload-server-certificate"></a>

Para cargar un certificado de servidor en IAM, debe proporcionar el certificado y la clave privada correspondiente. Si el certificado no está autofirmado, también debe proporcionar una cadena de certificados. (No necesita una cadena de certificados para cargar un certificado autofirmado). Antes de cargar un certificado, asegúrese de que dispone de todos estos elementos y de que cumplen los siguientes criterios:
+ El certificado debe ser válido en el momento de la carga. No puede cargar un certificado antes de que empiece su periodo de validez (la fecha `NotBefore` del certificado) o después de que expire (la fecha `NotAfter` del certificado).
+ La clave privada no debe estar cifrada. No puede cargar una clave privada que esté protegida por una contraseña o frase de contraseña. Para ayudar a descifrar una clave privada cifrada, consulte [Solución de problemas de certificados de servidor](#server-certificate-troubleshooting).
+ El certificado, la clave privada y la cadena de certificados deben tener todos codificación PEM. Para ayudar a convertir estos elementos al formato PEM, consulte [Solución de problemas de certificados de servidor](#server-certificate-troubleshooting).

Para utilizar la [API de IAM](https://docs.aws.amazon.com/IAM/latest/APIReference/) para cargar un certificado, envíe una solicitud [UploadServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UploadServerCertificate.html). El siguiente ejemplo muestra cómo hacerlo con la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). El ejemplo supone lo siguiente:
+ El certificado codificado en PEM se guarda en un archivo llamado `Certificate.pem`.
+ La cadena de certificados codificados en PEM se guarda en un archivo llamado `CertificateChain.pem`.
+ La clave privada codificada en PEM sin cifrar se guarda en un archivo llamado `PrivateKey.pem`.
+ (Opcional) Debe etiquetar el certificado del servidor con un par de valor de clave. Por ejemplo, puede agregar la clave de etiqueta `Department` y el valor de la etiqueta `Engineering` para ayudarlo a identificar y organizar los certificados.

Para utilizar los siguientes comandos de ejemplo, sustituya estos nombres de archivo por los suyos. Reemplace *ExampleCertificate* por un nombre para el certificado cargado. Si desea etiquetar el certificado, reemplace el par clave-valor de la etiqueta *ExampleKey* y *ExampleValue* con sus propios valores. Escriba el comando en una línea continua. El siguiente ejemplo incluye saltos de línea y espacios adicionales para facilitar su lectura.

```
aws iam upload-server-certificate --server-certificate-name ExampleCertificate
                                    --certificate-body file://Certificate.pem
                                    --certificate-chain file://CertificateChain.pem
                                    --private-key file://PrivateKey.pem
                                    --tags '{"Key": "ExampleKey", "Value": "ExampleValue"}'
```

Si el comando anterior se ejecuta correctamente, devolverá los metadatos del certificado cargado, incluido su [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns), su nombre descriptivo, su identificador (ID), su fecha de vencimiento, etiquetas y otra información.

**nota**  
Si va a cargar un certificado de servidor para utilizarlo con Amazon CloudFront, debe especificar una ruta mediante la opción `--path`. La ruta debe empezar con `/cloudfront` y debe incluir una barra inclinada al final (por ejemplo, `/cloudfront/test/`).

Para utilizar las AWS Tools for Windows PowerShell para cargar un certificado, utilice [Publish-IAMServerCertificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Publish-IAMServerCertificate.html&tocid=Publish-IAMServerCertificate).

## Operaciones de API de AWS para certificados de servidor
<a name="id_credentials_server-certs-api"></a>

Utilice los siguientes comandos para ver, etiquetar, cambiar el nombre y eliminar los certificados de servidor.
+ Utilice [GetServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServerCertificate.html) para recuperar un certificado. Esta solicitud devuelve el certificado, la cadena de certificados (si se ha cargado alguna) y los metadatos del certificado.
**nota**  
No puede descargar o recuperar una clave privada de IAM después de cargarla.
+ Utilice [Get-IAMServerCertificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Get-IAMServerCertificate.html&tocid=Get-IAMServerCertificate) para recuperar un certificado.
+ Utilice [ListServerCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServerCertificates.html) para hacer una lista de los certificados de servidor cargados. La solicitud devolverá una lista que contiene los metadatos de cada certificado.
+ Utilice [Get-IAMServerCertificates](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Get-IAMServerCertificates.html&tocid=Get-IAMServerCertificates) para hacer una lista de los certificados de servidor cargados.
+ Utilice [TagServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagServerCertificate.html) para etiquetar un certificado de servidor existente. 
+ Utilice [UntagServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagServerCertificate.html) para quitar la etiqueta de un certificado de servidor.
+ Utilice [UpdateServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServerCertificate.html) para cambiar el nombre de un certificado de servidor o para actualizar su ruta.

   El siguiente ejemplo muestra cómo hacerlo con la AWS CLI.

  Para utilizar el siguiente comando de ejemplo, sustituya los nombres antiguo y nuevo del certificado y la ruta del certificado y escriba el comando en una línea continua. El siguiente ejemplo incluye saltos de línea y espacios adicionales para facilitar su lectura.

  ```
  aws iam update-server-certificate --server-certificate-name ExampleCertificate
                                      --new-server-certificate-name CloudFrontCertificate
                                      --new-path /cloudfront/
  ```

  Para utilizar las AWS Tools for Windows PowerShell para cambiar el nombre de un certificado de servidor o para actualizar su ruta, utilice [Update-IAMServerCertificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Update-IAMServerCertificate.html&tocid=Update-IAMServerCertificate).
+ Utilice [DeleteServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServerCertificate.html) para eliminar un certificado de servidor. 

  Para utilizar las AWS Tools for Windows PowerShell para eliminar un certificado de servidor, utilice [Remove-IAMServerCertificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Remove-IAMServerCertificate.html&tocid=Remove-IAMServerCertificate).

## Solución de problemas de certificados de servidor
<a name="server-certificate-troubleshooting"></a>

Antes de cargar un certificado en IAM, debe asegurarse de que el certificado, la clave privada y la cadena de certificados estén codificados en PEM. También debe asegurarse de que la clave privada no esté cifrada. Vea los siguientes ejemplos.

**Example Ejemplo de certificado codificado por PEM**  

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
```

**Example Ejemplo de clave privada sin cifrar y codificada en PEM**  

```
-----BEGIN RSA PRIVATE KEY-----
Base64-encoded private key
-----END RSA PRIVATE KEY-----
```

**Example Ejemplo de cadena de certificados codificada en PEM**  
Una cadena de certificados contiene uno o más certificados. Puede utilizar un editor de texto, el comando copy de Windows o el comando cat de Linux para concatenar archivos de certificado en una cadena. Cuando incluye varios certificados, cada certificado debe certificar el certificado anterior. Puede hacerlo concatenando los certificados, incluyendo el certificado de CA raíz al final.  
El siguiente ejemplo contiene tres certificados, pero una cadena de certificados podría contener más o menos certificados.  

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
```

Si estos elementos no tienen el formato adecuado para cargarlos en IAM, puede utilizar [OpenSSL](https://openssl.org/) para convertirlos al formato adecuado.

**Para convertir un certificado o cadena de certificados de DER a PEM**  
Utilice el comando [OpenSSL **x509**](https://openssl.org/docs/manmaster/man1/x509.html), como en el siguiente ejemplo. En el siguiente comando de ejemplo, sustituya `Certificate.der` por el nombre del archivo que contiene el certificado con codificación DER. Sustituya `Certificate.pem` por el nombre preferido del archivo de salida que va a contener el certificado con codificación PEM.  

```
openssl x509 -inform DER -in Certificate.der -outform PEM -out Certificate.pem
```
 

**Para convertir una clave privada de DER a PEM**  
Utilice el comando [OpenSSL **rsa**](https://openssl.org/docs/manmaster/man1/rsa.html), como en el siguiente ejemplo. En el siguiente comando de ejemplo, sustituya `PrivateKey.der` por el nombre del archivo que contiene la clave privada con codificación DER. Sustituya `PrivateKey.pem` por el nombre preferido del archivo de salida que va a contener la clave privada con codificación PEM.  

```
openssl rsa -inform DER -in PrivateKey.der -outform PEM -out PrivateKey.pem
```
 

**Para descifrar una clave privada cifrada (eliminar la contraseña o frase de contraseña)**  
Utilice el comando [OpenSSL **rsa**](https://openssl.org/docs/manmaster/man1/rsa.html), como en el siguiente ejemplo. Para utilizar el siguiente comando de ejemplo, sustituya `EncryptedPrivateKey.pem` por el nombre del archivo que contiene la clave privada cifrada. Sustituya `PrivateKey.pem` por el nombre preferido del archivo de salida que va a contener la clave privada no cifrada con codificación PEM.  

```
openssl rsa -in EncryptedPrivateKey.pem -out PrivateKey.pem
```
 

**Para convertir un paquete de certificados de PKCS \$112 (PFX) a PEM**  
Utilice el comando [OpenSSL **pkcs12**](https://openssl.org/docs/manmaster/man1/pkcs12.html), como en el siguiente ejemplo. En el siguiente comando de ejemplo, sustituya `CertificateBundle.p12` por el nombre del archivo que contiene el paquete de certificados con codificación PKCS\$112. Sustituya `CertificateBundle.pem` por el nombre preferido del archivo de salida que va a contener el paquete de certificado con codificación PEM.  

```
openssl pkcs12 -in CertificateBundle.p12 -out CertificateBundle.pem -nodes
```
 

**Para convertir un paquete de certificados de PKCS\$17 a PEM**  
Utilice el comando [OpenSSL **pkcs7**](https://openssl.org/docs/manmaster/man1/pkcs7.html), como en el siguiente ejemplo. En el siguiente comando de ejemplo, sustituya `CertificateBundle.p7b` por el nombre del archivo que contiene el paquete de certificados con codificación PKCS\$17. Sustituya `CertificateBundle.pem` por el nombre preferido del archivo de salida que va a contener el paquete de certificado con codificación PEM.  

```
openssl pkcs7 -in CertificateBundle.p7b -print_certs -out CertificateBundle.pem
```