Eliminación o desactivación de un usuario de IAM - AWS Identity and Access Management
Requisito previo: ver el acceso del usuario de IAMEliminación de un usuario de IAM (consola)Eliminación de un usuario de IAM (AWS CLI)Desactivación de un usuario de IAM

Eliminación o desactivación de un usuario de IAM

Según las prácticas recomendadas, lo ideal es eliminar de su Cuenta de AWS a los usuarios de IAM que no utiliza. Si desea conservar las credenciales de los usuarios de IAM para usarlas en el futuro, en lugar de eliminarlas de la cuenta, puede desactivar el acceso del usuario. Para obtener más información, consulte Desactivación de un usuario de IAM.

Requisito previo: ver el acceso del usuario de IAM

Antes de eliminar a un usuario, revise su actividad reciente a nivel de servicio. Esto ayuda a evitar que se le quite el acceso a una entidad principal (persona o aplicación) que lo esté utilizando. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte Ajuste de permisos en AWS con información sobre los últimos accesos.

Eliminación de un usuario de IAM (consola)

Cuando se usa la AWS Management Console para eliminar un usuario de IAM, IAM elimina automáticamente la siguiente información asociada:

  • El identificador del usuario de IAM.

  • Las suscripciones a grupos, es decir, se elimina el usuario de IAM de todos los grupos a los que haya pertenecido.

  • Las contraseñas asociadas al usuario de IAM.

  • Las claves de acceso que pertenezcan al usuario de IAM.

  • Todas las políticas insertadas incrustadas en el usuario de IAM (las políticas que se aplicaron al usuario de IAM por medio de permisos de grupo de usuarios no se verán afectadas).

    nota

    IAM elimina todas las políticas administradas adjuntas al usuario de IAM cuando se elimina el usuario, pero no elimina las políticas administradas.

  • Cualquier dispositivo MFA asociado

Para eliminar un usuario de IAM (consola)

IAM console

  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola, seleccione el servicio de IAM.

  3. En el panel de navegación, seleccione Usuarios y, a continuación, seleccione la casilla de verificación junto al nombre del usuario de IAM que desee eliminar.

  4. En la parte superior de la página, elija Delete (Eliminar).

  5. En el cuadro de diálogo de confirmación, ingrese el nombre de usuario en el campo de entrada de texto para confirmar la eliminación del usuario. Elija Eliminar.

La consola muestra una notificación de estado en la que se indica que se borró el usuario de IAM.

Eliminación de un usuario de IAM (AWS CLI)

A diferencia de la AWS Management Console, a la hora de eliminar un usuario de IAM con la AWS CLI, debe eliminar los elementos adjuntos al usuario de IAM manualmente. Este procedimiento ilustra el proceso.

Para eliminar un usuario de IAM de su Cuenta de AWS (AWS CLI)

  1. Elimine la contraseña de usuario, si el usuario dispone de una.

    aws iam delete-login-profile

  2. Elimine las claves de acceso de usuario, si el usuario dispone de ellas.

    aws iam list-access-keys (para generar una lista de las claves de acceso del usuario) y aws iam delete-access-key

  3. Elimine el certificado de firma del usuario. Tenga en cuenta que al eliminar una credencial de seguridad, ya nunca más podrá recuperarla.

    aws iam list-signing-certificates (para generar una lista de los certificados de firma del usuario) y aws iam delete-signing-certificate

  4. Elimine la clave pública SSH del usuario, si el usuario dispone de ella.

    aws iam list-ssh-public-keys (para generar una lista de las claves públicas SSH del usuario) y aws iam delete-ssh-public-key

  5. Elimine las credenciales de Git del usuario.

    aws iam list-service-specific-credentials (para generar una lista de las credenciales de Git del usuario) y aws iam delete-service-specific-credential

  6. Desactive el dispositivo Multi-Factor Authentication (MFA) del usuario, si este dispone de uno.

    aws iam list-mfa-devices (para generar una lista de los dispositivos MFA del usuario), aws iam deactivate-mfa-device (para desactivar el dispositivo) y aws iam delete-virtual-mfa-device (para eliminar de forma permanente un dispositivo de MFA virtual)

  7. Elimine las políticas insertadas del usuario.

    aws iam list-user-policies (para generar una lista de las políticas insertadas para el usuario) y aws iam delete-user-policy (para eliminar la política)

  8. Desasocie cualquier política administrada que esté asociada al usuario.

    aws iam list-attached-user-policies (para generar una lista de las políticas administradas adjuntas al usuario) y aws iam detach-user-policy (para desasociar la política)

  9. Elimine el usuario de cualquier grupo de IAM.

    aws iam list-groups-for-user (para generar una lista de los grupos de IAM a los que pertenece el usuario) y aws iam remove-user-from-group

  10. Elimine el usuario.

    aws iam delete-user

Desactivación de un usuario de IAM

Puede que tenga que desactivar un usuario de IAM mientras esté temporalmente fuera de su empresa. Puede dejar sus credenciales de usuario de IAM en su lugar y seguir bloqueando su acceso a AWS.

Para desactivar un usuario, cree y asocie una política para denegar el acceso del usuario a AWS. Puede restaurar el acceso del usuario más adelante.

A continuación se muestran dos ejemplos de políticas de denegación que puede asociar a un usuario para denegar su acceso.

La siguiente política no incluye un límite de tiempo. Debe eliminar la política para restaurar el acceso del usuario.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

La siguiente política incluye una condición que inicia la política el 24 de diciembre de 2024 a las 23:59 h (UTC) y la termina el 28 de febrero de 2025 a las 23:59 h (UTC).

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}