¿Cómo administro IAM?
Administrar AWS Identity and Access Management dentro de un entorno de AWS implica utilizar diversas herramientas e interfaces. El método más común es a través de la AWS Management Console, una interfaz basada en web que permite realizar una amplia variedad de tareas administrativas de IAM, desde crear usuarios y roles hasta configurar permisos.
Para los usuarios más acostumbrados a interfaces de línea de comandos, AWS proporciona dos conjuntos de herramientas de línea de comandos: la AWS Command Line Interface y las AWS Tools for Windows PowerShell. Estas herramientas permiten emitir comandos relacionados con IAM directamente desde el terminal, a menudo de manera más eficiente que navegando por la consola. Además, AWS CloudShell permite ejecutar comandos de CLI o SDK directamente desde un navegador web, utilizando los permisos asociados al inicio de sesión en la consola.
Además de la consola y la línea de comandos, AWS ofrece kits de desarrollo de software (SDK) para diversos lenguajes de programación, lo que permite integrar la funcionalidad de administración de IAM directamente en las aplicaciones. También puede acceder a IAM mediante programación con la API de consulta de IAM, que permite emitir solicitudes HTTPS directamente al servicio. Emplear estos distintos enfoques de administración proporciona flexibilidad para incorporar IAM a los flujos de trabajo y procesos existentes.
Utilizar la AWS Management Console
La consola de administración de AWS es una aplicación web que engloba y hace referencia a un amplio conjunto de consolas de servicios para la administración de recursos de AWS. La primera vez que inicie sesión, verá la página de inicio de la consola. La página de inicio proporciona acceso a cada consola de servicio y ofrece un único lugar para acceder a la información que necesita para realizar las tareas relacionadas con AWS. Los servicios y aplicaciones que tendrá a su disposición luego de iniciar sesión en la consola dependerán de los recursos de AWS a los que tenga permiso de acceso. Puede obtener permisos para acceder a los recursos ya sea asumiendo un rol, siendo miembro de un grupo al que se le hayan concedido permisos u obteniendo permiso de forma explícita. En el caso de una cuenta de AWS independiente, el usuario raíz o el administrador de IAM configura el acceso a los recursos. Para AWS Organizations, la cuenta de administración o el administrador delegado configura el acceso a los recursos.
Si tiene previsto que las personas usen la consola de administración de AWS para administrar los recursos de AWS, le recomendamos configurar los usuarios con credenciales temporales como práctica recomendada de seguridad. Los usuarios de IAM que han asumido un rol, los usuarios federados y los usuarios de IAM Identity Center tienen credenciales temporales, mientras que el usuario de IAM y el usuario raíz tienen credenciales a largo plazo. Las credenciales de usuario raíz proporcionan acceso total a la Cuenta de AWS, mientras que los demás usuarios tienen credenciales que permiten acceder a los recursos que les otorgan las políticas de IAM.
La experiencia de inicio de sesión es diferente para los distintos tipos de usuarios de AWS Management Console.
-
Los usuarios de IAM y el usuario raíz inician sesión desde la URL principal de AWS (https://signin.aws.amazon.com). Una vez que inician sesión, tienen acceso a los recursos en la cuenta para los que se les ha concedido permiso.
Para iniciar sesión como usuario raíz, debe tener la dirección de correo electrónico y contraseña del usuario raíz.
Para iniciar sesión como usuario de IAM, debe tener el número o alias de la Cuenta de AWS, el nombre de usuario de IAM y la contraseña de usuario de IAM.
Le recomendamos restringir los usuarios de IAM en su cuenta a situaciones específicas que requieran credenciales a largo plazo (como, por ejemplo, acceso de emergencia) y utilizar el usuario raíz únicamente para las tareas que requieren credenciales de usuario raíz.
Para su comodidad, en la página de inicio de sesión de AWS se utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. La próxima vez que el usuario vaya a cualquier página en AWS Management Console, la consola utiliza la cookie para redirigir al usuario a la página de inicio de sesión de la cuenta.
Cierre sesión en la consola cuando finaliza la sesión para evitar que se vuelva a utilizar el inicio de sesión anterior.
-
Los usuarios del IAM Identity Center inician sesión mediante un portal de acceso de AWS específico que es exclusivo de su organización. Una vez que inician sesión, pueden elegir a qué cuenta o aplicación acceder. Si eligen acceder a una cuenta, eligen qué conjunto de permisos quieren utilizar para la sesión de administración.
-
Los usuarios federados que se administran en un proveedor de identidad externo vinculado a una Cuenta de AWS inician sesión mediante un portal de acceso empresarial personalizado. Los recursos de AWS disponibles para los usuarios federados dependen de las políticas seleccionadas por su organización.
nota
Para proporcionar un nivel de seguridad adicional, el usuario raíz, los usuarios de IAM y los usuarios de IAM Identity Center pueden hacer que AWS verifique la autenticación multifactor (MFA) antes de conceder acceso a los recursos de AWS. Cuando la MFA está habilitada, usted también debe tener acceso al dispositivo de MFA para iniciar sesión.
Para obtener más información sobre cómo los diferentes usuarios inician sesión en la consola de administración, consulte Inicie sesión en la consola de administración de AWS en la AWSGuía del usuario de inicio de sesión.
Herramientas de línea de comandos de AWS
Puede utilizar las herramientas de línea de comandos de AWS para emitir comandos en la línea de comando de su sistema con el fin de llevar a cabo tareas de IAM y de AWS. El uso de la línea de comandos puede ser más rápido y cómodo que la consola. Las herramientas de línea de comandos también son útiles si desea crear scripts que realicen tareas de AWS.
AWS proporciona dos conjuntos de herramientas de línea de comandos: AWS Command Line Interface
Después de iniciar sesión en la consola, puede utilizar AWS CloudShell desde su navegador para ejecutar comandos de CLI o SDK. Los permisos para acceder a los recursos de AWS se basan en las credenciales que utilizó para iniciar sesión en la consola. Según su experiencia, es posible que la CLI le parezca un método más eficiente para administrar su Cuenta de AWS. Para obtener más información, consulte Uso de AWS CloudShell para trabajar con AWS Identity and Access Management
Interfaz de línea de comandos (CLI) de AWS y kits de desarrollo de software (SDK)
IAM Identity Center y los usuarios de IAM utilizan diferentes métodos para autenticar sus credenciales cuando se autentican a través de la CLI o las interfaces de aplicación (API) en los SDK asociados.
Las credenciales y las opciones de configuración se encuentran en varios lugares, como las variables de entorno del sistema o del usuario, los archivos de configuración de AWS locales o declarados explícitamente en la línea de comandos como un parámetro. Ciertas ubicaciones tienen prioridad sobre otras.
Tanto IAM Identity Center como IAM proporcionan claves de acceso que se pueden utilizar con la CLI o el SDK. Las claves de acceso de IAM Identity Center son credenciales temporales que se pueden actualizar automáticamente y su uso se recomienda en lugar de las claves de acceso a largo plazo asociadas a los usuarios de IAM.
Para administrar su Cuenta de AWS mediante el uso de la CLI o el SDK, puede utilizar AWS CloudShell desde su navegador. Si usa CloudShell para ejecutar comandos de CLI o SDK, primero debe iniciar sesión en la consola. Los permisos para acceder a los recursos de AWS se basan en las credenciales que utilizó para iniciar sesión en la consola. Según su experiencia, es posible que la CLI le parezca un método más eficiente para administrar su Cuenta de AWS.
Para el desarrollo de aplicaciones, puede descargar la CLI o el SDK en su equipo e iniciar sesión desde el símbolo del sistema o una ventana de Docker. En este escenario, se configuran las credenciales de autenticación y acceso como parte del script de la CLI o de la aplicación SDK. Puede configurar el acceso mediante programación a los recursos de diferentes maneras, según el entorno y el acceso disponibles.
-
Las opciones recomendadas para autenticar el código local con el servicio de AWS son IAM Identity Center e IAM Roles Anywhere.
-
Las opciones recomendadas para autenticar el código que se ejecuta dentro de un entorno de AWS son el uso de las funciones de IAM o de las credenciales de IAM Identity Center.
Cuando inicia sesión con el portal de acceso de AWS, puede obtener credenciales de corta duración en la página de inicio, donde elige su conjunto de permisos. Estas credenciales tienen una duración definida y no se actualizan automáticamente. Si desea usar estas credenciales, después de iniciar sesión en el portal de AWS, elija la Cuenta de AWS y, a continuación, seleccione el conjunto de permisos. Seleccione Línea de comandos o acceso mediante programación para ver las opciones que puede usar para acceder a los recursos de AWS mediante programación o desde la CLI. Para obtener más información sobre estos métodos, consulte Obtener y actualizar las credenciales temporales en la Guía del usuario del IAM Identity Center. Estas credenciales se suelen utilizar durante el desarrollo de aplicaciones para probar rápidamente el código.
Recomendamos utilizar las credenciales de IAM Identity Center, que se actualizan automáticamente al automatizar el acceso a los recursos de AWS. Si ha configurado usuarios y conjuntos de permisos en IAM Identity Center, utilice el comando aws configure sso para utilizar un asistente de línea de comandos que lo ayudará a identificar las credenciales disponibles y almacenarlas en un perfil. Para obtener más información sobre la configuración de su perfil, consulte Configurar su perfil con el aws configure sso wizard en la versión 2 de la Guía del usuario de la interfaz de línea de comandos de AWS.
nota
Muchas aplicaciones de ejemplo utilizan claves de acceso a largo plazo asociadas a usuarios de IAM o usuario raíz. Solo debe utilizar credenciales a largo plazo dentro de un entorno aislado como parte de un ejercicio de aprendizaje. Tan pronto como sea posible, revise las alternativas a las claves de acceso a largo plazo y planifique la transición de su código para utilizar credenciales alternativas, como las credenciales del IAM Identity Center o los roles de IAM. Tras realizar la transición del código, elimine las claves de acceso.
Para obtener más información sobre la configuración de la CLI, consulte Instalar o actualizar la última versión de la AWS CLI en la versión 2 de la Guía del usuario de la interfaz de línea de comandos de AWS y Credenciales de autenticación y acceso en la Guía del usuario de la interfaz de línea de comandos de AWS.
Para obtener más información sobre la configuración del SDK, consulte Autenticación de IAM Identity Center en la Guía de referencia de herramientas y AWS SDK y IAM Roles Anywhere en la Guía de referencia de herramientas y AWS SDK.
Uso de los AWS SDK
AWS ofrece SDK (kits de desarrollo de software) que se componen de bibliotecas y código de muestra para diversos lenguajes de programación y plataformas (Java, Python, Ruby, .NET, iOS, Android, etc.). Los SDK proporcionan una forma cómoda de crear acceso mediante programación a IAM y AWS. Por ejemplo, los SDK se encargan de tareas como firmar solicitudes criptográficamente, gestionar los errores y reintentar las solicitudes de forma automática. Para obtener información sobre los SDK de AWS, incluido cómo descargarlos e instalarlos, consulte la página Herramientas para Amazon Web Services
Uso de la API de consulta de IAM
Puede acceder a IAM y AWS mediante programación con la API de consulta de IAM, que le permite emitir solicitudes HTTPS directamente al servicio. Cuando utilice la API de consulta, debe incluir un código para firmar de manera digital las solicitudes con sus credenciales. Para obtener más información, consulte Llamar a la API de IAM mediante solicitudes de consulta HTTP y la Referencia IAM API.
