¿Qué es IAM?

Puede conceder permiso a otras personas para administrar y utilizar los recursos de su cuenta de AWS sin tener que compartir su contraseña o clave de acceso.

Puede conceder diferentes permisos a diferentes personas para diferentes recursos. Por ejemplo, puede permitir que algunos usuarios completen el acceso a Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift y otros servicios de AWS. En el caso de otros usuarios, puede permitir el acceso de solo lectura a solo algunos buckets de S3 o conceder permiso para administrar solo algunas instancias EC2 o para tener acceso a la información de facturación, pero nada más.

Puede utilizar características de IAM para proporcionar de forma segura credenciales para las aplicaciones que se ejecutan en instancias EC2. Estas credenciales proporcionan permisos a la aplicación para obtener acceso a otros recursos de AWS. Entre los ejemplos se incluyen buckets de S3 y tablas de DynamoDB.

Puede agregar una autenticación de dos factores a la cuenta y a los usuarios individuales para mayor seguridad. Con MFA usted o sus usuarios deben proporcionar no solo una contraseña o clave de acceso para trabajar con la cuenta, sino también un código de un dispositivo configurado específicamente. Si ya utiliza una clave de seguridad FIDO con otros servicios, y tiene una configuración de AWS compatible, puede utilizar WebAuthn para la seguridad MFA. Para obtener más información, consulte Configuraciones admitidas para usar las claves de acceso y las claves de seguridad.

Puede permitir que los usuarios que ya tienen contraseñas en otros lugares, por ejemplo, en la red corporativa o en un proveedor de identidad de Internet, obtengan acceso temporal a la Cuenta de AWS.

Si utiliza AWS CloudTrail, recibirá registros de logs que incluyen información sobre los usuarios que realizaron solicitudes de recursos en su cuenta. Esta información se basa en identidades de IAM.

IAM admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de crédito por parte de un comerciante o proveedor de servicios y se ha validado por estar conforme con el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS). Para obtener más información acerca de PCI DSS, incluido cómo solicitar una copia del Paquete de conformidad con PCI de AWS, consulte PCI DSS Nivel 1.

Para obtener una lista de servicios de AWS que funcionan con IAM, consulte Servicios de AWS que funcionan con IAM.

IAM, al igual que muchos otros servicios de AWS, ofrece consistencia final. IAM consigue una alta disponibilidad replicando datos entre varios servidores ubicados en centros de datos de Amazon de todo el mundo. Si se realiza correctamente una solicitud para cambiar algunos datos, el cambio se confirma y se almacena de forma segura. Sin embargo, el cambio se debe replicar en IAM, lo que puede llevar algún tiempo. Estos cambios incluyen la creación o actualización de usuarios, grupos, roles o políticas. Le recomendamos que no incluya esos cambios de IAM en las rutas de código de gran importancia y alta disponibilidad de su aplicación. En su lugar, realice los cambios de IAM en otra rutina de inicialización o configuración que ejecute con menos frecuencia. Además, asegúrese de verificar que los cambios se han propagado antes de que los flujos de trabajo de producción dependan de ellos. Para obtener más información, consulte Los cambios que realizo no están siempre visibles inmediatamente.

AWS Identity and Access Management (IAM) y AWS Security Token Service (AWS STS) son características de la cuenta de AWS que se ofrece sin cargo adicional. Solo se le cobrará cuando acceda a otros servicios AWS utilizando sus usuarios de IAM o AWS STScredenciales de seguridad temporales. Para obtener información acerca de los precios de otros productos de AWS, consulte la Página de precios de Amazon Web Services.

La consola es una interfaz basada en navegador para administrar los recursos de IAM y AWS. Para obtener más información acerca de cómo acceder a IAM mediante la consola, consulte Cómo iniciar sesión en AWS en la Guía del usuario de AWS Sign-In.

Puede utilizar las herramientas de línea de comandos de AWS para emitir comandos en la línea de comando de su sistema con el fin de llevar a cabo tareas de IAM y de AWS. El uso de la línea de comandos puede ser más rápido y cómodo que la consola. Las herramientas de línea de comandos también son útiles si desea crear scripts que realicen tareas de AWS.

AWS proporciona dos conjuntos de herramientas de línea de comandos: AWS Command Line Interface (AWS CLI) y la AWS Tools for Windows PowerShell. Para obtener información acerca de la instalación y el uso de la AWS CLI, consulte la Guía del usuario de AWS Command Line Interface. Para obtener información sobre cómo instalar y utilizar Tools for Windows PowerShell, consulte la Guía del usuario de AWS Tools for Windows PowerShell.

Después de iniciar sesión en la consola, puede utilizar AWS CloudShell desde su navegador para ejecutar comandos de CLI o SDK. Los permisos para acceder a los recursos de AWS se basan en las credenciales que utilizó para iniciar sesión en la consola. Según su experiencia, es posible que la CLI le parezca un método más eficiente para administrar su Cuenta de AWS. Para obtener más información, consulte Utilización de AWS CloudShell para trabajar con AWS Identity and Access Management

AWS ofrece SDK (kits de desarrollo de software) que se componen de bibliotecas y código de muestra para diversos lenguajes de programación y plataformas (Java, Python, Ruby, .NET, iOS, Android, etc.). Los SDK proporcionan una forma cómoda de crear acceso mediante programación a IAM y AWS. Por ejemplo, los SDK se encargan de tareas como firmar solicitudes criptográficamente, gestionar los errores y reintentar las solicitudes de forma automática. Para obtener información sobre los SDK de AWS, incluido cómo descargarlos e instalarlos, consulte la página Herramientas para Amazon Web Services.

Puede acceder a IAM y AWS mediante programación con la API de consulta de IAM, que le permite emitir solicitudes HTTPS directamente al servicio. Cuando utilice la API de consulta, debe incluir un código para firmar de manera digital las solicitudes con sus credenciales. Para obtener más información, consulte Llamar a la API de IAM mediante solicitudes de consulta HTTP y la Referencia IAM API.