Credenciales de seguridad de AWS - AWS Identity and Access Management
Consideraciones de seguridad

Credenciales de seguridad de AWS

Al interactuar con AWS, debe especificar las credenciales de seguridad de AWS con el fin de demostrar quién es usted y si tiene permiso para acceder a los recursos que solicita. AWS utiliza las credenciales de seguridad para autenticar y autorizar sus solicitudes.

Por ejemplo, si desea descargar un archivo protegido de un bucket de Amazon Simple Storage Service (Amazon S3), sus credenciales deben permitir ese tipo de acceso. Si sus credenciales no muestran que está autorizado para descargar el archivo, AWS le denegará la solicitud. Sin embargo, sus credenciales de seguridad de AWS no son necesarias para descargar un archivo de un bucket de Amazon S3 que se comparte públicamente.

Hay diferentes tipos de usuarios en AWS, cada uno con sus propias credenciales de seguridad:

  • Propietario de la cuenta (usuario raíz): el usuario que creó la Cuenta de AWS y tiene acceso total.

  • Usuarios AWS IAM Identity Center: usuarios administrados en AWS IAM Identity Center.

  • Usuarios federados: usuarios de proveedores de identidad externos a los que se concede acceso temporal a AWS mediante la federación. Para obtener más información acerca de las identidades federadas, consulte Federación y proveedores de identidades.

  • Usuarios de IAM: usuarios individuales creados dentro del servicio de AWS Identity and Access Management (IAM).

Los usuarios tienen credenciales de seguridad temporales o a largo plazo. El usuario raíz y el usuario de IAM tienen credenciales de seguridad a largo plazo que no caducan. Las claves de acceso son credenciales de seguridad a largo plazo que no caducan. Para proteger las credenciales a largo plazo, utilice procesos a fin de administrar claves de acceso, cambiar contraseñas y habilitar la MFA. Para obtener más información, consulte Prácticas de seguridad recomendadas y casos de uso en AWS Identity and Access Management.

Los roles de IAM, usuarios en AWS IAM Identity Center y los usuarios federados poseen credenciales de seguridad temporales. Las credenciales de seguridad temporales caducan después de un periodo definido o cuando el usuario finaliza la sesión. Las credenciales temporales funcionan prácticamente igual que las credenciales a largo plazo, con las siguientes diferencias:

  • Las credenciales de seguridad temporales son a corto plazo, tal como su nombre indica. Se pueden configurar para durar entre unos cuantos minutos y varias horas. Cuando las credenciales caduquen, AWS dejará de reconocerlas o permitirá todo tipo de acceso a las solicitudes realizadas desde API que las utilicen.

  • Las credenciales de seguridad temporales no se guardan con el usuario, sino que se generan de forma dinámica y se proporcionan al usuario cuando se solicitan. Cuando las credenciales de seguridad temporales caducan (o incluso antes), el usuario puede solicitar nuevas credenciales, siempre y cuando el usuario que las solicite tenga permiso para hacerlo.

Como resultado, las credenciales temporales tienen las siguientes ventajas con respecto a las credenciales a largo plazo:

  • No tiene que distribuir ni incrustar credenciales de seguridad de AWS a largo plazo con una aplicación.

  • Puede proporcionar acceso a sus recursos de AWS a usuarios, sin necesidad de definir una identidad de AWS para ellos. Las credenciales temporales son la base de los roles y las identidades federadas.

  • Las credenciales de seguridad temporales tienen un ciclo de vida limitado, por lo que no tiene que actualizarlas ni revocarlas de forma explícita cuando ya no las necesite. Cuando las credenciales de seguridad temporales caducan, ya no se pueden volver a utilizar. Puede especificar el tiempo de validez de las credenciales, hasta un límite máximo.

Consideraciones de seguridad

Recomendamos que tenga en cuenta la siguiente información al determinar las disposiciones de seguridad para su Cuenta de AWS:

  • Al crear una Cuenta de AWS, creamos el usuario raíz de la cuenta. Las credenciales del usuario raíz (propietario de la cuenta) permiten el acceso completo a todos los recursos de la cuenta. La primera tarea que debe realizar con el usuario raíz es conceder a otro usuario permisos administrativos para su Cuenta de AWS a fin de minimizar el uso del usuario raíz.

  • La autenticación multifactor (MFA) proporciona un nivel de seguridad adicional para los usuarios que pueden acceder a su Cuenta de AWS. Para aumentar la seguridad, le recomendamos que exija la MFA en las credenciales de Usuario raíz de la cuenta de AWS y todos los usuarios de IAM. Para obtener más información, consulte Autenticación multifactor de AWS en IAM.

  • AWS requiere diferentes tipos de credenciales de seguridad, según cómo acceda a AWS y qué tipo de usuario de AWS sea. Por ejemplo, usted usa las credenciales de inicio de sesión para la AWS Management Console, pero usa las claves de acceso para realizar llamadas a AWS mediante programación. Consulte Qué es el inicio de sesión en AWS en la Guía del usuario de AWS Sign-In para obtener ayuda acerca de cómo determinar el tipo de usuario y la página de inicio de sesión.

  • No puede utilizar las políticas de IAM para denegar al usuario raíz el acceso a los recursos de forma explícita. Solo puede usar una política de control de servicios (SCP) de AWS Organizations para limitar los permisos del usuario raíz.

  • Si olvida o pierde la contraseña de usuario raíz, debe tener acceso a la dirección de correo electrónico asociada a su cuenta para poder restablecerla.

  • Si pierde las claves de acceso de usuario raíz, debe poder iniciar sesión en su cuenta como usuario raíz para crear otras nuevas.

  • No utilice el usuario raíz para las tareas cotidianas. Utilícelo para realizar las tareas que solo puede realizar el usuario raíz. Para obtener la lista completa de tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz.

  • Las credenciales de seguridad son específicas de la cuenta. Si tiene acceso a varias Cuentas de AWS, tiene credenciales independientes para cada cuenta.

  • Las políticas determinan qué acciones puede realizar un usuario, un rol o un miembro de un grupo de usuarios, en qué recursos de AWS y en qué condiciones. Con las políticas, puede controlar de forma segura el acceso a los recursos y Servicios de AWS de su Cuenta de AWS. Si debe modificar o revocar los permisos en respuesta a un evento de seguridad, elimine o modifique las políticas en lugar de realizar cambios directamente en la identidad.

  • Asegúrese de guardar las credenciales de inicio de sesión de su usuario de IAM de Acceso de emergencia y cualquier clave de acceso que haya creado para el acceso programático en una ubicación segura. Si pierde sus claves de acceso, debe iniciar sesión en su cuenta para crear otras nuevas.

  • Le recomendamos que utilice las credenciales temporales proporcionadas por los roles de IAM y los usuarios federados en lugar de las credenciales a largo plazo proporcionadas los usuarios de IAM y las claves de acceso.