Autenticar mediante credenciales a largo plazo - AWS SDKsy herramientas
Advertencias y directrices importantes para las credencialesRequisitos previos: crear un AWS cuentaPaso 1: Crea tu usuario IAMPaso 2: Obtener las claves de accesoPaso 3: Actualice el archivo compartido credentials

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticar mediante credenciales a largo plazo

aviso

Para evitar riesgos de seguridad, no utilice a IAM los usuarios para autenticarse cuando desarrolle software diseñado específicamente o trabaje con datos reales. En su lugar, utilice la federación con un proveedor de identidad como AWS IAM Identity Center.

Si utilizas un IAM usuario para ejecutar el código, la herramienta SDK o la herramienta de tu entorno de desarrollo se autentican mediante credenciales de IAM usuario de larga duración en el entorno compartido AWS credentialsarchivo. Revise las prácticas recomendadas de seguridad del IAM tema y haga la transición a IAM Identity Center u otras credenciales temporales lo antes posible.

Advertencias y directrices importantes para las credenciales

Advertencias para las credenciales

  • NOTUtilice las credenciales raíz de su cuenta para acceder AWS recursos. Estas credenciales proporcionan acceso ilimitado a la cuenta y son difíciles de revocar.

  • Incluya NOT literalmente las claves de acceso o la información de credenciales en los archivos de su solicitud. Si lo hace, puede crear un riesgo de exposición accidental de sus credenciales si, por ejemplo, carga el proyecto en un repositorio público.

  • NOTIncluya archivos que contengan credenciales en el área de su proyecto.

  • Tenga en cuenta que cualquier credencial almacenada en el espacio compartido AWS credentialslos archivos se almacenan en texto plano.

Guía adicional para administrar las credenciales de forma segura

Para una discusión general sobre cómo administrar de forma segura AWS las credenciales, consulte Prácticas recomendadas para la administración AWS claves de acceso en el Referencia general de AWS. Además de esa discusión, considere lo siguiente:

  • Utilice IAMroles para las tareas de Amazon Elastic Container Service (AmazonECS).

  • Usa IAMroles para las aplicaciones que se ejecutan en EC2 instancias de Amazon.

Requisitos previos: crear un AWS cuenta

Para utilizar un IAM usuario para acceder AWS servicios, necesita un AWS cuenta y AWS credenciales.

  1. Cree una cuenta.

    Para crear un AWS cuenta, consulta Cómo empezar: ¿es la primera vez AWS usuario? en el AWS Account Management Guía de referencia.

  2. Crear un usuario administrativo.

    Evite usar la cuenta de usuario raíz (la cuenta inicial que cree) para acceder a la consola y los servicios de administración. En su lugar, cree una cuenta de usuario administrativo, tal y como se explica en la sección Creación de un usuario administrativo de la Guía del IAM usuario.

    Después de crear la cuenta de usuario administrativo y registrar los detalles de inicio de sesión, asegúrese de desconectar la cuenta de usuario raíz y vuelva a iniciar sesión con la cuenta administrativa.

Ninguna de estas cuentas es adecuada para desarrollar en AWS o para ejecutar aplicaciones en AWS. Como práctica recomendada, debe crear usuarios, conjuntos de permisos o funciones de servicio que sean adecuados para estas tareas. Para obtener más información, consulte Aplicar permisos con privilegios mínimos en la Guía del IAM usuario.

Paso 1: Crea tu usuario IAM

  • Cree su IAM usuario siguiendo el procedimiento de creación de IAM usuarios (consola) de la Guía del IAM usuario. Al crear el IAM usuario:

    • Le recomendamos que seleccione Proporcionar acceso de usuario a AWS Management Console. Esto te permite ver Servicios de AWS relacionado con el código que se está ejecutando en un entorno visual, como la comprobación AWS CloudTrail registros de diagnóstico o carga de archivos a Amazon Simple Storage Service, lo que resulta útil a la hora de depurar el código.

    • En Configurar permisos: opciones de permisos, selecciona Adjuntar políticas directamente para ver cómo quieres asignar los permisos a este usuario.

      • La mayoría de SDK los tutoriales de introducción utilizan el servicio Amazon S3 como ejemplo. Para proporcionar a su aplicación acceso completo a Amazon S3, seleccione la política AmazonS3FullAccess que desea asociar a este usuario.

    • Puede ignorar los pasos opcionales de ese procedimiento relacionados con la configuración de los límites o las etiquetas de los permisos.

Paso 2: Obtener las claves de acceso

  1. En el panel de navegación de la IAM consola, seleccione Usuarios y, a continuación, seleccione el User name usuario que creó anteriormente.

  2. En la página del usuario, selecciona la página Credenciales de seguridad. A continuación, en Claves de acceso, seleccione Crear clave de acceso.

  3. En el paso 1 de Crear la clave de acceso, elija Interfaz de línea de comandos (CLI) o Código local. Ambas opciones generan el mismo tipo de clave para utilizarla con los dos AWS CLI y elSDKs.

  4. En el paso 2 de Crear clave de acceso, introduzca una etiqueta opcional y seleccione Siguiente.

  5. En el paso 3 de Crear la clave de acceso, selecciona Descargar el archivo.csv para guardar un .csv archivo con la clave de acceso y la clave de acceso secreta de tu IAM usuario. Necesitará esta información más tarde.

    aviso

    Utilice las medidas de seguridad adecuadas para mantener estas credenciales seguras.

  6. Seleccione Done (Listo).

Paso 3: Actualice el archivo compartido credentials

  1. Crea o abre el archivo compartido AWS credentialsarchivo. Este archivo es ~/.aws/credentials en sistemas Linux y macOS y %USERPROFILE%\.aws\credentials en Windows. Para obtener más información, consulte la ubicación de los archivos de credenciales.

  2. Agregue el siguiente texto al archivo credentials compartido. Sustituya el valor de ID y el valor clave de ejemplo por los valores del archivo .csv que descargó anteriormente. 

    [default]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  3. Guarde el archivo.

El archivo compartido credentials es la forma más común de almacenar las credenciales. También se pueden configurar como variables de entorno; consulte los nombres de las variables de entorno AWS claves de acceso. Esta es una forma de empezar, pero le recomendamos que haga la transición a IAM Identity Center o a otras credenciales temporales lo antes posible. Cuando deje de usar credenciales de larga duración, recuerde eliminarlas del archivo compartido credentials.