Obtención de las credenciales de usuario de Centro de identidades de IAM para el o los SDK de la AWS CLI o de AWS - AWS IAM Identity Center
Requisitos previosConsideracionesObtención y actualización de credenciales temporales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Obtención de las credenciales de usuario de Centro de identidades de IAM para el o los SDK de la AWS CLI o de AWS

Puede acceder a los servicios de AWS mediante programación usando los kits de desarrollo de software (SDK) de la AWS Command Line Interface o de AWS con credenciales de usuario de Centro de identidades de IAM. En este tema se describe cómo obtener credenciales temporales para un usuario en Centro de identidades de IAM.

El portal de acceso AWS proporciona a los usuarios de Centro de identidades de IAM un acceso único a sus aplicaciones y la nube de Cuentas de AWS. Tras iniciar sesión en el portal de acceso AWS como usuario de Centro de identidades de IAM, podrá obtener credenciales temporales. A continuación, puede utilizar las credenciales, también denominadas credenciales de usuario de Centro de identidades de IAM, en los SDK de la AWS CLI o de AWS para acceder a los recursos de una Cuenta de AWS.

Si utiliza la AWS CLI para acceder a los servicios de AWS mediante programación, puede utilizar los procedimientos de este tema para iniciar el acceso a la AWS CLI. Para obtener información sobre el nuevo servicio de la AWS CLI, consulte la Guía del usuario de AWS Command Line Interface.

Si utiliza los SDK de AWS para acceder a sus servicios de AWS mediante programación, seguir los procedimientos de este tema también establece directamente la autenticación de los SDK de AWS. Para obtener información sobre los SDK de AWS, consulte la Guía de referencia de los SDK y las herramientas de AWS.

nota

Los usuarios de Centro de identidades de IAM son diferentes a los usuarios de IAM. Los usuarios de IAM reciben credenciales a largo plazo para los recursos de AWS. Los usuarios de Centro de identidades de IAM reciben credenciales temporales. Le recomendamos que utilice credenciales temporales como práctica recomendada de seguridad para acceder a sus Cuentas de AWS, ya que estas credenciales se generan cada vez que inicia sesión.

Requisitos previos

Para obtener credenciales temporales para su usuario de Centro de identidades de IAM, necesitará lo siguiente:

  • Un usuario de Centro de identidades de IAM: iniciará sesión en el portal de acceso AWS como este usuario. Usted o su administrador pueden crearlo. Para obtener información sobre cómo activar Centro de identidades de IAM y crear un usuario de Centro de identidades de IAM, consulte Introducción a las tareas habituales en Centro de identidades de IAM.

  • Acceso de usuario a una Cuenta de AWS: para conceder permiso a un usuario de Centro de identidades de IAM para que recupere sus credenciales temporales, usted o un administrador deben asignar al usuario de Centro de identidades de IAM un conjunto de permisos. Los conjuntos de permisos se guardan en Centro de identidades de IAM y definen el nivel de acceso que tienen los usuarios y grupos de una Cuenta de AWS. Si su administrador creó el usuario de Centro de identidades de IAM por usted, pídale que añada este acceso. Para obtener más información, consulte Asigne el acceso de los usuarios a Cuentas de AWS.

  • La AWS CLI instalada: para usar las credenciales temporales, debe instalar la AWS CLI. Para obtener instrucciones de instalación, consulte Instalar o actualizar la última versión de la AWS CLI en la Guía del usuario de AWS CLI.

Consideraciones

Antes de completar los pasos para obtener credenciales temporales para el usuario de Centro de identidades de IAM, tenga en cuenta los siguientes aspectos:

  • Centro de identidades de IAM crea roles de IAM: cuando se asigna a un usuario de Centro de identidades de IAM un conjunto de permisos, Centro de identidades de IAM crea un rol de IAM correspondiente a partir del conjunto de permisos. Los roles de IAM creados mediante conjuntos de permisos se diferencian de los roles de IAM creados en AWS Identity and Access Management en los siguientes aspectos:

    • Centro de identidades de IAM posee y protege los roles creados por los conjuntos de permisos. Solo Centro de identidades de IAM puede modificar estos roles.

    • Solo los usuarios de Centro de identidades de IAM pueden asumir los roles que corresponden a sus conjuntos de permisos asignados. No puede asignar el acceso a los conjuntos de permisos a los usuarios de IAM, a los usuarios federados de IAM ni a las cuentas de servicio.

    • No puede modificar una política de confianza de roles en estos roles para permitir el acceso a entidades principales fuera de Centro de identidades de IAM.

    Para obtener información sobre cómo obtener credenciales temporales para un rol que cree en IAM, consulte Uso de credenciales de seguridad temporales con la AWS CLI en la Guía del usuario de AWS Identity and Access Management.

  • Puede configurar la duración de la sesión para los conjuntos de permisos: tras iniciar sesión en el portal de acceso AWS, el conjunto de permisos al que está asignado su usuario de Centro de identidades de IAM aparecerá como rol disponible. Centro de identidades de IAM crea una sesión independiente para este rol. Esta sesión puede durar de una a 12 horas según la duración de la sesión configurada para el conjunto de permisos. De forma predeterminada, la sesión durará 1 hora. Para obtener más información, consulte Definir la duración de la sesión para Cuentas de AWS.

Obtención y actualización de credenciales temporales

Puede obtener y actualizar credenciales temporales de su usuario de Centro de identidades de IAM de forma automática o manual.

Actualización automática de credenciales (recomendada)

La actualización automática de credenciales utiliza el estándar de autorización de código de dispositivo Open ID Connect (OIDC)). Con este método, se inicia el acceso directamente mediante el comando aws configure sso en la AWS CLI. Puede usar este comando para acceder automáticamente a cualquier rol que esté asociado a cualquier conjunto de permisos al que esté asignado para cualquier Cuenta de AWS.

Para acceder al rol creado para su usuario de Centro de identidades de IAM, ejecute el comando aws configure sso y, a continuación, autorice la AWS CLI desde una ventana del navegador. Mientras tenga una sesión activa en el portal de acceso AWS, la AWS CLI recuperará automáticamente las credenciales temporales y las actualizará automáticamente.

Para obtener más información, consulte Configurar el perfil con el aws configure sso wizard en la Guía del usuario AWS Command Line Interface.

Cómo obtener credenciales temporales que se actualicen automáticamente:

  1. El administrador o el empleado del servicio de asistencia proporcionan el portal de acceso AWS o la URL de inicio de sesión específica. Si creó el usuario de Centro de identidades de IAM, AWS envió una invitación por correo electrónico con la URL de inicio de sesión. Para obtener más información, consulte Inicie sesión en el portal de acceso AWS en la Guía de inicio de sesión AWS.

  2. En la pestaña Cuentas, localice la Cuenta de AWS para la que desee recuperar las credenciales. Al seleccionar la cuenta, aparecerán el nombre y el ID de la cuenta y la dirección de correo electrónico asociados a la cuenta.

    nota

    Si no ve ninguna Cuentas de AWS en la lista, es probable que aún no se le haya asignado un conjunto de permisos dicha cuenta o cuentas. En este caso, póngase en contacto con su administrador y pídale que añada este acceso. Para obtener más información, consulte Asigne el acceso de los usuarios a Cuentas de AWS.

  3. Debajo del nombre de la cuenta, los permisos al que está asignado el usuario de Centro de identidades de IAM aparecen como un rol disponible. Por ejemplo, si se asigna a su usuario de Centro de identidades de IAM el conjunto de permisos PowerUserAccess para la cuenta, el rol aparece en el portal de acceso AWS como PowerUserAccess.

  4. Según la opción que elija junto al nombre del rol, elija Claves de acceso o Línea de comandos o acceso mediante programación.

  5. En el cuadro de diálogo Obtener credenciales, elija macOS y Linux, Windows o PowerShell, según el sistema operativo en el que haya instalado la AWS CLI.

  6. En Credenciales de Centro de identidades de IAM de AWS (recomendadas), se muestran sus credenciales de SSO Start URL y SSO Region. Estos valores son necesarios para configurar un perfil habilitado para Centro de identidades de IAM y sso-session para la AWS CLI Para completar esta configuración, siga las instrucciones de Configurar el perfil con el aws configure sso wizard en la Guía del usuario de AWS Command Line Interface.

Continúe utilizando la AWS CLI para su cuenta de Cuenta de AWS mientras la necesite hasta que caduquen las credenciales.

Actualización manual de credenciales

Puede usar el método de actualización manual de credenciales para obtener credenciales temporales para un rol que esté asociado a un conjunto de permisos específico en una Cuenta de AWS específica. Para ello, debe copiar y pegar los comandos necesarios para las credenciales temporales. Con este método, debe actualizar las credenciales temporales manualmente.

Puede ejecutar comandos de la AWS CLI hasta que caduquen sus credenciales temporales.

Cómo obtener credenciales que se actualizan manualmente

  1. El administrador o el empleado del servicio de asistencia proporcionan el portal de acceso AWS o la URL de inicio de sesión específica. Si creó el usuario de Centro de identidades de IAM, AWS envió una invitación por correo electrónico con la URL de inicio de sesión. Para obtener más información, consulte Inicie sesión en el portal de acceso AWS en la Guía de inicio de sesión AWS.

  2. En la pestaña Cuentas, localice la Cuenta de AWS para la que desea recuperar las credenciales de acceso y amplíela para mostrar el nombre del rol de IAM (por ejemplo, Administrador). Según la opción que elija junto al nombre del rol de IAM, elija Claves de acceso o Línea de comandos o acceso mediante programación.

    nota

    Si no ve ninguna Cuentas de AWS en la lista, es probable que aún no se le haya asignado un conjunto de permisos dicha cuenta o cuentas. En este caso, póngase en contacto con su administrador y pídale que añada este acceso. Para obtener más información, consulte Asigne el acceso de los usuarios a Cuentas de AWS.

  3. En el cuadro de diálogo Obtener credenciales, elija macOS y Linux, Windows o PowerShell, según el sistema operativo en el que haya instalado la AWS CLI.

  4. Elija una de las siguientes opciones:

    • Opción 1: definir las variables de entorno de AWS

      Elija esta opción para anular toda la configuración de credenciales, incluida la configuración de los archivos credentials y config. Para obtener más información, consulte Variables de entorno para configurar la AWS CLI en la Guía del usuario de AWS CLI.

      Para usar esta opción, copie los comandos en el portapapeles, péguelos en la ventana del terminal de la AWS CLI y, a continuación, presione Entrar para configurar las variables de entorno necesarias.

    • Opción 2: agregue un perfil al archivo de credenciales de AWS

      Elija esta opción para ejecutar comandos con diferentes conjuntos de credenciales.

      Para usar esta opción, copie los comandos en el portapapeles y, a continuación, péguelos en las credentials compartidas de AWS para configurar un nuevo perfil con nombre. Para obtener más información, consulte Archivos de configuración y credenciales compartidos en la Guía de referencia de SDK y herramientas de AWS. Para usar esta credencial, especifique la opción --profile en el comando de la AWS CLI. Esto afecta a todos los símbolos del sistema que utilicen el mismo archivo de credenciales.

    • Opción 3: utilice valores individuales en su cliente de servicio de AWS

      Elija esta opción para acceder a los recursos de AWS de un cliente de servicio de AWS. Para obtener más información, consulte Herramientas para crear en AWS.

      Para usar esta opción, copie los valores en el portapapeles, péguelos en el código y asígnelos a las variables adecuadas para su SDK. Para obtener más información, consulte la documentación específica de su específico SDK API.