Configuración del acceso de los usuarios con el directorio predeterminado de IAM Identity Center

Cuando se habilita IAM Identity Center por primera vez, se configura de manera automática con un directorio de Identity Center como origen de identidad predeterminado, así que no tiene que seleccionar uno. Si su organización utiliza otro proveedor de identidad, por ejemplo AWS Directory Service for Microsoft Active Directory, Microsoft Entra ID, or Okta considere la posibilidad de integrar esa fuente de identidad con el Centro de identidades de IAM en lugar de utilizar la configuración predeterminada.

Objetivo

En este tutorial, utilizará el directorio predeterminado como origen de identidad y configurará y probará el acceso de los usuarios. En este escenario, administrará todos los usuarios y grupos en IAM Identity Center. Los usuarios inician sesión a través del portal de AWS acceso. Este tutorial está dirigido a usuarios nuevos AWS o que han estado utilizando IAM para administrar usuarios y grupos. En los siguientes pasos, creará lo siguiente:

Un usuario administrativo llamado Nikki Wolf
Un grupo llamado Admin team
Un conjunto de permisos denominado AdminAccess

Para comprobar que todo se creó correctamente, deberá iniciar sesión y establecer la contraseña del usuario administrativo. Tras completar este tutorial, puede utilizar el usuario administrativo para agregar más usuarios a IAM Identity Center, crear conjuntos de permisos adicionales y configurar el acceso organizativo a las aplicaciones.

Si aún no ha habilitado IAM Identity Center, consulte Habilitar AWS IAM Identity Center.

Realice una de estas 2 operaciones para iniciar sesión en la AWS Management Console.

Nuevo para AWS (usuario root): inicia sesión como propietario de la cuenta; para ello, selecciona el usuario Cuenta de AWS root e introduce tu dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.
Si ya lo utilizas AWS (credenciales de IAM): inicia sesión con tus credenciales de IAM con permisos administrativos.

Abra la consola de IAM Identity Center.

En el panel de navegación de IAM Identity Center, seleccione Usuarios y, a continuación, seleccione Agregar usuario.
En la página Especificar los detalles del usuario, rellene la siguiente información:
- Nombre de usuario: para este tutorial, introduzca. nikkiw
  
  Al crear los usuarios, seleccione nombres de usuario que sean fáciles de recordar. Sus usuarios deben recordar el nombre de usuario para iniciar sesión en el portal de acceso de AWS y no podrá cambiarlo más adelante.
- Contraseña: seleccione Enviar un correo electrónico a este usuario con las instrucciones de configuración de la contraseña (recomendado).
  
  Esta opción envía al usuario un correo electrónico de Amazon Web Services, con el asunto Invitación para unirse a IAM Identity Center. El correo electrónico proviene de no-reply@signin.aws o no-reply@login.awsapps.com. Agregue estas direcciones de correo electrónico a su lista de remitentes aprobados.
- Dirección de correo electrónico: ingrese una dirección de correo electrónico del usuario en la que pueda recibir el correo electrónico. A continuación, vuelva a escribirla para confirmarla. Cada usuario debe tener una dirección de correo electrónico única.
- En Nombre, ingrese el nombre del usuario. En este tutorial, escriba Nikki.
- En Apellido, ingrese el apellido del usuario. En este tutorial, escriba Wolf.
- Nombre de visualización: el valor predeterminado es el nombre y apellido del usuario. Si desea cambiar el nombre de visualización, puede ingresar otro nombre. El nombre de visualización está visible en el portal de inicio de sesión y en la lista de usuarios.
- Complete la información opcional si lo desea. No se usa durante este tutorial y puede cambiarla más adelante.
Elija Next (Siguiente). Aparece la página Agregar usuario a grupos. Vamos a crear un grupo al que asignarle permisos administrativos en lugar de dárselos directamenteNikki.

Seleccione Crear grupo.

Se abre una nueva pestaña del navegador para mostrar la página Crear grupo.
1. En Detalles del grupo, en Nombre del grupo, ingrese un nombre para el grupo. Recomendamos un nombre de grupo que identifique el rol del grupo. En este tutorial, escriba Admin team.
2. Seleccione Crear grupo.
3. Cierre la pestaña Grupos del navegador para volver a la pestaña Agregar usuario del navegador.
En el área Grupos, seleccione el botón Actualizar. El Admin team grupo aparece en la lista.

Seleccione la casilla de verificación situada junto a yAdmin team, a continuación, elija Siguiente.
En la página Revisar y agregar usuario, confirme lo siguiente:
- La información principal aparece tal y como quería.
- En Grupos se muestra el usuario agregado al grupo que ha creado
Si desea realizar cambios, seleccione Editar. Cuando todos los detalles sean correctos, seleccione Agregar usuario.

Un mensaje de notificación le informará de que se ha agregado el usuario.

A continuación, añadirá permisos administrativos para que el Admin team grupo Nikki tenga acceso a los recursos.

En el panel de navegación del IAM Identity Center, en Permisos para varias cuentas, seleccione Cuentas de AWS.
En la página Cuentas de AWS, la opción Estructura organizativa muestra la organización con las cuentas situadas por debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de administración y, a continuación, seleccione Asignar usuarios o grupos.
Aparecerá el flujo de trabajo Asignar usuarios y grupos. Consta de tres pasos:
1. Para el paso 1: Seleccione los usuarios y los grupos, elija el Admin team grupo que ha creado. A continuación, elija Siguiente.
2. En Paso 2: selección de conjuntos de permisos, elija Crear conjunto de permisos para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.
  1. En Paso 1: selección del tipo de conjunto de permisos, haga lo siguiente:
    - En Tipo de conjunto de permisos, seleccione Conjunto de permisos predefinido.
    - En Política para un conjunto de permisos predefinido, elija AdministratorAccess.
    Elija Next (Siguiente).
  2. En Paso 2: especificación de los detalles del conjunto de permisos, mantenga la configuración predeterminada y seleccione Siguiente.
    
    La configuración predeterminada crea un conjunto de permisos denominado AdministratorAccess con una duración de sesión establecida en una hora. Puede cambiar el nombre del conjunto de permisos al introducir un nombre nuevo en el campo Nombre del conjunto de permisos.
  3. En el paso 3: revisar y crear, compruebe que el tipo de conjunto de permisos utiliza la política AWS gestionada AdministratorAccess. Seleccione Crear. En la página Conjuntos de permisos, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.
  En la pestaña Asignar usuarios y grupos del navegador, todavía está en Paso 2: selección de los conjuntos de permisos, donde empezó el flujo de trabajo de creación de conjuntos de permisos.
  
  En el área Conjuntos de permisos, pulse el botón Actualizar. El conjunto de AdministratorAccess permisos que ha creado aparece en la lista. Seleccione la casilla de verificación del conjunto de permisos y, a continuación, seleccione Siguiente.
3. En la página Paso 3: Revisar y enviar las tareas, confirme que el Admin team grupo y el conjunto de AdministratorAccess permisos están seleccionados y, a continuación, seleccione Enviar.
  
  La página se actualiza con un mensaje en el que se indica que Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.
  
  Volverá a la Cuentas de AWS página. Un mensaje de notificación le informa de que se Cuenta de AWS ha vuelto a aprovisionar y se ha aplicado el conjunto de permisos actualizado.

¡Enhorabuena!

Ha configurado correctamente su primer usuario, grupo y conjunto de permisos.

En la siguiente parte de este tutorial, probará el Nikki's acceso iniciando sesión en el portal de AWS acceso con sus credenciales administrativas y configurando su contraseña. Cierre la sesión de la consola.

Ahora que Nikki Wolf es un usuario de su organización, puede iniciar sesión y acceder a los recursos para los que tiene permiso de acuerdo con su conjunto de permisos. Para comprobar que el usuario está configurado correctamente, en el siguiente paso utilizarás Nikki's las credenciales para iniciar sesión y configurar su contraseña. Cuando agregaste el usuario Nikki Wolf en el paso 1, elegiste Nikki recibir un correo electrónico con las instrucciones para configurar la contraseña. Es hora de abrir el correo electrónico y hacer lo siguiente:

En el correo electrónico, seleccione el enlace Aceptar la invitación para aceptar la invitación.

nota
El correo electrónico también incluye el nombre de Nikki's usuario y la URL del portal de AWS acceso que utilizarán para iniciar sesión en la organización. Registre esta información para usarla más adelante.

Accederás a la página de registro de nuevos usuarios, donde podrás establecer la Nikki's contraseña.
Después de configurar Nikki's la contraseña, accederá a la página de inicio de sesión. Ingresa nikkiw y selecciona Siguiente, luego ingresa la Nikki's contraseña y selecciona Iniciar sesión.
Se abre el portal de AWS acceso y muestra la organización y las aplicaciones a las que puede acceder.

Seleccione la organización para ampliarla en una lista y, a Cuentas de AWS continuación, seleccione la cuenta para ver las funciones que puede utilizar para acceder a los recursos de la cuenta.

Cada conjunto de permisos tiene dos métodos de administración que puede utilizar: rol o claves de acceso.
- Rol, por ejemploAdministratorAccess: abre el AWS Console Home.
- Claves de acceso: proporcionan credenciales que puede usar con el AWS CLI o y el AWS SDK. Incluye la información para usar credenciales de corta duración que se actualizan automáticamente o claves de acceso de corta duración. Para obtener más información, consulte Obtención de las credenciales de usuario de Centro de identidades de IAM para el o los SDK de la AWS CLI o de AWS.
Elija el enlace del rol para iniciar sesión en AWS Console Home.

Has iniciado sesión y has accedido a la AWS Console Home página. Explore la consola y confirme que tiene el acceso que esperaba.

Ahora que ha creado un usuario administrativo en IAM Identity Center, puede hacer lo siguiente:

Asignar aplicaciones
Agregar otros usuarios
Asignar usuarios a las cuentas
Configurar conjuntos de permisos adicionales

nota
Puede asignar varios conjuntos de permisos al mismo usuario. Para seguir la práctica recomendada de aplicar permisos con privilegios mínimos, después de crear un conjunto de permisos administrativos, cree un conjunto de permisos más restrictivo y asígnelo al mismo usuario. De esta forma, podrá acceder a la suya únicamente Cuenta de AWS con los permisos que necesite, en lugar de con permisos administrativos.

Una vez que los usuarios acepten la invitación para activar su cuenta e inicien sesión en el portal de AWS acceso, los únicos elementos que aparecen en el Cuentas de AWS portal son los roles y las aplicaciones a los que están asignados.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

PingOne

Instancias de IAM Identity Center

Configuración del acceso de los usuarios con el directorio predeterminado de IAM Identity Center

¡Enhorabuena!

nota

nota