Configuración del acceso de los usuarios con el directorio predeterminado de Centro de identidades de IAM - AWS IAM Identity Center

Configuración del acceso de los usuarios con el directorio predeterminado de Centro de identidades de IAM

Cuando se habilita Centro de identidades de IAM por primera vez, se configura de manera automática con un directorio de Identity Center como origen de identidad predeterminado, así que no tiene que seleccionar uno. Si su organización utiliza otro proveedor de identidades, como AWS Directory Service for Microsoft Active Directory, Microsoft Entra ID o Okta, considere la posibilidad de integrar ese origen de identidad con Centro de identidades de IAM en lugar de utilizar la configuración predeterminada.

Objetivo

En este tutorial, utilizará el directorio predeterminado como origen de identidad y configurará y probará el acceso de los usuarios. En este escenario, administrará todos los usuarios y grupos en Centro de identidades de IAM. Los usuarios inician sesión a través del portal de acceso de AWS. Este tutorial está dirigido a los usuarios sin experiencia en AWS o que utilizan IAM para administrar usuarios y grupos. En los siguientes pasos, creará lo siguiente:

  • Un usuario administrativo llamado Nikki Wolf.

  • Un grupo llamado Equipo de administración.

  • Un conjunto de permisos denominado AdminAccess.

Para comprobar que todo se creó correctamente, deberá iniciar sesión y establecer la contraseña del usuario administrativo. Tras completar este tutorial, puede utilizar el usuario administrativo para agregar más usuarios a Centro de identidades de IAM, crear conjuntos de permisos adicionales y configurar el acceso organizativo a las aplicaciones.

Si aún no ha habilitado Centro de identidades de IAM, consulte Habilitación de AWS IAM Identity Center.

Realice una de estas 2 operaciones para iniciar sesión en la AWS Management Console.

  • Primera vez que utiliza AWS (usuario raíz): inicie sesión como propietario de cuenta; para ello, elija Usuario raíz de la Cuenta de AWS e ingrese la dirección de correo electrónico de Cuenta de AWS. En la siguiente página, escriba su contraseña.

  • Ya utiliza AWS (credenciales de IAM): inicie sesión con sus credenciales de IAM con permisos administrativos.

Abra la consola de Centro de identidades de IAM.

  1. En el panel de navegación de Centro de identidades de IAM, seleccione Usuarios y, a continuación, seleccione Agregar usuario.

  2. En la página Especificar los detalles del usuario, rellene la siguiente información:

    • Nombre de usuario: para este tutorial, ingrese nikkiw.

      Al crear los usuarios, seleccione nombres de usuario que sean fáciles de recordar. Sus usuarios deben recordar el nombre de usuario para iniciar sesión en el portal de acceso de AWS y no podrá cambiarlo más adelante.

    • Contraseña: seleccione Enviar un correo electrónico a este usuario con las instrucciones de configuración de la contraseña (recomendado).

      Esta opción envía al usuario un correo electrónico de Amazon Web Services, con el asunto Invitación para unirse a Centro de identidades de IAM. El correo electrónico proviene de no-reply@signin.aws o no-reply@login.awsapps.com. Agregue estas direcciones de correo electrónico a su lista de remitentes aprobados.

    • Dirección de correo electrónico: ingrese una dirección de correo electrónico del usuario en la que pueda recibir el correo electrónico. A continuación, vuelva a escribirla para confirmarla. Cada usuario debe tener una dirección de correo electrónico única.

    • En Nombre, ingrese el nombre del usuario. Para este tutorial, ingrese Nikki.

    • En Apellido, ingrese el apellido del usuario. Para este tutorial, ingrese Wolf.

    • Nombre de visualización: el valor predeterminado es el nombre y apellido del usuario. Si desea cambiar el nombre de visualización, puede ingresar otro nombre. El nombre de visualización está visible en el portal de inicio de sesión y en la lista de usuarios.

    • Complete la información opcional si lo desea. No se usa durante este tutorial y puede cambiarla más adelante.

  3. Elija Siguiente. Aparece la página Agregar usuario a grupos. Vamos a crear un grupo al que asignarle permisos administrativos en lugar de dárselos directamente a Nikki.

    Seleccione Crear grupo.

    Se abre una nueva pestaña del navegador para mostrar la página Crear grupo.

    1. En Detalles del grupo, en Nombre del grupo, ingrese un nombre para el grupo. Recomendamos un nombre de grupo que identifique el rol del grupo. Para este tutorial, ingrese Equipo de administración.

    2. Seleccione Crear grupo.

    3. Cierre la pestaña Grupos del navegador para volver a la pestaña Agregar usuario del navegador.

  4. En el área Grupos, seleccione el botón Actualizar. El grupo Equipo de administración aparece en la lista.

    Seleccione la casilla de verificación situada junto a Equipo de administración y, a continuación, elija Siguiente.

  5. En la página Revisar y agregar usuario, confirme lo siguiente:

    • La información principal aparece tal y como quería.

    • En Grupos se muestra el usuario agregado al grupo que ha creado

    Si desea realizar cambios, seleccione Editar. Cuando todos los detalles sean correctos, seleccione Agregar usuario.

    Un mensaje de notificación le informará de que se ha agregado el usuario.

A continuación, agregará permisos administrativos para el grupo Equipo de administración para que Nikki tenga acceso a los recursos.

  1. En el panel de navegación del Centro de identidades de IAM, en Permisos para varias cuentas, seleccione Cuentas de AWS.

  2. En la página Cuentas de AWS, la opción Estructura organizativa muestra la organización con las cuentas situadas por debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de administración y, a continuación, seleccione Asignar usuarios o grupos.

  3. Aparecerá el flujo de trabajo Asignar usuarios y grupos. Consta de tres pasos:

    1. En Paso 1: selección de usuarios y grupos, seleccione el grupo Equipo de administración que creó. A continuación, elija Next.

    2. En Paso 2: selección de conjuntos de permisos, elija Crear conjunto de permisos para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.

      1. En Paso 1: selección del tipo de conjunto de permisos, haga lo siguiente:

        • En Tipo de conjunto de permisos, seleccione Conjunto de permisos predefinido.

        • En Política para el conjunto de permisos predefinido, seleccione AdministratorAccess.

        Elija Siguiente.

      2. En Paso 2: especificación de los detalles del conjunto de permisos, mantenga la configuración predeterminada y seleccione Siguiente.

        La configuración predeterminada crea un conjunto de permisos denominado AdministratorAccess con una duración de sesión establecida en una hora. Puede cambiar el nombre del conjunto de permisos al introducir un nombre nuevo en el campo Nombre del conjunto de permisos.

      3. En Paso 3: revisión y creación, compruebe que Tipo de conjunto de permisos utiliza la política administrada por AWS AdministratorAccess. Seleccione Crear. En la página Conjuntos de permisos, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.

      En la pestaña Asignar usuarios y grupos del navegador, todavía está en Paso 2: selección de los conjuntos de permisos, donde empezó el flujo de trabajo de creación de conjuntos de permisos.

      En el área Conjuntos de permisos, pulse el botón Actualizar. El conjunto de permisos AdministratorAccess que creó aparece en la lista. Seleccione la casilla de verificación del conjunto de permisos y, a continuación, seleccione Siguiente.

    3. En la página Paso 3: revisión y envío de las asignaciones, confirme que el grupo Equipo de administración esté seleccionado y que el conjunto de permisos AdministratorAccess esté seleccionado y, a continuación, seleccione Enviar.

      La página se actualiza con un mensaje en el que se indica que la Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.

      Regresará a la página de las Cuentas de AWS. Un mensaje de notificación le informa de que se ha reaprovisionado la Cuenta de AWS y se ha aplicado el conjunto de permisos actualizado.

¡Enhorabuena!

Ha configurado correctamente su primer usuario, grupo y conjunto de permisos.

En la siguiente parte de este tutorial, para probar el acceso de Nikki, iniciará sesión en el portal de acceso de AWS con sus credenciales administrativas y configurará su contraseña. Cierre la sesión de la consola.

Ahora que Nikki Wolf es un usuario de su organización, puede iniciar sesión y acceder a los recursos para los que tiene permiso de acuerdo con su conjunto de permisos. Para comprobar que el usuario está correctamente configurado, en el siguiente paso utilizará las credenciales de Nikki para iniciar sesión y configurar su contraseña. Cuando agregó al usuario Nikki Wolf en el paso 1, eligió que Nikki recibiera un correo electrónico con las instrucciones para configurar la contraseña. Es hora de abrir el correo electrónico y hacer lo siguiente:

  1. En el correo electrónico, seleccione el enlace Aceptar la invitación para aceptar la invitación.

    nota

    En el correo electrónico también se incluyen el nombre de usuario de Nikki y la URL del portal de acceso de AWS que utilizará para iniciar sesión en la organización. Registre esta información para usarla más adelante.

    Accederá a la página Inscríbase a un nuevo usuario, donde podrá configurar la contraseña de Nikki.

  2. Después de configurar la contraseña de Nikki, accederá a la página Inicio de sesión. Ingrese nikkiw, seleccione Siguiente y, a continuación, ingrese la contraseña de Nikki y seleccione Iniciar sesión.

  3. Se abrirá la página del portal de acceso AWS, donde se mostrará la organización y las aplicaciones a las que puede acceder.

    Seleccione la organización para ampliarla en una lista de Cuentas de AWS y, a continuación, seleccione la cuenta para ver los roles que puede utilizar para acceder a los recursos de la cuenta.

    Cada conjunto de permisos tiene dos métodos de administración que puede utilizar: rol o claves de acceso.

  4. Elija el enlace del rol para iniciar sesión en AWS Console Home.

Ha iniciado sesión y ha accedido a la página de AWS Console Home. Explore la consola y confirme que tiene el acceso que esperaba.

Ahora que ha creado un usuario administrativo en Centro de identidades de IAM, puede hacer lo siguiente:

Una vez que los usuarios acepten la invitación para activar su cuenta e inicien sesión en el portal de acceso de AWS, los únicos elementos que aparecerán en el portal de Cuentas de AWS serán los roles y las aplicaciones a los que están asignados.

importante

Recomendamos encarecidamente habilitar la autenticación multifactor (MFA) para los usuarios. Para obtener más información, consulte Autenticación multifactor para usuarios de Identity Center.