Acceso mediante inicio de sesión único a Cuentas de AWS - AWS IAM Identity Center
Asigne el acceso de los usuarios a Cuentas de AWSElimine el acceso de usuarios y gruposRevocar una sesión de conjunto de permisos activaDelegue quién puede asignar el acceso de inicio de sesión único a los usuarios y grupos de la cuenta de administración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso mediante inicio de sesión único a Cuentas de AWS

Puede asignar permisos a los usuarios de su directorio conectado a la cuenta de administración o a las cuentas de los miembros de su organización en AWS Organizations función de las funciones laborales más comunes. También puede utilizar permisos personalizados para satisfacer sus requisitos de seguridad específicos. Por ejemplo, puedes conceder a los administradores de bases de datos amplios permisos para Amazon RDS en las cuentas de desarrollo, pero limitar sus permisos en las cuentas de producción. IAMIdentity Center configura Cuentas de AWS automáticamente todos los permisos de usuario necesarios en su cuenta.

nota

Es posible que deba conceder permisos a los usuarios o grupos para operar en la cuenta AWS Organizations de administración. Como se trata de una cuenta con muchos privilegios, las restricciones de seguridad adicionales requieren que tengas la IAMFullAccesspolítica o permisos equivalentes antes de poder configurarla. Estas restricciones de seguridad adicionales no son obligatorias para ninguna de las cuentas de los miembros de su AWS organización.

Asigne el acceso de los usuarios a Cuentas de AWS

Utilice el siguiente procedimiento para asignar el acceso de inicio de sesión único a usuarios y grupos del directorio conectado y para utilizar conjuntos de permisos para determinar su nivel de acceso.

Para comprobar el acceso existente de usuarios y grupos, consulteVea las asignaciones de usuarios y grupos.

nota

Para simplificar la administración de los permisos de acceso, se recomienda asignar el acceso directamente a grupos en lugar de a usuarios individuales. Con los grupos puede conceder o denegar permisos para grupos de usuarios en lugar de asignar esos permisos a cada individuo. Si un usuario se va a otra organización, basta con cambiarlo a un grupo diferente y automáticamente recibirá los permisos necesarios para la nueva organización.

Para asignar el acceso de usuario o grupo a Cuentas de AWS

  1. Abra la consola IAM de Identity Center.

    nota

    Asegúrese de que la consola de IAM Identity Center utilice la región en la que se encuentra su AWS Managed Microsoft AD directorio antes de continuar con el siguiente paso.

  2. En el panel de navegación, en Permisos para varias cuentas, elijaCuentas de AWS.

  3. En la página Cuentas de AWS, aparece una lista de su organización en forma de árbol. Seleccione la casilla de verificación situada junto a una o varias Cuentas de AWS a las que desea asignar el acceso de inicio de sesión único.

    nota

    Puede seleccionar hasta 10 Cuentas de AWS a la vez por conjunto de permisos al asignar el acceso de inicio de sesión único a usuarios y grupos. Para asignar más de 10 Cuentas de AWS al mismo conjunto de usuarios y grupos, repita este procedimiento según sea necesario para las cuentas adicionales. Cuando se le solicite, seleccione los mismos usuarios, grupos y conjunto de permisos.

  4. Seleccione Asignar usuarios o grupos.

  5. Para el paso 1: Seleccione los usuarios y los grupos en la sección Asignar usuarios y grupos a»AWS-account-name«página», haga lo siguiente:

    1. En la pestaña Usuarios, seleccione uno o más usuarios a los que desee conceder el acceso de inicio de sesión único.

      Para filtrar los resultados, escriba el nombre del usuario que desea en el cuadro de búsqueda.

    2. En la pestaña Grupos, seleccione uno o más grupos a los que desee conceder el acceso de inicio de sesión único.

      Para filtrar los resultados, escriba el nombre del grupo que desea en el cuadro de búsqueda.

    3. Para mostrar los usuarios y grupos que ha seleccionado, elija el triángulo lateral situado junto a Usuarios y grupos seleccionados.

    4. Tras confirmar que se haya seleccionado los usuarios y grupos correctos, seleccione Siguiente.

  6. Para el paso 2: seleccione los conjuntos de permisos, en la sección Asignar conjuntos de permisos a»AWS-account-name«página», haga lo siguiente:

    1. Seleccione uno o varios conjuntos de permisos. Si es necesario, puede crear y seleccionar nuevos conjuntos de permisos.

      • Para seleccionar uno o más conjuntos de permisos existentes, en Conjuntos de permisos, seleccione los conjuntos de permisos que desee aplicar a los usuarios y grupos que seleccionó en el paso anterior.

      • Para crear uno o más conjuntos de permisos nuevos, elija Crear conjunto de permisos y siga los pasos que se indican en Crea un conjunto de permisos.. Tras crear los conjuntos de permisos que desee aplicar, en la consola de IAM Identity Center, vuelva a la consola de Identity Center Cuentas de AWSy siga las instrucciones hasta llegar al paso 2: seleccionar los conjuntos de permisos. Cuando llegue a este paso, seleccione los nuevos conjuntos de permisos que ha creado y continúe con el siguiente paso de este procedimiento.

    2. Tras confirmar que se haya seleccionado los conjuntos de permisos correctos, seleccione Siguiente.

  7. Para el paso 3: revisar y enviar, en Revisar y enviar las tareas a»AWS-account-name«página», haga lo siguiente:

    1. Revise los usuarios, grupos y los conjuntos de permisos seleccionados.

    2. Tras confirmar que se haya seleccionado los usuarios, grupos y los conjuntos de permisos correctos, seleccione Enviar.

      importante

      El proceso de asignación de usuarios y grupos puede tardar unos minutos en completarse. Es importante que deje esta página abierta hasta que se complete el proceso correctamente.

      nota

      Puede que tengas que conceder permisos a los usuarios o grupos para operar en la cuenta AWS Organizations de administración. Como se trata de una cuenta con muchos privilegios, las restricciones de seguridad adicionales requieren que tengas la IAMFullAccesspolítica o permisos equivalentes antes de poder configurarla. Estas restricciones de seguridad adicionales no son obligatorias para ninguna de las cuentas de los miembros de su AWS organización.

Elimine el acceso de usuarios y grupos

Utilice este procedimiento para eliminar el acceso de inicio de sesión único a uno o varios usuarios y grupos del directorio conectado. Cuenta de AWS

Para eliminar el acceso de usuarios y grupos a un Cuenta de AWS

  1. Abra la consola IAM de Identity Center.

  2. En el panel de navegación, en Permisos para varias cuentas, elijaCuentas de AWS.

  3. En la página Cuentas de AWS, aparece una lista de su organización en forma de árbol. Seleccione el nombre Cuenta de AWS que contiene los usuarios y grupos a los que quiere eliminar el acceso de inicio de sesión único.

  4. En la página de información general de Cuenta de AWS, en Usuarios y grupos asignados, seleccione el nombre de uno o más usuarios o grupos y elija Eliminar el acceso.

  5. En el cuadro de diálogo Eliminar el acceso, confirme que los nombres de los usuarios o grupos son correctos y elija Eliminar el acceso.

Revoca las sesiones de IAM roles activas creadas por conjuntos de permisos

El siguiente es un procedimiento general para revocar una sesión de conjunto de permisos activa para un usuario de IAM Identity Center. El procedimiento parte del supuesto de que desea eliminar todos los accesos de un usuario cuyas credenciales estén comprometidas o de un usuario fraudulento que se encuentre en el sistema. El requisito previo es haber seguido las instrucciones que figuran en el presente documentoPrepárese para revocar una sesión de IAM rol activa creada por un conjunto de permisos. Suponemos que la política de denegación total está presente en una política de control de servicios (SCP).

nota

AWS recomienda desarrollar la automatización para gestionar todos los pasos, excepto las operaciones que solo se realizan en la consola.

  1. Obtenga el seudónimo de la persona cuyo acceso debe revocar. Puedes usar el almacén de identidades APIs para buscar al usuario por su nombre de usuario.

  2. Actualice la política de denegación para añadir el ID de usuario del paso 1 de su política de control de servicios (SCP). Tras completar este paso, el usuario objetivo pierde el acceso y no puede realizar acciones con ninguna de las funciones a las que afecte la política.

  3. Elimine todas las asignaciones de conjuntos de permisos para el usuario. Si el acceso se asigna mediante la pertenencia a un grupo, elimine al usuario de todos los grupos y de todas las asignaciones directas de conjuntos de permisos. Este paso evita que el usuario asuma IAM funciones adicionales. Si un usuario tiene una sesión activa en el portal de AWS acceso y usted lo desactiva, podrá seguir asumiendo nuevos roles hasta que le quite el acceso.

  4. Si usa un proveedor de identidad (IdP) o Microsoft Active Directory como fuente de identidad, deshabilite al usuario en la fuente de identidad. La desactivación del usuario impide la creación de sesiones adicionales en el portal de AWS acceso. Use su IdP o la API documentación de Microsoft Active Directory para obtener información sobre cómo automatizar este paso. Si utiliza el directorio del Centro de IAM identidades como fuente de identidad, no desactive todavía el acceso de los usuarios. Deshabilitará el acceso de los usuarios en el paso 6.

  5. En la consola de IAM Identity Center, busque al usuario y elimine su sesión activa.

    1. Seleccione Usuarios.

    2. Elija el usuario cuya sesión activa desee eliminar.

    3. En la página de detalles del usuario, selecciona la pestaña Sesiones activas.

    4. Seleccione las casillas de verificación situadas junto a las sesiones que desee eliminar y elija Eliminar sesión.

    Esto garantiza que la sesión del usuario en el portal de AWS acceso se detenga en aproximadamente 60 minutos. Obtenga información sobre la duración de la sesión.

  6. En la consola de IAM Identity Center, deshabilite el acceso de los usuarios.

    1. Seleccione Usuarios.

    2. Elija el usuario cuyo acceso desee deshabilitar.

    3. En la página de detalles del usuario, expanda Información general y pulse el botón Desactivar el acceso del usuario para evitar que el usuario vuelva a iniciar sesión.

  7. Deje en vigor la política de denegación durante al menos 12 horas. De lo contrario, el usuario con una sesión de IAM rol activa habrá restablecido las acciones con el IAM rol. Si esperas 12 horas, las sesiones activas caducan y el usuario no podrá volver a acceder al IAM rol.

importante

Si deshabilita el acceso de un usuario antes de detener la sesión de usuario (completó el paso 6 sin completar el paso 5), ya no podrá detener la sesión de usuario a través de la consola de IAM Identity Center. Si inhabilita inadvertidamente el acceso del usuario antes de detener la sesión del usuario, puede volver a habilitar al usuario, detener su sesión y, a continuación, volver a deshabilitar su acceso.

Ahora puede cambiar las credenciales del usuario si su contraseña se ha visto comprometida y restaurar sus asignaciones.

Delegue quién puede asignar el acceso de inicio de sesión único a los usuarios y grupos de la cuenta de administración

Asignar el acceso de inicio de sesión único a la cuenta de administración mediante la consola de IAM Identity Center es una acción privilegiada. De forma predeterminada, solo un usuario Usuario raíz de la cuenta de AWS o un usuario que tenga asociadas las políticas IAMFullAccess AWS administradas AWSSSOMasterAccountAdministratory las políticas administradas puede asignar el acceso de inicio de sesión único a la cuenta de administración. Las IAMFullAccesspolíticas AWSSSOMasterAccountAdministratory gestionan el acceso mediante inicio de sesión único a la cuenta de administración de una organización. AWS Organizations

Siga los pasos que se describen a continuación para delegar permisos para administrar el acceso de inicio de sesión único a los usuarios y grupos en su directorio.

Para otorgar permisos para administrar el acceso de inicio de sesión único a los usuarios y grupos del directorio

  1. Inicie sesión en la consola de IAM Identity Center como usuario raíz de la cuenta de administración o con otro usuario que tenga permisos de administrador para acceder a la cuenta de administración.

  2. Siga los pasos que se indican en Crea un conjunto de permisos. para crear un conjunto de permisos y, a continuación, haga lo siguiente:

    1. En la página Crear un conjunto de permisos nuevo, active la casilla Crear un conjunto de permisos personalizado y, a continuación, elija Siguiente: Detalles.

    2. En la página Crear un nuevo conjunto de permisos, especifique un nombre para el conjunto de permisos personalizado y, si lo desea, una descripción. Si es necesario, modifique la duración de la sesión y especifique un estado de retransmisiónURL.

      nota

      Para el estado de retransmisiónURL, debe especificar un estado URL que esté en AWS Management Console. Por ejemplo:

      https://console.aws.amazon.com/ec2/

      Para obtener más información, consulte Configure el estado de la retransmisión para acceder rápidamente a AWS Management Console.

    3. En ¿Qué políticas desea incluir en su conjunto de permisos?, active la casilla Adjuntar políticas administradas de AWS .

    4. En la lista de IAM políticas, elija tanto la AWSSSOMasterAccountAdministratorpolítica como la IAMFullAccess AWS administrada. Estas políticas conceden permisos a todos los usuarios a los que se les asigne acceso a este conjunto de permisos en el futuro.

    5. Elija Siguiente: etiquetas.

    6. En Añadir etiquetas (opcional), especifique los valores de clave y valor (opcional) y, a continuación, seleccione Siguiente: revisar. Para obtener más información acerca de las etiquetas, consulte Etiquetado de recursos de AWS IAM Identity Center.

    7. Revise las selecciones y, a continuación, elija Crear.

  3. Siga los pasos que se indican en Asigne el acceso de los usuarios a Cuentas de AWS para asignar los usuarios y grupos adecuados al conjunto de permisos que acaba de crear.

  4. Comunique lo siguiente a los usuarios asignados: cuando inicien sesión en el portal de AWS acceso y elijan la pestaña Cuentas, deberán elegir el nombre de función adecuado para autenticarse con los permisos que usted acaba de delegar.