Crear un usuario de IAM para el acceso de emergencia - AWS Identity and Access Management
Para crear un usuario de IAM para el acceso de emergencia

Crear un usuario de IAM para el acceso de emergencia

Un usuario de IAM es una identidad de la Cuenta de AWSque dispone de permisos específicos para una sola persona o aplicación.

Contar con un usuario de IAM para el acceso de emergencia es una de las razones recomendadas para crear un usuario de IAM con el fin de que pueda acceder a su Cuenta de AWS si no se puede acceder a su proveedor de identidades.

nota

Como práctica recomendada de seguridad, le recomendamos que proporcione acceso a los recursos mediante la federación de identidades en lugar de crear usuarios de IAM. Para obtener más información acerca de situaciones específicas en las que se requiere un usuario de IAM, consulte Cuándo crear un usuario de IAM (en lugar de un rol).

Para crear un usuario de IAM para el acceso de emergencia

Permisos mínimos

Para realizar los siguientes pasos, debe tener al menos los siguientes permisos IAM:

  • access-analyzer:ValidatePolicy

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateGroup

  • iam:CreateLoginProfile

  • iam:CreateUser

  • iam:GetAccountPasswordPolicy

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Mostrar másMostrar menos
classic IAM console

  1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

  2. En la página principal de la consola de IAM, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto Buscar en IAM.

  3. En el panel de navegación, seleccione Usuarios y, a continuación, seleccione Crear usuario.

    nota

    Si tiene habilitado el IAM Identity Center, la AWS Management Console muestra un recordatorio de que es mejor administrar el acceso de los usuarios en IAM Identity Center. En este procedimiento, el usuario de IAM que cree solo se utilizará cuando el proveedor de identidades no se encuentre disponible.

  4. En la página Especificar detalles del usuario, en Detalles del usuario, en Nombre del usuario, ingrese el nombre del usuario nuevo. Este es el nombre de inicio de sesión para AWS. En este ejemplo, escriba EmergencyAccess.

    nota

    Los nombres de usuario pueden ser una combinación de un máximo de 64 letras, dígitos y los siguientes caracteres: más (+), igual (=), coma (,), punto (.), arroba (@), guion bajo (_) y guion (-). Los nombres deben ser únicos dentro de una cuenta. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear dos usuarios llamados TESTUSER y testuser. Cuando se utiliza un nombre de usuario en una política o como parte de un ARN, el nombre distingue entre mayúsculas y minúsculas. Cuando los clientes ven un nombre de usuario en la consola, por ejemplo, durante el proceso de inicio de sesión, el nombre del usuario no distingue entre mayúsculas y minúsculas.

  5. Seleccione la casilla de verificación junto a Proporcionar al usuario acceso a la AWS Management Console: opcional y, a continuación, elija la opción Quiero crear un usuario de IAM.

  6. En Contraseña de la consola, seleccione Contraseña generada de manera automática.

  7. Desmarque la casilla de verificación junto a El usuario debe crear una contraseña nueva la próxima vez que inicie sesión (recomendado). Dado que este usuario de IAM es para acceso de emergencia, un administrador de confianza conserva la contraseña y solo la proporciona cuando es necesario.

  8. En la página Establecer permisos, en Opciones de permisos, seleccione Agregar usuario al grupo. Luego, en Grupos de usuarios, seleccione Crear grupo.

  9. En la página Crear grupo de usuarios, en Nombre del grupo de usuarios, ingrese EmergencyAccessGroup. Luego, en Políticas de permisos, seleccione AdministratorAccess.

  10. Para regresar a la página Establecer permisos, seleccione la opción Crear grupo de usuarios.

  11. En Grupos de usuarios, seleccione el nombre del EmergencyAccessGroup que creó anteriormente.

  12. Seleccione Siguiente para dirigirse a la página Revisar y crear.

  13. En la página Revisar y crear, revise la lista de suscripciones a grupos de usuarios que se agregarán al usuario nuevo. Cuando esté listo para continuar, seleccione Crear usuario.

  14. En la página Recuperar contraseña, seleccione Descargar archivo .csv para guardar un archivo .csv con la información de las credenciales del usuario (URL de conexión, nombre de usuario y contraseña).

  15. Guarde este archivo para utilizarlo si necesita iniciar sesión en IAM y no tiene acceso a su proveedor de identidades.

El usuario de IAM nuevo aparece en la lista Usuarios. Seleccione el enlace Nombre del usuario para ver los detalles del usuario.

AWS CLI

  1. Cree un usuario llamado EmergencyAccess.

    
aws iam create-user \
   --user-name EmergencyAccess

  2. (Opcional) Dar al usuario acceso a la AWS Management Console. Esto requiere una contraseña. A fin de crear una contraseña para un usuario de IAM, puede utilizar el parámetro --cli-input-json para transferir un archivo JSON que contenga la contraseña. También debe proporcionar al usuario la URL de la página de inicio de sesión de su cuenta.

    • aws iam create-login-profile

       
aws iam create-login-profile \
   --generate-cli-skeleton > create-login-profile.json

    • Abra el archivo create-login-profile.json en un editor de texto e ingrese una contraseña que cumpla con su política de contraseñas y, a continuación, guarde el archivo. Por ejemplo: 

      
{
 "UserName": "EmergencyAccess",
 "Password": "Ex@3dRA0djs",
 "PasswordResetRequired": false
}

    • Vuelva a utilizar el comando aws iam create-login-profile y transfiera el parámetro --cli-input-json para especificar el archivo JSON.

      
aws iam create-login-profile \
   --cli-input-json file://create-login-profile.json
    nota

    Si la contraseña que ha proporcionado en el archivo JSON infringe la política de contraseñas de su cuenta, recibirá el mensaje de error PassworPolicyViolation. Si esto ocurre, revise la política de contraseñas de su cuenta y actualice la contraseña en el archivo JSON para que cumpla con los requisitos.

  3. Cree la política EmergencyAccessGroup, adjunte la política administrada de AWS AdministratorAccess al grupo y agregue el usuario EmergencyAccess al grupo.

    nota

    Una política administrada por AWS es una política independiente creada y administrada por AWS. Cada política tiene su propio nombre de recurso de Amazon (ARN) que incluye el nombre de la política. Por ejemplo, arn:aws:iam::aws:policy/IAMReadOnlyAccess es una política administrada por AWS. Para obtener más información sobre los ARN, consulte ARN de IAM. Para obtener una lista de políticas administradas de AWS para los Servicios de AWS, consulte Políticas administradas de AWS.

    • aws iam create-group 

      
aws iam create-group \
   --group-name EmergencyAccessGroup

    • aws iam attach-group-policy

      
aws iam attach-group-policy \
   --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
   --group-name >EmergencyAccessGroup

    • aws iam add-user-to-group 

      
aws iam add-user-to-group \
   --user-name EmergencyAccess \
   --group-name EmergencyAccessGroup

    • Ejecute el comando aws iam get-group para obtener una lista de las políticas EmergencyAccessGroup y sus miembros.

      
aws iam get-group \
   --group-name EmergencyAccessGroup