# Control del uso de las claves de acceso adjuntando una política insertada a un usuario de IAM Otra práctica recomendada es que las [cargas de trabajo utilicen credenciales temporales con roles de IAM](best-practices.md#bp-workloads-use-roles) para acceder a AWS. A los usuarios de IAM con claves de acceso se les debe asignar el acceso con privilegio mínimo; además, deben tener activada la [autenticación multifactor (MFA](id_credentials_mfa.md)). Para obtener más información sobre cómo asumir roles de IAM, consulte [Métodos para asumir un rol](id_roles_manage-assume.md). Sin embargo, si va a crear una prueba de concepto de una automatización de servicios u otro caso de uso a corto plazo y decide ejecutar las cargas de trabajo con un usuario de IAM con claves de acceso, le recomendamos que [utilice condiciones de políticas a fin de restringir aún más el acceso](best-practices.md#use-policy-conditions) de sus credenciales de usuario de IAM. En este caso, puede crear una política con límite de tiempo que haga caducar las credenciales una vez que transcurra el tiempo especificado o, si ejecuta una carga de trabajo desde una red segura, puede utilizar una política de restricción de IP. Para ambos casos de uso, puede utilizar una política insertada que se adjunte al usuario de IAM que tenga las claves de acceso. **Configuración de una política con límite de tiempo para un usuario de IAM** 1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. En el panel de navegación, elija **Usuarios** y, a continuación, seleccione el nombre del usuario para el caso de uso a corto plazo. Si todavía no ha creado el usuario, puede [crearlo](getting-started-workloads.md) ahora. 1. En la página **Detalles**, elija la pestaña **Permisos**. 1. Elija **Agregar permisos** y, a continuación, seleccione **Crear política insertada**. 1. En la sección **Editor de políticas**, seleccione **JSON** para que se muestre el editor JSON. 1. En el editor JSON, ingrese la siguiente política y sustituya el valor de la marca de tiempo `aws:CurrentTime` por la fecha y hora de caducidad deseadas: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2025-03-01T00:12:00Z" } } } ] } ``` ------ Esta política utiliza el efecto `Deny` para restringir todas las acciones en todos los recursos después de la fecha especificada. La condición `DateGreaterThan` compara la hora actual con la marca de tiempo que configuró. 1. Seleccione **Siguiente** para dirigirse a la página **Revisar y crear**. En los detalles de la **política**, en **Nombre de la política**, ingrese un nombre para la política y, a continuación, elija **Crear política**. Una vez creada la política, se mostrará en la pestaña **Permisos** del usuario. Cuando la hora actual sea posterior o igual a la hora especificada en la política, el usuario dejará de tener acceso a los recursos de AWS. Asegúrese de informar a los desarrolladores de cargas de trabajo de la fecha de caducidad que especificó para estas claves de acceso. **Configuración de una política de restricción de IP para un usuario de IAM** 1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. En el panel de navegación, elija **Usuarios** y luego seleccione el usuario que ejecutará la carga de trabajo desde la red segura. Si todavía no ha creado el usuario, puede [crearlo](getting-started-workloads.md) ahora. 1. En la página **Detalles**, elija la pestaña **Permisos**. 1. Elija **Agregar permisos** y, a continuación, seleccione **Crear política insertada**. 1. En la sección **Editor de políticas**, seleccione **JSON** para que se muestre el editor JSON. 1. Copie la siguiente política de IAM en el editor de JSON y cambie las direcciones o rangos de direcciones IPv4 o IPv6 públicas según sus necesidades. Puede usar [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/) para determinar su dirección IP pública actual. Puede especificar direcciones IP individuales o rangos de direcciones IP mediante la notación de barra diagonal. Para obtener más información, consulte [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). **nota** Las direcciones IP no deben estar ocultas por una VPN o un servidor proxy. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid":"IpRestrictionIAMPolicyForIAMUser", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64", "203.0.114.1" ] }, "BoolIfExists": { "aws:ViaAWSService": "false" } } } ] } ``` ------ Este ejemplo de política deniega el uso de las claves de acceso de un usuario de IAM con esta política aplicada, a menos que la solicitud se haya originado en las redes (especificadas en la notación CIDR) “203.0.113.0/24”, “2001:DB8:1234:5678::/64” o en la dirección IP específica “203.0.114.1”. 1. Seleccione **Siguiente** para dirigirse a la página **Revisar y crear**. En los detalles de la **política**, en **Nombre de la política**, ingrese un nombre para la política y, a continuación, elija **Crear política**. Una vez creada la política, se mostrará en la pestaña **Permisos** del usuario. También podría aplicar esta política como una política de control de servicio (SCP) en varias cuentas de AWS en AWS Organizations; le recomendamos que utilice una condición adicional, `aws:PrincipalArn`, para que esta declaración de política solo se aplique a los usuarios de IAM dentro de las cuentas de AWS sujetas a esta SCP. La siguiente política incluye esa actualización: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "IpRestrictionServiceControlPolicyForIAMUsers", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64", "203.0.114.1" ] }, "BoolIfExists": { "aws:ViaAWSService": "false" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:user/*" } } } ] } ``` ------