# Administración de claves de acceso para usuarios de IAM
<a name="id_credentials_access-keys"></a>

**importante**  
Como [práctica recomendada](best-practices.md), utilice credenciales de seguridad temporales (por ejemplo, roles de IAM) en lugar de crear credenciales a largo plazo como claves de acceso. Antes de crear claves de acceso, revise las [alternativas a las claves de acceso a largo plazo](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

Las claves de acceso son credenciales a largo plazo para un usuario de IAM o el Usuario raíz de la cuenta de AWS. Puede utilizar las claves de acceso para firmar solicitudes mediante programación a la AWS CLI o a la API de AWS (directamente o mediante el SDK de AWS). Para obtener más información, consulte [Acceso programático con credenciales de seguridad AWS](security-creds-programmatic-access.md).

Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo, `AKIAIOSFODNN7EXAMPLE`) y una clave de acceso secreta (por ejemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Debe utilizar el ID de clave de acceso y la clave de acceso secreta juntos, como un nombre de usuario y contraseña, para autenticar sus solicitudes.



Cuando cree un par de claves de acceso, guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo se puede recuperar cuando se crea la clave. Si pierde su clave de acceso secreta, debe eliminar la clave de acceso y crear una nueva. Para obtener instrucciones adicionales, consulte [Actualización de las claves de acceso](id-credentials-access-keys-update.md).

Puede tener un máximo de dos claves de acceso por usuario.

**importante**  
Los usuarios de IAM con claves de acceso suponen un riesgo para la seguridad de las cuentas. Administre las claves de acceso de forma segura. No proporcione sus claves de acceso a terceros no autorizados, ni siquiera para que le ayuden a [buscar sus identificadores de cuenta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Si lo hace, podría conceder a otra persona acceso permanente a su cuenta.  
Al trabajar con claves de acceso, tenga en cuenta lo siguiente:  
**NO** use las credenciales raíz de la cuenta para crear claves de acceso.
**NO** incluya claves de acceso ni información sobre credenciales en sus archivos de aplicación. 
**NO** incluya archivos que contengan información de credenciales ni claves de acceso en el área del proyecto.
La información de credenciales o claves de acceso almacenadas en el archivo de credenciales de AWS compartido se almacenan en texto no cifrado.

## Recomendaciones de supervisión
<a name="monitor-access-keys"></a>

Después de crear las claves de acceso:
+ Utilice AWS CloudTrail para supervisar el uso de las claves de acceso y detectar cualquier intento de acceso no autorizado. Para obtener más información, consulte [Registro de llamadas a IAM y a la API de AWS STS con AWS CloudTrail](cloudtrail-integration.md).
+ Configure alarmas de CloudWatch para notificar los intentos de denegación de acceso a los administradores a fin de ayudar a detectar actividades maliciosas. Para obtener más información, consulte la [Guía del usuario de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ Revise, actualice y elimine periódicamente las claves de acceso si es necesario.

En las siguientes secciones, se detallan las tareas de administración asociadas a las claves de acceso.

**Topics**
+ [Recomendaciones de supervisión](#monitor-access-keys)
+ [Control del uso de las claves de acceso adjuntando una política insertada a un usuario de IAM](access-keys_inline-policy.md)
+ [Permisos requeridos para administrar claves de acceso](access-keys_required-permissions.md)
+ [Cómo los usuarios de IAM pueden gestionar sus propias claves de acceso](access-key-self-managed.md)
+ [Cómo un administrador de IAM puede gestionar las claves de acceso de los usuarios de IAM](access-keys-admin-managed.md)
+ [Actualización de las claves de acceso](id-credentials-access-keys-update.md)
+ [Protección de las claves de acceso](securing_access-keys.md)

# Control del uso de las claves de acceso adjuntando una política insertada a un usuario de IAM
<a name="access-keys_inline-policy"></a>

Otra práctica recomendada es que las [cargas de trabajo utilicen credenciales temporales con roles de IAM](best-practices.md#bp-workloads-use-roles) para acceder a AWS. A los usuarios de IAM con claves de acceso se les debe asignar el acceso con privilegio mínimo; además, deben tener activada la [autenticación multifactor (MFA](id_credentials_mfa.md)). Para obtener más información sobre cómo asumir roles de IAM, consulte [Métodos para asumir un rol](id_roles_manage-assume.md).

Sin embargo, si va a crear una prueba de concepto de una automatización de servicios u otro caso de uso a corto plazo y decide ejecutar las cargas de trabajo con un usuario de IAM con claves de acceso, le recomendamos que [utilice condiciones de políticas a fin de restringir aún más el acceso](best-practices.md#use-policy-conditions) de sus credenciales de usuario de IAM.

En este caso, puede crear una política con límite de tiempo que haga caducar las credenciales una vez que transcurra el tiempo especificado o, si ejecuta una carga de trabajo desde una red segura, puede utilizar una política de restricción de IP.

Para ambos casos de uso, puede utilizar una política insertada que se adjunte al usuario de IAM que tenga las claves de acceso.

**Configuración de una política con límite de tiempo para un usuario de IAM**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Usuarios** y, a continuación, seleccione el nombre del usuario para el caso de uso a corto plazo. Si todavía no ha creado el usuario, puede [crearlo](getting-started-workloads.md) ahora.

1. En la página **Detalles**, elija la pestaña **Permisos**.

1. Elija **Agregar permisos** y, a continuación, seleccione **Crear política insertada**.

1. En la sección **Editor de políticas**, seleccione **JSON** para que se muestre el editor JSON.

1. En el editor JSON, ingrese la siguiente política y sustituya el valor de la marca de tiempo `aws:CurrentTime` por la fecha y hora de caducidad deseadas:

------
#### [ JSON ]

****  

   ```
   {
   "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
         "DateGreaterThan": {
         "aws:CurrentTime": "2025-03-01T00:12:00Z"
           }
         }
       }
     ]
   }
   ```

------

   Esta política utiliza el efecto `Deny` para restringir todas las acciones en todos los recursos después de la fecha especificada. La condición `DateGreaterThan` compara la hora actual con la marca de tiempo que configuró.

1. Seleccione **Siguiente** para dirigirse a la página **Revisar y crear**. En los detalles de la **política**, en **Nombre de la política**, ingrese un nombre para la política y, a continuación, elija **Crear política**.

Una vez creada la política, se mostrará en la pestaña **Permisos** del usuario. Cuando la hora actual sea posterior o igual a la hora especificada en la política, el usuario dejará de tener acceso a los recursos de AWS. Asegúrese de informar a los desarrolladores de cargas de trabajo de la fecha de caducidad que especificó para estas claves de acceso. 

**Configuración de una política de restricción de IP para un usuario de IAM**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Usuarios** y luego seleccione el usuario que ejecutará la carga de trabajo desde la red segura. Si todavía no ha creado el usuario, puede [crearlo](getting-started-workloads.md) ahora.

1. En la página **Detalles**, elija la pestaña **Permisos**.

1. Elija **Agregar permisos** y, a continuación, seleccione **Crear política insertada**.

1. En la sección **Editor de políticas**, seleccione **JSON** para que se muestre el editor JSON.

1. Copie la siguiente política de IAM en el editor de JSON y cambie las direcciones o rangos de direcciones IPv4 o IPv6 públicas según sus necesidades. Puede usar [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/) para determinar su dirección IP pública actual. Puede especificar direcciones IP individuales o rangos de direcciones IP mediante la notación de barra diagonal. Para obtener más información, consulte [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). 
**nota**  
Las direcciones IP no deben estar ocultas por una VPN o un servidor proxy.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid":"IpRestrictionIAMPolicyForIAMUser",
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
           "NotIpAddress": {
             "aws:SourceIp": [
               "203.0.113.0/24",
               "2001:DB8:1234:5678::/64",
               "203.0.114.1"
             ]
           },
           "BoolIfExists": {
             "aws:ViaAWSService": "false"
           }
         }
       }
     ]
   }
   ```

------

   Este ejemplo de política deniega el uso de las claves de acceso de un usuario de IAM con esta política aplicada, a menos que la solicitud se haya originado en las redes (especificadas en la notación CIDR) “203.0.113.0/24”, “2001:DB8:1234:5678::/64” o en la dirección IP específica “203.0.114.1”. 

1. Seleccione **Siguiente** para dirigirse a la página **Revisar y crear**. En los detalles de la **política**, en **Nombre de la política**, ingrese un nombre para la política y, a continuación, elija **Crear política**.

Una vez creada la política, se mostrará en la pestaña **Permisos** del usuario. 

También podría aplicar esta política como una política de control de servicio (SCP) en varias cuentas de AWS en AWS Organizations; le recomendamos que utilice una condición adicional, `aws:PrincipalArn`, para que esta declaración de política solo se aplique a los usuarios de IAM dentro de las cuentas de AWS sujetas a esta SCP. La siguiente política incluye esa actualización:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::*:user/*"
        }
      }
    }
  ]
}
```

------

# Permisos requeridos para administrar claves de acceso
<a name="access-keys_required-permissions"></a>

**nota**  
`iam:TagUser` es un permiso opcional para agregar y editar las descripciones de la clave de acceso. Para obtener más información, consulte [Etiquetado de usuarios de IAM](id_tags_users.md)

Para crear claves de acceso para su usuario de IAM, debe contar con los permisos de la siguiente política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Para actualizar claves de acceso para su propio usuario de IAM, debe contar con los permisos de la siguiente política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# Cómo los usuarios de IAM pueden gestionar sus propias claves de acceso
<a name="access-key-self-managed"></a>

Los administradores de IAM pueden conceder permiso a los usuarios de IAM para autogestionar sus claves de acceso mediante la asociación de la política que se describe en [Permisos requeridos para administrar claves de acceso](access-keys_required-permissions.md).

Con estos permisos, el usuario de IAM puede utilizar los siguientes procedimientos para crear, activar, desactivar y eliminar las claves de acceso asociadas a su nombre de usuario.

**Topics**
+ [Cómo crear su propia clave de acceso (consola)](#Using_CreateAccessKey)
+ [Cómo desactivar su clave de acceso (consola)](#deactivate-access-key-seccreds)
+ [Cómo activar su clave de acceso (consola)](#activate-access-key-seccreds)
+ [Cómo eliminar su clave de acceso (consola)](#delete-access-key-seccreds)

## Cómo crear su propia clave de acceso (consola)
<a name="Using_CreateAccessKey"></a>

Si se le han concedido los permisos adecuados, puede utilizar la Consola de administración de AWS para crear sus propias claves de acceso.

**Para crear sus propias claves de acceso (consola)**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la sección **Claves de acceso**, haga clic en **Crear clave de acceso**. Si ya dispone de dos claves de acceso, este botón estará desactivado y deberá eliminar una clave de acceso antes de poder crear una nueva.

1. En la página **Access key best practices & alternatives** (Prácticas recomendadas y alternativas para la clave de acceso), elija su caso de uso para conocer las opciones adicionales que pueden ayudarle a evitar la creación de una clave de acceso de larga duración. Si determina que su caso de uso aún requiere una clave de acceso, elija **Other** (Otro) y, a continuación, **Next** (Siguiente).

1. (Opcional) Establezca un valor de etiqueta de descripción para la clave de acceso. Esto agrega un par clave-valor de etiqueta a su usuario de IAM. Esto puede ayudarlo a identificar y actualizar claves de acceso más adelante. La clave de la etiqueta se establece en el ID de la clave de acceso. El valor de la etiqueta se establece en la descripción de la clave de acceso que especifique. Cuando haya terminado, seleccione **Create access key** (Crear clave de acceso).

1. En la página **Retrieve access keys** (Recuperar claves de acceso), elija **Show** (Mostrar) para revelar el valor de la clave de acceso secreta de su usuario o **Download .csv file** (Descargar archivo .csv). Esta es su única oportunidad de guardar su clave de acceso secreta. Una vez guardada la clave de acceso secreta en un lugar seguro, seleccione **Done** (Listo).

## Cómo desactivar su clave de acceso (consola)
<a name="deactivate-access-key-seccreds"></a>

Si se le han concedido los permisos adecuados, puede utilizar la Consola de administración de AWS para desactivar su clave de acceso.

**Para desactivar una clave de acceso**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la sección **Access keys** (Claves de acceso), busque la clave que desea desactivar, seleccione **Actions** (Acciones) y, a continuación, seleccione **Deactivate** (Desactivar). Cuando se le pida confirmación, elija **Deactivate** (Desactivar). Una clave de acceso desactivada sigue contando para el límite de dos claves de acceso.

## Cómo activar su clave de acceso (consola)
<a name="activate-access-key-seccreds"></a>

Si se le han concedido los permisos adecuados, puede utilizar la Consola de administración de AWS para activar su clave de acceso.

**Para activar una clave de acceso**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la sección **Access keys** (Claves de acceso), busque la clave que desea activar, seleccione **Actions** (Acciones) y, a continuación, **Activate** (Activar).

## Cómo eliminar su clave de acceso (consola)
<a name="delete-access-key-seccreds"></a>

Si se le han concedido los permisos adecuados, puede utilizar la Consola de administración de AWS para eliminar su clave de acceso.

**Para eliminar una clave de acceso cuando ya no la necesite**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la sección **Access keys** (Claves de acceso), busque la clave que desea eliminar, seleccione **Actions** (Acciones) y, a continuación, **Eliminar**. Siga las instrucciones del cuadro de diálogo para, en primer lugar, **Deactivate** (Desactivar) y, a continuación, confirmar la eliminación. Le recomendamos que compruebe que la clave de acceso ya no se utilice antes de eliminarla definitivamente.

# Cómo un administrador de IAM puede gestionar las claves de acceso de los usuarios de IAM
<a name="access-keys-admin-managed"></a>

Los administradores de IAM pueden crear, activar, desactivar y eliminar las claves de acceso asociadas a cada usuario de IAM. También pueden enumerar los usuarios de IAM de la cuenta que tienen claves de acceso y localizar qué usuario de IAM tiene una clave de acceso específica.

**Topics**
+ [Cómo crear una clave de acceso para un usuario de IAM](#admin-create-access-key)
+ [Cómo desactivar una clave de acceso para un usuario de IAM](#admin-deactivate-access-key)
+ [Cómo activar una clave de acceso para un usuario de IAM](#admin-activate-access-key)
+ [Cómo eliminar una clave de acceso para un usuario de IAM](#admin-delete-access-key)
+ [Cómo enumerar las claves de acceso de un usuario de IAM](#admin-list-access-key)
+ [Cómo enumerar las claves de acceso de un usuario de IAM](#admin-list-access-key)
+ [Cómo mostrar todos los ID de las claves de acceso de los usuarios de su cuenta](#admin-list-all-access-keys)
+ [Cómo usar el ID de una clave de acceso para buscar un usuario](#admin-find-user-access-keys)
+ [Cómo buscar el uso más reciente del ID de una clave de acceso](#admin-find-most-recent-use-access-keys)

## Cómo crear una clave de acceso para un usuario de IAM
<a name="admin-create-access-key"></a>

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, seleccione **Crear clave de acceso**.

   Si el botón se encuentra desactivado, deberá borrar una de las claves existentes antes de poder crear una nueva.

1. En la página **Access key best practices & alternatives** (Prácticas recomendadas y alternativas para la clave de acceso), revise las prácticas recomendadas y las alternativas. Elija su caso de uso para conocer las opciones adicionales que pueden permitirle evitar la creación de una clave de acceso a largo plazo.

1. Si determina que su caso de uso aún requiere una clave de acceso, elija **Other** (Otro) y, a continuación, **Next** (Siguiente).

1. **(Opcional)** En la página **Establecer una etiqueta de descripción**, puede agregar una etiqueta descriptiva a la clave de acceso para facilitar el seguimiento de la clave de acceso. Seleccione **Crear clave de acceso**.

1. En la página **Retrieve access key page** (Recuperar clave de acceso), elija **Show** (Mostrar) para revelar el valor de la clave de acceso secreta de su usuario.

1. Para guardar el ID de la clave de acceso y la clave de acceso secreta en un archivo `.csv` en una ubicación segura de su ordenador, seleccione el botón **Download .csv file** (Descargar archivo .csv).
**importante**  
Esta será su única oportunidad para ver y descargar esta clave de acceso que acaba de crear y no podrá recuperarla. Asegúrese de mantener su clave de acceso de forma segura.

Cuando se crea una clave de acceso para un usuario, el par de claves se activa de forma predeterminada y el usuario puede utilizarlo inmediatamente.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) 

------

## Cómo desactivar una clave de acceso para un usuario de IAM
<a name="admin-deactivate-access-key"></a>

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, seleccione el menú desplegable **Acciones** y, a continuación, seleccione **Desactivar**.

1. En el cuadro de diálogo **Desactivar**, seleccione **Desactivar** para confirmar que desea desactivar la clave de acceso.

Después de desactivar una clave de acceso, ya no puede ser usada por las llamadas a la API. Puede volver a activarla si es necesario.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Cómo activar una clave de acceso para un usuario de IAM
<a name="admin-activate-access-key"></a>

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, seleccione el menú desplegable **Acciones** y, a continuación, seleccione **Activar**.

Después de activar una clave de acceso, puede ser usada por las llamadas a la API. Puede volver a desactivarla si es necesario.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Cómo eliminar una clave de acceso para un usuario de IAM
<a name="admin-delete-access-key"></a>

Una vez que se desactivó una clave de acceso, si ya no es necesaria, elimínela.

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, seleccione el menú desplegable **Acciones** correspondiente a la clave de acceso inactiva y, a continuación, seleccione **Eliminar**.

1. En el cuadro de diálogo **Eliminar**, introduzca el ID de la clave de acceso en el campo de entrada de texto y, a continuación, seleccione **Eliminar** para confirmar que desea eliminar la clave de acceso.

Después de eliminar una clave de acceso, no se puede recuperar.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## Cómo enumerar las claves de acceso de un usuario de IAM
<a name="admin-list-access-key"></a>

Puede ver una lista de los ID de las claves de acceso asociadas a un usuario de IAM. 

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, se enumeran las claves de acceso del usuario.

Cada usuario de IAM puede tener dos claves de acceso.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Cómo enumerar las claves de acceso de un usuario de IAM
<a name="admin-list-access-key"></a>

Puede ver una lista de los ID de las claves de acceso asociadas a un usuario de IAM. 

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. En la pestaña **Credenciales de seguridad**, en la sección **Claves de acceso**, se enumeran los ID de las claves de acceso del usuario, incluido el estado de cada clave que se muestra.
**nota**  
Solo se ve el ID de clave de acceso del usuario. La clave de acceso secreta solo se puede recuperar cuando se crea la clave.

Cada usuario de IAM puede tener dos claves de acceso.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Cómo mostrar todos los ID de las claves de acceso de los usuarios de su cuenta
<a name="admin-list-all-access-keys"></a>

Puede ver una lista de los ID de las claves de acceso en su Cuenta de AWS. 

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre de usuario para abrir la página de datos del usuario.

1. Si es necesario, agregue la columna **ID de clave de acceso** a la tabla de usuarios ejecutando los siguientes pasos:

   1. Arriba de la tabla, en el extremo derecho, seleccione el ícono **Preferencias** (![\[Preferences icon\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. En el cuadro de diálogo **Preferencias**, en **Seleccionar columnas visibles**, active la opción **ID de clave de acceso**.

   1. Elija **Confirmar** para volver a la lista de usuarios. La lista se actualiza para incluir el ID de la clave de acceso.

1. La columna **ID de clave de acceso** muestra el estado de cada clave de acceso, seguido de su ID; por ejemplo, **`Active - AKIAIOSFODNN7EXAMPLE`** o **`Inactive - AKIAI44QH8DHBEXAMPLE`**. 

   Puede utilizar esta información para ver y copiar los ID de las claves de acceso de los usuarios que tengan una o dos claves de acceso. La columna muestra un **`-`** cuando los usuarios no tienen claves de acceso.
**nota**  
La clave de acceso secreta solo se puede recuperar cuando se crea la clave.

Cada usuario de IAM puede tener dos claves de acceso.

------

## Cómo usar el ID de una clave de acceso para buscar un usuario
<a name="admin-find-user-access-keys"></a>

Puede usar el ID de una clave de acceso para buscar un usuario en su Cuenta de AWS. 

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, en el cuadro de búsqueda, introduzca el **ID de la clave de acceso**, por ejemplo, AKIAI44QH8DHBEXAMPLE. 

1. El usuario de IAM al que está asociado el ID de la clave de acceso aparecerá en el panel de navegación. Elija el nombre de usuario para abrir la página de datos del usuario.

------

## Cómo buscar el uso más reciente del ID de una clave de acceso
<a name="admin-find-most-recent-use-access-keys"></a>

El uso más reciente de una clave de acceso se muestra en la lista de usuarios de la página de usuarios de IAM, en la página de detalles del usuario, y forma parte del informe de credenciales. 

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En la lista de usuarios, consulte la columna **Último uso de la clave de acceso**.

   Si la columna no aparece, seleccione el ícono **Preferencias** (![\[Preferences icon\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-settings-icon.console.png)) y, en **Seleccionar columnas visibles**, active **Clave de acceso utilizada por última vez** para que se muestre la columna.

1. (opcional) En el panel de navegación, en **Informes de acceso**, seleccione **Informe de credenciales** para descargar un informe que incluye la información del último uso de las claves de acceso de todos los usuarios de IAM de su cuenta.

1. (opcional) Seleccione un usuario de IAM para ver los detalles del usuario. La sección **Resumen** incluye los ID de las claves de acceso, su estado y cuándo se usaron por última vez.

------
#### [ AWS CLI ]

Use el siguiente comando:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

------
#### [ API ]

Llame a la operación siguiente:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) 

------

# Actualización de las claves de acceso
<a name="id-credentials-access-keys-update"></a>

Como [práctica recomendada](best-practices.md#update-access-keys) de seguridad, se recomienda actualizar las claves de acceso de usuario de IAM cuando sea necesario; por ejemplo, cuando un empleado deje la empresa. Los usuarios de IAM pueden actualizar sus propias claves de acceso si se les han concedido los permisos necesarios.

Para obtener más información sobre cómo conceder a sus usuarios de IAM permisos para actualizar sus propias claves de acceso, consulte [AWS: permite a los usuarios de IAM administrar su propia contraseña, sus claves de acceso y sus claves públicas SSH en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md). También puede aplicar una política de contraseñas a su cuenta para solicitarles a todos los usuarios de IAM que actualicen sus contraseñas periódicamente, e informarles cuán seguido deben hacerlo. Para obtener más información, consulte [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](id_credentials_passwords_account-policy.md). 

**nota**  
Si pierde su clave de acceso secreta, debe eliminar la clave de acceso y crear una nueva. La clave de acceso secreta solo se puede recuperar cuando se crea la clave. Utilice este procedimiento para desactivar y reemplazar las claves de acceso perdidas por credenciales nuevas.

**Topics**
+ [Actualización de las claves de acceso de usuario de IAM (consola)](#rotating_access_keys_console)
+ [Actualización de las claves de acceso (AWS CLI)](#rotating_access_keys_cli)
+ [Actualización de las claves de acceso (API de AWS)](#rotating_access_keys_api)

## Actualización de las claves de acceso de usuario de IAM (consola)
<a name="rotating_access_keys_console"></a>

Puede actualizar las claves de acceso desde la Consola de administración de AWS.

**Para actualizar las claves de acceso de un usuario de IAM sin interrumpir sus aplicaciones (consola)**

1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso.

   1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. En el panel de navegación, seleccione **Users (Usuarios)**.

   1. Elija el nombre del usuario que desee y, a continuación, elija la pestaña **Security credentials (Credenciales de seguridad)**.

   1. En la sección **Claves de acceso**, haga clic en **Crear clave de acceso**. En la página **Access key best practices & alternatives** (Prácticas recomendadas y alternativas para la clave de acceso), seleccione **Other** (Otros) y, a continuación, **Next** (Siguiente).

   1. (Opcional) Establezca un valor de etiqueta de descripción para la clave de acceso para agregar un par clave-valor de etiqueta a este usuario de IAM. Esto puede ayudarlo a identificar y actualizar claves de acceso más adelante. La clave de la etiqueta se establece en el ID de la clave de acceso. El valor de la etiqueta se establece en la descripción de la clave de acceso que especifique. Cuando haya terminado, seleccione **Create access key** (Crear clave de acceso).

   1. En la página **Retrieve access keys** (Recuperar claves de acceso), elija **Show** (Mostrar) para revelar el valor de la clave de acceso secreta de su usuario o **Download .csv file** (Descargar archivo .csv). Esta es su única oportunidad de guardar su clave de acceso secreta. Una vez guardada la clave de acceso secreta en un lugar seguro, seleccione **Done** (Listo).

      Cuando se crea una clave de acceso para un usuario, el par de claves se activa de forma predeterminada y el usuario puede utilizarlo inmediatamente. En este punto, el usuario tiene dos claves de acceso activas.

1. Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

1. <a name="id_credentials_access-keys-key-still-in-use"></a>Para determinar si la primera clave de acceso todavía está en uso, consulte la información **Last used** (Último uso) de la clave de acceso más antigua. Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

1. Aunque la información de **Last used** (Último uso) indique que la clave antigua nunca se ha utilizado, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, elija **Actions** (Acciones) y, a continuación, seleccione **Deactivate** (Desactivar) para desactivar la primera clave de acceso.

1. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si encuentra una aplicación o herramienta de este tipo, puede reactivar la primera clave de acceso. A continuación, vuelva a [Step 3](#id_credentials_access-keys-key-still-in-use) y actualice esta aplicación para utilizar la nueva clave.

1. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso:

   1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. En el panel de navegación, seleccione **Users (Usuarios)**.

   1. Elija el nombre del usuario que desee y, a continuación, elija la pestaña **Security credentials (Credenciales de seguridad)**.

   1. En la sección **Access keys** (Claves de acceso) de la clave de acceso que desea eliminar, seleccione **Actions** (Acciones) y, a continuación, **Delete** (Eliminar). Siga las instrucciones del cuadro de diálogo para, en primer lugar, **Deactivate** (Desactivar) y, a continuación, confirmar la eliminación.

**Para determinar qué claves de acceso deben actualizarse o eliminarse (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. Si es necesario, añada la columna **Access key age (Antigüedad de la clave de acceso)** a la tabla de usuarios ejecutando los siguientes pasos:

   1. Encima de la tabla, en el extremo derecho, elija el icono de configuración (![\[Settings icon\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. En **Manage columns (Administrar columnas)**, seleccione **Access key age (Antigüedad de la clave de acceso)**.

   1. Seleccione **Close (Cerrar)** para volver a la lista de usuarios.

1. La columna **Access key age (Antigüedad de la clave de acceso)** muestra el número de días que han transcurrido desde la creación de la clave de acceso activa más antigua. Puede utilizar esta información para encontrar usuarios con claves de acceso que deban actualizarse o eliminarse. La columna muestra **None (Ninguna)** cuando los usuarios no tienen clave de acceso.

## Actualización de las claves de acceso (AWS CLI)
<a name="rotating_access_keys_cli"></a>

Puede actualizar las claves de acceso desde la AWS Command Line Interface.

**Para actualizar las claves de acceso sin interrumpir sus aplicaciones (AWS CLI)**

1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso que, de forma predeterminada, está activa. Use el siguiente comando:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     En este punto, el usuario tiene dos claves de acceso activas.

1. <a name="step-update-apps"></a>Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

1. <a name="step-determine-use"></a>Determine si la primera clave de acceso todavía está en uso utilizando este comando:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

   Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

1. Aunque el paso [Step 3](#step-determine-use) indique que la clave antigua no se usa, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, cambie el estado de la primera clave de acceso a `Inactive` utilizando este comando:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

1. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede cambiar de nuevo su estado a `Active` para volver a activar la primera clave de acceso. A continuación, vuelva al paso [Step 2](#step-update-apps) y actualice esta aplicación para utilizar la nueva clave.

1. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso con este comando:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

## Actualización de las claves de acceso (API de AWS)
<a name="rotating_access_keys_api"></a>

Puede actualizar las claves de acceso con la API de AWS.

**Para actualizar claves de acceso sin interrumpir sus aplicaciones (API de AWS)**

1. Aunque la primera clave de acceso sigue activa, cree otra clave de acceso que, de forma predeterminada, está activa. Llame a la operación siguiente:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)

     En este punto, el usuario tiene dos claves de acceso activas.

1. <a name="step-update-apps-2"></a>Actualice todas las aplicaciones y herramientas para utilizar la nueva clave de acceso.

1. <a name="step-determine-use-2"></a>Determine si la primera clave de acceso todavía está en uso llamando a esta operación:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)

   Un enfoque consiste en esperar varios días y después comprobar si se ha usado la clave de acceso antigua antes de continuar.

1. Aunque el paso [Step 3](#step-determine-use-2) indique que la clave antigua no se usa, le recomendamos que no elimine inmediatamente la primera clave de acceso. En su lugar, cambie el estado de la primera clave de acceso a `Inactive` llamando a esta operación:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)

1. Utilice únicamente la clave de acceso nueva para confirmar que sus aplicaciones funcionan. Todas las aplicaciones y herramientas que sigan utilizando la clave de acceso original dejarán de funcionar en este momento, ya que ya no podrán obtener acceso a los recursos de AWS. Si se encuentra con una de estas aplicaciones o herramientas, puede cambiar de nuevo su estado a `Active` para volver a activar la primera clave de acceso. A continuación, vuelva al paso [Step 2](#step-update-apps-2) y actualice esta aplicación para utilizar la nueva clave.

1. Después de esperar un tiempo para asegurarse de que todas las aplicaciones y herramientas se hayan actualizado, podrá eliminar la primera clave de acceso llamando a esta operación:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)

# Protección de las claves de acceso
<a name="securing_access-keys"></a>

Cualquier persona que tenga su clave de acceso disfrutará del mismo nivel de acceso a los recursos de AWS que usted. Por lo tanto, AWS adopta importantes medidas para proteger las claves de acceso y, en consonancia con nuestro [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/), también usted debería adoptarlas. 

Amplíe las siguientes secciones para obtener orientación que le permita proteger sus claves de acceso. 

**nota**  
Puede que su organización tenga políticas y requisitos de seguridad distintos de los descritos en este tema. Las sugerencias proporcionadas aquí pretenden ser directrices generales. 

## Eliminar (o no generar) claves de acceso Usuario raíz de la cuenta de AWS
<a name="root-password"></a>

**Una de las mejores formas de proteger su cuenta es no tener una clave de acceso para su Usuario raíz de la cuenta de AWS.** A menos que necesite tener una clave de acceso de usuario raíz (lo que es poco frecuente), es mejor no generarla. En su lugar, cree un usuario administrativo en AWS IAM Identity Center para las tareas administrativas diarias. Para obtener más información sobre cómo crear un usuario administrativo en IAM Identity Center, consulte [Introducción](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) en la *Guía del usuario de IAM Identity Center*.

Si ya tiene una clave de acceso de usuario raíz para su cuenta, le recomendamos hacer lo siguiente: buscar lugares en las aplicaciones donde utiliza dicha clave actualmente (si procede) y sustituir la clave de acceso de usuario raíz por una clave de acceso de usuario de IAM. Luego deshabilite y elimine la clave de acceso de usuario raíz. Para obtener más información sobre cómo actualizar claves de acceso, consulte . [Actualización de las claves de acceso](id-credentials-access-keys-update.md)



## Utilice credenciales de seguridad temporales (roles de IAM) en lugar de claves de acceso a largo plazo
<a name="use-roles"></a>

En muchos casos, no necesita claves de acceso a largo plazo que nunca caducan (como sucede con un usuario de IAM). En su lugar, puede crear roles de IAM y generar credenciales de seguridad temporales. Las credenciales de seguridad temporales se componen de un ID de clave de acceso y una clave de acceso secreta, pero, además, incluyen un token de seguridad que indica cuándo caducan las credenciales. 

Las claves de acceso a largo plazo, como las asociadas a los usuarios de IAM y al usuario raíz, siguen siendo válidas hasta que se revocan manualmente. No obstante, las credenciales de seguridad temporales obtenidas a través de roles de IAM y otras características de AWS Security Token Service caducan tras un breve periodo de tiempo. Utilice las credenciales de seguridad temporales para ayudar a reducir el riesgo en caso de se vean expuestas accidentalmente.

Utilice un rol de IAM y credenciales de seguridad temporales en las siguientes situaciones:
+ **Tiene una aplicación o scripts de AWS CLI que se ejecutan en una instancia de Amazon EC2.** No utilice claves de acceso directamente en su aplicación. No transfiera una clave de acceso a la aplicación, no la integre en la aplicación y no deje que la aplicación lea claves de cualquier origen. En cambio, defina un rol de IAM que tenga los permisos adecuados para su aplicación y lance la instancia Amazon Elastic Compute Cloud (Amazon EC2) con [roles para EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Al hacerlo, se asocia un rol de IAM a la instancia de Amazon EC2. Esta práctica también habilita a la aplicación para obtener credenciales de seguridad temporales que, a su vez, puede usar para realizar llamadas mediante programación a AWS. AWS SDK y AWS Command Line Interface (AWS CLI) pueden obtener credenciales temporales del rol automáticamente. 
+ **Debe conceder acceso entre cuentas.** Utilice un rol de IAM para establecer la confianza entre cuentas y, a continuación, conceder a los usuarios de una cuenta permisos limitados para acceder a la cuenta de confianza. Para obtener más información, consulte [Tutorial de IAM: delegación del acceso entre cuentas de AWS mediante roles de IAM](tutorial_cross-account-with-roles.md).
+ **Tiene una aplicación móvil.** No integre una clave de acceso en la aplicación, ni siquiera en el almacenamiento cifrado. En su lugar, utilice [Amazon Cognito](https://aws.amazon.com/cognito/) para administrar identidades de los usuarios en su aplicación. Este servicio permite autenticar a los usuarios mediante Login with Amazon, Facebook, Google o cualquier proveedor de identidad compatible con OpenID Connect (OIDC). A continuación, puede utilizar el proveedor de credenciales de Amazon Cognito a fin de administrar las credenciales que la aplicación utiliza para realizar solicitudes a AWS.
+ **Desea utilizar la federación en AWS y su organización admite SAML 2.0.** Si trabaja para una organización que tiene un proveedor de identidad compatible con SAML 2.0, configure el proveedor para que use SAML. Puede utilizar SAML para intercambiar información de autenticación con AWS y recuperar un conjunto de credenciales de seguridad temporales. Para obtener más información, consulte [Federación SAML 2.0](id_roles_providers_saml.md).
+ **Desea utilizar la federación en AWS y su organización tiene un almacén de identidades local.** Si los usuarios pueden autenticarse dentro de su organización, puede escribir una aplicación que emita credenciales de seguridad temporales para obtener acceso a los recursos de AWS. Para obtener más información, consulte [Permitir el acceso del agente de identidades personalizadas a la consola de AWS](id_roles_providers_enable-console-custom-url.md).
+ **Utilice las condiciones de las políticas de IAM para permitir el acceso únicamente desde las redes previstas.** Puede limitar dónde y cómo se utilizan sus claves de acceso mediante la implementación de [políticas de IAM con condiciones](reference_policies_elements_condition_operators.md) que especifiquen y permitan únicamente las redes previstas, como sus direcciones IP públicas o sus nubes privadas virtuales (VPC). De esta forma, sabrá que las claves de acceso solo se pueden usar en las redes previstas y aceptables. 

**nota**  
¿Está utilizando una instancia de Amazon EC2 con una aplicación que requiere acceso a los recursos de AWS? Si es así, utilice [roles de IAM para EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).

## Administración correcta de las claves de acceso de usuario de IAM
<a name="iam-user-access-keys"></a>

Si debe crear claves de acceso para el acceso mediante programación a AWS, créelas para los usuarios de IAM y conceda a los usuarios solo los permisos que necesitan.

Tenga en cuenta estas precauciones para ayudar a proteger las claves de acceso de usuario de IAM:
+ **No integre las claves de acceso directamente en el código.** Los [AWS SDK](https://aws.amazon.com/tools/#sdk) de y las [Herramientas de línea de comandos de AWS](https://aws.amazon.com/tools/#cli) le permiten colocar las claves de acceso en ubicaciones conocidas para que no tenga que mantenerlas en código. 

  Ponga las claves de acceso en una de las siguientes ubicaciones:
  + **El archivo de credenciales de AWS.** Los SDK de AWS y la AWS CLI utilizan automáticamente las credenciales que se guardan en el archivo de credenciales de AWS. 

    Para obtener información acerca de cómo utilizar el archivo de credenciales de AWS, consulte la documentación del SDK. Los ejemplos incluyen [Conjunto de AWS credenciales y región](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) en la *Guía de desarrollo de AWS SDK para Java* y[ Archivos de configuración y credenciales](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) en la *Guía del usuario de AWS Command Line Interface*.

    Para almacenar las credenciales para AWS SDK para .NET y AWS Tools for Windows PowerShell, recomendamos utilizar la tienda del SDK. Para obtener más información, consulte [Uso de la tienda del SDK](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) en la *Guía de desarrollo de AWS SDK para .NET*.
  + **Variables de entorno.** En un sistema multitenencia, opte por las variables de entorno de usuario, en lugar de las variables de entorno de sistema. 

    Para obtener más información acerca de cómo utilizar las variables de entorno para almacenar credenciales, consulte [Variables de entorno](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html) en la *Guía del usuario de AWS Command Line Interface*. 
+ **Utilice claves de acceso distintas para las diferentes aplicaciones.** Hacer esto le permitirá aislar los permisos y revocar las claves de acceso para aplicaciones individuales si se ven expuesta. Tener claves de acceso separadas para diferentes aplicaciones también genera entradas distintas en los archivos de registro de [AWS CloudTrail](https://aws.amazon.com/cloudtrail/). Esta configuración hace más sencillo determinar qué aplicación realizó acciones concretas. 
+ **Actualice las claves de acceso cuando sea necesario.** Si existe el riesgo de que la clave de acceso se vea comprometida, actualícela y elimine la anterior. Para obtener más información, consulte [Actualización de las claves de acceso](id-credentials-access-keys-update.md) 
+ **Elimine las claves de acceso no utilizadas.** Si un usuario deja la organización, elimine el usuario de IAM correspondiente, de tal forma que ya no pueda obtener acceso a los recursos. Para saber cuándo se utilizó por última vez una clave de acceso, utilice la API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) (comando de AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)).
+ **Utilice las credenciales temporales y configure la autenticación multifactor para las operaciones de API más confidenciales.** Con las políticas de IAM, puede especificar qué operaciones de API puede llamar un usuario. En algunos casos, es posible que quiera la seguridad adicional de exigir a los usuarios que se autentiquen con MFA de AWS antes de permitirles llevar a cabo acciones especialmente confidenciales. Por ejemplo, es posible que tenga una política que permita a un usuario realizar las acciones de Amazon EC2 `RunInstances`, `DescribeInstances` y de `StopInstances`. Sin embargo, es posible que quiera restringir una acción destructiva, como `TerminateInstances` y asegurarse de que los usuarios solo pueden realizar esta acción si se autentican mediante un dispositivo MFA de AWS. Para obtener más información, consulte [Acceso seguro a la API con MFA](id_credentials_mfa_configure-api-require.md).

## Acceder a la aplicación móvil usando claves de acceso de AWS
<a name="access-keys-mobile-app"></a>

Puede acceder a un conjunto limitado de servicios y características de AWS mediante la aplicación móvil de AWS. La aplicación móvil le permite dar soporte a la respuesta frente a incidentes mientras está en movimiento. Para obtener más información y descargar la aplicación, consulte [Aplicación móvil de la consola de AWS](https://aws.amazon.com/console/mobile/).

Puede iniciar sesión en la aplicación móvil con la contraseña de la consola o las claves de acceso. Como práctica recomendada, no utilice las clave de acceso de usuario raíz. En su lugar, le recomendamos encarecidamente que, además de utilizar una contraseña o un bloqueo biométrico en su dispositivo móvil, cree un usuario de IAM específicamente para administrar los recursos de AWS mediante la aplicación móvil. Si pierde su dispositivo móvil, puede eliminar el acceso del usuario de IAM.

**Para iniciar sesión con las teclas de acceso (aplicación móvil)**

1. Abra la aplicación en su dispositivo móvil.

1. Si es la primera vez que agrega una identidad al dispositivo, elija **Add an identity (Agregar una identidad)** y, a continuación, elija **Access keys (Teclas de acceso)**.

   Si ya ha iniciado sesión con otra identidad, elija el icono de menú y elija **Switch identity (Cambiar identidad)**. A continuación, elija **Sign in as a different identity (Iniciar sesión con una identidad diferente)** y, a continuación, **Access keys (Teclas de acceso)**.

1. En la página **Access keys (Claves de acceso)** introduzca su información:
   + **ID de clave de acceso**: introduzca el ID de clave de acceso.
   + **Clave de acceso secreta**: introduzca la clave de acceso secreta.
   + **Nombre de identidad**: introduzca el nombre de la identidad que aparecerá en la aplicación móvil. No es necesario que coincida con su nombre de usuario de IAM.
   + **PIN de identidad**: cree un número de identificación personal (PIN) que utilizará en los futuros inicios de sesión.
**nota**  
Si habilita la biometría para la aplicación móvil de AWS, se le pedirá que utilice su huella digital o reconocimiento facial para la verificación en lugar del PIN. Si la biometría falla, es posible que se le pida el PIN en su lugar.

1. Elija **Verify and add keys (Verificar y agregue claves)**.

   Ahora puede acceder a un conjunto selecto de sus recursos mediante la aplicación móvil.

## Información relacionada
<a name="more-resources"></a>

En las siguientes secciones, se proporciona información sobre cómo configurar los AWS SDK y la AWS CLI para utilizar claves de acceso:
+ [Conjunto de AWS credenciales y región](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) en la *Guía para desarrolladores de AWS SDK para Java*
+ [Uso de la tienda del SDK](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) en la *Guía para desarrolladores de AWS SDK para .NET*.
+ [Proporcione credenciales al SDK](https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html) en la *Guía para desarrolladores de AWS SDK para PHP*.
+ [Configuración](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html#configuration) en la documentación de Boto 3 (AWS SDK para Python).
+ [Using AWS Credentials](https://docs.aws.amazon.com/powershell/latest/userguide/specifying-your-aws-credentials.html) en la *Guía del usuario de AWS Tools for Windows PowerShell* 
+ [Archivos de configuración y credenciales](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) en la *Guía del usuario de AWS Command Line Interface*. 
+ [Conceder acceso mediante un rol de IAM](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-hosm.html) en la Guía *AWS SDK para .NETpara desarrolladores*
+ [Configure los roles de IAM para Amazon EC2](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-roles.html) en el *AWS SDK for Java 2.x*

## Uso de las credenciales de clave de acceso y de clave secreta para el acceso a la consola
<a name="console-access-security-keys"></a>

Es posible utilizar las credenciales de clave de acceso y de clave secreta para el acceso directo a la Consola de administración de AWS, no solo la AWS CLI. Esto se puede lograr mediante la llamada a la API [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) AWS STS. Al crear una URL de consola con las credenciales y el token temporales proporcionados por `GetFederationToken`, las entidades principales de IAM pueden acceder a la consola. Para obtener más información, consulte [Permitir el acceso del agente de identidades personalizadas a la consola de AWS](id_roles_providers_enable-console-custom-url.md).

Vale la pena aclarar que al iniciar sesión en la consola directamente con credenciales de usuario raíz o de IAM con la MFA habilitada, se requerirá la MFA. Sin embargo, si se utiliza el método descrito anteriormente (usar credenciales temporales con `GetFederationToken`), NO se requerirá la MFA.



## Auditoría de las claves de acceso
<a name="Using_access-keys-audit"></a>

Puede revisar las claves de acceso de AWS en su código para determinar si las claves proceden de una cuenta de su propiedad. Puede transferir un ID de clave de acceso mediante el comando [https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html) de la AWS CLI o la operación [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html) de la API de AWS.

Las operaciones de AWS CLI y de la API de AWS devuelven el ID de la cuenta de Cuenta de AWS a la que pertenece la clave de acceso. Los ID de clave de acceso que comienzan por `AKIA` son credenciales a largo plazo para un usuario de IAM o un Usuario raíz de la cuenta de AWS. Los ID de clave de acceso que comienzan por `ASIA` son credenciales temporales que se crean mediante operaciones de AWS STS. Si la cuenta de la respuesta le pertenece, puede iniciar sesión como usuario raíz y revisar las claves de acceso de usuario raíz. A continuación, puede extraer un [informe de credenciales](id_credentials_getting-report.md) para saber qué usuario de IAM es el propietario de las claves. Para saber quién solicitó las credenciales temporales para una clave de acceso `ASIA`, consulte los eventos de AWS STS en los registros de CloudTrail.

Por motivos de seguridad, puede [revisar los registros de AWS CloudTrail](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds) para saber quién realizó una acción en AWS. Puede utilizar la clave de condición de `sts:SourceIdentity` en la política de confianza de rol para exigir a los usuarios que especifiquen una identidad cuando asuman un rol. Por ejemplo, puede requerir que los usuarios de IAM especifiquen su propio nombre de usuario como su identidad de origen. Esto puede permitirle determinar qué usuario hizo una acción específica en AWS. Para obtener más información, consulte [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity).

Esta operación no indica el estado de la clave de acceso. La clave podría estar activa, inactiva o eliminada. Es posible que las claves activas no tengan permisos para realizar una operación. Proporcionar una clave de acceso eliminada podría devolver un error que indicara que la clave no existe.