# Contraseñas de los usuarios en AWS
<a name="id_credentials_passwords"></a>

Puede administrar las contraseñas de los usuarios de IAM de su cuenta. Los usuarios de IAM necesitan contraseñas para obtener acceso a la Consola de administración de AWS. Los usuarios no necesitan contraseñas para obtener acceso a los recursos de AWS mediante programación, utilizando la AWS CLI, Tools for Windows PowerShell, los SDK de AWS o las API. Para esos entornos, tiene la opción de asignar [claves de acceso](id_credentials_access-keys.md) a los usuarios de IAM. Sin embargo, existen otras alternativas más seguras a las claves de acceso que le recomendamos que tenga en cuenta en primer lugar. Para obtener más información, consulte [AWSCredenciales de seguridad de](security-creds.md).

**nota**  
Si uno de sus usuarios de IAM pierde u olvida la contraseña, usted *no* podrá recuperarla de IAM. En función de su configuración, el usuario o el administrador debe crear una contraseña nueva.

**Topics**
+ [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](id_credentials_passwords_account-policy.md)
+ [Administrar las contraseñas de los usuarios de IAM](id_credentials_passwords_admin-change-user.md)
+ [Autorización para que los usuarios de IAM cambien sus contraseñas](id_credentials_passwords_enable-user-change.md)
+ [Cómo un usuario de IAM cambia su propia contraseña](id_credentials_passwords_user-change-own.md)

# Configuración de una política de contraseñas de la cuenta para usuarios de IAM
<a name="id_credentials_passwords_account-policy"></a>

Puede establecer una política de contraseñas personalizada en la Cuenta de AWS para especificar los requisitos de complejidad y los periodos de rotación obligatorios de las contraseñas de los usuarios de IAM. Si no establece una política de contraseñas personalizada, las contraseñas de los usuarios de IAM deberán cumplir con la política de contraseñas predeterminada de AWS. Para obtener más información, consulte [Opciones de la política de contraseñas personalizada](#password-policy-details).

**Topics**
+ [Reglas para configurar una política de contraseñas](#password-policy-rules)
+ [Permisos necesarios para establecer una política de contraseñas](#default-policy-permissions-required)
+ [Política de contraseñas predeterminada](#default-policy-details)
+ [Opciones de la política de contraseñas personalizada](#password-policy-details)
+ [Cómo configurar una política de contraseñas (consola)](#IAMPasswordPolicy)
+ [Cómo cambiar una política de contraseñas (consola)](#id_credentials_passwords_account-policy-section-1)
+ [Para eliminar una política de contraseñas personalizada (consola)](#id_credentials_passwords_account-policy-section-2)
+ [Configuración de una política de contraseñas (AWS CLI)](#PasswordPolicy_CLI)
+ [Configuración de una política de contraseñas (API de AWS)](#PasswordPolicy_API)

## Reglas para configurar una política de contraseñas
<a name="password-policy-rules"></a>

La política de contraseñas de IAM no se aplica a la contraseña de Usuario raíz de la cuenta de AWS ni a las claves de acceso de los usuarios de IAM. Si una contraseña vence, el usuario de IAM no podrá iniciar sesión en la Consola de administración de AWS, pero podrá seguir utilizando sus claves de acceso.

Al crear o cambiar una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Sin embargo, algunos de los ajustes se aplican de forma inmediata. Por ejemplo: 
+ Cuando cambian los requisitos de longitud mínima y de tipos de caracteres, esta configuración se aplica la próxima vez que los usuarios cambian la contraseña. Los usuarios no están obligados a cambiar sus contraseñas, aunque las contraseñas existentes no cumplan la política de contraseñas actualizada.
+ Si configura el periodo de vencimiento de una contraseña, este se aplica de forma inmediata. Por ejemplo, supongamos que se establece un periodo de vencimiento de la contraseña de 90 días. En ese caso, la contraseña vence para todos los usuarios de IAM cuya contraseña existente tiene más de 90 días. Esos usuarios deberán cambiar su contraseña la próxima vez que inicien sesión.

No puede crear una “política de bloqueo” para bloquear a los usuarios el acceso a la cuenta después de un número específico de intentos fallidos de inicio de sesión. Para mejorar la seguridad, se recomienda combinar una política de contraseñas seguras con la autenticación multifactor (MFA). Para obtener más información acerca de MFA, consulte [Autenticación multifactor de AWS en IAM](id_credentials_mfa.md).

## Permisos necesarios para establecer una política de contraseñas
<a name="default-policy-permissions-required"></a>

Debe configurar permisos para permitir que una entidad (usuario o rol) de IAM vea o edite la política de contraseñas de cuenta. Puede incluir las siguientes acciones de política de contraseñas en una política de IAM: 
+ `iam:GetAccountPasswordPolicy`: permite a la entidad ver la política de contraseñas de su cuenta
+ `iam:DeleteAccountPasswordPolicy`: permite a la entidad eliminar la política de contraseñas personalizada para su cuenta y volver a la política de contraseñas predeterminada
+ `iam:UpdateAccountPasswordPolicy`: permite a la entidad crear o cambiar la política de contraseñas personalizada de su cuenta

La siguiente política permite el acceso total para ver y editar la política de contraseñas de la cuenta. Para obtener información sobre cómo crear una política de IAM mediante este documento de política JSON de ejemplo, consulte [Creación de políticas mediante el editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Para obtener información acerca de los permisos necesarios para que un usuario de IAM cambie su propia contraseña, consulte [Autorización para que los usuarios de IAM cambien sus contraseñas](id_credentials_passwords_enable-user-change.md).

## Política de contraseñas predeterminada
<a name="default-policy-details"></a>

Si un administrador no establece una política de contraseñas personalizada, las contraseñas de los usuarios de IAM deben cumplir con la política de contraseñas predeterminada de AWS.

La política de contraseñas predeterminada aplica las siguientes condiciones:
+ tener una longitud mínima de contraseña de 8 caracteres y una longitud máxima de 128 caracteres
+ Un mínimo de tres de los siguientes tipos de caracteres: mayúsculas, minúsculas, números y caracteres no alfanuméricos (`! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`)
+ No ser idéntica al nombre de la Cuenta de AWS ni a la dirección de correo electrónico
+ La contraseña no caduca nunca

## Opciones de la política de contraseñas personalizada
<a name="password-policy-details"></a>

Cuando configure una política de contraseñas personalizada para su cuenta, podrá especificar las siguientes condiciones:
+ **Establecer la longitud mínima de la contraseña**: usted puede especificar un mínimo de 6 caracteres y un máximo de 128 caracteres.
+ **Establecer la seguridad de la contraseña**: usted puede seleccionar cualquiera de las siguientes casillas de verificación para definir la seguridad de las contraseñas de los usuarios de IAM:
  + Exija al menos una letra mayúscula del alfabeto latino (A-Z).
  + Exija al menos una letra minúscula del alfabeto latino (a-z).
  + Exija al menos un número
  + Exija al menos un carácter no alfanumérico . `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '` 
+ **Activar el vencimiento de la contraseña**: puede seleccionar y especificar un mínimo de 1 día y un máximo de 1095 días de validez de las contraseñas de los usuarios de IAM una vez establecidas. Por ejemplo, si especifica un vencimiento de 90 días, afecta inmediatamente a todos los usuarios. Los usuarios con contraseñas de más de 90 días, cuando inician sesión en la consola después del cambio, deben establecer una nueva contraseña. Los usuarios con contraseñas de entre 75 y 89 días de antigüedad reciben un aviso en la Consola de administración de AWS sobre el vencimiento de su contraseña. Los usuarios de IAM pueden cambiar su contraseña en cualquier momento si tienen permiso para hacerlo. Cuando establecen una contraseña nueva, el periodo de vencimiento para esa contraseña vuelve a comenzar. Un usuario de IAM solo puede tener una contraseña válida a la vez.
+ **La caducidad de la contraseña requiere un restablecimiento por parte del administrador**: seleccione esta opción para evitar que los usuarios de IAM utilicen la Consola de administración de AWS para actualizar sus propias contraseñas después de que la contraseña caduque. Antes de seleccionar esta opción, confirme que su Cuenta de AWS tenga más de un usuario con permisos administrativos para restablecer las contraseñas de los usuarios de IAM. Los administradores con el permiso `iam:UpdateLoginProfile` pueden restablecer las contraseñas de usuario de IAM. Los usuarios de IAM con el permiso `iam:ChangePassword` y las claves de acceso activas pueden restablecer su propia contraseña de la consola de usuario de IAM mediante programación. Si desactiva esta casilla de verificación, los usuarios de IAM con contraseñas vencidas aún deberán establecer una nueva contraseña antes de poder acceder a la Consola de administración de AWS.
+ **Permitir que los usuarios cambien su propia contraseña**: puede permitir que todos los usuarios de IAM de su cuenta cambien su propia contraseña. Esto permite a los usuarios acceder a la acción `iam:ChangePassword` solo para su usuario y a la acción `iam:GetAccountPasswordPolicy`. Esta opción no adjunta una política de permisos a cada usuario. Más bien, IAM aplica los permisos en la cuenta para todos los usuarios. También puede permitir que solo algunos usuarios administren sus propias contraseñas. Para ello, desactive esta casilla de verificación. Para obtener más información acerca del uso de políticas para limitar quién puede administrar contraseñas, consulte [Autorización para que los usuarios de IAM cambien sus contraseñas](id_credentials_passwords_enable-user-change.md).
+ **Impedir la reutilización de las contraseñas**: puede impedir que los usuarios de IAM reutilicen una cantidad específica de contraseñas anteriores. Puede especificar un número mínimo de 1 y un número máximo de 24 contraseñas anteriores que no se pueden repetir. 

## Cómo configurar una política de contraseñas (consola)
<a name="IAMPasswordPolicy"></a>

Puede utilizar la Consola de administración de AWS para crear, cambiar o eliminar una política de contraseñas personalizada. Los cambios en la política de contraseñas se aplican a los nuevos usuarios de IAM creados después de estos cambios y a los usuarios de IAM existentes cuando cambian sus contraseñas.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, elija **Configuración de cuenta**.

1. En la sección **Password policy** (Política de contraseñas), elija **Edit** (Editar). 

1. Elija **Custom** (Personalizado) para usar una política de contraseñas personalizada.

1. Seleccione las opciones que desee aplicar a su política de contraseñas y elija **Save changes (Guardar cambios)**. 

1. Para confirmar que desea establecer la política de contraseñas personalizada, seleccione **Set custom** (Establecer la política personalizada).

La consola muestra un mensaje de estado en el que se le informa que se han actualizado los requisitos de contraseña para los usuarios de IAM.

------

## Cómo cambiar una política de contraseñas (consola)
<a name="id_credentials_passwords_account-policy-section-1"></a>

Puede utilizar la Consola de administración de AWS para crear, cambiar o eliminar una política de contraseñas personalizada. Los cambios en la política de contraseñas se aplican a los nuevos usuarios de IAM creados después de estos cambios y a los usuarios de IAM existentes cuando cambian sus contraseñas.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, elija **Configuración de cuenta**.

1. En la sección **Password policy** (Política de contraseñas), elija **Edit** (Editar). 

1. Seleccione las opciones que desee aplicar a su política de contraseñas y elija **Save changes (Guardar cambios)**. 

1. Para confirmar que desea establecer la política de contraseñas personalizada, seleccione **Set custom** (Establecer la política personalizada).

La consola muestra un mensaje de estado en el que se le informa que se han actualizado los requisitos de contraseña para los usuarios de IAM.

------

## Para eliminar una política de contraseñas personalizada (consola)
<a name="id_credentials_passwords_account-policy-section-2"></a>

Puede utilizar la Consola de administración de AWS para crear, cambiar o eliminar una política de contraseñas personalizada. Los cambios en la política de contraseñas se aplican a los nuevos usuarios de IAM creados después de estos cambios y a los usuarios de IAM existentes cuando cambian sus contraseñas.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, elija **Configuración de cuenta**.

1. En la sección **Password policy** (Política de contraseñas), elija **Edit** (Editar). 

1. Elija **IAM default** (Predeterminado de IAM) para eliminar la política de contraseñas personalizada y elija **Save changes** (Guardar cambios).

1. Para confirmar que desea establecer la política de contraseñas predeterminada de IAM, seleccione **Set default** (Establecer la política predeterminada).

La consola muestra un mensaje de estado en el que se le informa que la política de contraseñas está configurada como predeterminada de IAM.

------

## Configuración de una política de contraseñas (AWS CLI)
<a name="PasswordPolicy_CLI"></a>

Puede utilizar la AWS Command Line Interface para establecer una política de contraseñas.

**Para administrar la política personalizada de contraseñas de cuentas desde la AWS CLI**  
Ejecute los comandos siguientes:
+ Para crear o cambiar la política de contraseñas personalizada: [https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)
+ Para ver la política de contraseñas: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html) 
+ Para eliminar la política de contraseñas personalizada: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html) 

## Configuración de una política de contraseñas (API de AWS)
<a name="PasswordPolicy_API"></a>

Puede utilizar las operaciones de la API de AWS para establecer una política de contraseñas.

**Para administrar la política personalizada de contraseñas de cuentas desde la API de AWS**  
Llame a las siguientes operaciones:
+ Para crear o cambiar la política de contraseñas personalizada: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)
+ Para ver la política de contraseñas: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) 
+ Para eliminar la política de contraseñas personalizada: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html) 

# Administrar las contraseñas de los usuarios de IAM
<a name="id_credentials_passwords_admin-change-user"></a>

Los usuarios de IAM que utilizan la Consola de administración de AWS para trabajar con los recursos de AWS deben tener una contraseña para poder iniciar sesión. Puede crear, cambiar o eliminar la contraseña de un usuario de IAM en su cuenta de AWS. 

Una vez que haya asignado una contraseña a un usuario, el usuario puede iniciar sesión en la Consola de administración de AWS con la URL de inicio de sesión de su cuenta, que tiene este aspecto: 

```
https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console
```

Para obtener más información acerca de cómo los usuarios de IAM inician sesión en la Consola de administración de AWS, consulte [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*. 

Aunque los usuarios tengan sus propias contraseñas, deben seguir teniendo permisos para obtener acceso a los recursos de AWS. De forma predeterminada, un usuario no tiene permisos. Para conceder a los usuarios los permisos que necesitan, debe asignarles políticas o a los grupos a los que pertenezcan. Para obtener información sobre cómo crear usuarios y grupos, consulte [Identidades de IAM](id.md). Para obtener información sobre cómo utilizar políticas para establecer permisos, consulte [Cambio de los permisos de un usuario de IAM](id_users_change-permissions.md). 

Puede conceder a los usuarios permiso para cambiar sus propias contraseñas. Para obtener más información, consulte [Autorización para que los usuarios de IAM cambien sus contraseñas](id_credentials_passwords_enable-user-change.md). Para obtener más información acerca de cómo los usuarios acceden a la página de inicio de sesión de su cuenta, consulte [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*. 

**Topics**
+ [Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)](#id_credentials_passwords_admin-change-user_console)

## Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)
<a name="id_credentials_passwords_admin-change-user_console"></a>

También puede utilizar la Consola de administración de AWS para administrar contraseñas de los usuarios de IAM.

Las necesidades de acceso de sus usuarios pueden cambiar con el tiempo. Es posible que deba habilitar un usuario destinado al acceso a la CLI para poder acceder a la consola, cambiar la contraseña de un usuario porque recibe el correo electrónico con sus credenciales o eliminar un usuario cuando abandona la organización o ya no necesita acceso a AWS. 

### Para crear una contraseña para un usuario de IAM (consola)
<a name="id_credentials_passwords_admin-change-user-section-1"></a>

Utilice este procedimiento para conceder a un usuario acceso a la consola mediante la creación de una contraseña asociada al nombre de usuario.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre del usuario cuya contraseña desea crear. 

1. Elija la pestaña **Credenciales de seguridad** y luego, en **Inicio de sesión en la consola**, elija **Habilitar el acceso a la consola**.

1. En el cuadro de diálogo **Habilitar el acceso a la consola**, seleccione **Restablecer contraseña** y seleccione si IAM debe generar una contraseña o crear una contraseña personalizada: 
   + Para que IAM genere una contraseña, elija **Contraseña generada automáticamente**.
   + Para crear una contraseña personalizada, elija **Custom password (Contraseña personalizada)** y escriba la contraseña. 
**nota**  
La contraseña que cree debe cumplir con la [política de contraseñas](id_credentials_passwords_account-policy.md) de la cuenta.

1. Para exigir al usuario que cree una contraseña nueva cuando inicie sesión, seleccione **Exigir cambio de contraseña en el próximo inicio de sesión**. 

1. Para exigir al usuario que utilice la nueva contraseña inmediatamente, seleccione **Revocar sesiones activas de la consola**. De este modo, se adjunta una política insertada al usuario de IAM que le deniega el acceso a los recursos si sus credenciales son anteriores a la fecha especificada en la política.

1. Seleccione **Restablecer contraseña**.

1. En el cuadro de diálogo **Contraseña de la consola**, se le informa que ha activado la nueva contraseña del usuario. Para ver la contraseña y poder compartirla con el usuario, seleccione **Mostrar** en el cuadro de diálogo **Contraseña de la consola**. Seleccione **Descargar archivo .csv** para descargar un archivo con las credenciales del usuario.
**importante**  
Por motivos de seguridad, no puede obtener acceso a la contraseña después de completar este paso, pero puede crear una nueva contraseña en cualquier momento.

La consola muestra un mensaje de estado en el que se le informa que se ha habilitado el acceso a la consola.

------

### Para cambiar la contraseña de un usuario de IAM (consola)
<a name="id_credentials_passwords_admin-change-user-section-2"></a>

Utilice este procedimiento para actualizar una contraseña asociada al nombre de usuario.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre del usuario cuya contraseña desea cambiar. 

1. Elija la pestaña **Credenciales de seguridad** y luego, en **Inicio de sesión en la consola**, elija **Administrar el acceso a la consola**.

1. En el cuadro de diálogo **Administrar el acceso a la consola**, seleccione **Restablecer contraseña** y seleccione si IAM debe generar una contraseña o crear una contraseña personalizada: 
   + Para que IAM genere una contraseña, elija **Contraseña generada automáticamente**.
   + Para crear una contraseña personalizada, elija **Custom password (Contraseña personalizada)** y escriba la contraseña. 
**nota**  
La contraseña que cree debe cumplir con la [política de contraseñas](id_credentials_passwords_account-policy.md) de la cuenta.

1. Para exigir al usuario que cree una contraseña nueva cuando inicie sesión, seleccione **Exigir cambio de contraseña en el próximo inicio de sesión**. 

1. Para exigir al usuario que utilice la nueva contraseña inmediatamente, seleccione **Revocar sesiones activas de la consola**. De este modo, se adjunta una política insertada al usuario de IAM que le deniega el acceso a los recursos si sus credenciales son anteriores a la fecha especificada en la política.

1. Seleccione **Restablecer contraseña**.

1. En el cuadro de diálogo **Contraseña de la consola**, se le informa que ha activado la nueva contraseña del usuario. Para ver la contraseña y poder compartirla con el usuario, seleccione **Mostrar** en el cuadro de diálogo **Contraseña de la consola**. Seleccione **Descargar archivo .csv** para descargar un archivo con las credenciales del usuario.
**importante**  
Por motivos de seguridad, no puede obtener acceso a la contraseña después de completar este paso, pero puede crear una nueva contraseña en cualquier momento.

La consola muestra un mensaje de estado en el que se le informa que se ha actualizado el acceso a la consola.

------

### Para eliminar (desactivar) la contraseña de un usuario de IAM (consola)
<a name="id_credentials_passwords_admin-change-user-section-3"></a>

Utilice este procedimiento para eliminar una contraseña asociada al nombre de usuario, lo que le quita al usuario el acceso a la consola.

**importante**  
Puede desactivar el acceso de un usuario de IAM a la Consola de administración de AWS eliminando su contraseña. Esto les impide iniciar sesión en la Consola de administración de AWS utilizando sus credenciales de inicio de sesión. No cambia sus permisos ni les impide acceder a la consola utilizando un rol asumido. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de la AWS CLI, Tools for Windows PowerShell, API de AWS o Console Mobile Application de AWS.

------
#### [ Console ]

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema [Cómo iniciar sesión en AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de inicio de sesión en AWS*.

1. En la **página principal de la consola de IAM**, dentro del panel de navegación izquierdo, ingrese su consulta en el cuadro de texto **Buscar en IAM**.

1. En el panel de navegación, seleccione **Usuarios**.

1. Elija el nombre del usuario cuya contraseña desea eliminar. 

1. Elija la pestaña **Credenciales de seguridad** y luego, en **Inicio de sesión en la consola**, elija **Administrar el acceso a la consola**.

1. Para exigir al usuario que deje de usar la consola inmediatamente, seleccione **Revocar sesiones activas de la consola**. De este modo, se adjunta una política insertada al usuario de IAM que le deniega el acceso a los recursos si sus credenciales son anteriores a la fecha especificada en la política.

1. Seleccione **Deshabilitar el acceso**.

La consola muestra un mensaje de estado en el que se le informa que se ha deshabilitado el acceso a la consola.

------

### Creación, cambio o eliminación de la contraseña de un usuario de IAM (AWS CLI)
<a name="Using_ManagingPasswordsCLIAPI"></a>

También puede utilizar la API de la AWS CLI para administrar contraseñas de los usuarios de IAM.

**Para crear una contraseña (AWS CLI)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. Para crear una contraseña, ejecute este comando: [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)

**Para cambiar la contraseña de un usuario (AWS CLI)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. Para cambiar una contraseña, ejecute este comando: [aws iam update-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/update-login-profile.html)

**Para eliminar (deshabilitar) la contraseña de un usuario (AWS CLI)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)

1. (Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)

1. Para eliminar una contraseña, ejecute este comando: [aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)

**importante**  
Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la Consola de administración de AWS. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de AWS CLI, Tools for Windows PowerShell, o llamadas de función de API de AWS. Cuando se utiliza la AWS CLI, Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una Cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte [Eliminación de un usuario de IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli). 

**Revocación de las sesiones de consola activas de un usuario antes de una hora específica (AWS CLI)**

1. Para incrustar una política insertada que revoque las sesiones de consola activas de un usuario de IAM antes de una hora específica, utilice la siguiente política en línea y ejecute este comando: [aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

   Esta política insertada deniega todos los permisos e incluye la clave de condición `aws:TokenIssueTime`. Revoca las sesiones de consola activas del usuario antes de la hora especificada en el elemento `Condition` de la política insertada. Reemplace el valor de la clave de condición `aws:TokenIssueTime` por su propio valor.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (Opcional) Para mostrar los nombres de las políticas insertadas en el usuario de IAM, ejecute este comando: [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)

1. (Opcional) Para ver la política insertada con nombre incrustada en el usuario de IAM, ejecute este comando: [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)

### Creación, cambio o eliminación de la contraseña de un usuario de IAM (API de AWS)
<a name="Using_ManagingPasswordsAPI"></a>

También puede utilizar la API de la AWS para administrar contraseñas de los usuarios de IAM.

**Para crear una contraseña (API de AWS)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. Para crear una contraseña, llame a esta operación: [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

**Para cambiar la contraseña de un usuario (API de AWS)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, llame a esta operación: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. Para cambiar una contraseña, llame a esta operación: [UpdateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateLoginProfile.html)

**Para eliminar (deshabilitar) la contraseña de un usuario (API de AWS)**

1. (Opcional) Para determinar si un usuario tiene una contraseña, ejecute este comando: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. (Opcional) Para determinar cuándo se utilizó una contraseña por última vez, ejecute este comando: [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)

1. Para eliminar una contraseña, ejecute este comando: [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)

**importante**  
Al eliminar la contraseña de un usuario, este ya no puede iniciar sesión en la Consola de administración de AWS. Si el usuario dispone de claves de acceso activas, estas seguirán funcionando y permitirán el acceso a través de AWS CLI, Tools for Windows PowerShell, o llamadas de función de API de AWS. Cuando se utiliza la AWS CLI, Herramientas para Windows PowerShell o la API de AWS para eliminar un usuario de una Cuenta de AWS, primero se debe eliminar la contraseña mediante esta operación. Para obtener más información, consulte [Eliminación de un usuario de IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli). 

**Revocación de las sesiones de consola activas de un usuario antes de una hora específica (API de AWS)**

1. Para incrustar una política insertada que revoque las sesiones de consola activas de un usuario de IAM antes de una hora específica, utilice la siguiente política insertada y ejecute este comando: [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

   Esta política insertada deniega todos los permisos e incluye la clave de condición `aws:TokenIssueTime`. Revoca las sesiones de consola activas del usuario antes de la hora especificada en el elemento `Condition` de la política insertada. Reemplace el valor de la clave de condición `aws:TokenIssueTime` por su propio valor.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (Opcional) Para mostrar los nombres de las políticas insertadas en el usuario de IAM, ejecute este comando: [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)

1. (Opcional) Para ver la política insertada con nombre incrustada en el usuario de IAM, ejecute este comando: [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)

# Autorización para que los usuarios de IAM cambien sus contraseñas
<a name="id_credentials_passwords_enable-user-change"></a>

**nota**  
Los usuarios con identidades federadas utilizarán el proceso definido por su proveedor de identidades para cambiar sus contraseñas. Como [práctica recomendada](best-practices.md), exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales.

Puede permitir a los usuarios de IAM que cambien sus propias contraseñas para iniciar sesión en la Consola de administración de AWS. Puede hacerlo de una de las dos formas siguientes:
+ [Permitir a todos los usuarios de IAM de la cuenta cambiar sus propias contraseñas](#proc_letalluserschangepassword). 
+ [Permitir solo a usuarios de IAM determinados cambiar sus propias contraseñas](#proc_letselectuserschangepassword). En este caso, desactive la opción para que todos los usuarios cambien sus propias contraseñas y utilice una política de IAM para otorgar permisos solo a algunos usuarios. Este enfoque permite a esos usuarios cambiar sus propias contraseñas y, de manera opcional, otras credenciales, como sus propias claves de acceso. 

**importante**  
Se recomienda [establecer una política de contraseñas personalizada](id_credentials_passwords_account-policy.md) que requiera que los usuarios de IAM creen contraseñas seguras.

## Para permitir que todos los usuarios de IAM cambien sus contraseñas
<a name="proc_letalluserschangepassword"></a>

------
#### [ Console ]

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, haga clic en **Account settings (Configuración de la cuenta)**.

1. En la sección **Password policy** (Política de contraseñas), elija **Edit** (Editar).

1. Elija **Custom** (Personalizado) para usar una política de contraseñas personalizada.

1. Seleccione **Allow users to change their own password** (Permitir que los usuarios cambien su propia contraseña) y, a continuación, elija **Save changes** (Guardar cambios). Esto permite a todos los usuarios de la cuenta acceder a la acción `iam:ChangePassword` solo para su usuario y a la acción `iam:GetAccountPasswordPolicy`.

1. Proporcione a los usuarios las siguientes instrucciones para cambiar sus contraseñas: [Cómo un usuario de IAM cambia su propia contraseña](id_credentials_passwords_user-change-own.md). 

------
#### [ AWS CLI ]

Ejecute el siguiente comando:
+ `[aws iam update-account-password-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)`

------
#### [ API ]

Para crear un alias para la URL de la página de inicio de sesión de la Consola de administración de AWS, llame a la siguiente operación:
+ `[UpdateAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)` 

------

## Para permitir a usuarios de IAM determinados cambiar sus propias contraseñas
<a name="proc_letselectuserschangepassword"></a>

------
#### [ Console ]

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, haga clic en **Account settings (Configuración de la cuenta)**. 

1. En la sección **Password policy (Política de contraseñas)**, asegúrese de que la opción **Allow users to change their own password (Permitir que los usuarios cambien su propia contraseña)** no esté seleccionada. Si la casilla de verificación está marcada, todos los usuarios podrán cambiar sus contraseñas. (Lea el procedimiento previo.) 

1. Cree usuarios que puedan cambiar sus propias contraseñas, si no existen todavía. Para obtener más información, consulte [Creación de un usuario de IAM en su Cuenta de AWS](id_users_create.md). 

1. (Opcional) Cree un grupo de IAM para los usuarios que deberían poder cambiar sus contraseñas y, a continuación, agregue los usuarios del paso anterior al grupo. Para obtener más información, consulte [Grupos de usuarios de IAM](id_groups.md). 

1. Asigne la siguiente política al grupo. Para obtener más información, consulte [Administración de políticas de IAM](access_policies_manage.md).

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:GetAccountPasswordPolicy",
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": "iam:ChangePassword",
         "Resource": "arn:aws:iam::*:user/${aws:username}"
       }
     ]
   }
   ```

------

   Esta política otorga acceso a la acción [cambiar contraseña](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html), que permite a los usuarios cambiar únicamente sus propias contraseñas desde la consola, la AWS CLI, Tools for Windows PowerShell o la API. También otorga acceso a la acción [GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html), que permite al usuario ver la política de contraseñas actual. Este permiso es necesario para que el usuario pueda ver la política de contraseñas de cuentas en la página **Change Password (Cambiar contraseña)**. El usuario debe poder leer la política de contraseñas actual para asegurarse de que la contraseña cambiada cumpla los requisitos de la política.

1. Proporcione a los usuarios las siguientes instrucciones para cambiar sus contraseñas: [Cómo un usuario de IAM cambia su propia contraseña](id_credentials_passwords_user-change-own.md). 

------

### Para obtener más información
<a name="HowToPwdIAMUser-moreinfo"></a>

Para obtener más información acerca de cómo administrar credenciales, consulte los siguientes temas:
+ [Autorización para que los usuarios de IAM cambien sus contraseñas](#id_credentials_passwords_enable-user-change) 
+ [Contraseñas de los usuarios en AWS](id_credentials_passwords.md)
+ [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](id_credentials_passwords_account-policy.md)
+ [Administración de políticas de IAM](access_policies_manage.md)
+ [Cómo un usuario de IAM cambia su propia contraseña](id_credentials_passwords_user-change-own.md)

# Cómo un usuario de IAM cambia su propia contraseña
<a name="id_credentials_passwords_user-change-own"></a>

Si dispone de permiso para cambiar su propia contraseña de usuario de IAM, puede utilizar una página especial en la Consola de administración de AWS para hacerlo. También puede utilizar la AWS CLI o la API de AWS.

**Topics**
+ [Permisos necesarios](#change-own-passwords-permissions-required)
+ [Cómo cambian los usuarios de IAM su propia contraseña (consola)](#ManagingUserPwdSelf-Console)
+ [Cómo cambian los usuarios de IAM su propia contraseña (AWS CLI o API de AWS)](#ManagingUserPwdSelf-CLIAPI)

## Permisos necesarios
<a name="change-own-passwords-permissions-required"></a>

Para cambiar la contraseña de su propio usuario de IAM, debe contar con los permisos de la siguiente política: [AWS: permite a los usuarios de IAM cambiar su propia contraseña de consola en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).

## Cómo cambian los usuarios de IAM su propia contraseña (consola)
<a name="ManagingUserPwdSelf-Console"></a>

En el siguiente procedimiento se describe cómo un usuario de IAM puede utilizar la Consola de administración de AWS para cambiar su propia contraseña.

**Para cambiar la contraseña de su propio usuario de IAM (consola)**

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la [consola de IAM](https://console.aws.amazon.com/iam).
**nota**  
Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija **Iniciar sesión en otra cuenta** cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

1. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, **Security credentials** (Credenciales de seguridad).   
![\[Enlace de credenciales de seguridad de la Consola de administración de AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. En la pestaña **Credenciales de AWS IAM**, elija **Actualizar contraseña**.

1. En **Current password (Contraseña actual)**, escriba la contraseña actual. Escriba una contraseña nueva **New password (Nueva contraseña)** y **Confirm new password (Confirmar nueva contraseña)**. A continuación, elija **Actualizar contraseña**.
**nota**  
La nueva contraseña debe cumplir los requisitos de la política de contraseñas de cuentas. Para obtener más información, consulte [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](id_credentials_passwords_account-policy.md). 

## Cómo cambian los usuarios de IAM su propia contraseña (AWS CLI o API de AWS)
<a name="ManagingUserPwdSelf-CLIAPI"></a>

En el siguiente procedimiento se describe cómo un usuario de IAM puede utilizar la AWS CLI o la API de AWS para cambiar su propia contraseña.

**Para cambiar su propia contraseña de IAM, utilice lo siguiente:**
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html](https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)