Credenciales específicas del servicio para los usuarios de IAM - AWS Identity and Access Management
Rotación de credenciales específicas del servicioMonitoreo de las credenciales específicas del servicio

Credenciales específicas del servicio para los usuarios de IAM

Las credenciales específicas del servicio son mecanismos de autenticación especializados que se han diseñados para servicios de AWS específicos. Estas credenciales proporcionan una autenticación simplificada en comparación con las credenciales de AWS estándar, y se adaptan a los requisitos de autenticación de los servicios de AWS individuales. A diferencia de las claves de acceso, que se pueden usar en varios servicios de AWS, las credenciales específicas del servicio están diseñadas para usarse únicamente con el servicio para el que se crearon. Este enfoque específico mejora la seguridad al limitar el alcance de las credenciales.

Las credenciales específicas del servicio suelen consistir en un nombre de usuario y una contraseña o en claves de API especializadas que se formatean de acuerdo con los requisitos del servicio específico. Cuando se crean credenciales específicas de un servicio, se activan de forma predeterminada y se pueden usar inmediatamente. Puede tener un máximo de dos conjuntos de credenciales específicas del servicio para cada servicio compatible por usuario de IAM. Este límite permite mantener un conjunto activo y, al mismo tiempo, cambiar a un conjunto nuevo cuando sea necesario. Actualmente, AWS admite credenciales específicas del servicio para los siguientes servicios:

Rotación de credenciales específicas del servicio

Como práctica recomendada de seguridad, haga rotación de las credenciales específicas del servicio con regularidad. Para hacer una rotación de las credenciales sin interrumpir sus aplicaciones:

  1. Cree un segundo conjunto de credenciales específicas de un servicio para un usuario de IAM.

  2. Actualice todas las aplicaciones para que usen las nuevas credenciales y comprobar que funcionan correctamente.

  3. Cambie el estado de las credenciales originales a "Inactivo".

  4. Compruebe que todas las aplicaciones siguen funcionando correctamente.

  5. Elimine las credenciales inactivas específicas del servicio cuando esté seguro de que ya no son necesarias.

Monitoreo de las credenciales específicas del servicio

Puede usar AWS CloudTrail para monitorear el uso de credenciales específicas del servicio en su cuenta de AWS. Para ver los eventos de CloudTrail relacionados con el uso de credenciales de un servicio específico, revise los registros de CloudTrail para ver los eventos del servicio en el que se utilizan las credenciales. Para obtener más información, consulte Registro de llamadas a IAM y a la API de AWS STS con AWS CloudTrail.

Para mayor seguridad, piense en la posibilidad de configurar alarmas de CloudWatch para que notifiquen patrones de uso de credenciales específicos que puedan indicar un acceso no autorizado u otros problemas de seguridad. Para obtener más información, consulte Monitoreo de archivos de registro de CloudTrail con Registros de Amazon CloudWatch en la Guía del usuario de AWS CloudTrail.

En los siguientes temas se proporciona información acerca de las credenciales específicas del servicio.

Temas