Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de claves de AWS acceso para autenticar AWS SDKs y herramientas
<a name="access-users"></a>

El uso de claves de AWS acceso es una opción de autenticación cuando se utilizan AWS SDKs herramientas.

## Use credenciales a corto plazo
<a name="credentials-temporary"></a>

 Recomendamos configurar su SDK o herramienta para utilizar [Uso del Centro de identidades de IAM para autenticar el AWS SDK y las herramientas](access-sso.md) para usar opciones de duración de sesión ampliada. 

Sin embargo, para configurar directamente las credenciales temporales del SDK o de la herramienta, consulte [Uso de credenciales a corto plazo para autenticar AWS SDKs y herramientasCredenciales a corto plazo](access-temp-idc.md).

## Use credenciales a largo plazo
<a name="credentials-long-term"></a>

**aviso**  
Para evitar riesgos de seguridad, no utilice a los usuarios de IAM para la autenticación cuando desarrolle software especialmente diseñado o trabaje con datos reales. En cambio, utilice la federación con un proveedor de identidades como [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

### Gestione el acceso en todas partes Cuentas de AWS
<a name="manage-access-accounts"></a>

Como práctica recomendada de seguridad, te recomendamos que utilices AWS Organizations IAM Identity Center para gestionar el acceso en todas tus Cuentas de AWS instalaciones. Para más información, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

Puede crear usuarios en el Centro de identidades de IAM, usar Microsoft Active Directory, usar un proveedor de identidades (IdP) SAML 2.0 o federar individualmente su IdP a. Cuentas de AWS Con uno de estos enfoques, puede ofrecer a sus usuarios una experiencia de inicio de sesión único. También puede aplicar la autenticación multifactor (MFA) y utilizar credenciales Cuenta de AWS temporales para el acceso. Esto es diferente al de un usuario de IAM, que es una credencial de larga duración que se puede compartir y que podría aumentar el riesgo de seguridad de sus recursos de AWS .

### Cree usuarios de IAM únicamente para entornos aislados
<a name="create-iam-user-sandbox"></a>

Si es la primera vez que lo usa AWS, puede crear un usuario de IAM de prueba y luego usarlo para ejecutar tutoriales y explorar lo que AWS ofrece. Está bien usar este tipo de credenciales cuando estés aprendiendo, pero te recomendamos que evites usarlas fuera de un entorno aislado.

Para los siguientes casos de uso, podría ser conveniente empezar con los usuarios de IAM en: AWS
+ Cómo empezar a utilizar el AWS SDK o la herramienta y explorarlos Servicios de AWS en un entorno aislado.
+ Ejecute scripts, trabajos y otros procesos automatizados programados que no admitan un proceso de inicio de sesión asistido por una persona como parte de su aprendizaje.

Si utilizas usuarios de IAM fuera de estos casos de uso, cámbiate al Centro de Identidad de IAM o federa tu proveedor de identidades Cuentas de AWS lo antes posible. Para obtener más información, consulte [Federación de identidades en AWS](https://aws.amazon.com/identity/federation/).

### Asegurar claves de acceso para un usuario de IAM
<a name="secure-iam-access-keys"></a>

Debe rotar con regularidad las claves de acceso de usuario de IAM. Siga las instrucciones en [Rotating access keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) en la *Guía de usuario de IAM*. Si cree que ha compartido accidentalmente sus claves de acceso de usuario de IAM, rote las claves de acceso.

Las claves de acceso de los usuarios de IAM deben almacenarse en el AWS `credentials` archivo compartido de la máquina local. No guarde las claves de acceso de los usuarios de IAM en su código. No incluya archivos de configuración que contengan sus claves de acceso de usuario de IAM en ningún software de administración de código fuente. Las herramientas externas, como el proyecto de código abierto [git-secrets](https://github.com/awslabs/git-secrets), pueden ayudarte a no enviar información confidencial a un repositorio de Git de forma inadvertida. Para obtener más información acerca de los usuarios de IAM, consulte [Identidades de IAM (usuarios, grupos y funciones)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la *Guía de usuario de IAM*.

Para configurar un usuario de IAM para empezar, consulte [Uso de credenciales a largo plazo para autenticar AWS SDKs y herramientas](access-iam-users.md).

# Uso de credenciales a corto plazo para autenticar AWS SDKs y herramientas
<a name="access-temp-idc"></a>

 Recomendamos configurar el AWS SDK o la herramienta para utilizarlos [Uso del Centro de identidades de IAM para autenticar el AWS SDK y las herramientas](access-sso.md) con opciones de duración de sesión prolongada. Sin embargo, puede copiar y usar las credenciales temporales que están disponibles en el portal de AWS acceso. Las credenciales nuevas deberán copiarse cuando caduquen. Puede utilizar las credenciales temporales en un perfil o como valores para las propiedades del sistema y las variables de entorno.

Práctica recomendada: en lugar de administrar manualmente las claves de acceso y un token del archivo de credenciales, recomendamos que la aplicación utilice credenciales temporales enviadas desde: 
+ Un servicio de AWS cómputo, como ejecutar la aplicación en Amazon Elastic Compute Cloud o en AWS Lambda.
+ Otra opción de la cadena de proveedores de credenciales, como [Uso del Centro de identidades de IAM para autenticar el AWS SDK y las herramientas](access-sso.md).
+ O utilícela [Proveedor de credenciales de proceso](feature-process-credentials.md) para recuperar credenciales temporales.

**Configure un archivo de credenciales con las credenciales de corta duración recuperadas del portal de AWS acceso**

1. [Creación de archivos de credenciales compartidas](https://docs.aws.amazon.com/sdkref/latest/guide/file-location.html).

1. En el archivo de credenciales, pegue el siguiente texto de marcador de posición hasta que pegue las credenciales temporales que funcionen.

   ```
   [default]
   aws_access_key_id=<value from AWS access portal>
   aws_secret_access_key=<value from AWS access portal>
   aws_session_token=<value from AWS access portal>
   ```

1. Guarde el archivo. El archivo `~/.aws/credentials` debería existir ahora en su sistema de desarrollo local. Este archivo contiene el [perfil [predeterminado]](https://docs.aws.amazon.com/sdkref/latest/guide/file-format.html#file-format-profile) que el SDK o la herramienta utilizan si no se especifica un perfil con nombre específico. 

1. [Inicie sesión en el portal de AWS acceso](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignin.html).

1. Siga estas [instrucciones para actualizar manualmente las credenciales de las credenciales](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html#how-to-get-temp-credentials) para copiar las credenciales del rol de IAM del portal de AWS acceso.

   1. Para el paso 4 de las instrucciones vinculadas, elija el nombre del rol de IAM que le concede acceso para sus necesidades de desarrollo. **Este rol suele tener un nombre similar **PowerUserAccess**al de Desarrollador.**

   1. Para el paso 7 de las instrucciones vinculadas, seleccione la opción **Agregar manualmente un perfil al su archivo de credenciales de AWS ** y copie el contenido.

1. Pegue las credenciales copiadas en el archivo local `credentials`. No se necesita el nombre del perfil generado si está utilizando el perfil `default`. Su archivo debería parecerse a lo siguiente.

   ```
   [default]
   aws_access_key_id=AKIAIOSFODNN7EXAMPLE
   aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   aws_session_token=IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
   ```

1. Guarde el archivo `credentials`.

Cuando el SDK cree un cliente de servicio, accederá a estas credenciales temporales y las utilizará para cada solicitud. La configuración del rol de IAM elegido en el paso 5a determina el [tiempo de validez de las credenciales temporales](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html). La duración máxima es de doce horas.

Cuando las credenciales temporales caduquen, repita los pasos del 4 al 7.

# Uso de credenciales a largo plazo para autenticar AWS SDKs y herramientas
<a name="access-iam-users"></a>

**aviso**  
Para evitar riesgos de seguridad, no utilice a los usuarios de IAM para la autenticación cuando desarrolle software especialmente diseñado o trabaje con datos reales. En cambio, utilice la federación con un proveedor de identidades como [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

Si utilizas un usuario de IAM para ejecutar tu código, el SDK o la herramienta de tu entorno de desarrollo se autentican mediante credenciales de usuario de IAM de larga duración en el archivo compartido. AWS `credentials` Revise [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) y pase al IAM Identity Center o a otras credenciales temporales lo antes posible.

## Advertencias y directrices importantes para las credenciales
<a name="iam-warnings-and-guidelines"></a>

**Advertencias para las credenciales**
+ ***NO*** use las credenciales raíz de la cuenta para obtener acceso a los recursos de AWS . Estas credenciales proporcionan acceso ilimitado a la cuenta y son difíciles de revocar.
+ ***NO*** incluya claves de acceso literales ni información sobre credenciales en sus archivos de aplicación. Si lo hace, puede crear un riesgo de exposición accidental de sus credenciales si, por ejemplo, carga el proyecto en un repositorio público.
+ ***NO*** incluya archivos que contengan credenciales en el área de su proyecto.
+ Tenga en cuenta que todas las credenciales almacenadas en el AWS `credentials` archivo compartido se almacenan en texto sin formato.

**Guía adicional para administrar las credenciales de forma segura**

Para obtener información general sobre cómo administrar las AWS credenciales de forma segura, consulte [Prácticas recomendadas para administrar las claves de AWS acceso](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) en el [Referencia general de AWS](https://docs.aws.amazon.com/general/latest/gr/). Además de esa conversación, tenga en cuenta lo siguiente:
+ Use [roles de IAM para tareas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html) para tareas de Amazon Elastic Container Service (Amazon ECS).
+ Use [roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) para aplicaciones que se ejecutan en instancias de Amazon EC2.

## Requisitos previos: crear una cuenta AWS
<a name="signup"></a>

Para utilizar un usuario de IAM para acceder a AWS los servicios, necesita una AWS cuenta y AWS unas credenciales.

1. **Cree una cuenta.**

   Para crear una AWS cuenta, consulte [Primeros pasos: ¿es la primera vez AWS](https://docs.aws.amazon.com/accounts/latest/reference/welcome-first-time-user.html) que lo usa? en la *Guía AWS Account Management de referencia*.

1. **Crear un usuario administrativo.**

   Evite usar la cuenta de usuario raíz (la cuenta inicial que cree) para acceder a la consola y los servicios de administración. En su lugar, cree una cuenta de usuario administrativo, como se explica en [Crear un usuario administrativo](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin) en la *Guía del usuario de IAM*.

   Después de crear la cuenta de usuario administrativo y registrar los detalles de inicio de sesión, **asegúrese de desconectar la cuenta de usuario raíz** y vuelva a iniciar sesión con la cuenta administrativa.

Ninguna de estas cuentas es adecuada para el desarrollo AWS o la ejecución de aplicaciones AWS. Como buena práctica, debe crear usuarios, conjuntos de permisos o roles de servicio que sean adecuados para estas tareas. Para obtener más información, consulte [Aplicar permisos de privilegio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) en la *Guía del usuario de IAM*.

## Paso 1: Crear el usuario de IAM
<a name="step1authIamUser"></a>
+ Siga el procedimiento [Creación de usuarios de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) de la *Guía del usuario de IAM para crear su usuario de IAM*. Al crear su usuario de IAM:
  + Le recomendamos que seleccione **Proporcionar acceso de usuario a Consola de administración de AWS**. Esto le permite ver Servicios de AWS relacionados con el código que está ejecutando en un entorno visual, como comprobar los registros de diagnóstico de AWS CloudTrail o cargar archivos en Amazon Simple Storage Service, lo que resulta útil a la hora de depurar el código.
  + Para **Establecer permisos** - **Opciones de permiso**, elija **Adjuntar políticas directamente** para indicar cómo desea asignar permisos a este usuario. 
    + La mayoría de los tutoriales del SDK “Introducción” utilizan el servicio Amazon S3 como ejemplo. Para proporcionar a su aplicación acceso completo a Amazon S3, seleccione la política `AmazonS3FullAccess` que desea asociar a este usuario.
  + Puede ignorar los pasos opcionales de ese procedimiento relacionados con la configuración de los límites de permisos o etiquetas. 

## Paso 2: Obtener las claves de acceso
<a name="stepGetKeys"></a>

1. En el panel de navegación de la consola de IAM, seleccione **Usuarios** y, a continuación, seleccione el **User name** del usuario que creó anteriormente.

1. En la página del usuario, selecciona la página **Credenciales de seguridad**. A continuación, en **Claves de acceso**, seleccione **Crear clave de acceso**.

1. Para el **Paso 1 Crear clave de acceso**, elija **Interfaz de línea de comandos (CLI)** o **Código local**. Ambas opciones generan el mismo tipo de clave para utilizarla tanto con la AWS CLI como con la SDKs.

1. En el **paso 2 de Crear clave de acceso**, introduzca una etiqueta opcional y seleccione **Siguiente**.

1. En el **paso 3 de Crear clave de acceso**, seleccione **Descargar archivo.csv** para guardar un archivo `.csv` con la clave de acceso y la clave de acceso secreta de su usuario de IAM. Necesitará esta información más tarde.
**aviso**  
Utilice las medidas de seguridad adecuadas para mantener estas credenciales seguras.

1. Seleccione **Done (Listo)**. 

## Paso 3: Actualice el archivo compartido `credentials`
<a name="stepauthIamUser"></a>

1. Cree o abra el archivo AWS `credentials` compartido. Este archivo es `~/.aws/credentials` en sistemas Linux y macOS y `%USERPROFILE%\.aws\credentials` en Windows. Para obtener más información, consulte la [ubicación de los archivos de credenciales](https://docs.aws.amazon.com/credref/latest/refdocs/file-location.html).

1. Agregue el siguiente texto al archivo `credentials` compartido. Sustituya el valor de ID y el valor clave de ejemplo por los valores del archivo `.csv` que descargó anteriormente. 

   ```
   [default]
   aws_access_key_id = AKIAIOSFODNN7EXAMPLE
   aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   ```

   

1. Guarde el archivo.

El archivo compartido `credentials` es la forma más común de almacenar las credenciales. También se pueden configurar como variables de entorno; consulte los nombres de las variables de entorno [AWS claves de acceso](feature-static-credentials.md). Esta es una forma de empezar, pero le recomendamos que haga la transición al IAM Identity Center o a otras credenciales temporales lo antes posible. Cuando deje de usar credenciales de larga duración, recuerde eliminarlas del archivo compartido `credentials`.