Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configuración y uso del portal de AWS acceso
<a name="using-the-portal"></a>

El portal de AWS acceso conecta a sus empleados con las aplicaciones en la nube a través del IAM Identity Center. Cuentas de AWS Los administradores configuran el portal y gestionan el acceso de los usuarios, mientras que los usuarios finales inician sesión una vez para acceder sin problemas a todos sus recursos autorizados.

El portal de AWS acceso proporciona acceso mediante inicio de sesión único a:
+ Cuentas de AWS en su organización.
+ AWS aplicaciones gestionadas como Amazon Quick y Kiro.
+ Aplicaciones en la nube como Office 365, Concur, Salesforce y otras.

Cuando los usuarios inician sesión en el portal, encuentran las aplicaciones a Cuentas de AWS las que están autorizados a acceder sin necesidad de iniciar sesión adicional.

## Cómo empezar a utilizar el portal de AWS acceso
<a name="getting-started-access-portal"></a>

**Para los administradores:**

Necesita acceso administrativo a la instancia de su [organización o a la instancia](organization-instances-identity-center.md) de [cuenta](account-instances-identity-center.md) de IAM Identity Center para configurar el portal de AWS acceso y administrar el acceso de los usuarios.

1. Si lo desea, personalice la URL del portal de AWS acceso.

1. Asigne el acceso de los usuarios a las aplicaciones Cuentas de AWS y las aplicaciones. AWS Los recursos asignados se muestran en el portal.

**Para los usuarios finales:**

El administrador debe haber completado la configuración del portal de AWS acceso y haberte proporcionado la URL del portal y las credenciales de inicio de sesión.

1. Obtenga la URL del portal de su administrador (normalmente `https://your-company.awsapps.com/start`).

1. Inicie sesión con las credenciales provistas por el administrador.

1. Acceda a los recursos de su portal.

# Configure el portal de AWS acceso
<a name="configure-the-access-portal"></a>

Como administrador, puede personalizar el portal de AWS acceso para que se adapte a las necesidades de su organización y garantizar que los usuarios puedan acceder fácilmente a sus recursos autorizados.

## Qué puede configurar
<a name="what-you-can-configure"></a>

**AWS activación del portal de acceso**: configure el acceso inicial de los usuarios al portal de AWS acceso, incluida la activación de las credenciales de usuario y los procesos de inicio de sesión por primera vez.

**URL del portal de AWS acceso personalizado (opcional)**: personalice la URL del portal de AWS acceso de su organización desde el formato predeterminado (`d-xxxxxxxxxx.awsapps.com/start`) a un subdominio más reconocible (`your-company.awsapps.com/start`).

**Antes de empezar**  
Asegúrese de tener acceso administrativo a IAM Identity Center, compruebe que IAM Identity Center esté configurado como una [instancia de organización](organization-instances-identity-center.md) o una [instancia de cuenta](account-instances-identity-center.md) y planifique su nombre de subdominio personalizado (se trata de una configuración única que no se puede cambiar más adelante).

Una vez configurado, los usuarios pueden acceder al portal de AWS acceso mediante la URL personalizada y seguir el proceso de activación que haya establecido para su organización.

**Topics**
+ [Qué puede configurar](#what-you-can-configure)
+ [Activar el portal de AWS acceso para los usuarios primerizos del IAM Identity Center](howtoactivateaccount.md)
+ [Personalización de la URL del portal de AWS acceso](howtochangeURL.md)
+ [Confirme que los usuarios puedan iniciar sesión en el portal de AWS acceso](howtosigninprocedure.md)

# Activar el portal de AWS acceso para los usuarios primerizos del IAM Identity Center
<a name="howtoactivateaccount"></a>

Si es la primera vez que intenta iniciar sesión en el portal de AWS acceso, consulte su correo electrónico para obtener instrucciones sobre cómo activar sus credenciales de usuario. 

**Para activar las credenciales de usuario**

1. En función del correo electrónico que haya recibido de su empresa, elija uno de los siguientes métodos para activar sus credenciales de usuario y poder empezar a utilizar el portal de AWS acceso. 

   1. Si ha recibido un correo electrónico con el asunto **Invitación a unirse a AWS IAM Identity Center**, ábralo y seleccione **Aceptar invitación**. En la página de **Registro de usuarios nuevos**, introduzca y confirme una contraseña y, a continuación, seleccione **Establecer nueva contraseña**. Deberá utilizar esa contraseña cada vez que inicie sesión en el portal.

   1. Si fue el equipo de asistencia de TI o el administrador de TI de la empresa el que le envió el correo electrónico, siga las instrucciones proporcionadas para activar sus credenciales de usuario. 

1. Después de activar sus credenciales de usuario proporcionando una nueva contraseña, el portal de AWS acceso iniciará sesión automáticamente. Si esto no ocurre, puede iniciar sesión manualmente en el portal de acceso de AWS usando las instrucciones que se indican en [Iniciar sesión en el portal de AWS acceso](howtosignin.md).

# Personalización de la URL del portal de AWS acceso
<a name="howtochangeURL"></a>

De forma predeterminada, puede acceder al portal de AWS acceso mediante una URL que siga este formato:`d-xxxxxxxxxx.awsapps.com/start`. Puede personalizar el complemento del modo siguiente: `your_subdomain.awsapps.com/start`.

**importante**  
 Si cambia la URL del portal de AWS acceso, no podrá editarla más adelante.

**Cómo personalizar la URL**

1. Abra la AWS IAM Identity Center consola en [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. En la consola de IAM Identity Center, elija **Panel** en el panel de navegación y localice la sección **Resumen de configuración**.

1. Pulse el botón **Personalizar** situado debajo de la URL del portal de AWS acceso.
**nota**  
Si el botón **Personalizar** no aparece, significa que el portal de acceso AWS ya se ha personalizado. La personalización de la URL del portal de AWS acceso es una operación que se realiza una sola vez y no se puede revertir.

1. Introduzca el nombre de subdominio que desee y pulse **Guardar**.

Ahora puede iniciar sesión en la AWS consola a través de su portal de AWS acceso con su URL personalizada.

# Confirme que los usuarios puedan iniciar sesión en el portal de AWS acceso
<a name="howtosigninprocedure"></a>

Los siguientes pasos son para que el administrador del Centro de Identidad de IAM confirme que el usuario del Centro de Identidad de IAM puede iniciar sesión en el portal de AWS acceso y acceder al. Cuenta de AWS

**Inicie sesión en el portal de acceso AWS**

1. Realice una de estas 2 operaciones para iniciar sesión en la Consola de administración de AWS.
   + **Nuevo para AWS (usuario root)**: inicie sesión como propietario de la cuenta; para ello, seleccione el **usuario root** e introduzca su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.
   + Si **ya lo utilizas AWS (credenciales de IAM)**: inicia sesión con tus credenciales de IAM y selecciona un rol de administrador.

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon)

1. En el panel de navegación, elija **Panel**.

1. En la página del **panel** de control, en el **resumen de la configuración**, selecciona la URL del portal de AWS acceso.

1. Inicie sesión mediante cualquiera de las siguientes opciones:
   + Si utiliza Active Directory o un proveedor de identidades (IdP) externo como origen de identidad, inicie sesión con las credenciales del usuario de Active Directory o IdP.
   + Si utiliza el directorio predeterminado de Identity Center como origen de identidad, inicie sesión con el nombre de usuario que especificó al crear el usuario y la nueva contraseña que especificó para el usuario.

1. En la pestaña **Cuentas**, localiza la tuya Cuenta de AWS y amplíala.

1. Se mostrarán los roles que tiene disponibles. Por ejemplo, si se le asignan tanto el conjunto de **AdministratorAccess**permisos como el conjunto de permisos de **facturación**, esas funciones se muestran en el portal de AWS acceso. Seleccione el nombre del rol de IAM que desee usar para la sesión.

1. Si se le redirige a la consola AWS de administración, habrá terminado correctamente de configurar el acceso a Cuenta de AWS.
**nota**  
Si no ve **Cuentas de AWS** en la lista, es probable que aún no se le haya asignado al usuario un conjunto de permisos para esa cuenta. Para obtener instrucciones sobre cómo asignar usuarios a un conjunto de permisos, consulte [Asigne el acceso de usuario o grupo a Cuentas de AWS](assignusers.md).

Ahora que ha confirmado que puede iniciar sesión con las credenciales del Centro de Identidad de IAM, cambie al navegador que utilizó para iniciar sesión Consola de administración de AWS y cierre la sesión con sus credenciales de usuario raíz o de usuario de IAM. 

**importante**  
Le recomendamos encarecidamente que utilice las credenciales del usuario administrativo del Centro de Identidad de IAM al iniciar sesión en el portal de AWS acceso para realizar tareas administrativas en lugar de utilizar las credenciales del usuario raíz o del usuario de IAM. Proteja las credenciales del Usuario raíz y utilícelas solo para las tareas que solo el Usuario raíz pueda realizar. Para permitir que otros usuarios accedan a sus cuentas y aplicaciones, y para administrar IAM Identity Center, cree y asigne conjuntos de permisos únicamente a través de IAM Identity Center.

# Utilice el portal de acceso AWS
<a name="access-portal-for-workforce-users"></a>

 Puede iniciar varias aplicaciones seleccionando la pestaña de aplicaciones Cuenta de AWS o aplicaciones en el portal. La presencia de iconos de aplicaciones en su portal de AWS acceso significa que un administrador de su empresa le ha concedido el acceso a esas aplicaciones Cuentas de AWS o aplicaciones. También significa que puede acceder a todas estas cuentas o aplicaciones desde el portal de AWS acceso sin tener que solicitar más datos de inicio de sesión. 

## Cómo utilizar el portal de acceso AWS
<a name="how-to-use-access-portal"></a>

Para usar el portal de AWS acceso:

1. ‎**Obtenga la URL del portal** de su administrador (normalmente tiene el siguiente aspecto `https://your-company.awsapps.com/start`).

1. **Inicie sesión** con las credenciales provistas por el administrador.

1. **Elija las cuentas y aplicaciones** del portal a las que desee acceder.

El administrador controla lo que ve en el portal en función de su rol y sus permisos. Póngase en contacto con su administrador o con el servicio de asistencia para solicitar acceso adicional en las siguientes situaciones:
+ No ve ninguna aplicación Cuenta de AWS o aplicación a la que necesite acceder.
+ Si el acceso que tiene a una cuenta o aplicación determinada no es el previsto.

**Topics**
+ [Cómo utilizar el portal de acceso AWS](#how-to-use-access-portal)
+ [Iniciar sesión en el portal de AWS acceso](howtosignin.md)
+ [Restablecer la contraseña de usuario del portal de AWS acceso](resetpassword-accessportal.md)
+ [Obtener las credenciales de usuario del IAM Identity Center para o AWS CLI AWS SDKs](howtogetcredentials.md)
+ [Crear enlaces de acceso directo a Consola de administración de AWS destinos](createshortcutlink.md)
+ [Registro de un dispositivo para MFA](user-device-registration.md)
+ [Visualización y finalización de la sesión activa](end-user-how-to-end-active-sessions-accessportal.md)

# Iniciar sesión en el portal de AWS acceso
<a name="howtosignin"></a>

El portal de AWS acceso proporciona a los usuarios del IAM Identity Center un acceso de inicio de sesión único a todas sus aplicaciones Cuentas de AWS y aplicaciones asignadas a través de un portal web. A continuación, se describe cómo iniciar sesión en el portal de AWS acceso, consejos para iniciar sesión y cómo cerrar sesión en el AWS portal de acceso. 

**Requisitos previos**  
El centro de identidad de IAM debe estar habilitado para usar el portal de AWS acceso. Para obtener más información, consulte [Activar IAM Identity Center](enable-identity-center.md).

**nota**  
Después de iniciar sesión, la duración predeterminada de la sesión del portal de AWS acceso es de 8 horas. Tenga en cuenta que un administrador puede [cambiar la duración](configure-user-session.md) de esta sesión.

## Inicie sesión en el portal de AWS acceso
<a name="howtosignin-procedure"></a>

**Para iniciar sesión en el portal de AWS acceso**

1. En la ventana del navegador, pegue la URL de inicio de sesión que se le proporcionó y elija **Intro**. La URL se ve así `d-xxxxxxxxxx.awsapps.com/start` o `your_subdomain.awsapps.com/start`. Le recomendamos que guarde este enlace al portal como marcador para que pueda acceder al mismo más rápidamente en futuras ocasiones.

1. Inicie sesión con las credenciales de inicio de sesión estándar de la empresa.
**nota**  
Si el administrador le envió una contraseña de un solo uso (OTP) por correo electrónico y es la primera vez que inicia sesión, escriba esa contraseña. Una vez que haya iniciado sesión, debe crear una contraseña nueva para poder acceder en el futuro.

    Si se le solicita un **código de verificación**, compruebe su correo electrónico y, a continuación, copie y pegue el código en la página de inicio de sesión.
**nota**  
Los códigos de verificación suelen enviarse por correo electrónico, pero el método de entrega puede variar. Consulte con su administrador para obtener más información.

1. Una vez que haya iniciado sesión, podrá acceder Cuenta de AWS a cualquier aplicación que aparezca en el portal.

## Dispositivos de confianza
<a name="howtosignin-trusted-devices"></a>

Después de seleccionar la opción **Este es un dispositivo de confianza** en la página de inicio de sesión, IAM Identity Center considerará que todos los inicios de sesión futuros desde ese dispositivo están autorizados. Esto significa que IAM Identity Center no ofrecerá la opción de introducir un código MFA mientras utilice ese dispositivo de confianza. Sin embargo, hay algunas excepciones, como iniciar sesión desde un navegador nuevo o cuando el dispositivo recibe una dirección IP desconocida.

## Consejos para iniciar sesión en el portal de AWS acceso
<a name="portaltips"></a>

Estos son algunos consejos que le ayudarán a administrar su experiencia con el portal de AWS acceso.
+ De vez en cuando, puede que tenga que cerrar sesión y volver a iniciarla en el portal de AWS acceso. Esto puede ser necesario para poder acceder a las nuevas aplicaciones que el administrador le haya asignado recientemente. Sin embargo, no será necesario, ya que todas las nuevas aplicaciones se actualizan cada hora.
+ Al iniciar sesión en el portal de AWS acceso, puede abrir cualquiera de las aplicaciones que aparecen en el portal seleccionando el icono de la aplicación. Cuando haya terminado de usar la aplicación, puede cerrarla o cerrar sesión en el portal de AWS acceso. Al cerrar la aplicación solo finaliza la sesión de la aplicación en cuestión. Todas las demás aplicaciones que haya abierto desde el portal de AWS acceso permanecerán abiertas y en ejecución. 
+ Antes de iniciar sesión con otro usuario, primero debe cerrar la sesión del portal de usuario AWS . El cierre de sesión del portal elimina por completo sus credenciales de la sesión del navegador.
+ Una vez que inicie sesión en el portal de AWS acceso, podrá cambiar a un rol. Esto anula temporalmente los permisos de usuario originales y, en su lugar, le otorga los permisos asignados al rol.  Para obtener más información, consulte [Cambiar a un rol (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html?icmpid=docs_iam_console).

## Cerrar sesión en el portal de AWS acceso
<a name="howtosignout"></a>

Al cerrar sesión del portal, se eliminan por completo sus credenciales de la sesión del navegador. Para obtener más información, [consulte Cerrar sesión en el portal de AWS acceso](https://docs.aws.amazon.com/signin/latest/userguide/aws-access-portal-signing-out-iam-identity-center-user.html) en la *AWS Sign-In*guía.

**Para cerrar sesión en el portal de AWS acceso**
+ En el portal de AWS acceso, seleccione **Cerrar sesión** en la barra de navegación.

**nota**  
Antes de iniciar sesión con otro usuario, primero debe cerrar la sesión del portal de usuario AWS .

# Restablecer la contraseña de usuario del portal de AWS acceso
<a name="resetpassword-accessportal"></a>

El portal de AWS acceso proporciona a los usuarios [del IAM Identity Center](what-is.md) un acceso de inicio de sesión único a todas sus AWS cuentas asignadas y aplicaciones en la nube a través de un portal web. El portal de AWS acceso es diferente del [Consola de administración de AWS](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/learn-whats-new.html), que es un conjunto de consolas de servicio para gestionar los recursos. AWS 

Utilice este procedimiento para restablecer la contraseña de usuario del IAM Identity Center para el portal de AWS acceso. Más información sobre los [tipos de usuario](https://docs.aws.amazon.com//signin/latest/userguide/user-types-list.html) en la *Guía del usuario de AWS Sign-In *.

**Consideraciones**  
La función de restablecimiento de la contraseña para el portal de AWS acceso solo está disponible para los usuarios de las instancias del Centro de Identidad que utilizan el directorio de Identity Center o [AWS Managed Microsoft AD](gs-ad.md)como fuente de identidad. Si el usuario está conectado a un proveedor de identidad externo o a [AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html), el restablecimiento de la contraseña del usuario debe realizarse desde el proveedor de identidad externo o estar conectado a Active Directory.
+ Si su fuente de identidad es un **directorio del IAM Identity Center**, consulte [Requisitos de contraseñas para administrar identidades en IAM Identity Center](password-requirements.md).
+ Si su fuente de identidad es una **AWS Managed Microsoft AD**, consulte [Requisitos de contraseña al restablecer una contraseña en AWS Managed Microsoft AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_password_policies.html#how_password_policies_applied).

**Para restablecer la contraseña del portal de AWS acceso**

1. Abra un navegador web y vaya a la página de inicio de sesión de su portal de AWS acceso.

   Si no tiene la URL del portal de AWS acceso, compruebe su correo electrónico. Deberías haber recibido por correo electrónico una invitación para unirte al Centro de Identidad de AWS IAM que incluya una URL de inicio de sesión específica en el AWS portal de acceso. Como alternativa, es posible que su administrador le haya proporcionado directamente una contraseña de un solo uso y la URL del portal de AWS acceso. Si no encuentra esta información, pida al administrador que se la envíe.

   Para obtener más información sobre cómo iniciar sesión en el portal de AWS acceso, consulte [Iniciar sesión en el portal de AWS acceso](https://docs.aws.amazon.com//signin/latest/userguide/iam-id-center-sign-in-tutorial.html) en la *Guía del AWS Sign-In usuario*.

1. Escriba **su nombre** y, a continuación, elija **Siguiente**.

1. En **Contraseña**, seleccione **He olvidado la contraseña**.

   Verifique su **nombre de usuario** y escriba los caracteres de la imagen para confirmar que no es un robot. A continuación, elija **Siguiente**. Es posible que tenga que deshabilitar el software bloqueador de anuncios si no puede introducir caracteres.

1. Aparecerá un mensaje para confirmar que se envió un correo electrónico para restablecer la contraseña. Elija **Continuar**.

1. Recibirá un correo electrónico de `no-reply@signin.aws` con el asunto **Se solicita el restablecimiento de la contraseña**. En el correo electrónico, seleccione **Restablecer contraseña**.

1. En la página **Restablecer la contraseña**, compruebe su **nombre de usuario**, especifique una nueva contraseña para el portal de AWS acceso y, a continuación, seleccione **Establecer nueva contraseña**.

1. Recibirá un correo electrónico de `no-reply@signin.aws` con el asunto **Se solicita el restablecimiento de la contraseña**.

**nota**  
Un administrador puede restablecer su contraseña enviándole un correo electrónico con instrucciones para restablecerla o generando una contraseña de un solo uso y compartiéndola con usted. Si es un administrador, consulte [Restablecimiento de la contraseña de usuario de IAM Identity Center para un usuario final](reset-password-for-user.md).

# Obtener las credenciales de usuario del IAM Identity Center para o AWS CLI AWS SDKs
<a name="howtogetcredentials"></a>

Puede acceder a AWS los servicios mediante programación mediante los kits de desarrollo de software () AWS Command Line Interface o los kits de desarrollo de AWS software (SDKs) con las credenciales de usuario del IAM Identity Center. En este tema se describe cómo obtener credenciales temporales para un usuario en IAM Identity Center.

El portal de AWS acceso proporciona a los usuarios del Centro de Identidad de IAM un acceso único a sus aplicaciones y a las de la nube. Cuentas de AWS Tras iniciar sesión en el portal de AWS acceso como usuario del IAM Identity Center, podrá obtener credenciales temporales. A continuación, puede utilizar las credenciales, también denominadas credenciales de usuario del Centro de Identidad de IAM, en AWS CLI o AWS SDKs para acceder a los recursos de un. Cuenta de AWS

Si las utiliza AWS CLI para acceder a los AWS servicios mediante programación, puede utilizar los procedimientos de este tema para iniciar el acceso a. AWS CLI Para obtener información sobre el AWS CLI, consulte la Guía del [AWS Command Line Interface usuario](https://docs.aws.amazon.com/cli/latest/userguide/gcli-chap-welcome.html).

Si lo utiliza AWS SDKs para acceder a los AWS servicios mediante programación, al seguir los procedimientos de este tema también se establece directamente la autenticación del. AWS SDKs Para obtener información acerca de AWS SDKs, consulte la Guía de [referencia de herramientas AWS SDKs y herramientas](https://docs.aws.amazon.com/sdkref/latest/guide/overview.html).

**nota**  
Los usuarios de IAM Identity Center son diferentes a los [usuarios de IAM.](https://docs.aws.amazon.com/cli/latest/userguide/id_users.html) Los usuarios de IAM reciben credenciales a largo plazo para acceder a AWS los recursos. Los usuarios de IAM Identity Center reciben credenciales temporales. Le recomendamos que utilice credenciales temporales como práctica recomendada de seguridad para acceder a sus cuentas, Cuentas de AWS ya que estas credenciales se generan cada vez que inicia sesión.

## Requisitos previos
<a name="temp-credentials-prerequisites"></a>

Para obtener credenciales temporales para su usuario de IAM Identity Center, necesitará lo siguiente:
+ **Un usuario de IAM Identity Center**: iniciará sesión en el portal de acceso AWS como este usuario. Usted o su administrador pueden crearlo. Para obtener información sobre cómo activar IAM Identity Center y crear un usuario de IAM Identity Center, consulte [Introducción al IAM Identity Center](getting-started.md).
+ **Acceso de usuario a un Cuenta de AWS**: para conceder permiso a un usuario del Centro de Identidad de IAM para recuperar sus credenciales temporales, usted o un administrador deben asignar al usuario del Centro de Identidad de IAM un conjunto de [permisos](permissionsetsconcept.md). Los conjuntos de permisos se guardan en IAM Identity Center y definen el nivel de acceso que tienen los usuarios y grupos de una Cuenta de AWS. Si su administrador creó el usuario de IAM Identity Center por usted, pídale que añada este acceso. Para obtener más información, consulte [Asigne el acceso de usuario o grupo a Cuentas de AWS](assignusers.md).
+ **AWS CLI instalado**: para utilizar las credenciales temporales, debe instalar el. AWS CLI Para obtener instrucciones de instalación, consulte [Instalar o actualizar la última versión de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) en la *Guía del usuario de AWS CLI *.

## Consideraciones
<a name="temp-credentials-considerations"></a>

Antes de completar los pasos para obtener credenciales temporales para el usuario de IAM Identity Center, tenga en cuenta los siguientes aspectos:
+ **IAM Identity Center crea roles de IAM**: cuando se asigna a un usuario de IAM Identity Center un conjunto de permisos, IAM Identity Center crea un rol de IAM correspondiente a partir del conjunto de permisos. Las funciones de IAM creadas mediante conjuntos de permisos se diferencian de las funciones de IAM creadas AWS Identity and Access Management en los siguientes aspectos:
  + IAM Identity Center posee y protege los roles creados por los conjuntos de permisos. Solo IAM Identity Center puede modificar estos roles.
  + Solo los usuarios de IAM Identity Center pueden asumir los roles que corresponden a sus conjuntos de permisos asignados. No puede asignar el acceso a los conjuntos de permisos a los usuarios de IAM, a los usuarios federados de IAM ni a las cuentas de servicio. 
  + No puede modificar una política de confianza de roles en estos roles para permitir el acceso a [entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) fuera de IAM Identity Center.

  *Para obtener información sobre cómo obtener credenciales temporales para un rol que cree en IAM, consulte [Uso de credenciales de seguridad temporales con la AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli) en la Guía del usuario de AWS Identity and Access Management *.
+ **Puede configurar la duración de la sesión para los conjuntos de permisos**: tras iniciar sesión en el portal de AWS acceso, el conjunto de permisos al que está asignado su usuario del Centro de Identidad de IAM aparece como función disponible. IAM Identity Center crea una sesión independiente para este rol. Esta sesión puede durar de una a 12 horas según la duración de la sesión configurada para el conjunto de permisos. De forma predeterminada, la sesión durará 1 hora. Para obtener más información, consulte [Establezca la duración de la sesión para Cuentas de AWS](howtosessionduration.md).

## Obtención y actualización de credenciales temporales
<a name="how-to-get-temp-credentials"></a>

Puede obtener y actualizar credenciales temporales de su usuario de IAM Identity Center de forma automática o manual. 

**Topics**
+ [Actualización automática de credenciales (recomendada)](#how-to-get-temp-credentials-automatic)
+ [Actualización manual de credenciales](#how-to-get-temp-credentials-manual)

### Actualización automática de credenciales (recomendada)
<a name="how-to-get-temp-credentials-automatic"></a>

La actualización automática de credenciales utiliza el estándar de autorización de código de dispositivo Open ID Connect (OIDC)). Con este método, se inicia el acceso directamente mediante el comando `aws configure sso` en la AWS CLI. Puede usar este comando para acceder automáticamente a cualquier rol que esté asociado a cualquier conjunto de permisos al que esté asignado para cualquier Cuenta de AWS.

Para acceder al rol creado para su usuario del IAM Identity Center, ejecute el `aws configure sso` comando y, a continuación, autorícelo AWS CLI desde una ventana del navegador. Mientras tenga una sesión activa en el portal de AWS acceso, AWS CLI recuperará automáticamente las credenciales temporales y las actualizará automáticamente. 

Para obtener más información, consulte [Configurar el perfil con el `aws configure sso wizard`](https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html#sso-configure-profile-token-auto-sso) en la *Guía del usuario AWS Command Line Interface *.

**Cómo obtener credenciales temporales que se actualicen automáticamente:**

1. Inicie sesión en el portal de AWS acceso mediante la URL de inicio de sesión específica proporcionada por su administrador. Si creó el usuario del Centro de identidad de IAM, AWS envíe una invitación por correo electrónico que incluya su URL de inicio de sesión. Para obtener más información, consulte [Iniciar sesión en el portal de AWS acceso en la Guía del](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) usuario de *AWS inicio de sesión*.

1. En la pestaña **Cuentas**, localice la página Cuenta de AWS de la que desea recuperar las credenciales. Al seleccionar la cuenta, aparecerán el nombre y el ID de la cuenta y la dirección de correo electrónico asociados a la cuenta. 
**nota**  
Si no ve ninguna **Cuentas de AWS** en la lista, es probable que aún no se le haya asignado a un conjunto de permisos para esa cuenta. En este caso, póngase en contacto con su administrador y pídale que añada este acceso. Para obtener más información, consulte [Asigne el acceso de usuario o grupo a Cuentas de AWS](assignusers.md).

1. Debajo del nombre de la cuenta, los permisos al que está asignado el usuario de IAM Identity Center aparecen como un rol disponible. Por ejemplo, si a su usuario del Centro de Identidad de IAM se le asigna el conjunto de **PowerUserAccess**permisos de la cuenta, el rol aparecerá en el portal de AWS acceso como **PowerUserAccess**.

1. Según la opción que elija junto al nombre del rol, elija **Claves de acceso** o **Línea de comandos o acceso mediante programación**.

1. En el cuadro de diálogo **Obtener credenciales**, elija **macOS y Linux**, **Windows** o **PowerShell**, según el sistema operativo en el que haya instalado el AWS CLI.

1. En **Credenciales de IAM Identity Center de AWS (recomendadas)**, se muestran sus credenciales de `SSO Start URL` y `SSO Region`. Estos valores son necesarios para configurar un perfil habilitado para IAM Identity Center y `sso-session` para la AWS CLI Para completar esta configuración, siga las instrucciones de [Configurar el perfil con el `aws configure sso wizard`](https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html#sso-configure-profile-token-auto-sso) en la *Guía del usuario de AWS Command Line Interface *.

Siga utilizándolas AWS CLI según sea necesario Cuenta de AWS hasta que las credenciales hayan caducado.

### Actualización manual de credenciales
<a name="how-to-get-temp-credentials-manual"></a>

Puede usar el método de actualización manual de credenciales para obtener credenciales temporales para un rol que esté asociado a un conjunto de permisos específico en una Cuenta de AWS específica. Para ello, debe copiar y pegar los comandos necesarios para las credenciales temporales. Con este método, debe actualizar las credenciales temporales manualmente. 

Puede ejecutar AWS CLI comandos hasta que caduquen sus credenciales temporales.

**Cómo obtener credenciales que se actualizan manualmente**

1. Inicie sesión en el portal de AWS acceso mediante la URL de inicio de sesión específica proporcionada por su administrador. Si creó el usuario del Centro de identidad de IAM, AWS envíe una invitación por correo electrónico que incluya su URL de inicio de sesión. Para obtener más información, consulte [Iniciar sesión en el portal de AWS acceso en la Guía del](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) usuario de *AWS inicio de sesión*.

1. En la pestaña **Cuentas**, busque la Cuenta de AWS de la que desea recuperar las credenciales de acceso y amplíela para que muestre el nombre del rol de IAM (por ejemplo, **Administrador**). Según la opción que elija junto al nombre del rol de IAM, elija **Claves de acceso** o **Línea de comandos o acceso mediante programación**. 
**nota**  
Si no ve ninguna **Cuentas de AWS** en la lista, es probable que aún no se le haya asignado a un conjunto de permisos para esa cuenta. En este caso, póngase en contacto con su administrador y pídale que añada este acceso. Para obtener más información, consulte [Asigne el acceso de usuario o grupo a Cuentas de AWS](assignusers.md).

1. En el cuadro de diálogo **Obtener credenciales**, elija **macOS y Linux**, **Windows** o **PowerShell**, según el sistema operativo en el que haya instalado el AWS CLI.

1. Elija una de las siguientes opciones:
   + **Opción 1: Definir variables de AWS entorno**

     Elija esta opción para anular toda la configuración de credenciales, incluida la configuración de los archivos `credentials` y `config`. Para obtener más información, consulte [Variables de entorno para configurar la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html) en la *Guía del usuario de AWS CLI *.

     Para usar esta opción, copie los comandos en el portapapeles, péguelos en la ventana del AWS CLI terminal y, a continuación, presione **Entrar** para configurar las variables de entorno necesarias.
   + **Opción 2: añada un perfil al archivo de AWS credenciales**

     Elija esta opción para ejecutar comandos con diferentes conjuntos de credenciales.

     Para usar esta opción, copie los comandos en el portapapeles y, a continuación, péguelos en el AWS `credentials` archivo compartido para configurar un nuevo perfil con nombre. Para obtener más información, consulte los [archivos de configuración y credenciales compartidos](https://docs.aws.amazon.com/sdkref/latest/guide/file-format.html) en la *Guía de referencia de herramientas AWS SDKs y herramientas*. Para usar esta credencial, especifique la `--profile` opción en su AWS CLI comando. Esto afecta a todos los símbolos del sistema que utilicen el mismo archivo de credenciales.
   + **Opción 3: utilice valores individuales en su AWS cliente de servicio**

     Elija esta opción para acceder a AWS los recursos de un cliente AWS de servicio. Para obtener más información, consulte [Herramientas para crear en AWS](https://aws.amazon.com/tools/).

     Para usar esta opción, copie los valores en el portapapeles, péguelos en el código y asígnelos a las variables adecuadas para su SDK. Para obtener más información, consulte la documentación específica de su específico SDK API.

# Crear enlaces de acceso directo a Consola de administración de AWS destinos
<a name="createshortcutlink"></a>

Los enlaces de acceso directo creados en el portal de AWS acceso llevan a los usuarios del Centro de Identidad de IAM a un destino específico en el Consola de administración de AWS, con un conjunto de permisos específico y en un lugar específico. Cuenta de AWS

Los enlaces de acceso directo le ahorran tiempo a usted y a sus colaboradores. En lugar de navegar hasta la URL de destino deseada en Consola de administración de AWS (por ejemplo, una página de instancia de bucket de Amazon S3) a través de varias páginas, incluido el portal de AWS acceso, puede utilizar un enlace de acceso directo para llegar al mismo destino automáticamente. 

## Opciones de destino del enlace de acceso directo
<a name="shortcut-link-destination-options"></a>

Los enlaces de acceso directo tienen tres opciones de destino, que se enumeran aquí por prioridad:
+ (Opcional) Cualquier URL de destino Consola de administración de AWS especificada en el enlace de acceso directo. Por ejemplo, la página de instancias de bucket de Amazon S3.
+ (Opcional) URL de estado de retransmisión configurada por el administrador para el conjunto de permisos en cuestión. Para obtener más información sobre el estado de retransmisión, consulte [Configure el estado de la retransmisión para acceder rápidamente a Consola de administración de AWS](howtopermrelaystate.md).
+ Consola de administración de AWS casa. El destino por defecto si no especifica ninguna.

**nota**  
La navegación automática a un destino solo se realiza correctamente si se ha autenticado en el Centro de Identidad de IAM y se ha asignado el conjunto de permisos necesario para la AWS cuenta y la URL de destino. 

El portal de AWS acceso incluye un botón **Crear acceso directo** que le ayuda a crear un enlace de acceso directo que se pueda compartir. Si tiene pensado especificar una URL de destino (la primera opción de la lista anterior), puede copiar la URL en un portapapeles para compartirla.

## Cree un enlace de acceso directo en el portal de AWS acceso
<a name="shortcut-link-role"></a>

1. Con la sesión iniciada en el portal de AWS acceso, seleccione la pestaña **Cuentas** y, a continuación, pulse el botón **Crear acceso directo**.

1. En el cuadro de diálogo: 

   1. Elija uno Cuenta de AWS utilizando el ID de la cuenta o el nombre de la cuenta. A medida que escribes, un menú desplegable muestra la cuenta IDs y los nombres coincidentes a los que puedes acceder. Puede elegir solo una cuenta a la que tenga acceso.

   1. Si lo desea, elija un rol de IAM de la lista desplegable. Estos son los conjuntos de permisos que se le han asignado para la cuenta seleccionada. Si omite la elección del rol, se les pide a los usuarios que seleccionen uno que se les haya asignado para la cuenta elegida al utilizar el enlace de acceso directo. 
**nota**  
No puede conceder nuevos accesos con los enlaces de acceso directo. Los enlaces de acceso directo solo funcionan con los conjuntos de permisos ya asignados al usuario. Si el usuario no tiene asignados los conjuntos de permisos necesarios para la cuenta y la URL de destino, se le deniega el acceso. 

   1. Si lo desea, introduzca la URL de destino del portal de AWS acceso. Si omite introducir una URL, el destino se determina de forma automática al utilizar el enlace de acceso directo, en función de las opciones de destino del enlace de acceso directo mencionadas anteriormente.

   1. El enlace abreviado se generará en la parte inferior del cuadro de diálogo, en función de lo que introduzca. Pulse el botón **Copiar URL**. Ahora puede crear un marcador con el enlace de acceso directo copiado o compartirlo con sus colaboradores que tengan acceso a la misma cuenta con el mismo conjunto de permisos o con otro conjunto de permisos suficiente.

## Construir enlaces de Consola de administración de AWS acceso directo seguros con codificación URL
<a name="constructing-shortcut-links"></a>

Todos los valores de los parámetros de la URL, incluidos el ID de cuenta, el nombre del conjunto de permisos y la URL de destino, deben estar codificados en URL.

Los enlaces de AWS acceso directo amplían la URL del portal de acceso con la siguiente ruta:

 `/#/console?account_id=[account_ID]&role_name=[permission_set_name]&destination=[destination_URL]` 

 La URL completa de la AWS partición clásica sigue este patrón:

**IPv4 punto final:**

 `https://[your_subdomain].awsapps.com/start/#/console?account_id=[account_ID]&role_name=[permission_set_name]&destination=[destination_URL]` 

**Punto final de doble pila**

 `https://[identity_center_instance_id].portal.[region].app.aws/#/console?account_id=[account_ID]&role_name=[permission_set_name]&destination=[destination_URL]` 

Este es un ejemplo de enlace de acceso directo que permite a un usuario acceder a una cuenta `123456789012` con el conjunto de permisos de `S3FullAccess` y acceder a la página de inicio de la consola S3:
+ **IPv4 punto final:** `https://example.awsapps.com/start/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.aws.amazon.com%2Fs3%2Fhome` 
+ **Punto final de doble pila:** `https://ssoins-1234567890abcdef.portal.us-east-1.app.aws/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.aws.amazon.com%2Fs3%2Fhome` 
+ **(AWS GovCloud (US) Region) IPv4 punto final:** `https://start.us-gov-west-1.us-gov-home.awsapps.com/directory/example/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.amazonaws-us-gov.com%2Fs3%2Fhome` 
+ **(AWS GovCloud (US) Region) Punto final de doble pila:** `https://ssoins-1234567890abcdef.portal.us-gov-west-1.app.aws/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.amazonaws-us-gov.com%2Fs3%2Fhome` 

# Registro de un dispositivo para MFA
<a name="user-device-registration"></a>

Los usuarios del directorio de Identity Center deben usar el siguiente procedimiento en el portal de acceso de AWS para registrar el nuevo dispositivo para la autenticación multifactor (MFA).

**importante**  
Actualmente, los [proveedores de identidad externos](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) no admiten la MFA en IAM Identity Center.

## Antes de empezar
<a name="user-device-registration-prereq"></a>

Le recomendamos que primero descargue la aplicación de autenticación adecuada en su dispositivo antes de iniciar los pasos de este procedimiento. Para obtener una lista de las aplicaciones probadas que puede utilizar con dispositivos de MFA, consulte [Aplicaciones de autenticación virtual](mfa-types.md#mfa-types-apps).

## Registro de su dispositivo
<a name="user-device-register"></a>

**Cómo registrar el dispositivo para su uso con MFA**

1. Inicie sesión en su portal de AWS acceso. Para obtener más información, consulte [Iniciar sesión en el portal de AWS acceso](howtosignin.md).

1. Cerca de la parte superior derecha de la página, seleccione **dispositivos MFA**.

1. En la página **Dispositivos de autenticación multifactor (MFA)**, seleccione **Registrar dispositivo**.
**nota**  
Si la opción **Registrar dispositivo MFA** aparece atenuada, póngase en contacto con el administrador para que le ayude a registrar el dispositivo.

1. En la página **Registrar dispositivo MFA**, seleccione uno de los siguientes tipos de dispositivos MFA y siga las instrucciones:
   + **Aplicación de autenticación**

     1. En la página **Configurar la aplicación de autenticación**, IAM Identity Center muestra la información de configuración del nuevo dispositivo de MFA, incluido un gráfico de código QR. El gráfico es una representación de la clave secreta que se puede introducir manualmente en dispositivos que no admiten códigos QR.

     1. Con el dispositivo de MFA físico, haga lo siguiente:

        1. Abra una aplicación de autenticación MFA compatible. Para obtener una lista de las aplicaciones probadas que puede utilizar con dispositivos de MFA, consulte [Aplicaciones de autenticación virtual](mfa-types.md#mfa-types-apps). Si la aplicación de MFA admite varias cuentas (varios dispositivos de MFA), elija la opción para crear una nueva cuenta (un nuevo dispositivo de MFA).

        1. Determine si la aplicación de MFA admite códigos QR y, a continuación, lleve a cabo alguna de las siguientes operaciones de la página **Configurar la aplicación de autenticación**.

           1. Elija **Mostrar código QR** y, a continuación, utilice la aplicación para escanear el código QR. Por ejemplo, puede elegir el icono de la cámara o una opción similar a **Escanear código**. A continuación, use la cámara del dispositivo para escanear el código.

           1. Seleccione **Mostrar clave secreta** y, a continuación, introduzca esa clave secreta en su aplicación de MFA.
**importante**  
Cuando configure un dispositivo MFA para que funcione con IAM Identity Center, recomendamos que guarde una copia del código QR o la clave secreta *en un lugar seguro*. Esto puede ayudarle si pierde el teléfono o tiene que volver a instalar la aplicación de autenticación MFA. Si ocurre alguna de estas cosas, puede volver a configurar rápidamente la aplicación para que utilice la misma configuración de MFA.

     1. En la página **Configurar la aplicación de Authenticator**, en **Código de autenticación**, escriba la contraseña de uso único que aparece actualmente en el dispositivo MFA físico.
**importante**  
Envíe su solicitud inmediatamente después de generar el código. Si genera el código y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente a su usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede volver a sincronizar el dispositivo.

     1. Elija **Asignar MFA**. El dispositivo MFA ahora puede empezar a generar contraseñas de un solo uso y ya está listo para usarse con ellas. AWS
   + **Llave de seguridad** o **autenticador integrado**

     1. En la página **Registrar la clave de seguridad de su usuario**, siga las instrucciones que le dé su navegador o plataforma.
**nota**  
La experiencia varía según el navegador o la plataforma. Una vez que el dispositivo se haya registrado correctamente, podrá asociar un nombre descriptivo al dispositivo recién inscrito. Si desea cambiarlo, seleccione **Cambiar nombre**, escriba el nuevo nombre y, a continuación, seleccione **Guardar**.

# Visualización y finalización de la sesión activa
<a name="end-user-how-to-end-active-sessions-accessportal"></a>

Puede usar su portal de AWS acceso para ver la lista de sus sesiones activas y, si es necesario, finalizar una o más sesiones. 

**Finalice su sesión activa mediante su portal de AWS acceso**

1. Inicie sesión en su portal de AWS acceso. Para obtener más información, consulte [Iniciar sesión en el portal de AWS acceso](howtosignin.md).

1. Cerca de la parte superior derecha de la página, seleccione **Seguridad**.

1. En la página **Seguridad**, el número entre paréntesis junto a **Sesiones activas** indica cuántas sesiones activas tiene. Seleccione la casilla de verificación situada junto a cada sesión que desea finalizar y, a continuación, seleccione **Finalizar sesiones**.
**sugerencia**  
Para la sesión en segundo plano del usuario, puede buscar sesiones por el nombre de recurso de Amazon (ARN) del trabajo que utiliza la sesión. En la lista **Tipo de sesión**, seleccione **Sesiones de usuario en segundo plano** y, a continuación, introduzca el ARN del trabajo en el cuadro de búsqueda.

   Solo puede finalizar las sesiones activas que estén cargadas. Si tiene muchas sesiones, seleccione **Cargar más sesiones activas** para ver las sesiones adicionales.

1. Seleccione la casilla de verificación situada junto a cada sesión que desea finalizar y, a continuación, seleccione **Finalizar sesiones**.

1. Aparecerá un cuadro de diálogo que confirma que está finalizando las sesiones activas. Revise la información y, si desea continuar, escriba `confirm` y, luego, seleccione **Finalizar sesiones**.

1. Volverá a su lista de sesiones activas. Aparecerá una barra de notificación verde para indicar que las sesiones seleccionadas se eliminaron correctamente.