- AWS Identity and Access Management (IAM)›
- Centro de identidades de IAM›
- Preguntas frecuentes
Preguntas frecuentes sobre AWS IAM Identity Center
Compatibilidad con aplicaciones y fuentes de identidades
¿Tengo que migrar a IAM Identity Center de una sola vez o puedo hacerlo de forma gradual?
Tras activar IAM Identity Center, todos los roles o usuarios de IAM existentes que tenga seguirán funcionando tal como están. Esto significa que puede migrar a IAM Identity Center de forma gradual sin interrumpir el acceso existente a AWS.
¿Cómo puedo migrar los roles existentes a IAM Identity Center?
IAM Identity Center proporciona nuevos roles para usarlos en sus cuentas de AWS. Puede adjuntar las mismas políticas que utiliza con sus roles de IAM existentes a los nuevos roles que utiliza con IAM Identity Center.
¿IAM Identity Center crea usuarios y grupos de IAM en mis cuentas de AWS?
IAM Identity Center no crea usuarios ni grupos de IAM. Tiene su propio almacén de identidades diseñado específicamente para almacenar la información de los usuarios. Cuando se utiliza un proveedor de identidades externo, Identity Center guarda una copia sincronizada de los atributos del usuario y la pertenencia a un grupo, pero no guarda material de autenticación, como contraseñas o dispositivos con MFA. Su proveedor de identidades externo sigue siendo la fuente de confianza de la información y los atributos del usuario.
¿Puedo automatizar la sincronización de identidades en IAM Identity Center?
Sí. Si usa Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD), OneLogin o PingFederate, puede utilizar SCIM para sincronizar la información de usuarios y grupos de su proveedor de identidades al IAM Identity Center automáticamente. Consulte la Guía del usuario del IAM Identity Center para obtener más información.
¿Cómo conecto el Centro de identidades de IAM a Microsoft Active Directory?
Puede conectar el Centro de identidades de IAM a un directorio de Active Directory (AD) en las instalaciones o a un directorio de AWS Managed Microsoft AD mediante el uso de AWS Directory Service. Consulte la Guía del usuario del IAM Identity Center para obtener más información.
Administro mis usuarios y grupos en Active Directory locales. ¿Cómo puedo usar estos usuarios y grupos en el Centro de identidades de IAM?
Tiene dos opciones para conectar el directorio de Active Directory alojado en las instalaciones al Centro de identidades de IAM: (1) usar AD Connector, o (2) usar una relación de confianza de AWS Managed Microsoft AD. AD Connector simplemente conecta su directorio de Active Directory existente en las instalaciones a AWS. AD Connector es una puerta de enlace de directorios con el cual puede redirigir las solicitudes de directorios a su Microsoft Active Directory en las instalaciones, sin almacenar en caché información en la nube. Para conectar un directorio local con AD Connector, consulte la Guía de administración de AWS Directory Service. AWS Managed Microsoft AD facilita la configuración y la ejecución de Microsoft Active Directory en AWS. Se puede utilizar para configurar una relación de confianza de bosque entre su directorio en las instalaciones y AWS Managed Microsoft AD. Para configurar una relación de confianza, consulte la Guía de administración de AWS Directory Service.
¿Puedo usar mis grupos de usuarios de Amazon Cognito como fuente de identidades en el Centro de identidades de IAM?
Amazon Cognito es un servicio que lo ayuda a administrar identidades para las aplicaciones dirigidas a los clientes. No es una fuente de identidades compatible con el IAM Identity Center. Puede crear y administrar las identidades de su personal en el IAM Identity Center o en una fuente de identidades externa, incluidos Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD) u otro proveedor de identidades admitido.
¿El IAM Identity Center es compatible con las interfaces de dispositivo móvil, de navegador y de línea de comandos?
Sí, puede utilizar el Centro de identidades de IAM para controlar el acceso a la Consola de administración de AWS y a la CLI v2. El Centro de identidades de IAM habilita a sus usuarios a acceder a la CLI y a la Consola de administración de AWS a través de una experiencia de inicio de sesión único. La aplicación de consola móvil de AWS también admite el Centro de identidades de IAM para que pueda obtener una experiencia de inicio de sesión uniforme en todas las interfaces de dispositivo móvil, de navegador y de línea de comandos.
¿Qué aplicaciones en la nube puedo conectar al Centro de identidades de IAM?
Puede conectar las siguientes aplicaciones al Centro de identidades de IAM:
Aplicaciones integradas al Centro de identidades de IAM: las aplicaciones integradas al Centro de identidades de IAM, como SageMaker Studio e IoT SiteWise, utilizan el Centro de identidades de IAM para las autenticaciones y trabajan con las identidades que se encuentran en dicho servicio. No se necesita ninguna configuración adicional para sincronizar las identidades en estas aplicaciones o para configurar la federación por separado.
Aplicaciones SAML preintegradas: el Centro de identidades de IAM incluye aplicaciones empresariales de uso común integradas previamente. Para obtener una lista completa, consulte la consola del Centro de identidades de IAM.
Aplicaciones SAML personalizadas: el Centro de identidades de IAM admite las aplicaciones que permiten la federación de identidades mediante SAML 2.0. Puede habilitar el Centro de identidades de IAM para que admita estas aplicaciones mediante el asistente de aplicaciones personalizadas.
Acceso con inicio de sesión único a cuentas de AWS
¿Qué cuentas de AWS puedo conectar al Centro de identidades de IAM?
Puede agregar cualquier cuenta de AWS administrada mediante AWS Organizations al Centro de identidades de IAM. Debe habilitar todas las características en sus organizaciones para administrar el inicio de sesión único de sus cuentas.
¿Cómo configuro el inicio de sesión único a cuentas de AWS en una unidad organizativa (OU) dentro de mi organización?
Puede elegir cuentas dentro de la organización o filtrar cuentas por OU.
¿Qué es la propagación de identidades de confianza?
La propagación de identidades confiables se basa en OAuth 2.0 Authorization Framework, que permite a las aplicaciones acceder a los datos y otros recursos en nombre de un usuario específico, sin compartir las credenciales de ese usuario. Esta característica de IAM Identity Center simplifica la administración del acceso a los datos para los usuarios, la auditoría y mejora la experiencia de inicio de sesión para los usuarios de análisis en varias aplicaciones de análisis de AWS.
¿Por qué debo usar la propagación de identidades de confianza?
Los administradores de recursos y bases de datos pueden definir el acceso a sus activos en un nivel granular de miembros de usuarios y grupos. Los auditores pueden revisar las acciones de los usuarios en aplicaciones interconectadas de inteligencia empresarial y análisis de datos. Los usuarios de aplicaciones de inteligencia empresarial pueden autenticarse una vez para acceder a los orígenes de datos de AWS. La propagación de identidades de confianza ayuda a los clientes a cumplir los requisitos de acceso con privilegios mínimos a los datos en flujos de trabajo de análisis que abarcan varias aplicaciones y servicios de AWS, como Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena y AWS LakeFormation.
¿Cuáles son los casos de uso generales de la propagación de identidades de confianza?
El uso principal de la propagación de identidades de confianza es permitir que las aplicaciones de inteligencia empresarial (BI) consulten los servicios de análisis de AWS, como Amazon Redshift o Amazon Quicksight, para obtener los datos que requieren los usuarios empresariales con un único inicio de sesión de usuario a través del proveedor de identidad existente del cliente, sin perder de vista la identidad del usuario. La función admite diferentes tipos de aplicaciones de BI de uso común y utiliza distintos mecanismos para propagar la identidad del usuario entre los servicios.
¿Cómo controlo los permisos que obtienen mis usuarios cuando usan el IAM Identity Center para obtener acceso a sus cuentas?
Cuando concede acceso a los usuarios, puede restringir los permisos de los usuarios mediante la selección de un conjunto de permisos. Los conjuntos de permisos son una colección de permisos que puede crear en el Centro de identidades de IAM, adaptar en función de las políticas administradas de AWS para funciones de trabajo o de cualquier política administrada de AWS. Las políticas administradas de AWS para funciones de trabajo están diseñadas para alinearse estrechamente con funciones de trabajo comunes del sector de TI. De ser necesario, también puede personalizar el conjunto de permisos en su totalidad para adaptarlo a sus requisitos de seguridad. El Centro de identidades de IAM implementa estos permisos en las cuentas seleccionadas automáticamente. Cuando modifique los conjuntos de permisos, el Centro de identidades de IAM lo habilita a implementar los cambios en las cuentas correspondientes con facilidad. Cuando los usuarios obtienen acceso a las cuentas mediante el portal de acceso de AWS, estos permisos restringen lo que pueden hacer dentro de dichas cuentas. También puede conceder varios conjuntos de permisos a los usuarios. Cuando obtienen acceso a la cuenta mediante el portal de usuario, pueden seleccionar el conjunto de permisos que desean utilizar para esa sesión.
¿Cómo automatizo la gestión de permisos entre múltiples cuentas?
El Centro de identidades de IAM les proporciona a las API y a AWS CloudFormation el soporte para automatizar la administración de permisos en entornos de varias cuentas y recuperar los permisos en forma programada con fines de auditoría y gobernanza.
¿Cómo selecciono los atributos de usuario que utilizaré para el ABAC?
Para implementar el ABAC, puede seleccionar atributos del almacén de identidades del IAM Identity Center para los usuarios de dicho servicio y los usuarios sincronizados desde Microsoft AD o proveedores de identidad externos de SAML 2.0, incluidos Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD), OneLogin o PingFederate. Cuando utiliza un proveedor de identidades como fuente de identidades, puede optar por enviar los atributos como parte de una afirmación SAML 2.0.
¿Para qué cuentas de AWS puedo obtener credenciales de la AWS CLI?
Puede obtener credenciales de la AWS CLI para cualquier permiso de usuario y cuenta de AWS que el administrador del Centro de identidades de IAM le haya asignado. Estas credenciales de la CLI se pueden usar para obtener acceso a la cuenta de AWS mediante programación.
¿Por cuánto tiempo tienen validez las credenciales de la AWS CLI para acceder al portal?
Las credenciales de la AWS CLI obtenidas mediante el Centro de identidades de IAM son válidas por un periodo de 60 minutos. Puede obtener un nuevo conjunto de credenciales con la frecuencia que necesite.
Acceso de inicio de sesión único para aplicaciones empresariales
¿Cómo configuro el Centro de identidades de IAM para aplicaciones empresariales, como Salesforce?
En la consola del Centro de identidades de IAM, vaya al panel de aplicaciones, elija la opción Configure new application (Configurar aplicación nueva) y seleccione una aplicación de la lista de aplicaciones en la nube que vienen integradas previamente con el Centro de identidades de IAM. Siga las instrucciones que aparecen en la pantalla para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.
Mi empresa utiliza aplicaciones empresariales que no se encuentran en la lista de aplicaciones integradas previamente en el Centro de identidades de IAM. ¿Puedo continuar utilizando el Centro de identidades de IAM?
Sí. Si la aplicación admite SAML 2.0, puede configurarla como una aplicación SAML 2.0 personalizada. En la consola del Centro de identidades de IAM, vaya al panel de aplicaciones, elija Configure new application (Configurar aplicación nueva) y seleccione Custom SAML 2.0 application (Aplicación SAML 2.0 personalizada). Siga las instrucciones para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.
Mi aplicación admite únicamente OpenID Connect (OIDC). ¿Puedo usarla con el Centro de identidades de IAM?
No. El Centro de identidades de IAM admite únicamente aplicaciones basadas en SAML 2.0.
¿El Centro de identidades de IAM admite el inicio de sesión único en aplicaciones de escritorio y para dispositivos móviles nativas?
No. El Centro de identidades de IAM solamente admite el inicio de sesión único en aplicaciones empresariales mediante navegadores web.
Información general
¿Qué datos utilizará el Centro de identidades de IAM en mi nombre?
El Centro de identidades de IAM almacenará datos acerca de qué aplicaciones en la nube y cuentas de AWS se asignan a determinados usuarios y grupos, así como también qué permisos se concedieron para el acceso a cuentas de AWS. El Centro de identidades de IAM también creará y administrará roles de IAM en cuentas individuales de AWS para cada conjunto de permisos al que conceda acceso para sus usuarios.
¿Qué capacidades de autenticación multifactor (MFA) puedo utilizar con el Centro de identidades de IAM?
Con el Centro de identidades de IAM, puede habilitar capacidades de autenticación sólidas basadas en estándares para todos los usuarios en todas las fuentes de identidades. Si utiliza un proveedor de identidades SAML 2.0 compatible como fuente de identidades, puede habilitar las capacidades de autenticación multifactor de ese proveedor. Al utilizar el Centro de identidades de IAM o Active Directory como fuente de identidades, el Centro de identidades de IAM es compatible con la especificación de autenticación web para ayudarlo a asegurar el acceso de los usuarios a cuentas de AWS y aplicaciones empresariales con claves de seguridad habilitadas por FIDO, tales como YubiKey, y autenticadores biométricos integrados, como Touch ID en MacBooks de Apple y el reconocimiento facial en computadoras. También puede habilitar contraseñas de un solo uso (TOTP) mediante aplicaciones de autenticación, tales como Google Authenticator o Twilio Authy.
También puede utilizar la configuración de MFA del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) existente con el Centro de identidades de IAM y AWS Directory Services para autenticar a sus usuarios como una forma secundaria de verificación. Para obtener más información sobre la configuración de MFA del Centro de identidades de IAM, consulte la Guía del usuario del Centro de identidades de IAM.
¿El Centro de identidades de IAM admite la especificación de autenticación web?
Sí. Para las identidades de usuario en el almacén de identidades del Centro de identidades de IAM y Active Directory, el Centro de identidades de IAM admite la especificación de autenticación web (WebAuthn) a fin de ayudarlo a asegurar el acceso de los usuarios a cuentas y aplicaciones empresariales de AWS con claves de seguridad habilitadas por FIDO, tales como YubiKey, y autenticadores biométricos integrados, como Touch ID en MacBooks de Apple y el reconocimiento facial en computadoras. También puede habilitar contraseñas de un solo uso (TOTP) mediante aplicaciones de autenticación, tales como Google Authenticator o Twilio Authy.
¿De qué manera mis empleados pueden empezar a usar el Centro de identidades de IAM?
Para comenzar a usar el Centro de identidades de IAM, los empleados pueden ir al portal de acceso que se crea cuando se configura la fuente de identidades en el Centro de identidades de IAM. Si administra los usuarios en el Centro de identidades de IAM, sus empleados pueden usar las direcciones y las contraseñas de correo electrónico que configuraron con el Centro de identidades de IAM para iniciar sesión en el portal de usuario. Si conecta el Centro de identidades de IAM a Microsoft Active Directory o a un proveedor de identidades SAML 2.0, sus empleados podrán iniciar sesión en el portal de usuario con sus credenciales corporativas existentes y, luego, ver las cuentas y las aplicaciones que se les asignaron. Para obtener acceso a una cuenta o una aplicación, los empleados deben elegir el ícono correspondiente en el portal de acceso.
¿Hay alguna API disponible para el Centro de identidades de IAM?
Sí. El Centro de identidades de IAM proporciona API de asignación de cuenta para automatizar la administración de permisos en entornos de varias cuentas y recuperar los permisos en forma programada con fines de auditoría y gobernanza.