

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Prácticas recomendadas de seguridad para Cuenta de AWS administradores
<a name="best-practices-admin"></a>

Si eres el administrador de una cuenta y has creado una nueva Cuenta de AWS, te recomendamos que sigas los siguientes pasos para ayudar a tus usuarios a seguir las prácticas recomendadas de AWS seguridad al iniciar sesión. 

1. Inicie sesión como usuario raíz para [habilitar la autenticación multifactor (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)) [y cree AWS un usuario administrativo](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) en IAM Identity Center si aún no lo ha hecho. A continuación, [Proteja sus credenciales raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) y no las utilice para otras tareas cotidianas.

1. Inicie sesión como Cuenta de AWS administrador y configure las siguientes identidades:
   + Cree usuarios con [Privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) para otras [personas](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp).
   + Configure [Credenciales temporales para las cargas de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-workloads-use-roles).
   + Cree claves de acceso solo para [Casos de uso que requieran credenciales de larga duración](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials).

1. Añada permisos para conceder acceso a esas identidades. Puede [empezar con las políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies) y avanzar hacia los permisos con [privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege).
   + [Añada conjuntos de permisos a los usuarios AWS del IAM Identity Center (sucesor de Single AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)). Sign-On
   + [Añada políticas basadas en la identidad a los roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) utilizados para las cargas de trabajo.
   + [Añada políticas basadas en identidades para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) para los casos de uso que requieran credenciales de larga duración.
   + Para obtener más información sobre usuarios de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).

1.  Guarde y comparta información sobre [Inicie sesión en Consola de administración de AWS](how-to-sign-in.md). Esta información varía en función del tipo de identidad que creó.

1. Mantenga actualizados la dirección de correo electrónico del usuario raíz y el número de teléfono de contacto de la cuenta principal para asegurarse de que puede recibir notificaciones importantes relacionadas con la cuenta y la seguridad.
   + [Modifique el nombre de la cuenta, la dirección de correo electrónico o la contraseña de Usuario raíz de la cuenta de AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html).
   + [Acceda o actualice el contacto de la cuenta principal](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html).

1. Consulte las [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) para obtener más información sobre otros consejos sobre la gestión de identidades y accesos.

1. Implemente controles de acceso basados en la red: utilice políticas Sign-in basadas en recursos o políticas de control de recursos (RCP) para restringir el inicio de sesión en la consola a las solicitudes procedentes de rangos de direcciones IP o VPC aprobados. Para los entornos que utilizan el acceso privado a la consola, configure las políticas de punto final de la VPC para controlar a qué cuentas se puede acceder a través de los puntos finales (consulte Acceso [privado a la consola](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html)). En conjunto, las políticas Sign-in basadas en recursos, las RCP y las políticas de punto final de VPC proporcionan controles de red en capas en diferentes puntos de aplicación. En el caso de los usuarios raíz, Sign-in las políticas bloquean por completo la página de credenciales cuando se intenta acceder desde redes no autorizadas. AWS recomienda configurar los principales excluidos para el acceso de recuperación a fin de evitar el bloqueo de la cuenta, aunque esto es opcional. Para obtener más información, consulte [Control del acceso a la consola con políticas basadas en recursos y políticas de control de recursos](console-access-control.md).