Home / Posts / IAM Identity Center: acceso centralizado a todas tus cuentas

IAM Identity Center: acceso centralizado a todas tus cuentas

5 July 2026 · 10 min de lectura
AWS IAM Identity Center Seguridad

Venimos con buen ritmo: aseguramos la cuenta root, entendimos IAM con sus usuarios, policies y roles, usamos S3, configuramos alertas con Budgets y en el post anterior creamos nuestra primera Organización con AWS Organizations. Ahora que sabemos que lo profesional es trabajar con múltiples cuentas, aparece una pregunta incómoda: ¿cómo hacemos para entrar a todas esas cuentas sin volvernos locos creando un usuario IAM en cada una? Para eso existe IAM Identity Center (antes llamado AWS SSO). En este post vamos a ver qué es, por qué es la forma recomendada de acceder a AWS y cómo configurarlo paso a paso.

El problema de manejar múltiples cuentas

Imaginate que tenés tres cuentas: una de administración, una de desarrollo y una de producción. Si usáramos usuarios IAM tradicionales, cada persona necesitaría:

  • Un usuario y una contraseña distintos en cada cuenta.
  • Configurar MFA por separado en cada una.
  • Recordar en qué cuenta está cada cosa y cambiar de sesión constantemente.

Y cuando alguien se suma o se va del equipo, habría que crear o borrar su usuario en todas las cuentas, una por una. Es tedioso, propenso a errores y una pesadilla de seguridad. IAM Identity Center resuelve exactamente esto.

¿Qué es IAM Identity Center?

IAM Identity Center es un servicio gratuito que nos da un único punto de acceso (Single Sign-On) a todas las cuentas de nuestra Organización y, si queremos, a aplicaciones externas. Con un solo usuario, una sola contraseña y un solo MFA, cada persona puede entrar a las cuentas que tenga asignadas.

Lo más importante desde el punto de vista de seguridad: no crea usuarios IAM permanentes en cada cuenta. En su lugar, cuando alguien entra a una cuenta, IAM Identity Center le entrega credenciales temporales a través de un rol. Menos secretos de larga vida dando vueltas significa menos superficie de ataque.

Nota sobre costos: IAM Identity Center no tiene costo adicional. El directorio interno, los usuarios, los grupos, los permission sets y hasta el MFA integrado están incluidos sin cargo. Solo pagarías extra si conectaras un proveedor de identidad externo de pago, pero eso es totalmente opcional.

Conceptos clave

Antes de configurarlo, entendamos las piezas principales:

Origen de identidad (Identity Source)

Es el lugar donde “viven” nuestros usuarios. Tenemos tres opciones:

  • Identity Center directory: un directorio interno que provee el propio servicio. Es la opción más simple y gratuita, y es la que vamos a usar.
  • Active Directory: conectar un directorio corporativo de Microsoft ya existente.
  • Proveedor de identidad externo (External IdP): integrar un IdP como Okta o Microsoft Entra ID vía SAML.

Usuarios y Grupos

Los usuarios son las personas que van a acceder. Los grupos nos permiten agruparlos (por ejemplo, Administradores o Desarrolladores) para asignarles permisos en conjunto, en vez de uno por uno.

Permission sets (Conjuntos de permisos)

Son plantillas de permisos que definen qué puede hacer alguien dentro de una cuenta. Un permission set es básicamente una colección de policies IAM (por ejemplo, AdministratorAccess o ReadOnlyAccess). Cuando lo asignamos a una cuenta, IAM Identity Center crea automáticamente un rol IAM detrás de escena con esos permisos.

Asignaciones (Account assignments)

Es la relación que une las tres cosas: quién (usuario o grupo) tiene qué permisos (permission set) en cuál cuenta. Esta es la magia que nos deja gobernar el acceso a toda la Organización desde un solo lugar.

Portal de acceso (AWS access portal)

Es la URL única donde cada persona se loguea. Una vez adentro, ve las cuentas y roles que tiene asignados y entra a cualquiera con un clic, sin manejar credenciales por cuenta.

Requisito previo: para seguir este post necesitás tener una Organización creada (lo hicimos en el post anterior) y estar operando desde la Management Account.

Paso 1: Buscar IAM Identity Center

Desde la consola de AWS, buscamos IAM Identity Center en la barra de búsqueda y hacemos clic en el resultado.

Buscar IAM Identity Center en la consola de AWS

Paso 2: Habilitar el servicio

En la página del servicio, AWS nos explica que IAM Identity Center sirve para centralizar el acceso de los usuarios a múltiples cuentas y aplicaciones de AWS. A la derecha vemos el botón Enable. Un detalle importante: IAM Identity Center es un servicio regional, así que fijate que arriba a la derecha esté seleccionada la región donde querés alojarlo (en el ejemplo, US East / N. Virginia). Conviene elegirla con criterio, porque moverla después implica reconfigurar todo. Hacemos clic en Enable.

Página de IAM Identity Center con el botón Enable

Paso 3: Confirmar la región y la instancia de organización

AWS nos lleva a la pantalla de confirmación, donde aparece un detalle clave: como ya tenemos una Organización (la creamos en el post anterior), vamos a usar una organization instance de IAM Identity Center. Este tipo de instancia soporta todas las funcionalidades, incluida la gestión de permisos para múltiples cuentas de la Organización.

También nos pide confirmar la región (en nuestro caso, US East N. Virginia) y, dentro de Advanced configuration, la clave para cifrar los datos en reposo. Dejamos la opción por defecto, Use AWS owned key (una clave gestionada por el propio AWS), que es suficiente para empezar. Hacemos clic en Enable.

Pantalla de confirmación para habilitar IAM Identity Center mostrando la región y el tipo de instancia

Paso 4: Dashboard y portal de acceso

Una vez habilitado, AWS nos confirma con un banner verde que se creó la organization instance y nos lleva al dashboard del servicio. En la sección IAM Identity Center setup tenemos los pasos recomendados para terminar la configuración: confirmar el origen de identidad y asignar permisos a las cuentas. A la derecha, en Settings summary, hay un resumen muy útil: el origen de identidad (Identity Center directory), la Primary Region (us-east-1), el Organization ID y, muy importante, las URLs del portal de acceso (algo como https://d-xxxxxxxxxx.awsapps.com/start). Esa es la dirección que van a usar los usuarios para loguearse, y más adelante podemos personalizarla.

Dashboard de IAM Identity Center con el banner de instancia creada, la sección de setup y el resumen de settings

Paso 5: Confirmar el origen de identidad

Vamos a Settings y entramos a la pestaña Identity source. Por defecto viene configurado como Identity Center directory, el directorio interno del servicio, con Authentication method: Password y Provisioning method: Direct. Para nuestro caso es perfecto: no necesitamos conectar Active Directory ni un IdP externo, así que lo dejamos tal cual. Si algún día quisiéramos cambiarlo, se hace desde el botón Actions.

Configuración del origen de identidad mostrando Identity Center directory, autenticación por contraseña y provisioning directo

Paso 6: Crear un usuario

En el menú izquierdo vamos a Users. Como todavía no tenemos ninguno, la lista aparece vacía. Hacemos clic en Add user.

Lista de usuarios vacía con el botón Add user

Se abre un asistente de tres pasos. En el Step 1 (Specify user details) completamos la información principal: el Username (ojo, no se puede cambiar después y es el que la persona va a usar para entrar al portal). En Password dejamos la opción Send an email to this user with password setup instructions, así el propio usuario define su contraseña y nosotros no la manejamos nunca. Después cargamos el email, el First name, el Last name y el Display name.

Step 1 del asistente Add user con la información principal del usuario

Más abajo hay varias secciones opcionales (Contact methods, Job-related information, Address, etc.) que podemos ignorar por ahora. Hacemos clic en Next.

Parte inferior del formulario con las secciones opcionales y el botón Next

En el Step 2 (Add user to groups) podríamos sumar el usuario a un grupo, pero como todavía no creamos ninguno, la lista aparece vacía. Lo dejamos así y hacemos clic en Next.

Step 2 del asistente Add user con la lista de grupos vacía

Por último, en el Step 3 (Review and add user) revisamos que todo esté correcto y hacemos clic en Add user para crear el usuario.

Step 3 del asistente Add user con el resumen y el botón Add user

Con el usuario ya creado, en el siguiente paso armamos un grupo y lo sumamos ahí.

Paso 7: Crear un grupo

Aunque por ahora tengamos un solo usuario, la buena práctica es asignar permisos a grupos, no a personas sueltas. Vamos a Groups y, como todavía no hay ninguno, hacemos clic en Create group.

Lista de grupos vacía con el botón Create group

En el formulario le ponemos un Group name (en nuestro caso Administradores) y, en la sección Add users to group, seleccionamos el usuario que creamos antes (leonardo). Confirmamos con Create group. De esta forma, cualquier permiso que le demos al grupo lo va a heredar automáticamente el usuario. El día de mañana, sumar a alguien nuevo es tan simple como meterlo en el grupo.

Formulario Create group con el nombre Administradores y el usuario leonardo seleccionado

Paso 8: Crear un permission set

Ahora definimos qué van a poder hacer. Vamos a Permission sets y, como todavía no hay ninguno, hacemos clic en Create permission set.

Lista de permission sets vacía con el botón Create permission set

En el Step 1 elegimos el tipo. AWS nos ofrece dos opciones: Predefined permission set (una plantilla lista, basada en una policy administrada por AWS) o Custom permission set (a medida). Elegimos Predefined y, en la lista de policies, seleccionamos AdministratorAccess, que otorga acceso total.

Step 1: elegir Predefined permission set y la policy AdministratorAccess

Si bajamos un poco vemos la lista completa de policies predefinidas: además de AdministratorAccess, hay opciones más acotadas como ReadOnlyAccess, PowerUserAccess, Billing o ViewOnlyAccess, ideales cuando querés aplicar privilegio mínimo. Con AdministratorAccess marcado, hacemos clic en Next.

Lista completa de policies predefinidas disponibles para el permission set

En el Step 2 le ponemos el nombre al permission set (dejamos AdministratorAccess) y definimos la Session duration, es decir, cuánto dura la sesión antes de tener que volver a autenticarse (por defecto, 1 hour). El resto de los campos son opcionales. Hacemos clic en Next.

Step 2: nombre del permission set y duración de la sesión

Por último, en el Step 3 revisamos el resumen y hacemos clic en Create.

Step 3: review del permission set y botón Create

Paso 9: Asignar el acceso a la cuenta

Ya tenemos el quién (el grupo) y el qué (el permission set). Falta el dónde. Vamos a AWS accounts, seleccionamos la cuenta a la que queremos dar acceso y hacemos clic en Assign users or groups.

Selección de la cuenta en AWS accounts y botón Assign users or groups

En el Step 1 vamos a la pestaña Groups y seleccionamos nuestro grupo Administradores. Hacemos clic en Next.

Step 1: seleccionar el grupo Administradores para asignarlo a la cuenta

En el Step 2 elegimos el permission set que creamos, AdministratorAccess. Hacemos clic en Next.

Step 2: seleccionar el permission set AdministratorAccess

En el Step 3 revisamos que esté todo bien (el grupo Administradores con el permission set AdministratorAccess) y hacemos clic en Submit. IAM Identity Center crea automáticamente el rol IAM correspondiente en la cuenta.

Step 3: review de la asignación y botón Submit

Paso 10: Entrar por el portal de acceso

¡Momento de la verdad! Abrimos la URL del portal de acceso que vimos en el dashboard. La primera vez, el usuario acepta la invitación que le llegó por email, configura su contraseña y registra su MFA. Ya adentro, en la pestaña Cuentas el portal muestra las cuentas a las que tenemos acceso. Al desplegar nuestra cuenta aparece el rol AdministratorAccess: con un clic entramos a la consola de esa cuenta, o con Claves de acceso obtenemos credenciales temporales para usar el CLI.

Portal de acceso de AWS mostrando la cuenta y el rol AdministratorAccess disponible

MFA y buenas prácticas

Ahora que tenemos el acceso centralizado funcionando, algunas recomendaciones importantes:

  • Activá MFA para todos: el MFA integrado es gratuito y soporta apps de autenticación, llaves de seguridad y passkeys. En un entorno serio debería ser obligatorio.
  • Aplicá el privilegio mínimo: no le des AdministratorAccess a todo el mundo. Creá permission sets más acotados (por ejemplo, ReadOnlyAccess o uno custom) según lo que cada rol necesite.
  • Asigná a grupos, no a personas: facilita el alta y baja de gente y mantiene el acceso ordenado.
  • Personalizá la URL del portal: en Settings podés cambiar el subdominio por uno más fácil de recordar para tu equipo.
  • Dejá de usar usuarios IAM de larga vida: una vez que tenés Identity Center, es la puerta de entrada recomendada. Los usuarios IAM con credenciales permanentes deberían ser la excepción, no la regla.

Conclusiones

En este post configuramos IAM Identity Center y logramos algo clave para trabajar de forma profesional en AWS: un acceso centralizado, seguro y sin costo a todas nuestras cuentas. Entendimos el origen de identidad, creamos usuarios y grupos, definimos permisos con permission sets y los asignamos a una cuenta, todo desde un único lugar. Además, dijimos adiós a las credenciales de larga vida gracias a los accesos temporales.

En el próximo post vamos a activar AWS CloudTrail a nivel de Organización, para tener un registro de auditoría centralizado de todo lo que pasa en nuestras cuentas. Si controlamos quién entra (Identity Center), el siguiente paso lógico es registrar qué hace cada uno.

← AWS Organizations: Gestioná múltiples cuentas como un Profesional