Identità IAM (utenti, gruppi di utenti e ruoli) - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Identità IAM (utenti, gruppi di utenti e ruoli)

Suggerimento

Hai problemi ad accedere a? AWS Assicurati di trovarti nella pagina di accesso corretta.

  • Per accedere come Utente root dell'account AWS (proprietario dell'account), usa le credenziali che hai impostato quando hai creato il Account AWS.

  • Per accedere come utente IAM, utilizza le credenziali fornite dall'amministratore dell'account per accedere ad AWS.

  • Per accedere con l'utente IAM Identity Center, utilizza l'URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

    Per assistenza nell'accesso utilizzando un utente IAM Identity Center, consulta AWS Accedere al portale di accesso nella Guida per l'Accedi ad AWS utente.

Per i tutorial di accesso, consulta la pagina Come effettuare l'accesso ad AWS nella Guida per l'utente di Accedi ad AWS .

Nota

Se hai bisogno di supporto, non utilizzare il link Feedback in questa pagina. Il feedback inserito viene ricevuto dal team di AWS documentazione, non dal AWS supporto. Scegli invece il link Contattaci nella parte superiore della pagina. Qui troverai i link alle risorse per aiutarti a ottenere il supporto di cui hai bisogno.

L'utente Utente root dell'account AWS o un utente amministrativo dell'account può creare identità IAM. Un'identità IAM consente l'accesso a un Account AWS. Un Gruppo di utenti IAM è una raccolta di utenti IAM gestiti come unità. Un'identità IAM rappresenta un utente umano o un carico di lavoro programmatico e può essere autenticato e quindi autorizzato a eseguire operazioni in AWS. Ogni identità IAM può essere associata a una o più policy. Le policy determinano quali azioni può eseguire un utente, un ruolo o un membro di un gruppo di utenti, su quali AWS risorse e in quali condizioni.

Account AWS utente root

La prima volta che si crea un account Account AWS, si inizia con un'unica identità di accesso che ha accesso completo a tutte Servizi AWS le risorse dell'account. Questa identità si chiama utente Account AWS root ed è accessibile effettuando l'accesso con l'indirizzo e-mail e la password utilizzati per creare l'account.

Importante

Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzarle per eseguire le operazioni che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono il tuo accesso come utente root, consulta la pagina Attività che richiedono credenziali dell'utente root.

Utenti IAM

Un utente IAM è un'identità interna Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ove possibile, le best practice raccomandano di fare affidamento a credenziali temporanee invece di creare utenti IAM con credenziali a lungo termine come le password e le chiavi di accesso. Prima di creare le chiavi di accesso, esamina le alternative alle chiavi di accesso a lungo termine. Se hai casi d'uso specifici che richiedono le chiavi di accesso, ti consigliamo di aggiornare le chiavi di accesso quando necessario. Per ulteriori informazioni, consulta Aggiornamento delle chiavi di accesso quando necessario per i casi d'uso che richiedono credenziali a lungo termine. Per aggiungere utenti IAM al tuo Account AWS, consultaCreazione di un utente IAM nel tuo Account AWS.

Nota

Come best practice di sicurezza, consigliamo di fornire l'accesso alle risorse tramite la federazione delle identità invece di creare utenti IAM. Per informazioni su situazioni specifiche in cui è richiesto un utente IAM, consulta la sezione Quando creare un utente IAM invece di un ruolo.

Gruppi di utenti IAM

Un gruppo IAM è un'identità che specifica un insieme di utenti IAM. Non è possibile utilizzare un gruppo per effettuare l'accesso. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi semplificano la gestione delle autorizzazioni per set di utenti di grandi dimensioni. Ad esempio, potresti avere un gruppo chiamato IAMPublishers e assegnargli i tipi di autorizzazione dei quali hanno solitamente bisogno i carichi di lavoro dell'editoria.

Ruoli IAM

Un ruolo IAM è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche. È simile a un utente IAM, ma non è associato a una persona specifica. Puoi assumere temporaneamente un ruolo IAM in AWS Management Console cambiando ruolo. Puoi assumere un ruolo chiamando un'operazione AWS CLI o AWS API o utilizzando un URL personalizzato. Per ulteriori informazioni sui metodi per l'utilizzo di ruoli, consulta Utilizzo di ruoli IAM.

I ruoli IAM con credenziali temporanee sono utilizzati nelle seguenti situazioni:

  • Accesso utente federato: per assegnare le autorizzazioni a una identità federata, è possibile creare un ruolo e definire le autorizzazioni per il ruolo. Quando un'identità federata viene autenticata, l'identità viene associata al ruolo e ottiene le autorizzazioni da esso definite. Per ulteriori informazioni sulla federazione dei ruoli, consulta Creazione di un ruolo per un provider di identità di terza parte nella Guida per l'utente di IAM. Se utilizzi IAM Identity Center, configura un set di autorizzazioni. IAM Identity Center mette in correlazione il set di autorizzazioni con un ruolo in IAM per controllare a cosa possono accedere le identità dopo l'autenticazione. Per ulteriori informazioni sui set di autorizzazioni, consulta Set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .

  • Autorizzazioni utente IAM temporanee: un utente IAM o un ruolo può assumere un ruolo IAM per ottenere temporaneamente autorizzazioni diverse per un'attività specifica.

  • Accesso multi-account: è possibile utilizzare un ruolo IAM per permettere a un utente (un principale affidabile) con un account diverso di accedere alle risorse nell'account. I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, per alcuni dei Servizi AWS, è possibile collegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). Per informazioni sulla differenza tra l'utilizzo di ruoli e policy basate su risorse per l'accesso multi-account, consulta Accesso alle risorse multi-account in IAM.

  • Accesso a più servizi: alcuni Servizi AWS utilizzano le funzionalità di altri Servizi AWS. Ad esempio, quando effettui una chiamata in un servizio, è comune che tale servizio esegua applicazioni in Amazon EC2 o archivi oggetti in Amazon S3. Un servizio può eseguire questa operazione utilizzando le autorizzazioni dell'entità chiamante, utilizzando un ruolo di servizio o utilizzando un ruolo collegato al servizio.

    • Autorizzazioni principali: quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un'operazione che attiva un'altra azione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama un Servizio AWS, combinate con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri Servizi AWS o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le operazioni. Per i dettagli delle policy relative alle richieste FAS, consulta la pagina Forward access sessions.

    • Ruolo di servizio: un ruolo di servizio è un ruolo IAM assunto da un servizio per eseguire operazioni per conto dell'utente. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS nella Guida per l'utente di IAM.

    • Ruolo collegato al servizio: un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.

  • Applicazioni in esecuzione su Amazon EC2: puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 e che AWS CLI effettuano richieste API. AWS Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare un AWS ruolo a un'istanza EC2 e renderlo disponibile per tutte le sue applicazioni, crei un profilo di istanza collegato all'istanza. Un profilo dell'istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2 nella Guida per l'utente di IAM.

Credenziali temporanee in IAM

Come best practice, utilizza credenziali temporanee sia per gli utenti che per i carichi di lavoro. Le credenziali temporanee vengono utilizzate principalmente con i ruoli IAM ma hanno anche altri usi. Puoi richiedere credenziali temporanee che hanno una serie di autorizzazioni più limitata rispetto all'utente IAM standard. Ciò impedisce l'esecuzione accidentale di attività non consentite dalle credenziali più rigide. Un vantaggio delle credenziali temporanee è che scadono automaticamente dopo un determinato periodo di tempo. Puoi determinare la durata della validità delle credenziali.

In quali casi utilizzare utenti del Centro identità IAM?

Consigliamo a tutti gli utenti umani di utilizzare IAM Identity Center per accedere AWS alle risorse. IAM Identity Center consente miglioramenti significativi rispetto all'accesso alle AWS risorse come utente IAM. Il Centro identità IAM fornisce:

  • Un insieme centrale di identità e assegnazioni

  • Accesso agli account di un'intera AWS organizzazione

  • Connessione al tuo gestore di identità esistente

  • Credenziali temporanee

  • Autenticazione a più fattori (MFA)

  • Configurazione MFA self-service per utenti finali

  • Applicazione amministrativa dell'uso dell'MFA

  • Accesso unico a tutti i diritti Account AWS

Per ulteriori informazioni, consulta Cos'è il Centro di identità IAM? nella Guida per l'utente di AWS IAM Identity Center .

Quando creare un utente IAM invece di un ruolo

Ti consigliamo di utilizzare gli utenti IAM solo per casi d'uso non supportati dagli utenti federati. Alcuni dei casi d'uso sono i seguenti:

  • Carichi di lavoro che non possono utilizzare ruoli IAM: è possibile eseguire un carico di lavoro da una posizione che deve accedere a AWS. In alcune situazioni, non puoi utilizzare i ruoli IAM per fornire credenziali temporanee, ad esempio per i plugin. WordPress In queste situazioni, per autenticarti a AWS usa le chiavi di accesso a lungo termine dell'utente IAM per quel carico di lavoro.

  • AWS Client di terze parti: se utilizzi strumenti che non supportano l'accesso con IAM Identity Center, come AWS client o fornitori di terze parti che non sono ospitati su AWS, utilizza le chiavi di accesso a lungo termine degli utenti IAM.

  • AWS CodeCommit accesso: se utilizzi CodeCommit per archiviare il codice, puoi utilizzare un utente IAM con chiavi SSH o credenziali specifiche del servizio CodeCommit per l'autenticazione nei tuoi repository. Si consiglia di eseguire questa operazione oltre a utilizzare un utente di IAM Identity Center per l'autenticazione normale. Gli utenti di IAM Identity Center sono le persone della tua forza lavoro che hanno bisogno di accedere alle tue o alle tue applicazioni cloud. Account AWS Per consentire agli utenti di accedere ai tuoi CodeCommit repository senza configurare gli utenti IAM, puoi configurare l'utilità. git-remote-codecommit Per ulteriori informazioni su IAM e CodeCommit, consulta. Utilizzo di IAM con CodeCommit: credenziali Git, chiavi SSH e chiavi di accesso AWS Per ulteriori informazioni sulla configurazione dell'git-remote-codecommitutilità, consulta Connessione ai AWS CodeCommit repository con credenziali rotanti nella Guida per l'utente.AWS CodeCommit

  • Accesso ad Amazon Keyspaces (per Apache Cassandra): in una situazione in cui non è possibile utilizzare gli utenti in IAM Identity Center, ad esempio per scopi di test per la compatibilità con Cassandra, puoi utilizzare un utente IAM con credenziali specifiche del servizio per l'autenticazione con Amazon Keyspaces. Gli utenti di IAM Identity Center sono le persone della tua forza lavoro che hanno bisogno di accedere alle tue applicazioni Account AWS o alle tue applicazioni cloud. Puoi anche connetterti ad Amazon Keyspaces utilizzando credenziali temporanee. Per ulteriori informazioni, consulta Utilizzo di credenziali temporanee per connettersi ad Amazon Keyspaces utilizzando un ruolo IAM e il plugin SIGv4 nella Guida per gli sviluppatori di Amazon Keyspaces (per Apache Cassandra).

  • Accesso di emergenza: in una situazione in cui non puoi accedere al tuo provider di identità e devi intervenire nel tuo Account AWS. Stabilire l'accesso di emergenza per gli utenti IAM può far parte del tuo piano di resilienza. Si consiglia di controllare e proteggere le credenziali degli utenti di emergenza con l'autenticazione a più fattori (MFA).

Quando creare un ruolo IAM invece di un utente

Crea un ruolo IAM nelle seguenti situazioni:

Stai creando un'applicazione che viene eseguita su un'istanza Amazon Elastic Compute Cloud (Amazon EC2) e tale applicazione invia richieste a. AWS

Non creare un utente IAM e passare le credenziali dell'utente all'applicazione né integrare le credenziali nell'applicazione. Al contrario, crea un ruolo IAM da collegare all'istanza EC2 per fornire credenziali di sicurezza temporanee alle applicazioni in esecuzione sull'istanza. Quando un'applicazione utilizza queste credenziali in AWS, può eseguire tutte le operazioni consentite dalle policy associate al ruolo. Per informazioni dettagliate, vedi Utilizzo di un ruolo IAM per concedere autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2.

Stai creando un'app che viene eseguita su un telefono cellulare e che effettua richieste ad AWS.

Non creare un utente IAM, né distribuire la chiave di accesso dell'utente con l'app. Al contrario, utilizza un provider di identità, come Amazon Cognito, Login with Amazon, Facebook o Google, per autenticare gli utenti e mapparli a un ruolo IAM. L'app può utilizzare il ruolo per ottenere credenziali di sicurezza temporanee con le autorizzazioni specificate dalle policy collegate al ruolo. Per ulteriori informazioni, consulta gli argomenti seguenti:

Gli utenti dell'azienda sono autenticati nella rete aziendale e desiderano poterli utilizzare AWS senza dover accedere nuovamente, ovvero consentire agli utenti di federarsi. AWS

Non creare utenti IAM. Configura una relazione di federazione tra il tuo sistema di identità aziendale e. AWS Ci sono due modi per farlo:

Confronta le Utente root dell'account AWS credenziali e le credenziali utente IAM

L'utente root è il proprietario dell'account e viene creato al momento della Account AWS creazione di. Altri tipi di utenti, inclusi gli utenti IAM, e AWS IAM Identity Center gli utenti vengono creati dall'utente root o da un amministratore dell'account. Tutti AWS gli utenti dispongono di credenziali di sicurezza.

Credenziali utente root

Le credenziali del proprietario dell'account consentono il pieno accesso a tutte le risorse nell'account. Non è possibile utilizzare policy IAM per negare esplicitamente all'utente root l'accesso alle risorse. È possibile utilizzare solo una policy AWS Organizations di controllo del servizio (SCP) per limitare le autorizzazioni dell'utente root di un account membro. Per questo motivo, ti consigliamo di creare un utente amministrativo in IAM Identity Center da utilizzare per le attività quotidiane AWS . Quindi, proteggi le credenziali dell'utente root e utilizzale per eseguire solo quelle poche attività di gestione di account e servizi che richiedono l'accesso come utente root. Per visualizzare un elenco di queste attività, consulta la pagina Attività che richiedono credenziali dell'utente root. Per scoprire come configurare un amministratore per l'uso quotidiano in Centro identità IAM, consulta la pagina Nozioni di base della Guida per l'utente di Centro identità IAM.

Credenziali IAM

Un utente IAM è un'entità in cui crei AWS che rappresenta la persona o il servizio che utilizza l'utente IAM per interagire con AWS le risorse. Questi utenti sono identità interne all'utente Account AWS che dispongono di autorizzazioni personalizzate specifiche. Ad esempio, è possibile creare utenti IAM e concedere loro le autorizzazioni per creare una directory in Centro identità IAM. Gli utenti IAM dispongono di credenziali a lungo termine che possono utilizzare per accedere AWS utilizzando le o AWS Management Console API o a livello di codice. AWS CLI AWS Per step-by-step istruzioni su come gli utenti IAM accedono a AWS Management Console, consulta Accedere AWS Management Console come utente IAM nella Guida per l'utente di accesso.AWS

In generale, ti consigliamo di evitare la creazione di utenti IAM perché dispongono di credenziali a lungo termine, ad esempio nome utente e password. Richiedi invece agli utenti umani di utilizzare credenziali temporanee durante l'accesso. AWS Puoi utilizzare un provider di identità a cui gli utenti umani possano fornire un accesso federato Account AWS assumendo ruoli IAM, che forniscono credenziali temporanee. Per una gestione centralizzata degli accessi, consigliamo di utilizzare Centro identità IAM per gestire l'accesso ai tuoi account e le autorizzazioni all'interno di questi account. Puoi gestire le tue identità utente con IAM Identity Center o gestire le autorizzazioni di accesso per le identità degli utenti in IAM Identity Center da un provider di identità esterno. Per ulteriori informazioni su Centro identità IAM, consulta la pagina Cos'è Centro identità IAM? nella Guida per l'utente di Centro identità IAM.