Gestione delle chiavi di accesso per gli utenti IAM

Importante

Come best practice, utilizza credenziali di sicurezza temporanee (come i ruoli IAM) invece di creare credenziali a lungo termine come le chiavi di accesso. Prima di creare le chiavi di accesso, esamina le alternative alle chiavi di accesso a lungo termine.

Le chiavi di accesso sono credenziali a lungo termine per un utente IAM o l' Utente root dell'account AWS. Puoi utilizzare le chiavi di accesso per firmare le richieste programmatiche all' AWS API AWS CLI o (direttamente o utilizzando l' AWS SDK). Per ulteriori informazioni, consulta Firma AWS delle richieste API.

Le chiavi di accesso sono composte da due parti: un ID chiave di accesso (ad esempio AKIAIOSFODNN7EXAMPLE) e una chiave di accesso segreta (ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). È necessario utilizzare sia l'ID chiave di accesso sia la chiave di accesso segreta insieme per autenticare le richieste dell'utente.

Se crei una coppia di chiavi di accesso, salva l'ID chiave di accesso e la chiave di accesso segreta in una posizione sicura. La chiave di accesso segreta è disponibile solo al momento della creazione. Se perdi la chiave di accesso segreta, è necessario eliminarla e crearne una nuova. Per ulteriori dettagli, consulta Reimpostazione delle password o delle chiavi di accesso perse o dimenticate per AWS.

È possibile avere al massimo due chiavi di accesso per utente.

Importante

Gestisci le chiavi di accesso in modo sicuro. Non fornire le chiavi di accesso a parti non autorizzate, neppure per contribuire a trovare gli identificatori di account. Se lo facessi, daresti a qualcuno accesso permanente al tuo account.

I seguenti argomenti descrivono in dettaglio le attività di gestione associate alle chiavi di accesso.

Autorizzazioni necessarie per gestire le chiavi di accesso

Nota

iam:TagUser è un'autorizzazione facoltativa per l'aggiunta e la modifica di descrizioni della chiave di accesso. Per ulteriori informazioni, consulta Tagging di utenti IAM

Per creare le chiavi di accesso per l'utente IAM, è necessario disporre delle autorizzazioni dalla policy seguente:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Per aggiornare le chiavi di accesso per l'utente IAM, è necessario disporre delle autorizzazioni concesse dalla policy seguente:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Gestione delle chiavi di accesso (console)

Puoi utilizzare il AWS Management Console per gestire le chiavi di accesso di un utente IAM.

Per creare, modificare o eliminare le proprie chiavi di accesso (console)

1. Utilizza l' AWS ID o l'alias dell'account, il nome utente IAM e la password per accedere alla console IAM.

   Nota

   Per comodità, la pagina di AWS accesso utilizza un cookie del browser per ricordare il nome utente IAM e le informazioni sull'account. Se in precedenza è stato eseguito l'accesso con un utente diverso, scegli il link Accedi a un account differente nella parte inferiore della pagina per ritornare alla pagina principale di accesso. Da lì, puoi digitare l'ID o l'alias dell'account per essere reindirizzato alla pagina di accesso utente IAM relativa al tuo AWS account.

   Per ottenere il tuo Account AWS ID, contatta l'amministratore.

2. Seleziona il nome utente in alto a destra nella barra di navigazione e scegli Security credentials (Credenziali di sicurezza).

   

Esegui una di queste operazioni:

Per creare una chiave di accesso

1. Nella sezione Chiavi di accesso, scegliere Crea chiave di accesso. Se dispone già di due chiavi di accesso, questo pulsante è disattivato e sarà necessario eliminare una chiave di accesso prima di crearne una nuova.

2. Sulla pagina Access key best practices & alternatives (Best practice e alternative per le chiavi di accesso), scegli il tuo caso d'uso per scoprire altre opzioni che possono aiutarti a evitare di creare una chiave di accesso a lungo termine. Se ritieni che il tuo caso d'uso richieda comunque una chiave di accesso, scegli Other (Altro) e poi Next (Successivo).

3. (Facoltativo) Imposta un valore del tag descrittivo per la chiave di accesso. Questo aggiunge una coppia chiave-valore di tag all'utente IAM. Ciò consente di identificare e aggiornare le chiavi di accesso in un secondo momento. La chiave di tag è impostata sull'ID della chiave di accesso. Il valore del tag è impostato sulla descrizione della chiave di accesso specificata. Al termine, scegli Create access key (Crea chiave di accesso).

4. Nella pagina Retrieve access keys (Recupera chiavi di accesso), scegli Show (Mostra) per rivelare il valore della chiave di accesso segreta dell'utente o Download .csv file (Scarica il file .csv). Questa è la tua unica opportunità di salvare la chiave di accesso segreta. Dopo aver salvato la chiave di accesso segreta in una posizione sicura, scegli Done (Fatto).

Disattivazione di una chiave di accesso

• Nella sezione Access keys (Chiavi di accesso) individua la chiave che desideri disattivare, quindi scegli Actions (Operazioni) e poi Deactivate (Disattiva). Quando viene richiesta la conferma, scegliere Disattiva. Una chiave di accesso disattivata viene comunque conteggiata per il limite di due chiavi di accesso.

Attivazione di una chiave di accesso

• Nella sezione Access keys (Chiavi di accesso) individua la chiave che desideri attivare, quindi scegli Actions (Operazioni) e poi Activate (Attiva).

Eliminazione di una chiave di accesso quando non è più necessaria

• Nella sezione Access keys (Chiavi di accesso) individua la chiave che desideri eliminare, quindi scegli Actions (Operazioni) e poi Delete (Elimina). Segui le istruzioni nella finestra di dialogo prima per disattivare la chiave e poi conferma l'eliminazione. Si consiglia di verificare che la chiave di accesso non sia più in uso prima di eliminarla definitivamente.

Come creare, modificare o eliminare le chiavi di accesso di un altro utente IAM (console)

1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione, seleziona Utenti.

3. Selezionare il nome dell'utente di cui si devono gestire le chiavi di accesso e selezionare la scheda Security credentials (Credenziali di sicurezza).

4. Nella sezione Access keys (Chiavi di accesso), procedere in uno dei seguenti modi:

   • Per creare una chiave di accesso, selezionare Create access key (Crea chiave di accesso). Se il pulsante è disattivato, dovrai eliminare una delle chiavi esistenti prima di poterne creare una nuova. Sulla pagina Access key best practices & alternatives (Best practice e alternative per le chiavi di accesso), esamina le best practice e le alternative. Scegli il tuo caso d'uso per scoprire altre opzioni che possono aiutarti a evitare di creare una chiave di accesso a lungo termine. Se ritieni che il tuo caso d'uso richieda comunque una chiave di accesso, scegli Other (Altro) e poi Next (Successivo). Nella pagina Retrieve access key (Recupera chiave di accesso), scegli Show (Mostra) per rivelare il valore della chiave di accesso segreta dell'utente. Per salvare l'ID della chiave di accesso e la chiave di accesso segreta in un file .csv in una posizione sicura sul computer, seleziona il pulsante Download .csv file (Scarica file .csv). Quando crei una chiave di accesso per il tuo utente, la coppia di chiavi è attiva di default e può essere utilizzata immediatamente.

   • Per disattivare una chiave di accesso attiva, scegli Actions (Operazioni), quindi scegli Deactivate (Disattiva).

   • Per disattivare una chiave di accesso attiva, scegli Actions (Operazioni), quindi scegli Deactivate (Disattiva).

   • Per eliminare la chiave di accesso, scegli Actions (Operazioni) e poi Delete (Elimina). Segui le istruzioni nella finestra di dialogo prima per disattivare e poi per confermare l'eliminazione. Prima di eseguire questa operazione, AWS consiglia di disattivare la chiave e verificare che non sia più in uso. Quando usi il AWS Management Console, devi disattivare la chiave prima di eliminarla.

Come elencare le chiavi di accesso per un utente IAM (console)

1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione, seleziona Utenti.

3. Selezionare il nome dell'utente, quindi selezionare la scheda Security credentials (Credenziali di sicurezza). Nella sezione Access keys (Chiavi di accesso), saranno visualizzate le chiavi di accesso dell'utente e lo stato di ciascuna chiave.

   Nota

   Solo l'ID chiave di accesso dell'utente è visibile. La chiave di accesso segreta può essere recuperata solo al momento della creazione.

Come elencare gli ID chiave di accesso per più utenti IAM (console)

1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione, seleziona Utenti.

3. Se necessario, aggiungere la colonna Access key ID (ID chiave di accesso) alla tabella degli utenti mediante la procedura seguente:

   1. Sopra la tabella all'estrema destra, selezionare l'icona delle impostazioni ( ).

   2. In Manage columns (Gestisci colonne) selezionare Access key ID (ID chiave di accesso).

   3. Selezionare Close (Chiudi) per tornare all'elenco degli utenti.

4. La colonna Access key ID (ID chiave di accesso) mostra ogni ID chiave di accesso seguito dallo stato; ad esempio, 23478207027842073230762374023 (Active) (Attivo) o 22093740239670237024843420327 (Inactive) (Non attivo).

   È possibile utilizzare queste informazioni per visualizzare e copiare le chiavi di accesso per gli utenti con una o due chiavi di accesso. La colonna visualizza None (Nessuna) per gli utenti senza chiavi di accesso.

   Nota

   Solo l'ID chiave di accesso dell'utente e il suo stato sono visibili. La chiave di accesso segreta può essere recuperata solo al momento della creazione.

Come determinare quale utente IAM possiede una determinata chiave di accesso (console)

1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione, seleziona Utenti.

3. Nella casella di ricerca digitare o incollare l'ID chiave di accesso dell'utente che si desidera individuare.

4. Se necessario, aggiungere la colonna Access key ID (ID chiave di accesso) alla tabella degli utenti mediante la procedura seguente:

   1. Sopra la tabella all'estrema destra, selezionare l'icona delle impostazioni ( ).

   2. In Manage columns (Gestisci colonne) selezionare Access key ID (ID chiave di accesso).

   3. Selezionare Close (Chiudi) per tornare all'elenco di utenti e confermare che l'utente filtrato è proprietario della chiave di accesso specificata.

Gestione delle chiavi di accesso (AWS CLI)

Per gestire le chiavi di accesso utente IAM da AWS CLI, esegui i seguenti comandi.

• Per creare una chiave di accesso: aws iam create-access-key

• Attivazione o disattivazione di una chiave di accesso: aws iam update-access-key

• Per elencare le chiavi di accesso di un utente: aws iam list-access-keys

• Per determinare la data/ora più recente di utilizzo di una chiave di accesso: aws iam get-access-key-last-used

• Per eliminare una chiave di accesso: aws iam delete-access-key

Gestione delle chiavi di accesso (AWS API)

Per gestire le chiavi di accesso di un utente IAM dall' AWS API, richiama le seguenti operazioni.

• Per creare una chiave di accesso: CreateAccessKey

• Attivazione o disattivazione di una chiave di accesso: UpdateAccessKey

• Per elencare le chiavi di accesso di un utente: ListAccessKeys

• Per determinare la data/ora più recente di utilizzo di una chiave di accesso: GetAccessKeyLastUsed

• Per eliminare una chiave di accesso: DeleteAccessKey

Aggiornamento delle chiavi di accesso

Come best practice di sicurezza, è consigliabile aggiornare le chiavi di accesso degli utenti IAM all'occorrenza, ad esempio quando un dipendente lascia l'azienda. Gli utenti IAM possono aggiornare le proprie chiavi di accesso se dispongono delle autorizzazioni necessarie.

Per informazioni dettagliate su come concedere agli utenti IAM le autorizzazioni per aggiornare le proprie chiavi di accesso, consulta la pagina AWS: consente agli utenti IAM di gestire la propria password, le chiavi di accesso e le chiavi pubbliche SSH nella pagina Credenziali di sicurezza. Inoltre, è possibile applicare all'account una policy delle password per richiedere che tutti gli utenti IAM aggiornino periodicamente le loro password e con quale frequenza. Per ulteriori informazioni, consulta Impostazione di una policy delle password dell'account per utenti IAM.

Argomenti

• Aggiornamento delle chiavi di accesso dell'utente IAM (console)
• Aggiornamento delle chiavi di accesso (AWS CLI)
• Aggiornamento delle chiavi di accesso (AWS API)

Aggiornamento delle chiavi di accesso dell'utente IAM (console)

È possibile aggiornare le chiavi di accesso dalla AWS Management Console.

Per aggiornare le chiavi di accesso per un utente IAM senza interrompere le applicazioni (console)

1. Mentre la prima chiave di accesso è ancora attiva, creare una seconda chiave di accesso.

   1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

   2. Nel pannello di navigazione, seleziona Utenti.

   3. Selezionare il nome dell'utente, quindi selezionare la scheda Security credentials (Credenziali di sicurezza).

   4. Nella sezione Chiavi di accesso, scegliere Crea chiave di accesso. Sulla pagina Access key best practices & alternatives (Best practice e alternative per le chiavi di accesso), scegli Other (Altro), quindi scegli Next (Successivo).

   5. (Facoltativo) Imposta un valore del tag di descrizione per la chiave di accesso per aggiungere una coppia chiave-valore del tag a questo utente IAM. Ciò consente di identificare e aggiornare le chiavi di accesso in un secondo momento. La chiave di tag è impostata sull'ID della chiave di accesso. Il valore del tag è impostato sulla descrizione della chiave di accesso specificata. Al termine, scegli Create access key (Crea chiave di accesso).

   6. Nella pagina Retrieve access keys (Recupera chiavi di accesso), scegli Show (Mostra) per rivelare il valore della chiave di accesso segreta dell'utente o Download .csv file (Scarica il file .csv). Questa è la tua unica opportunità di salvare la chiave di accesso segreta. Dopo aver salvato la chiave di accesso segreta in una posizione sicura, scegli Done (Fatto).

      Quando crei una chiave di accesso per il tuo utente, la coppia di chiavi è attiva di default e può essere utilizzata immediatamente. A questo punto, l'utente dispone di due chiavi di accesso attive.

2. Aggiornare tutte le applicazioni e gli strumenti in modo che utilizzino la nuova chiave di accesso.

3. Determina se la prima chiave di accesso è ancora in uso consultando la colonna Last used (Ultimo utilizzo) della chiave di accesso più vecchia. Un approccio è aspettare diversi giorni e quindi verificare se la vecchia chiave di accesso sia stata utilizzata prima di procedere.

4. Anche se il valore della colonna Last used (Ultimo utilizzo) indica che la vecchia chiave non è mai stata utilizzata, è consigliabile non eliminare immediatamente la prima chiave di accesso. Al contrario, seleziona Actions (Azioni) e poi Deactivate (Disattiva) per disattivare la prima chiave di accesso.

5. Utilizzare solo la nuova chiave di accesso per verificare che le applicazioni funzionino. Tutte le applicazioni e gli strumenti che utilizzano ancora la chiave di accesso originale smetteranno di funzionare a questo punto perché non hanno più accesso alle AWS risorse. Se questo è il caso, puoi riattivare la prima chiave di accesso. Quindi, tornare a Passo 3 e aggiornare l'applicazione in modo che utilizzi la nuova chiave.

6. Dopo aver atteso un periodo di tempo per avere la certezza che tutte le applicazioni e gli strumenti siano stati aggiornati, è possibile eliminare la prima chiave di accesso:

   1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

   2. Nel pannello di navigazione, seleziona Utenti.

   3. Selezionare il nome dell'utente, quindi selezionare la scheda Security credentials (Credenziali di sicurezza).

   4. Nella sezione Access keys (Chiavi di accesso) individua la chiave di accesso che desideri eliminare, quindi scegli Actions (Operazioni) e poi Delete (Elimina). Segui le istruzioni nella finestra di dialogo prima per disattivare la chiave e poi per confermare l'eliminazione.

Per determinare quali chiavi di accesso devono essere aggiornate o eliminate (console)

1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione, seleziona Utenti.

3. Se necessario, aggiungere la colonna Access key age (Durata chiave di accesso) alla tabella degli utenti mediante la procedura seguente:

   1. Sopra la tabella all'estrema destra, selezionare l'icona delle impostazioni ( ).

   2. In Manage columns (Gestisci colonne) selezionare Access key age (Durata chiave di accesso).

   3. Selezionare Close (Chiudi) per tornare all'elenco degli utenti.

4. La colonna Access key age (Durata chiave di accesso) mostra il numero di giorni trascorsi dalla creazione della più vecchia chiave di accesso attiva. È possibile utilizzare queste informazioni per trovare gli utenti per i quali potrebbe essere necessario aggiornare o eliminare le chiavi di accesso. La colonna visualizza None (Nessuna) per gli utenti senza chiavi di accesso.

Aggiornamento delle chiavi di accesso (AWS CLI)

È possibile aggiornare le chiavi di accesso dalla AWS Command Line Interface.

Per aggiornare le chiavi di accesso senza interrompere le applicazioni (AWS CLI)

1. Mentre la prima chiave di accesso è ancora attiva, creare una seconda chiave di accesso, che è attiva per default. Esegui il comando seguente:

   • aws iam create-access-key

     A questo punto, l'utente dispone di due chiavi di accesso attive.

2. Aggiornare tutte le applicazioni e gli strumenti in modo che utilizzino la nuova chiave di accesso.

3. Determinare se la prima chiave di accesso è ancora in uso utilizzando questo comando:

   • aws iam get-access-key-last-used

   Un approccio è aspettare diversi giorni e quindi verificare se la vecchia chiave di accesso sia stata utilizzata prima di procedere.

4. Anche se la fase Passo 3 indica che la vecchia chiave non è stata utilizzata, è consigliabile non eliminare immediatamente la prima chiave di accesso. Al contrario, modificare lo stato della prima chiave di accesso in Inactive utilizzando questo comando:

   • aws iam update-access-key

5. Utilizzare solo la nuova chiave di accesso per verificare che le applicazioni funzionino. Tutte le applicazioni e gli strumenti che utilizzano ancora la chiave di accesso originale smetteranno di funzionare a questo punto perché non hanno più accesso alle AWS risorse. Se questo è il caso, è possibile ripristinare lo stato Active per riattivare la prima chiave di accesso. Quindi, tornare alla fase Passo 2 e aggiornare l'applicazione in modo che utilizzi la nuova chiave.

6. Dopo aver atteso un periodo di tempo per avere la certezza che tutte le applicazioni e gli strumenti siano stati aggiornati, è possibile eliminare la prima chiave di accesso con questo comando:

   • aws iam delete-access-key

Aggiornamento delle chiavi di accesso (AWS API)

È possibile aggiornare le chiavi di accesso utilizzando l' AWS API.

Per aggiornare le chiavi di accesso senza interrompere le applicazioni (AWS API)

1. Mentre la prima chiave di accesso è ancora attiva, creare una seconda chiave di accesso, che è attiva per default. Chiamare l'operazione seguente:

   • CreateAccessKey

     A questo punto, l'utente dispone di due chiavi di accesso attive.

2. Aggiornare tutte le applicazioni e gli strumenti in modo che utilizzino la nuova chiave di accesso.

3. Determinare se la prima chiave di accesso è ancora in uso chiamando questa operazione:

   • GetAccessKeyLastUsed

   Un approccio è aspettare diversi giorni e quindi verificare se la vecchia chiave di accesso sia stata utilizzata prima di procedere.

4. Anche se la fase Passo 3 indica che la vecchia chiave non è stata utilizzata, è consigliabile non eliminare immediatamente la prima chiave di accesso. Al contrario, modificare lo stato della prima chiave di accesso in Inactive chiamando questa operazione:

   • UpdateAccessKey

5. Utilizzare solo la nuova chiave di accesso per verificare che le applicazioni funzionino. Tutte le applicazioni e gli strumenti che utilizzano ancora la chiave di accesso originale smetteranno di funzionare a questo punto perché non hanno più accesso alle AWS risorse. Se questo è il caso, è possibile ripristinare lo stato Active per riattivare la prima chiave di accesso. Quindi, tornare alla fase Passo 2 e aggiornare l'applicazione in modo che utilizzi la nuova chiave.

6. Dopo aver atteso un periodo di tempo per avere la certezza che tutte le applicazioni e gli strumenti siano stati aggiornati, è possibile eliminare la prima chiave di accesso chiamando questa operazione:

   • DeleteAccessKey

Protezione delle chiavi di accesso

Chiunque disponga delle tue chiavi di accesso ha lo stesso livello di accesso alle tue AWS risorse che hai tu. Di conseguenza, AWS fa di tutto per proteggere le vostre chiavi di accesso e, in linea con il nostro modello di responsabilità condivisa, dovreste farlo anche voi.

Espandi le seguenti sezioni per ulteriori informazioni su come proteggere le chiavi di accesso.

Nota

La tua organizzazione può avere policy e requisiti di sicurezza differenti rispetto a quelli descritti in questo argomento. I suggerimenti qui forniti sono destinati a essere linee guida generali.

Rimuovi (o non genera) le chiavi di accesso Utente root dell'account AWS

Uno dei modi migliori per proteggere il tuo account è non disporre di chiavi di accesso dell' Utente root dell'account AWS. A meno che non necessiti di disporre delle chiavi di accesso dell'utente root (il che è raro), è consigliabile non generarle. Crea invece un utente amministrativo AWS IAM Identity Center per le attività amministrative quotidiane. Per informazioni su come creare un utente amministrativo in IAM Identity Center, consulta la Guida introduttiva alla IAM Identity Center User Guide.

Se già disponi di chiavi di accesso dell'utente root per il tuo account, ti consigliamo di attenerti alle seguenti indicazioni: trova i punti nelle applicazioni in cui stai attualmente utilizzando le chiavi di accesso (se presenti) e sostituisci le chiavi di accesso dell'utente root con le chiavi di accesso dell'utente IAM. Quindi disabilita e rimuovi le chiavi di accesso dell'utente root. Per ulteriori informazioni sull'aggiornamento delle chiavi di accesso, consulta la pagina Aggiornamento delle chiavi di accesso

Utilizzo di credenziali di sicurezza temporanee (ruoli IAM) al posto delle chiavi di accesso a lungo termine

In molti scenari, non è necessaria una chiave di accesso a lungo termine a validità illimitata (come accade invece per gli utenti IAM). Al contrario, è possibile creare ruoli IAM e generare credenziali di sicurezza temporanee. Tali credenziali sono composte dall'ID della chiave di accesso e dalla chiave di accesso segreta, ma includono anche un token di sicurezza che ne indica la scadenza.

Le chiavi di accesso a lungo termine, ad esempio quelle associate a utenti IAM ed all'utente root, rimangono valide finché non vengono revocate manualmente. Tuttavia, le credenziali di sicurezza temporanee ottenute tramite i ruoli IAM e altre funzionalità di IAM AWS Security Token Service scadono dopo un breve periodo di tempo. Utilizza le credenziali di sicurezza temporanee per ridurre i rischi in caso di esposizione accidentale delle credenziali.

Utilizzare un ruolo IAM e le credenziali di sicurezza temporanee in questi scenari:

• Hai un'applicazione o AWS CLI degli script in esecuzione su un'istanza Amazon EC2. Non utilizzare le chiavi di accesso direttamente nell'applicazione. Non passare le chiavi di accesso all'applicazione, incorporarle nell'applicazione o lasciare che l'applicazione legga una chiave da qualsiasi origine. Al contrario, definisci un ruolo IAM con le autorizzazioni appropriate per l'applicazione e avvia l'istanza Amazon Elastic Compute Cloud (Amazon EC2) con i ruoli per EC2. In questo modo viene associato un ruolo IAM all'istanza Amazon EC2. Questa pratica, inoltre, consente all'applicazione di ottenere credenziali di sicurezza temporanee, che a sua volta può utilizzare per effettuare chiamate a livello di programmazione ad AWS. Gli AWS SDK e AWS Command Line Interface (AWS CLI) possono ottenere automaticamente credenziali temporanee dal ruolo.

• Devi concedere l'accesso tra account. Utilizzare un ruolo IAM per stabilire l'attendibilità tra gli account, quindi concedere agli utenti di un account autorizzazioni limitate per accedere all'account attendibile. Per ulteriori informazioni, consulta Tutorial IAM: Delega dell'accesso tra account AWS tramite i ruoli IAM.

• Hai a disposizione un'app mobile. Non integrare le chiavi di accesso con l'app, anche nell'archiviazione crittografata. Al contrario, utilizzare Amazon Cognito per la gestione dell'identità degli utenti nell'applicazione. Questo servizio consente di autenticare gli utenti utilizzando Login with Amazon, Facebook, Google o qualsiasi provider di identità compatibile con OpenID Connect (OIDC). È quindi possibile utilizzare il provider di credenziali Amazon Cognito per gestire le credenziali che l'app usa per le richieste ad AWS.

• Vuoi unirti a SAML 2.0 AWS e la tua organizzazione supporta SAML 2.0. Se si lavora per un'organizzazione che dispone di un provider di identità che supporta SAML 2.0, configurare il provider per l'utilizzo di SAML. Puoi utilizzare SAML per scambiare informazioni di autenticazione AWS e recuperare un set di credenziali di sicurezza temporanee. Per ulteriori informazioni, consulta Federazione SAML 2.0.

• Vuoi eseguire la federazione AWS e la tua organizzazione dispone di un archivio di identità locale. Se gli utenti possono autenticarsi all'interno dell'organizzazione, è possibile scrivere un'applicazione in grado di emettere loro credenziali di sicurezza temporanee per l'accesso alle risorse. AWS Per ulteriori informazioni, consulta Abilitazione dell'accesso personalizzato da parte di un broker di identità alla AWS console.

Nota

Stai usando un'istanza Amazon EC2 con un'applicazione che richiede l'accesso programmatico alle risorse? AWS In tal caso, utilizza i ruoli IAM per EC2.

Gestione corretta delle chiavi di accesso dell'utente IAM

Se devi creare chiavi di accesso per l'accesso programmatico AWS, creale per gli utenti IAM, concedendo agli utenti solo le autorizzazioni di cui hanno bisogno.

Osserva queste precauzioni per proteggere le chiavi di accesso degli utenti IAM:

• Non incorporare le chiavi di accesso direttamente nel codice. Gli SDK AWS e gli Strumenti da linea di comando AWS consentono di collocare le chiavi di accesso in posizioni note in modo da evitare di conservarle nel codice.

  Colloca le chiavi di accesso in una delle posizioni seguenti:

  • Il AWS file delle credenziali. Gli AWS SDK utilizzano AWS CLI automaticamente le credenziali archiviate nel file delle AWS credenziali.

    Per informazioni sull'utilizzo del file delle AWS credenziali, consulta la documentazione del tuo SDK. Gli esempi includono Set AWS Credentials and Region nella AWS SDK for Java Developer Guide e i file di configurazione e credenziali nella Guida per l'utente.AWS Command Line Interface

    Per memorizzare le credenziali per AWS SDK for .NET and the AWS Tools for Windows PowerShell, ti consigliamo di utilizzare SDK Store. Per ulteriori informazioni, consulta Utilizzo dell'SDK Store nella Guida per gli sviluppatori di AWS SDK for .NET .

  • Variabili di ambiente. In un sistema multi-tenant, scegli le variabili di ambiente dell'utente e non le variabili di ambiente del sistema.

    Per ulteriori informazioni sull'utilizzo di variabili di ambiente per archiviare le credenziali, consultare la sezione Variabili di ambiente nella Guida per l'utente di AWS Command Line Interface .

• Utilizza chiavi di accesso diverse per applicazioni differenti. Esegui questa operazione in modo da isolare le autorizzazioni e revocare le chiavi di accesso per le singole applicazioni in caso una di esse venga esposta. Avere chiavi di accesso separate per applicazioni diverse genera anche voci distinte nei file di log AWS CloudTrail. Questa configurazione consente di determinare più facilmente quale applicazione ha eseguito azioni specifiche.

• Aggiorna le chiavi di accesso all'occorrenza. Se esiste il rischio che la chiave di accesso possa essere compromessa, aggiorna la chiave di accesso ed elimina quella precedente. Per maggiori dettagli, consulta Aggiornamento delle chiavi di accesso.

• Rimuovi le chiavi di accesso inutilizzate. Se un utente lascia l'organizzazione, rimuovere l'utente IAM corrispondente in modo che non possa più accedere alle risorse. Per scoprire quando è stata utilizzata l'ultima volta una chiave di accesso, utilizza l'GetAccessKeyLastUsedAPI (AWS CLI comando: aws iam get-access-key-last-used).

• Utilizza le credenziali temporanee e configura l'autenticazione a più fattori (MFA) per le operazioni API più sensibili. Con le policy IAM, è possibile specificare le operazioni API che un utente è autorizzato a chiamare. In alcuni casi, potresti richiedere la sicurezza aggiuntiva di richiedere l'autenticazione degli utenti con AWS MFA prima di consentire loro di eseguire azioni particolarmente sensibili. Potrebbe ad esempio esserci una policy che permette a un utente di eseguire le operazioni RunInstances, DescribeInstances e StopInstances di Amazon EC2. Ma potresti voler limitare un'azione distruttiva come TerminateInstances e assicurarti che gli utenti possano eseguire tale azione solo se si autenticano con un dispositivo AWS MFA. Per ulteriori informazioni, consulta Configurazione dell'accesso alle API protetto da MFA.

Accedi all'app per dispositivi mobili utilizzando i tasti di accesso AWS

Puoi accedere a un set limitato di AWS servizi e funzionalità utilizzando l'app AWS mobile. L'app mobile ti aiuta a supportare la risposta agli incidenti mentre sei in viaggio. Per ulteriori informazioni e per scaricare l'app, consulta AWS Console Mobile Application.

È possibile accedere all'app per dispositivi mobili utilizzando la password della console o le chiavi di accesso. Come best practice, non utilizzare le chiavi di accesso dell'utente root. Ti consigliamo invece vivamente, oltre a utilizzare una password o un blocco biometrico sul tuo dispositivo mobile, di creare un utente IAM specifico per la gestione AWS delle risorse tramite l'app mobile. Se si perde il dispositivo mobile, è possibile rimuovere l'accesso dell'utente IAM.

Accesso mediante le chiavi di accesso (app per dispositivi mobili)

1. Apri l'app sul tuo dispositivo mobile.

2. Se questa è la prima volta che aggiungi un'identità al dispositivo, scegli Add an identity (Aggiungi un'identità) e scegli Access keys (Chiavi di accesso).

   Se hai già effettuato l'accesso utilizzando un'altra identità, scegli l'icona del menu e scegli Switch identity (Cambia identità). Quindi scegli Sign in as a different identity (Accedi come identità diversa) e quindi Access keys (Chiavi di accesso).

3. Nella pagina Access keys (Chiavi di accesso) immetti le informazioni nei campi.

   • ID chiave di accesso: immettere l'ID chiave di accesso.

   • Chiave di accesso segreta: inserire la chiave di accesso segreta.

   • Nome dell'identità: immettere il nome dell'identità che verrà visualizzata nell'applicazione per dispositivi mobili. Non è necessario che corrisponda al nome utente IAM.

   • PIN identità: creare un PIN (Personal Identification Number) da utilizzare per gli accessi futuri.

     Nota

     Se abiliti la biometria per l'app AWS mobile, ti verrà richiesto di utilizzare l'impronta digitale o il riconoscimento facciale per la verifica anziché il PIN. Se la biometria restituisce un errore, potrebbe venire richiesto il PIN.

4. Scegliere Verify and add keys (Verifica e aggiungi chiavi).

   È ora possibile accedere a un set selezionato di risorse mediante l'app per dispositivi mobili.

Informazioni correlate

I seguenti argomenti forniscono indicazioni per la configurazione degli AWS SDK e l'utilizzo delle chiavi di accesso: AWS CLI

• Imposta AWS le credenziali e la regione nella Guida per gli sviluppatori AWS SDK for Java

• Utilizzo dell'SDK Store nella Guida per gli sviluppatori di AWS SDK for .NET .

• Specifica delle credenziali all'SDK nella Guida per gli sviluppatori di AWS SDK for PHP .

• Configurazione nella documentazione di Boto 3 (AWS SDK per Python)

• Utilizzo delle credenziali AWS nella Guida per l’utente di AWS Tools for Windows PowerShell

• File di configurazione e delle credenziali nella Guida per l'utente di AWS Command Line Interface .

• Concessione dell'accesso utilizzando un ruolo IAM nella Guida per gli sviluppatori di AWS SDK for .NET

• Configurazione dei ruoli IAM per Amazon EC2 nell'AWS SDK for Java 2.x

Audit delle chiavi di accesso

Puoi esaminare le chiavi di AWS accesso contenute nel codice per determinare se le chiavi provengono da un account di tua proprietà. Puoi passare l'ID di una chiave di accesso utilizzando il aws sts get-access-key-info AWS CLI comando o l'operazione GetAccessKeyInfo AWS API.

Le operazioni AWS CLI and AWS API restituiscono l'ID Account AWS a cui appartiene la chiave di accesso. Gli ID delle chiavi di accesso che iniziano con AKIA sono credenziali a lungo termine per un utente IAM o un Utente root dell'account AWS. Gli ID delle chiavi di accesso che iniziano con ASIA sono credenziali temporanee create utilizzando AWS STS le operazioni. Se l'account nella risposta appartiene a te, puoi effettuare l'accesso come utente root e rivedere le chiavi di accesso dell'utente root. Quindi, puoi estrarre un report delle credenziali per scoprire quale utente IAM possiede le chiavi. Per sapere chi ha richiesto le credenziali temporanee per una chiave di ASIA accesso, visualizza gli AWS STS eventi nei tuoi CloudTrail registri.

Per motivi di sicurezza, puoi esaminare AWS CloudTrail i log per scoprire chi ha eseguito un'azione in. AWSÈ possibile utilizzare la chiave di condizione sts:SourceIdentity nella policy di attendibilità del ruolo per richiedere agli utenti di specificare un'identità quando assumono un ruolo. Ad esempio, è possibile richiedere che gli utenti IAM specifichino il proprio nome utente come identità di origine. In questo modo è possibile determinare quale utente ha eseguito un'operazione specifica in AWS. Per ulteriori informazioni, consulta sts:SourceIdentity.

Questa operazione non indica lo stato della chiave di accesso. La chiave potrebbe essere attiva, inattiva o eliminata. Le chiavi attive potrebbero non disporre delle autorizzazioni per eseguire un'operazione. Fornire una chiave di accesso eliminata potrebbe restituire un errore indicante che la chiave non esiste.