Recupero dei report delle credenziali per l' Account AWS - AWS Identity and Access Management
Autorizzazioni richiesteComprendere il formato del reportRecupero dei report delle credenziali (Console)Recupero dei report delle credenziali (AWS CLI)Recupero dei report delle credenziali (API AWS )

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Recupero dei report delle credenziali per l' Account AWS

Puoi generare e scaricare un report delle credenziali che elenca tutti gli utenti presenti nel tuo account e lo stato delle loro diverse credenziali, tra cui le password, le chiavi di accesso e i dispositivi MFA. Puoi ottenere un rapporto sulle credenziali dagli AWS Management ConsoleAWS SDK e dagli strumenti a riga di comando o dall'API IAM.

Puoi utilizzare i report delle credenziali nei tuoi controlli e strategie di conformità. È possibile utilizzare il report per controllare gli effetti dei requisiti del ciclo di vita delle credenziali, come ad esempio la password e gli aggiornamenti della chiave di accesso. Puoi fornire il report a un revisore esterno o concedere le autorizzazioni a un'entità di controllo in modo che possa scaricare il report direttamente.

Puoi generare un report delle credenziali con una frequenza di una volta ogni quattro ore. Quando richiedi un report, IAM verifica innanzitutto se Account AWS è stato generato un report per il nelle ultime quattro ore. In questo caso, viene scaricato il report più recente. Se il report più recente per l'account è più vecchio di quattro ore oppure se non ci sono report precedenti per l'account, IAM genera e scarica un nuovo report.

Autorizzazioni richieste

Per creare e scaricare i report sono necessarie le seguenti autorizzazioni:

  • Per creare un report delle credenziali: iam:GenerateCredentialReport

  • Per scaricare il report: iam:GetCredentialReport

Comprendere il formato del report

I file dei report delle credenziali sono formattati con una virgola come separatore (CSV). Puoi aprire i file CSV con i comuni software per fogli di calcolo per eseguire l'analisi, oppure è possibile creare un'applicazione che riceva il file CSV in modo programmatico ed esegua un'analisi personalizzata.

Il file CSV contiene le seguenti colonne:

Utente

Il nome semplice dell'utente.

arn

L'Amazon Resource Name (ARN) dell'utente. Per ulteriori informazioni sugli ARN, consultare la pagina ARN IAM.

user_creation_time

La data e l'ora in cui l'utente è stato creato, nel formato data/ora ISO 8601.

password_enabled

Quando l'utente ha una password, questo valore è TRUE. Altrimenti èFALSE. Il valore per Utente root dell'account AWS è alwaysnot_supported.

password_last_used

La data e l'ora in cui la password dell'utente Utente root dell'account AWS o dell'utente è stata utilizzata l'ultima volta per accedere a un AWS sito Web, nel formato data-ora ISO 8601. AWS i siti Web che registrano l'ora dell'ultimo accesso di un utente sono i AWS Management Console, i Forum di AWS discussione e il AWS Marketplace. Quando una password è utilizzata più volte in un intervallo di 5 minuti, viene registrato in questo campo solo il primo utilizzo.

  • Il valore in questo campo è no_information in questi casi:

    • La password dell'utente non è mai stata utilizzata.

    • Non sono previsti dati di accesso associati alla password, come ad esempio quando la password dell'utente non è stata utilizzata dopo che IAM ha iniziato a monitorare queste informazioni il 20 ottobre 2014.

  • Il valore di questo campo è N/A (non applicabile) quando l'utente non ha una password.

Importante

A causa di un problema di servizio, i dati sull'ultimo utilizzo della password non includono il periodo compreso fra le 22.50 (PDT) del 3 maggio 2018 e le 14.08 (PDT) del 23 maggio 2018. Ciò influisce sulle date dell'ultimo accesso mostrate nella console IAM e sulle date dell'ultimo utilizzo della password nel rapporto sulle credenziali IAM e restituite dall'GetUser operazione API. Se un utente ha effettuato l'accesso durante il periodo interessato, l'ultima data di utilizzo di password visualizzata sarà quella relativa all'ultimo utilizzo prima del 3 maggio 2018. Per gli utenti che hanno effettuato l'accesso dopo le 14.08 PDT del 23 maggio 2018, la data indicata sarà accurata.

Se utilizzi le informazioni relative all'ultima password utilizzata per identificare le credenziali non utilizzate da eliminare, ad esempio per eliminare gli utenti che non hanno effettuato l'accesso AWS negli ultimi 90 giorni, ti consigliamo di modificare la finestra di valutazione per includere date successive al 23 maggio 2018. In alternativa, se gli utenti utilizzano le chiavi di accesso per accedere a AWS livello di codice, è possibile fare riferimento alle ultime informazioni utilizzate sulla chiave di accesso, poiché sono accurate per tutte le date.

password_last_changed

La data e ora in cui la password dell'utente è stata impostata per l'ultima volta nel formato data/ora ISO 8601. Se l'utente non ha una password, il valore di questo campo è N/A (non applicabile). Il valore per Account AWS (root) è sempre. not_supported

password_next_rotation

Quando l'account ha una policy della password che richiede la rotazione della password, questo campo contiene la data e l'ora, nel formato data/ora ISO 8601, quando all'utente è richiesto di impostare una nuova password. Il valore per Account AWS (root) è semprenot_supported.

mfa_active

Quando un dispositivo Multi-Factor Authentication (MFA) è stato abilitato per l'utente, il valore è TRUE. In caso contrario è FALSE.

access_key_1_active

Quando l'utente ha una chiave di accesso e lo stato della chiave di accesso è Active, questo valore è TRUE. In caso contrario è FALSE. Si applica sia all'utente root dell'account che agli utenti IAM.

access_key_1_last_rotated

La data e l'ora nel formato data/ora ISO 8601, della creazione della chiave di accesso dell'utente o dell'ultima modifica. Se l'utente non ha una chiave di accesso attiva, il valore in questo campo è N/A (non applicabile). Si applica sia all'utente root dell'account che agli utenti IAM.

access_key_1_last_used_date

La data e l'ora, nel formato data/ora ISO 8601, in cui la chiave di accesso dell'utente è stata recentemente utilizzata per firmare una richiesta API AWS . Quando una chiave di accesso è utilizzata più volte in un intervallo di 15 minuti, viene registrato in questo campo solo il primo utilizzo. Si applica sia all'utente root dell'account che agli utenti IAM.

Il valore in questo campo è N/A (non applicabile) in questi casi:

  • L'utente non ha una chiave di accesso.

  • La chiave di accesso non è mai stata utilizzata.

  • La chiave di accesso non è stata utilizzata dopo che IAM ha iniziato a monitorarne le informazioni (22 aprile 2015).

access_key_1_last_used_region

La regione AWS in cui la chiave di accesso è stata utilizzata più recentemente. Quando una chiave di accesso è utilizzata più volte in un intervallo di 15 minuti, viene registrato in questo campo solo il primo utilizzo. Si applica sia all'utente root dell'account che agli utenti IAM.

Il valore in questo campo è N/A (non applicabile) in questi casi:

  • L'utente non ha una chiave di accesso.

  • La chiave di accesso non è mai stata utilizzata.

  • La chiave di accesso è stata utilizzata l'ultima volta prima che IAM iniziasse a monitorarne le informazioni (22 aprile 2015).

  • L'ultimo servizio utilizzato non è specifico della regione, come ad esempio Amazon S3.

access_key_1_last_used_service

Il AWS servizio a cui è stato effettuato l'accesso più recente con la chiave di accesso. Il valore in questo campo utilizza lo spazio dei nomi del servizio, ad esempio s3 per Amazon S3 e ec2 per Amazon EC2. Quando una chiave di accesso è utilizzata più volte in un intervallo di 15 minuti, viene registrato in questo campo solo il primo utilizzo. Si applica sia all'utente root dell'account che agli utenti IAM.

Il valore in questo campo è N/A (non applicabile) in questi casi:

  • L'utente non ha una chiave di accesso.

  • La chiave di accesso non è mai stata utilizzata.

  • La chiave di accesso è stata utilizzata l'ultima volta prima che IAM iniziasse a monitorarne le informazioni (22 aprile 2015).

access_key_2_active

Quando l'utente ha una chiave di accesso secondaria e lo stato della chiave di accesso secondaria è Active, questo valore è TRUE. In caso contrario è FALSE. Si applica sia all'utente root dell'account che agli utenti IAM.

Nota

Gli utenti possono avere fino a due chiavi di accesso: ciò semplifica la rotazione, consentendo di aggiornare prima la chiave e successivamente di eliminare la chiave precedente. Per ulteriori informazioni sull'aggiornamento delle chiavi di accesso, consulta la pagina Aggiornamento delle chiavi di accesso.

access_key_2_last_rotated

La data e l'ora, espresse in formato data/ora ISO 8601, di creazione o ultima modifica della seconda chiave di accesso dell'utente. Se l'utente non ha una chiave di accesso secondaria attiva, il valore in questo campo è N/A (non applicabile). Si applica sia all'utente root dell'account che agli utenti IAM.

access_key_2_last_used_date

La data e l'ora, in formato data-ora ISO 8601, in cui la seconda chiave di accesso dell'utente è stata utilizzata l'ultima volta per firmare una AWS richiesta API. Quando una chiave di accesso è utilizzata più volte in un intervallo di 15 minuti, viene registrato in questo campo solo il primo utilizzo. Si applica sia all'utente root dell'account che agli utenti IAM.

Il valore in questo campo è N/A (non applicabile) in questi casi:

  • L'utente non ha una chiave di accesso secondaria.

  • La chiave di accesso secondaria dell'utente non è mai stata utilizzata.

  • La chiave di accesso secondaria dell'utente è stata utilizzata l'ultima volta prima che IAM iniziasse a monitorarne le informazioni (22 aprile 2015).

access_key_2_last_used_region

La regione AWS in cui la chiave di accesso secondaria è stata utilizzata più recentemente. Quando una chiave di accesso è utilizzata più volte in un intervallo di 15 minuti, viene registrato in questo campo solo il primo utilizzo. Si applica sia all'utente root dell'account che agli utenti IAM. Il valore in questo campo è N/A (non applicabile) in questi casi:

  • L'utente non ha una chiave di accesso secondaria.

  • La chiave di accesso secondaria dell'utente non è mai stata utilizzata.

  • La chiave di accesso secondaria dell'utente è stata utilizzata l'ultima volta prima che IAM iniziasse a monitorarne le informazioni (22 aprile 2015).

  • L'ultimo servizio utilizzato non è specifico della regione, come ad esempio Amazon S3.

access_key_2_last_used_service

Il AWS servizio a cui è stato effettuato l'ultimo accesso con la seconda chiave di accesso dell'utente. Il valore in questo campo utilizza lo spazio dei nomi del servizio, ad esempio s3 per Amazon S3 e ec2 per Amazon EC2. Quando una chiave di accesso è utilizzata più volte in un intervallo di 15 minuti, viene registrato in questo campo solo il primo utilizzo. Si applica sia all'utente root dell'account che agli utenti IAM. Il valore in questo campo è N/A (non applicabile) in questi casi:

  • L'utente non ha una chiave di accesso secondaria.

  • La chiave di accesso secondaria dell'utente non è mai stata utilizzata.

  • La chiave di accesso secondaria dell'utente è stata utilizzata l'ultima volta prima che IAM iniziasse a monitorarne le informazioni (22 aprile 2015).

cert_1_active

Quando l'utente ha un certificato di firma X.509 e lo stato del certificato è Active, questo valore è TRUE. In caso contrario è FALSE.

cert_1_last_rotated

La data e l'ora nel formato data/ora ISO 8601 della creazione del certificato di firma dell'utente o dell'ultima modifica. Se l'utente non ha un certificato di firma attivo, il valore in questo campo è N/A (non applicabile).

cert_2_active

Quando l'utente ha un certificato di firma X.509 secondario e lo stato del certificato è Active, questo valore è TRUE. In caso contrario è FALSE.

Nota

Gli utenti possono avere fino a due certificati di firma X.509, per rendere più semplice la rotazione del certificato.

cert_2_last_rotated

La data e l'ora nel formato data/ora ISO 8601 della creazione del certificato di firma secondario dell'utente o dell'ultima modifica. Se l'utente non ha un certificato di firma secondario attivo, il valore in questo campo è N/A (non applicabile).

Recupero dei report delle credenziali (Console)

Puoi utilizzare il AWS Management Console per scaricare un rapporto sulle credenziali come file con valori separati da virgole (CSV).

Per scaricare un report delle credenziali (console)

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, selezionare Credential report (Rapporto credenziali).

  3. Scegliere Download Report (Scarica report).

Recupero dei report delle credenziali (AWS CLI)

Per scaricare un report sulle credenziali (AWS CLI)

  1. Genera un rapporto sulle credenziali. AWS memorizza un singolo report. Se esiste già un report, la generazione di un report sulle credenziali sovrascrive il report precedente. aws iam generate-credential-report

  2. Visualizza l'ultimo report generato: aws iam get-credential-report

Recupero dei report delle credenziali (API AWS )

Per scaricare un rapporto sulle credenziali (AWS API)

  1. Genera un rapporto sulle credenziali. AWS memorizza un singolo report. Se esiste già un report, la generazione di un report sulle credenziali sovrascrive il report precedente. GenerateCredentialReport

  2. Visualizza l'ultimo report generato: GetCredentialReport