Impostazione di una policy delle password Autorizzazioni necessarie per impostare una policy delle password Policy delle password predefinita Opzioni di policy delle password personalizzata Impostazione di una policy sulle password (Console)Impostazione di una policy sulle password (AWS CLI)Impostazione di una politica in materia di password (AWS API)

Impostazione di una policy delle password dell'account per utenti IAM

Puoi impostare una politica di password personalizzata Account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per le password degli utenti IAM. Se non imposti una politica di password personalizzata, le password utente IAM devono soddisfare la politica di password predefinita AWS . Per ulteriori informazioni, consulta Opzioni di policy delle password personalizzata.

Argomenti

Impostazione di una policy delle password
Autorizzazioni necessarie per impostare una policy delle password
Policy delle password predefinita
Opzioni di policy delle password personalizzata
Impostazione di una policy sulle password (Console)
Impostazione di una policy sulle password (AWS CLI)
Impostazione di una politica in materia di password (AWS API)

Impostazione di una policy delle password

La policy sulle password IAM non si applica alla Utente root dell'account AWS password o alle chiavi di accesso utente IAM. Se una password scade, l'utente IAM non può accedere AWS Management Console ma può continuare a utilizzare le proprie chiavi di accesso.

Quando si crea o si modifica una policy sulle password, la maggior parte delle impostazioni sulla policy delle password vengono applicate la prossima volta che gli utenti modificano le password. Tuttavia, alcune delle impostazioni vengono applicate immediatamente. Ad esempio:

Quando si impostano i requisiti minimi di lunghezza e del tipo di caratteri, le impostazioni vengono applicate la volta successiva che gli utenti cambiano le password. Gli utenti non sono costretti a modificare le proprie password esistenti, anche se le password esistenti non rispettano i criteri della policy aggiornata sulle password.
Quando si imposta un periodo di scadenza della password, il periodo di scadenza viene applicato immediatamente. Ad esempio, un periodo di scadenza della password viene impostato a 90 giorni. In tal caso, la password scade per tutti gli utenti IAM la cui password attuale è più vecchia di 90 giorni. Gli utenti sono tenuti a modificare la propria password all'accesso successivo.

Non è possibile creare una "policy di esclusione" per bloccare un utente fuori dall'account dopo un numero specificato di tentativi di accesso non riusciti. Per una maggiore sicurezza, si consiglia di combinare una policy delle password complessa con l'autenticazione Multi-Factor Authentication (MFA). Per ulteriori informazioni sulla funzionalità MFA, consultare AWS Autenticazione a più fattori in IAM.

Autorizzazioni necessarie per impostare una policy delle password

È necessario configurare le autorizzazioni per consentire a un'entità IAM (utente o ruolo) di visualizzare o modificare la policy delle password dell'account. È possibile includere le seguenti operazioni di policy della password in una policy IAM:

iam:GetAccountPasswordPolicy: consente all'entità di visualizzare la policy delle password per il proprio account
iam:DeleteAccountPasswordPolicy: consente all'entità di eliminare la policy delle password personalizzata per il proprio account e ripristinare la policy delle password di default
iam:UpdateAccountPasswordPolicy: consente all'entità di creare o modificare la policy delle password personalizzata per il proprio account

La policy seguente consente l'accesso completo per visualizzare e modificare la policy delle password dell'account. Per ulteriori informazioni su come creare una policy IAM usando il documento di policy JSON di esempio, consulta Creazione di policy utilizzando l'editor JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Per informazioni sulle autorizzazioni necessarie per modificare la password da parte di un utente IAM, consulta Consentire agli utenti IAM di cambiare le loro password.

Policy delle password predefinita

Se un amministratore non imposta una politica di password personalizzata, le password degli utenti IAM devono soddisfare la politica di AWS password predefinita.

La policy delle password predefinita applica le seguenti condizioni:

Deve avere una lunghezza minima di 8 caratteri e massima di 128 caratteri
Deve includere almeno tre dei seguenti tipi di caratteri: lettere maiuscole, lettere minuscole, numeri e caratteri non alfanumerici (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')
Non essere identico al tuo Account AWS nome o indirizzo email
Password che non scadono mai

Opzioni di policy delle password personalizzata

Quando si configura una policy delle password personalizzata per l'account, è possibile specificare le seguenti condizioni:

Lunghezza minima della password: è possibile specificare un minimo di 6 caratteri e un massimo di 128 caratteri.
Complessità della password: puoi selezionare una delle seguenti caselle di controllo per definire la complessità delle password dell'utente IAM:
- Richiedi almeno una lettera maiuscola dall'alfabeto latino (A-Z)
- Richiedi almeno una lettera minuscola dall'alfabeto latino (a-z)
- Richiedere almeno un numero
- Richiedere almeno un carattere non alfanumerico ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '
Turn on password expiration (Abilita scadenza della password): puoi selezionare e specificare un minimo di 1 e un massimo di 1.095 giorni di validità delle password utente IAM dopo che sono state impostate. Ad esempio, se specifichi una scadenza di 90 giorni, ciò influisce immediatamente su tutti gli utenti. Dopo la modifica, gli utenti con password impostata da oltre 90 giorni dovranno impostarne una nuova quando accedono alla console. Gli utenti con password vecchie di 75-89 giorni ricevono un AWS Management Console avviso sulla scadenza della password. Gli utenti IAM possono modificare la password in qualsiasi momento se dispongono dell'autorizzazione. Quando impostano una nuova password, il periodo di scadenza per tale password ricomincia da capo. Un utente IAM può avere solo una password valida alla volta.
La scadenza della password richiede la reimpostazione dell'amministratore: seleziona questa opzione per impedire agli utenti IAM di utilizzare il AWS Management Console per aggiornare le proprie password dopo la scadenza della password. Prima di selezionare questa opzione, verifica che nell' Account AWS sia presente più di un utente con le autorizzazioni amministrative per ripristinare le password degli utenti IAM. Gli amministratori che dispongono dell'autorizzazione iam:UpdateLoginProfile possono reimpostare le password degli utenti IAM. Gli utenti IAM che dispongono dell'autorizzazione iam:ChangePassword e di chiavi di accesso attive possono reimpostare autonomamente la propria password della console utente IAM a livello di programmazione. Se si deseleziona questa casella di controllo, gli utenti IAM con password scadute devono comunque impostare una nuova password prima di poter accedere alla AWS Management Console.
Allow users to change their own password (Consenti agli utenti di modificare la propria password): puoi consentire a tutti gli utenti IAM nel tuo account di modificare autonomamente le proprie password. Ciò consente agli utenti di accedere all'operazione iam:ChangePassword solo per il proprio utente e all'operazione iam:GetAccountPasswordPolicy. Questa opzione non associa una policy di autorizzazione a ciascun utente. Piuttosto, IAM applica le autorizzazioni a livello di account per tutti gli utenti. In alternativa, è possibile consentire solo ad alcuni utenti di gestire in autonomia le proprie password. A tale scopo, deseleziona questa casella di controllo. Per ulteriori informazioni sull'utilizzo di policy per limitare chi può gestire le password, consultare Consentire agli utenti IAM di cambiare le loro password.
Impedisci il riutilizzo di una password: puoi impedire che gli utenti IAM riutilizzino un determinato numero di password precedenti. È possibile specificare un numero minimo di 1 e un numero massimo di 24 password precedenti che non possono essere ripetute.

Impostazione di una policy sulle password (Console)

Puoi utilizzare la AWS Management Console per creare, modificare o eliminare una politica di password personalizzata.

Per creare una policy delle password personalizzata (console)

Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).
Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).
Scegli Custom (Personalizzato) per utilizzare una policy di password personalizzata.
Seleziona le opzioni che desideri applicare alla policy delle password e scegli Salva modifiche.
Conferma che desideri impostare la policy delle password personalizzata scegliendo Set custom (Imposta personalizzata).

Per modificare una policy delle password personalizzata (console)

Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).
Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).
Seleziona le opzioni che desideri applicare alla policy delle password e scegli Salva modifiche.
Conferma che desideri impostare la policy delle password personalizzata scegliendo Set custom (Imposta personalizzata).

Eliminazione di una policy delle password personalizzata (console)

Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).
Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).
Scegli IAM default (Predefinito IAM) per eliminare la policy di password personalizzata, quindi scegli Save changes (Salva modifiche).
Conferma che desideri impostare la policy delle password predefinita IAM scegliendo Set default (Imposta predefinita).

Impostazione di una policy sulle password (AWS CLI)

Puoi utilizzare il AWS Command Line Interface per impostare una politica in materia di password.

Per gestire la politica personalizzata in materia di password dell'account dal AWS CLI

Esegui i comandi seguenti:

Per creare o modificare la policy delle password personalizzata: aws iam update-account-password-policy
Per visualizzare la policy delle password: aws iam get-account-password-policy
Per eliminare la policy delle password personalizzata: aws iam delete-account-password-policy

Impostazione di una politica in materia di password (AWS API)

È possibile utilizzare le operazioni AWS API per impostare una politica in materia di password.

Per gestire la politica personalizzata in materia di password dell'account dall' AWS API

Chiamare le operazioni seguenti:

Per creare o modificare la policy delle password personalizzata: UpdateAccountPasswordPolicy
Per visualizzare la policy delle password: GetAccountPasswordPolicy
Per eliminare la policy delle password personalizzata: DeleteAccountPasswordPolicy

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione delle password

Gestione delle password utente