Credenziali di sicurezza temporanee in IAM

Puoi utilizzare il plugin AWS Security Token Service (AWS STS) per creare e fornire a utenti affidabili credenziali di sicurezza temporanee in grado di controllare l'accesso ai AWS risorse. Le credenziali di sicurezza temporanee funzionano quasi esattamente come le credenziali delle chiavi di accesso a lungo termine, con le seguenti differenze:

• Le credenziali di sicurezza provvisorie sono a breve termine, come implica il nome. Possono essere configurate per durare ovunque per pochi minuti o diverse ore. Dopo la scadenza delle credenziali, AWS non le riconosce più né consente alcun tipo di accesso dalle API richieste effettuate con esse.

• Le credenziali di sicurezza temporanee non sono archiviate con l'utente, ma vengono generate dinamicamente e fornite all'utente quando richiesto. Quando (o anche prima) le credenziali di sicurezza temporanee scadono, l'utente può richiedere nuove credenziali, purché l'utente che le richiede abbia ancora le autorizzazioni per farlo.

Di conseguenza, le credenziali temporanee presentano i seguenti vantaggi rispetto alle credenziali a lungo termine:

• Non è necessario distribuire o incorporare a lungo termine AWS credenziali di sicurezza con un'applicazione.

• Puoi fornire l'accesso al tuo AWS risorse agli utenti senza dover definire un AWS identità per loro. Le credenziali temporanee sono la base per la federazione dei ruoli e delle identità.

• Le credenziali di sicurezza temporanee hanno una durata limitata, perciò non è necessario aggiornarle o revocarle in modo esplicito quando non sono più necessarie. Dopo che le credenziali di sicurezza temporanee scadono, non possono essere riutilizzate. È possibile specificare quando scadono le credenziali, fino a un limite massimo.

AWS STS e AWS regioni

Le credenziali di sicurezza temporanee vengono generate da AWS STS. Per impostazione predefinita, AWS STS è un servizio globale con un unico endpoint suhttps://sts.amazonaws.com. Tuttavia, puoi anche scegliere di creare AWS STS APIchiamate verso dispositivi in qualsiasi altra regione supportata. Ciò può ridurre la latenza (server lag) effettuando le richieste a server in una regione geograficamente più vicina a te. Indipendentemente dalla regione dalla quale provengono, le credenziali funzionano a livello globale. Per ulteriori informazioni, consulta Manage (Gestione) AWS STS in un Regione AWS.

Scenari comuni per le credenziali temporanee

Le credenziali temporanee sono utili in scenari che prevedono la federazione delle identità, la delega, l'accesso tra account e ruoli. IAM

Federazione delle identità

È possibile gestire le identità degli utenti in un sistema esterno esterno a AWS e concedere agli utenti che accedono da tali sistemi l'accesso per eseguire AWS attività e accedi al tuo AWS risorse. IAMsupporta due tipi di federazione delle identità. In entrambi i casi, le identità vengono archiviate all'esterno di AWS. La differenza sta nel luogo in cui risiede il sistema esterno: nel data center dell'utente o in una terza parte esterna sul Web. Per confrontare le caratteristiche delle credenziali di sicurezza temporanee per la federazione delle identità, vedere. Confronta le AWS STS credenziali

Per ulteriori informazioni sui provider di identità esterni, consultare Provider di identità e federazione.

• Federazione OpenID Connect (OIDC): puoi consentire agli utenti di accedere utilizzando un noto provider di identità di terze parti come Login with Amazon, Facebook, Google o qualsiasi provider compatibile con la versione OIDC 2.0 per la tua applicazione mobile o web, non devi creare un codice di accesso personalizzato o gestire le tue identità utente. L'uso OIDC della federazione ti aiuta a mantenere i tuoi Account AWS sicuro, perché non è necessario distribuire credenziali di sicurezza a lungo termine, come le chiavi di accesso IAM utente, con l'applicazione. Per ulteriori informazioni, consulta OIDCfederazione.

  AWS STS OIDCfederation supporta Login with Amazon, Facebook, Google e qualsiasi provider di identità compatibile con OpenID Connect (OIDC).

  Nota

  Per le applicazioni mobili, consigliamo di utilizzare Amazon Cognito. Puoi utilizzare questo servizio con AWS SDKsper lo sviluppo mobile, al fine di creare identità uniche per gli utenti e autenticarle per un accesso sicuro ai tuoi AWS risorse. Amazon Cognito supporta gli stessi provider di identità di AWS STS, supporta anche l'accesso non autenticato (ospite) e consente di migrare i dati degli utenti quando un utente accede. Amazon Cognito fornisce anche API operazioni per la sincronizzazione dei dati degli utenti in modo che vengano conservati mentre gli utenti si spostano da un dispositivo all'altro. Per ulteriori informazioni, consulta Autenticazione con Amplify nella documentazione di Amplify.

• SAMLfederazione: puoi autenticare gli utenti nella rete della tua organizzazione e quindi fornire loro l'accesso a AWS senza crearne di nuovi AWS identità per loro e richiedendo loro di accedere con credenziali di accesso diverse. Questo è noto come approccio Single Sign-On all'accesso temporaneo. AWS STS supporta standard aperti come Security Assertion Markup Language (SAML) 2.0, con cui è possibile utilizzare Microsoft AD FS per sfruttare Microsoft Active Directory. È inoltre possibile utilizzare la SAML versione 2.0 per gestire la propria soluzione per la federazione delle identità degli utenti. Per ulteriori informazioni, consulta SAMLfederazione 2.0.

  • Broker federativo personalizzato: puoi utilizzare il sistema di autenticazione della tua organizzazione per concedere l'accesso a AWS risorse. Per uno scenario di esempio, consultare Abilita l'accesso personalizzato del broker di identità alla AWS console.

  • Federazione tramite SAML 2.0: è possibile utilizzare il sistema di autenticazione dell'organizzazione e SAML concedere l'accesso a AWS risorse. Per ulteriori informazioni e uno scenario di esempio, consultare SAMLfederazione 2.0.

Ruoli per l'accesso tra account

Molte organizzazioni ne mantengono più di una Account AWS. Utilizzando i ruoli e l'accesso tra account, è possibile definire le identità degli utenti in un unico account e utilizzare tali identità per accedere AWS risorse in altri account che appartengono alla tua organizzazione. Questo approccio è noto come delega all'accesso temporaneo. Per ulteriori informazioni sulla creazione di ruoli tra account, consulta la sezione Creare un ruolo per delegare le autorizzazioni a un utente IAM. Per sapere se i responsabili di account che non rientrano nella tua zona di fiducia (organizzazione o account attendibili) possono assumere i tuoi ruoli, vedi Cos'è IAM Access Analyzer? .

Ruoli per Amazon EC2

Se esegui applicazioni su EC2 istanze Amazon e tali applicazioni devono accedere a AWS risorse, puoi fornire credenziali di sicurezza temporanee alle tue istanze al momento del loro avvio. Queste credenziali di sicurezza temporanee sono disponibili a tutte le applicazioni che vengono eseguite sull'istanza, perciò non è necessario archiviare nessuna delle credenziali a lungo termine sull'istanza. Per ulteriori informazioni, consulta Usa un IAM ruolo per concedere le autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2.

Per ulteriori informazioni sulle credenziali dei EC2 ruoli IAM Amazon, consulta IAMi ruoli per Amazon EC2 nella Amazon Elastic Compute Cloud User Guide.

Altro AWS services

Puoi utilizzare credenziali di sicurezza temporanee per accedere alla maggior parte AWS servizi. Per un elenco dei servizi che accettano le credenziali di sicurezza temporanee, consultare AWS servizi che funzionano con IAM.

Applicazioni di esempio che usano credenziali temporanee

È possibile utilizzare… AWS Security Token Service (AWS STS) per creare e fornire a utenti affidabili credenziali di sicurezza temporanee in grado di controllare l'accesso ai AWS risorse. Per ulteriori informazioni sull' AWS STS, consulta Credenziali di sicurezza temporanee in IAM. Per vedere come puoi usare AWS STS per gestire le credenziali di sicurezza temporanee, puoi scaricare le seguenti applicazioni di esempio che implementano scenari di esempio completi:

• Abilitare Federation a AWS Utilizzo di Windows Active Directory e SAML 2.0. ADFS Dimostra come delegare l'accesso utilizzando la federazione aziendale a AWS utilizzando Windows Active Directory (AD), Active Directory Federation Services (ADFS) 2.0 e SAML (Security Assertion Markup Language) 2.0.

• Abilita l'accesso personalizzato del broker di identità alla AWS console. Dimostra come creare un proxy federativo personalizzato che abiliti il single sign-on (SSO) in modo che gli utenti di Active Directory esistenti possano accedere a AWS Management Console.

• Come utilizzare Shibboleth per il Single Sign-On su AWS Management Console. . Mostra come usare Shibboleth e come fornire SAMLagli utenti l'accesso Single Sign-on () a SSO AWS Management Console.

Esempi per la federazione OIDC

Le seguenti applicazioni di esempio illustrano come utilizzarle OIDCfederation con provider come Login with Amazon, Amazon Cognito, Facebook o Google. Puoi scambiare l'autenticazione di questi provider con un'autenticazione temporanea AWS credenziali di sicurezza per accedere AWS servizi.

• Tutorial Amazon Cognito: ti consigliamo di utilizzare Amazon Cognito con AWS SDKsper lo sviluppo mobile. Amazon Cognito offre il modo più semplice per gestire l'identità per le applicazioni per dispositivi mobili e offre funzionalità aggiuntive come la sincronizzazione e l'identità tra più dispositivi. Per ulteriori informazioni su Amazon Cognito, consulta Autenticazione con Amplify nella documentazione di Amplify.

Risorse aggiuntive per le credenziali di sicurezza temporanee

I seguenti scenari e applicazioni possono essere utili per l'utilizzo di credenziali di sicurezza temporanee:

• Come effettuare l'integrazione AWS STS SourceIdentity con il tuo provider di identità. Questo post mostra come configurare il AWS STS SourceIdentityattributo quando usi Okta, Ping o OneLogin come IdP.

• OIDCfederazione. Questa sezione illustra come configurare i IAM ruoli quando si utilizza la OIDC federazione e il AssumeRoleWithWebIdentityAPI.

• APIAccesso sicuro con MFA. Questo argomento spiega come utilizzare i ruoli per richiedere l'autenticazione a più fattori (MFA) per proteggere API le azioni sensibili nel tuo account.

Per ulteriori informazioni sulle politiche e le autorizzazioni in AWS consulta i seguenti argomenti:

• Gestione degli accessi AWS alle risorse

• Logica di valutazione delle policy.

• Gestione delle autorizzazioni di accesso alle risorse di Amazon S3 in Guida per l’utente di Amazon Simple Storage Service.

• Per sapere se i responsabili di account che non rientrano nella tua zona di fiducia (organizzazione o account attendibile) possono assumere i tuoi ruoli, vedi Cos'è IAM Access Analyzer? .