Utenti IAM - AWS Identity and Access Management
Come AWS identifica un utente IAMUtenti IAM e credenzialiUtenti e autorizzazioni IAMUtenti IAM e accountUtenti IAM come account di servizio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utenti IAM

Importante

Le best practice di IAM raccomandano di richiedere agli utenti di utilizzare la federazione con un provider di identità per accedere ad AWS tramite credenziali temporanee anziché di utilizzare gli utenti IAM con credenziali a lungo termine.

Un utente AWS Identity and Access Management (IAM) è un'entità che crei in AWS. L'utente IAM rappresenta la persona o il carico di lavoro utilizzato dall'utente IAM per interagire con AWS. Un utente AWS dispone di un nome e di credenziali.

Un utente IAM con le autorizzazioni di amministratore non è la stessa cosa dell'Utente root dell'account AWS. Per ulteriori informazioni sull'utilizzo dell'utente root, consulta Utente root dell'account AWS.

Come AWS identifica un utente IAM

Quando crei un utente IAM, IAM crea questi metodi per identificare quell'utente:

  • Un "nome semplice" per l'utente IAM, che è il nome specificato quando hai creato l'utente IAM, ad esempio Richard o Anaya. Questi sono i nomi che vedi nella AWS Management Console.

  • Un nome della risorsa Amazon (ARN) per l'utente IAM. Utilizza l'ARN quando è necessario identificare in modo univoco l'utente IAM nell'intero ambiente AWS. Ad esempio, puoi usare un ARN per specificare l'utente IAM come Principal in una policy IAM per un bucket Amazon S3. Un ARN per un utente IAM potrebbe essere simile al seguente:

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Un identificatore univoco per l'utente IAM. Questo ID viene restituito solo quando utilizzi le API, Tools for Windows PowerShell o la AWS CLI per creare l'utente IAM; questo ID non è visualizzato nella console.

Per ulteriori informazioni su questi identificatori, consulta Identificatori IAM.

Utenti IAM e credenziali

Puoi accedere ad AWS in modi differenti a seconda delle credenziali utente IAM:

  • Password console: una password che l'utente IAM può inserire per accedere a sessioni interattive come la AWS Management Console. La disabilitazione della password (accesso alla console) per un utente IAM gli impedisce di accedere alla AWS Management Console tramite le credenziali di accesso. Non modifica le autorizzazioni né impedisce l'accesso alla console utilizzando un ruolo assunto.

  • Tasti di accesso: utilizzati per effettuare chiamate programmatiche a AWS. Tuttavia, ci sono alternative più sicure da considerare prima di creare le chiavi di accesso per gli utenti IAM. Per ulteriori informazioni, consulta Considerazioni e alternative per le chiavi di accesso a lungo termine nella Riferimenti generali di AWS. Se l'utente IAM dispone di chiavi d'accesso attive, esse continueranno a funzionare e a permettere l'accesso mediante la AWS CLI, Tools for Windows PowerShell, l'API AWS o AWS Console Mobile Application.

  • Chiavi SSH da utilizzare con CodeCommit: una chiave pubblica SSH nel formato OpenSSH che può essere utilizzata per eseguire l'autenticazione con CodeCommit.

  • Certificati di server: certificati SSL/TLS da utilizzare per eseguire l'autenticazione con alcuni servizi AWS. Ti consigliamo di utilizzare AWS Certificate Manager (ACM) per assegnare, gestire e distribuire certificati del server. Utilizza IAM solo quando è necessario il supporto alle connessioni HTTPS in una regione che non è supportata da ACM. Per informazioni sulle regioni che supportano ACM, consulta Endpoint e quote di AWS Certificate Manager nella Riferimenti generali di AWS.

È possibile scegliere le credenziali che meglio si adattano all'utente IAM. Quando utilizzi la AWS Management Console per creare un utente IAM, devi scegliere di includere almeno una password o delle chiavi di accesso alla console. Per impostazione predefinita, un nuovo utente IAM creato tramite la AWS CLI o l'API AWS non dispone di alcun tipo di credenziali. Il tipo di credenziali dell'utente IAM da creare dipende dal caso d'uso.

Hai le seguenti opzioni per amministrare le password, le chiavi di accesso e i dispositivi con l'autenticazione a più fattori (MFA):

  • Gestione di password per gli utenti IAM. Crea e modifica le password che consentono l'accesso alla AWS Management Console. Imposta una policy per la password, così da implementare un minimo di complessità per la password. Consenti agli utenti di cambiare le loro password.

  • Gestione delle chiavi di accesso per gli utenti IAM. Crea e aggiorna le chiavi di accesso per l'accesso programmatico alle risorse nel tuo account.

  • Abilita l'utente IAM all'autenticazione a più fattori (MFA). Come best practice, ti consigliamo di richiedere l'autenticazione a più fattori per tutti gli utenti IAM nel tuo account. Con l'MFA, gli utenti devono fornire due forme di identificazione. Innanzitutto, forniscono le credenziali che fanno parte dell'identità utente (una password o una chiave di accesso). Inoltre, forniscono un codice numerico temporaneo generato su un dispositivo hardware o da un'applicazione su uno smartphone o un tablet.

  • Trovare password e chiavi di accesso non utilizzate. Chiunque abbia una password o le chiavi di accesso per il tuo account o un utente IAM nel tuo account, ha accesso alle risorse AWS. La sicurezza delle best practice consiste nel rimuovere le password e le chiavi di accesso quando gli utenti non ne hanno più bisogno.

  • Download di un report delle credenziali per l'account. È possibile generare e scaricare un report delle credenziali che riporta tutti gli utenti IAM presenti nell'account e lo stato delle loro diverse credenziali, tra cui password, chiavi di accesso e dispositivi MFA. Per le password e le chiavi di accesso, il report sulle credenziali mostra se la password o la chiave di accesso siano state utilizzate di recente.

Utenti e autorizzazioni IAM

Per impostazione predefinita, un nuovo utente IAM non ha le autorizzazioni per svolgere alcuna operazione. L'utente non è autorizzato a eseguire alcuna operazione AWS o ad accedere alle risorse AWS. Un vantaggio di avere singoli utenti IAM è quello di poter assegnare le autorizzazioni individualmente a ogni utente. Puoi assegnare le autorizzazioni amministrative ad alcuni utenti, i quali quindi possono amministrare le tue risorse AWS e possono anche creare e gestire altri utenti IAM. Nella maggior parte dei casi, tuttavia, è consigliabile limitare le autorizzazioni di un utente alle sole attività (operazioni AWS) e risorse necessarie per la sua mansione.

Prendiamo a esempio un utente denominato Diego. Quando crei l'utente IAM Diego, crei una password per questo utente e colleghi le autorizzazioni all'utente, per permettergli di avviare una determinata istanza Amazon EC2 e leggere le informazioni (GET) da una tabella in un database Amazon RDS. Per le procedure su come creare gli utenti e concedere loro le credenziali iniziali e le autorizzazioni, consulta Creazione di un utente IAM nel tuo Account AWS. Per le procedure su come modificare le autorizzazioni agli utenti esistenti, consulta Modifica delle autorizzazioni per un utente IAM. Per le procedure su come cambiare la password dell'utente o le chiavi di accesso, consulta la pagina Gestione delle password utente in AWS e Gestione delle chiavi di accesso per gli utenti IAM.

Puoi anche aggiungere un limite delle autorizzazioni agli utenti IAM. Un limite delle autorizzazioni è una funzione avanzata che ti consente di usare le policy gestite da AWS per impostare il numero massimo di autorizzazioni che una policy basata su identità può concedere a un utente o un ruolo IAM. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta Policy e autorizzazioni in IAM.

Utenti IAM e account

Ogni utente IAM è associato a un solo Account AWS. Poiché gli utenti IAM sono definiti all'interno del tuo Account AWS, non è necessario che dispongano di un metodo di pagamento con AWS. Qualsiasi attività AWS eseguita dagli utenti IAM nel tuo account è fatturata sul tuo account.

Numero e dimensione delle risorse IAM in un account AWS sono limitati. Per ulteriori informazioni, consulta Quote di IAM e AWS STS.

Utenti IAM come account di servizio

Un utente IAM è una risorsa in IAM con credenziali e autorizzazioni associate. Un utente IAM può rappresentare una persona o un'applicazione che utilizza le proprie credenziali per effettuare richieste AWS. In genere questo si chiama account di servizio. Se nella tua applicazione scegli di utilizzare le credenziali a lungo termine di un utente IAM, non integrare le chiavi di accesso direttamente nel codice dell'applicazione. I kit SDK AWS e la AWS Command Line Interface consentono di inserire le chiavi di accesso in posizioni note, in modo da non doverle conservare nel codice. Per ulteriori informazioni, consulta Gestione corretta delle chiavi di accesso dell'utente IAM nella Riferimenti generali di AWS. Oppure, come best practice, puoi utilizzare le credenziali di sicurezza temporanee (ruoli IAM) al posto delle chiavi di accesso a lungo termine.