Utenti IAM - AWS Identity and Access Management
Come AWS identifica un utente IAMUtenti IAM e credenzialiUtenti e autorizzazioni IAMUtenti IAM e accountUtenti IAM come account di servizio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utenti IAM

Importante

Le best practice di IAM consigliano di richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee anziché utilizzare utenti IAM con credenziali a lungo termine. Ti consigliamo di utilizzare gli utenti IAM solo per casi d'uso specifici non supportati dagli utenti federati.

Un utente IAM è un'entità che viene creata nell' Account AWS. L'utente IAM rappresenta la persona o il carico di lavoro utilizzato dall'utente IAM per interagire con le risorse AWS . Un utente IAM dispone di un nome e di credenziali.

Un utente IAM con le autorizzazioni di amministratore non è la stessa cosa dell' Utente root dell'account AWS. Per ulteriori informazioni sull'utilizzo dell'utente root, consulta Utente root dell'account AWS.

Come AWS identifica un utente IAM

Quando crei un utente IAM, IAM crea questi metodi per identificare quell'utente:

  • Un "nome semplice" per l'utente IAM, che è il nome specificato quando hai creato l'utente IAM, ad esempio Richard o Anaya. Questi sono i nomi che vedi nella AWS Management Console. Poiché i nomi utente IAM compaiono in Amazon Resource Names (ARNs), non è consigliabile includere informazioni di identificazione personale nel nome IAM. Fai riferimento a Requisiti del nome IAM per i requisiti e le restrizioni per i nomi IAM.

  • Un nome della risorsa Amazon (ARN) per l'utente IAM. L'ARN viene utilizzato quando è necessario identificare in modo univoco l'utente IAM in tutto il mondo. AWS Ad esempio, puoi usare un ARN per specificare l'utente IAM come Principal in una policy IAM per un bucket Amazon S3. Un ARN per un utente IAM potrebbe essere simile al seguente:

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Un identificatore univoco per l'utente IAM. Questo ID viene restituito solo quando utilizzi l'API, Tools for Windows PowerShell o AWS CLI per creare l'utente IAM; non lo vedi nella console.

Per ulteriori informazioni su questi identificatori, consulta Identificatori IAM.

Utenti IAM e credenziali

Puoi accedere AWS in diversi modi a seconda delle credenziali utente IAM:

  • Password console: una password che l'utente IAM può inserire per accedere a sessioni interattive come la AWS Management Console. La disabilitazione della password (accesso alla console) per un utente IAM impedisce loro di accedere AWS Management Console utilizzando le proprie credenziali di accesso. Non modifica le autorizzazioni né impedisce l'accesso alla console utilizzando un ruolo assunto.

  • Tasti di accesso: utilizzati per effettuare chiamate programmatiche a AWS. Tuttavia, ci sono alternative più sicure da considerare prima di creare le chiavi di accesso per gli utenti IAM. Per ulteriori informazioni, consulta Considerazioni e alternative per le chiavi di accesso a lungo termine nella Riferimenti generali di AWS. Se l'utente IAM dispone di chiavi di accesso attive, queste continuano a funzionare e consentono l' AWS CLI accesso tramite Tools for Windows PowerShell, AWS API o l'applicazione AWS Console Mobile.

  • Chiavi SSH da utilizzare con CodeCommit: una chiave pubblica SSH nel formato OpenSSH che può essere utilizzata per eseguire l'autenticazione con CodeCommit.

  • Certificati server: SSL/TLS certificati che è possibile utilizzare per l'autenticazione con alcuni AWS servizi. Ti consigliamo di utilizzare AWS Certificate Manager (ACM) per fornire, gestire e distribuire i certificati del server. Utilizza IAM solo quando è necessario il supporto alle connessioni HTTPS in una regione che non è supportata da ACM. Per informazioni sulle regioni che supportano ACM, consulta Endpoint e quote di AWS Certificate Manager nella Riferimenti generali di AWS.

È possibile scegliere le credenziali che meglio si adattano all'utente IAM. Quando utilizzi la AWS Management Console per creare un utente IAM, devi scegliere di includere almeno una password o delle chiavi di accesso alla console. Per impostazione predefinita, un nuovo utente IAM creato utilizzando l' AWS API AWS CLI or non dispone di credenziali di alcun tipo. Il tipo di credenziali dell'utente IAM da creare dipende dal caso d'uso.

Hai le seguenti opzioni per amministrare le password, le chiavi di accesso e i dispositivi con l'autenticazione a più fattori (MFA):

  • Gestione di password per gli utenti IAM. Crea e modifica le password che consentono l'accesso alla AWS Management Console. Imposta una policy per la password, così da implementare un minimo di complessità per la password. Consenti agli utenti IAM di cambiare le loro password.

  • Gestione delle chiavi di accesso per gli utenti IAM. Crea e aggiorna le chiavi di accesso per l'accesso programmatico alle risorse nel tuo account.

  • Abilita l'utente IAM all'autenticazione a più fattori (MFA). Come best practice, ti consigliamo di richiedere l'autenticazione a più fattori per tutti gli utenti IAM nel tuo account. Con l'MFA, gli utenti IAM devono fornire due forme di identificazione. Innanzitutto, forniscono le credenziali che fanno parte dell'identità utente (una password o una chiave di accesso). Inoltre, forniscono un codice numerico temporaneo generato su un dispositivo hardware o da un'applicazione su uno smartphone o un tablet.

  • Trovare password e chiavi di accesso non utilizzate. Chiunque disponga di una password o di chiavi di accesso per il tuo account o di un utente IAM nel tuo account ha accesso alle tue AWS risorse. La best practice di sicurezza consiste nel rimuovere le password e le chiavi di accesso quando gli utenti IAM non ne hanno più bisogno.

  • Download di un report delle credenziali per l'account. È possibile generare e scaricare un report delle credenziali che riporta tutti gli utenti IAM presenti nell'account e lo stato delle loro diverse credenziali, tra cui password, chiavi di accesso e dispositivi MFA. Per le password e le chiavi di accesso, il report sulle credenziali mostra se la password o la chiave di accesso siano state utilizzate di recente.

Utenti e autorizzazioni IAM

Per impostazione predefinita, un nuovo utente IAM non ha le autorizzazioni per svolgere alcuna operazione. Non sono autorizzati a eseguire alcuna AWS operazione o ad accedere a nessuna AWS risorsa. Un vantaggio di avere singoli utenti IAM è quello di poter assegnare le autorizzazioni individualmente a ogni utente. Potresti assegnare autorizzazioni amministrative a pochi utenti, che quindi possono amministrare AWS le tue risorse e possono persino creare e gestire altri utenti IAM. Nella maggior parte dei casi, tuttavia, desideri limitare le autorizzazioni di un utente solo alle attività (AWS azioni o operazioni) e alle risorse necessarie per il lavoro.

Prendiamo a esempio un utente denominato Diego. Quando crei l'utente IAMDiego, crei una password per lui e alleghi le autorizzazioni che gli consentono di avviare un' EC2 istanza Amazon specifica e leggere (GET) informazioni da una tabella in un database Amazon RDS. Per le procedure su come creare gli utenti IAM e concedere loro le credenziali iniziali e le autorizzazioni, consulta Creare un utente IAM nel tuo Account AWS. Per le procedure su come modificare le autorizzazioni agli utenti esistenti, consulta Modificare le autorizzazioni per un utente IAM. Per le procedure su come cambiare la password dell'utente o le chiavi di accesso, consulta la pagina Password utente in AWS e Gestione delle chiavi di accesso per gli utenti IAM.

Puoi anche aggiungere un limite delle autorizzazioni agli utenti IAM. Un limite di autorizzazioni è una funzionalità avanzata che consente di utilizzare policy AWS gestite per limitare le autorizzazioni massime che una policy basata sull'identità può concedere a un utente o un ruolo IAM. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta Politiche e autorizzazioni in AWS Identity and Access Management.

Utenti IAM e account

Ogni utente IAM è associato a un solo Account AWS. Poiché gli utenti IAM sono definiti all'interno del tuo account Account AWS, non è necessario che dispongano di un metodo di pagamento registrato. AWS Qualsiasi AWS attività svolta dagli utenti IAM nel tuo account viene fatturata sul tuo account.

Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta IAM e AWS STS quote.

Utenti IAM come account di servizio

Un utente IAM è una risorsa in IAM con credenziali e autorizzazioni associate. Un utente IAM può rappresentare una persona o un'applicazione che utilizza le proprie credenziali per effettuare richieste AWS . In genere questo si chiama account di servizio. Se nella tua applicazione scegli di utilizzare le credenziali a lungo termine di un utente IAM, non integrare le chiavi di accesso direttamente nel codice dell'applicazione. AWS SDKs E ti AWS Command Line Interface consentono di inserire le chiavi di accesso in posizioni note in modo da non doverle conservare in codice. Per ulteriori informazioni, consulta Gestione corretta delle chiavi di accesso dell'utente IAM nella Riferimenti generali di AWS. Oppure, come best practice, puoi utilizzare le credenziali di sicurezza temporanee (ruoli IAM) al posto delle chiavi di accesso a lungo termine.