Gestione degli utenti IAM

Nota

Come best practice, richiedi agli utenti di utilizzare la federazione con un gestore di identità per accedere a AWS utilizzando credenziali temporanee. Se segui le best practice, non gestisci utenti e gruppi IAM. Gli utenti e i gruppi sono infatti gestiti all'esterno di AWS e sono in grado di accedere alle risorse AWS come identità federata. Un'identità federata è un utente della directory degli utenti aziendali, un gestore di identità Web, AWS Directory Service, la directory del Centro identità o qualsiasi utente che accede ai servizi AWS utilizzando le credenziali fornite tramite un'origine di identità. Le identità federate utilizzano i gruppi definiti dal rispettivo gestore di identità. Se stai utilizzando AWS IAM Identity Center, consulta Gestione delle identità nel Centro identità IAM nella Guida per l'utente di AWS IAM Identity Center per informazioni sulla creazione di utenti e gruppi nel Centro identità IAM.

Amazon Web Services offre vari strumenti per gestire gli utenti IAM nel proprio Account AWS. Puoi elencare gli utenti IAM nel tuo account o in un gruppo di utenti oppure elencare tutti i gruppi di utenti di cui un utente è membro. È possibile rinominare o modificare il percorso di un utente IAM. Se desideri utilizzare le identità federate invece degli utenti IAM, puoi eliminare un utente IAM dall'account AWS o disattivarlo.

Per ulteriori informazioni sull'aggiunta, la modifica o la rimozione di policy gestite per un utente IAM, consulta Modifica delle autorizzazioni per un utente IAM. Per informazioni sulla gestione di policy in linea per utenti IAM, consulta Aggiunta e rimozione di autorizzazioni per identità IAM, Modifica delle policy IAM e Eliminazione di policy IAM. Come best practice, utilizza le policy gestite anziché le policy in linea. Le policy gestite da AWS concedono autorizzazioni per numerosi casi d'uso comuni. Ricorda: le policy gestite di AWS potrebbero non concedere autorizzazioni con privilegi minimi per i tuoi casi d'uso specifici perché sono disponibili per l'uso da parte di tutti i clienti AWS. Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo Policy gestite dal cliente specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta AWS policy gestite. Per ulteriori informazioni sulle policy gestite da AWS progettate per funzioni di lavoro specifiche, consulta AWS politiche gestite per le funzioni lavorative.

Per ulteriori informazioni sulla convalida delle policy IAM, consulta Convalida delle policy IAM.

Suggerimento

IAM Access Analyzer analizza i servizi e le azioni utilizzati dai tuoi ruoli IAM e quindi genera una policy dettagliata che puoi utilizzare. Dopo aver testato ogni policy generata, puoi distribuirla nell'ambiente di produzione. In questo modo si garantisce di concedere solo le autorizzazioni necessarie ai carichi di lavoro. Per ulteriori informazioni sulla generazione delle policy, consulta IAM Access Analyzer policy generation.

Per informazioni sulla gestione delle password utente IAM, consulta Gestione delle password per gli utenti IAM,

Visualizzazione dell'accesso utente

Prima di eliminare un utente, è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere Perfezionamento delle autorizzazioni in AWS utilizzando le informazioni sull'ultimo accesso.

Elenco di utenti IAM

È possibile elencare gli utenti IAM nel proprio Account AWS o in un gruppo di utenti IAM specifico ed elencare tutti i gruppi di utenti in cui si trova un utente. Per informazioni sulle autorizzazioni necessarie per elencare gli utenti, consulta Autorizzazioni necessarie per accedere alle risorse IAM.

Per elencare gli utenti nell'account.

• AWS Management ConsoleNel riquadro di navigazione, seleziona Users (Utenti). La console visualizza gli utenti dell'Account AWS.

• AWS CLI: aws iam list-users

• API AWS: ListUsers

Come elencare gli utenti in un determinato gruppo di utenti

• AWS Management Console: nel pannello di navigazione, scegli Gruppi di utenti, seleziona il nome del gruppo di utenti quindi scegli la scheda Utenti.

• AWS CLI: aws iam get-group

• API AWS: GetGroup

Come elencare tutti i gruppi di utenti in cui si trova un utente

• AWS Management Console: nel riquadro di navigazione, scegliere Users (Utenti), il nome utente e selezionare la scheda Gruppi.

• AWS CLI: aws iam list-groups-for-user

• API AWS: ListGroupsForUser

Ridenominazione di un utente IAM

Per modificare il nome o il percorso di un utente, devi utilizzare la AWS CLI, Tools for Windows PowerShell o l'API AWS. Non è disponibile alcuna opzione nella console per rinominare un utente. Per informazioni sulle autorizzazioni necessarie per ridenominare un utente, consulta Autorizzazioni necessarie per accedere alle risorse IAM.

Quando si modifica il nome o il percorso di un utente, si verificano i seguenti eventi:

• Qualsiasi policy collegata all'utente viene mantenuta per l'utente con il nuovo nome.

• L'utente rimane negli stessi gruppi di utenti con il nuovo nome.

• L'ID univoco dell'utente rimane invariato. Per ulteriori informazioni sugli ID univoci, consulta Identificatori univoci.

• Qualsiasi policy relativa alle risorse o ai ruoli che fa riferimento all'utente come principale (l'utente a cui viene consentito l'accesso) viene automaticamente aggiornata per l'utilizzo del nuovo nome o percorso. Ad esempio, qualsiasi policy basata su code in Amazon SQS o basata sulle risorse in Amazon S3 viene aggiornata automaticamente per utilizzare il nuovo nome e percorso.

IAM non aggiorna automaticamente le policy che fanno riferimento all'utente come una risorsa per l'utilizzo del nuovo nome o percorso, è necessario un aggiornamento manuale. Ad esempio, si immagini che l'utente Richard disponga di una policy collegata che permette di gestire le credenziali di sicurezza dell'utente. Se un amministratore rinomina Richard in Rich, l'amministratore deve anche aggiornare questa policy per modificar la risorsa da:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

a:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

Ciò è valido anche se un amministratore cambia il percorso, l'amministratore deve aggiornare la policy in base al nuovo percorso per l'utente.

Per rinominare un utente

• AWS CLI: aws iam update-user

• API AWS: UpdateUser

Eliminazione di un utente IAM

Se un dipendente lascia l'azienda, è possibile eliminare il relativo utente IAM dall'Account AWS. Se l'utente è temporaneamente assente, è possibile disattivare l'accesso dell'utente invece di eliminarlo dall'account come descritto nella sezione Disattivazione di un utente IAM.

Argomenti

• Eliminazione di un utente IAM (console)
• Eliminazione di un utente IAM (AWS CLI)

Eliminazione di un utente IAM (console)

Quando utilizzi la AWS Management Console per eliminare un utente IAM, IAM elimina automaticamente le seguenti informazioni:

• L'utente

• Qualsiasi appartenenza al gruppo, ovvero, l'utente viene rimosso da qualsiasi gruppo IAM di cui l'utente era membro

• Qualsiasi password associata all'utente

• Qualsiasi chiave di accesso di proprietà dell'utente

• Tutte le policy in linea integrate nell'utente (le policy applicate a un utente tramite le autorizzazioni del gruppo non sono interessate)

  Nota

  IAM rimuove tutte le policy gestite collegate all'utente quando si elimina l'utente, ma non elimina le policy gestite.

• Qualsiasi dispositivo MFA associato

Per eliminare un gruppo IAM (console)

1. Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione seleziona Utenti, quindi la casella di controllo accanto al nome utente da eliminare.

3. Nella parte superiore della pagina, scegli Delete (Elimina).

4. Nella casella di dialogo di conferma, inserisci il nome utente nel campo di inserimento testo per confermare l'eliminazione dell'utente. Scegli Delete (Elimina).

Eliminazione di un utente IAM (AWS CLI)

A differenza della AWS Management Console, quando si elimina un utente tramite AWS CLI, è necessario eliminare gli elementi collegati all'utente manualmente. Questa procedura illustra il processo.

Per eliminare un utente dall'account (AWS CLI)

1. Eliminare la password dell'utente, se l'utente ne ha una.

   aws iam delete-login-profile

2. Eliminare le chiavi di accesso dell'utente, se disponibili.

   aws iam list-access-keys (per elencare le chiavi di accesso dell'utente) e aws iam delete-access-key

3. Eliminare il certificato di firma dell'utente. Si noti che quando si eliminano delle credenziali di sicurezza queste vengono viene eliminate per sempre e non possono più essere recuperate.

   aws iam list-signing-certificates (per elencare i certificati di firma dell'utente) e aws iam delete-signing-certificate

4. Eliminare la chiave pubblica SSH dell'utente, se disponibile.

   aws iam list-ssh-public-keys (per elencare le chiavi pubbliche SSH dell'utente) e aws iam delete-ssh-public-key

5. Eliminare le credenziali Git dell'utente.

   aws iam list-service-specific-credentials (per elencare le credenziali git dell'utente) e aws iam delete-service-specific-credential

6. Disattivare il dispositivo Multi-Factor Authentication (MFA), se uno è disponibile.

   aws iam list-mfa-devices (per elencare i dispositivi MFA dell'utente), aws iam deactivate-mfa-device (per disattivare il dispositivo) e aws iam delete-virtual-mfa-device (per eliminare definitivamente un dispositivo MFA virtuale)

7. Eliminare le policy inline dell'utente.

   aws iam list-user-policies (per elencare le policy inline per l'utente) e aws iam delete-user-policy (per eliminare la policy)

8. Scollegare le policy gestite collegate all'utente.

   aws iam list-attached-user-policies (per elencare le policy gestite collegate all'utente) e aws iam detach-user-policy (per scollegare la policy)

9. Rimuovi l'utente da qualsiasi gruppo di utenti.

   aws iam list-groups-for-user (per elencare i gruppi di utenti a cui l'utente appartiene) e aws iam remove-user-from-group

10. Eliminare l'utente.

    aws iam delete-user

Disattivazione di un utente IAM

Potrebbe essere necessario disattivare un utente IAM mentre è temporaneamente lontano dall'azienda. Puoi bloccare l'accesso ad AWS pur lasciando attive le sue credenziali di utente IAM.

Per disattivare un utente, crea e collega una policy per negare all'utente l'accesso a AWS. Puoi ripristinare l'accesso dell'utente in un secondo momento.

Di seguito sono riportati due esempi di policy di diniego che puoi collegare a un utente per negargli l'accesso.

La seguente policy non include un limite di tempo. È necessario rimuovere la policy per ripristinare l'accesso dell'utente.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

La seguente policy include una condizione che avvia la policy il 24 dicembre 2024 alle 23:59 (UTC) e la termina il 28 febbraio 2025 alle 23:59 (UTC).

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}