Gestione degli utenti IAM

Nota

Come procedura consigliata, si consiglia di richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee. Se segui le best practice, non gestisci utenti e gruppi IAM. Gli utenti e i gruppi sono invece gestiti all'esterno AWS e possono accedere alle AWS risorse come identità federata. Un'identità federata è un utente dell'elenco utenti aziendale, un provider di identità Web, il AWS Directory Service, la directory Identity Center o qualsiasi utente che accede AWS ai servizi utilizzando le credenziali fornite tramite un'origine di identità. Le identità federate utilizzano i gruppi definiti dal rispettivo gestore di identità. Se lo utilizzi AWS IAM Identity Center, consulta Gestisci le identità in IAM Identity Center nella Guida per l'AWS IAM Identity Center utente per informazioni sulla creazione di utenti e gruppi in IAM Identity Center.

Amazon Web Services offre vari strumenti per gestire gli utenti IAM nel proprio Account AWS. Puoi elencare gli utenti IAM nel tuo account o in un gruppo di utenti oppure elencare tutti i gruppi di utenti di cui un utente è membro. È possibile rinominare o modificare il percorso di un utente IAM. Se desideri utilizzare le identità federate invece degli utenti IAM, puoi eliminare un utente IAM dall'account AWS o disattivarlo.

Per ulteriori informazioni sull'aggiunta, la modifica o la rimozione di policy gestite per un utente IAM, consulta Modifica delle autorizzazioni per un utente IAM. Per informazioni sulla gestione di policy in linea per utenti IAM, consulta Aggiunta e rimozione di autorizzazioni per identità IAM, Modifica delle policy IAM e Eliminazione di policy IAM. Come best practice, utilizza le policy gestite anziché le policy in linea. Le policy gestite da AWS concedono autorizzazioni per numerosi casi d'uso comuni. Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per l'uso da parte di tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo Policy gestite dal cliente specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta AWS politiche gestite. Per ulteriori informazioni sulle politiche AWS gestite progettate per funzioni lavorative specifiche, consulta. AWS politiche gestite per le funzioni lavorative

Per ulteriori informazioni sulla convalida delle policy IAM, consulta Convalida delle policy IAM.

Suggerimento

IAM Access Analyzer analizza i servizi e le azioni utilizzati dai tuoi ruoli IAM e quindi genera una policy dettagliata che puoi utilizzare. Dopo aver testato ogni policy generata, puoi distribuirla nell'ambiente di produzione. In questo modo si garantisce di concedere solo le autorizzazioni necessarie ai carichi di lavoro. Per ulteriori informazioni sulla generazione delle policy, consulta IAM Access Analyzer policy generation.

Per informazioni sulla gestione delle password utente IAM, consulta Gestione delle password per gli utenti IAM,

Visualizzazione dell'accesso utente

Prima di eliminare un utente, è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere Perfezionamento delle autorizzazioni per AWS l'utilizzo delle informazioni dell'ultimo accesso.

Elenco di utenti IAM

Puoi elencare gli utenti IAM del tuo Account AWS o di uno specifico gruppo di utenti IAM ed elencare tutti i gruppi di utenti a cui appartiene un utente. Per informazioni sulle autorizzazioni necessarie per elencare gli utenti, consulta Autorizzazioni necessarie per accedere alle risorse IAM.

Per elencare gli utenti nell'account.

• AWS Management ConsoleNel riquadro di navigazione, seleziona Users (Utenti). La console mostra gli utenti del tuo Account AWS.

• AWS CLI: aws iam list-users

• AWS API: ListUsers

Come elencare gli utenti in un determinato gruppo di utenti

• AWS Management Console: nel pannello di navigazione, scegli Gruppi di utenti, seleziona il nome del gruppo di utenti quindi scegli la scheda Utenti.

• AWS CLI: aws iam get-group

• AWS API: GetGroup

Come elencare tutti i gruppi di utenti in cui si trova un utente

• AWS Management Console: nel riquadro di navigazione, scegliere Users (Utenti), il nome utente e selezionare la scheda Gruppi.

• AWS CLI: Aws Iam list-groups-for-user

• AWS API: ListGroupsForUser

Ridenominazione di un utente IAM

Per modificare il nome o il percorso di un utente, è necessario utilizzare Tools for Windows PowerShell o AWS l'API. AWS CLI Non è disponibile alcuna opzione nella console per rinominare un utente. Per informazioni sulle autorizzazioni necessarie per ridenominare un utente, consulta Autorizzazioni necessarie per accedere alle risorse IAM.

Quando si modifica il nome o il percorso di un utente, si verificano i seguenti eventi:

• Qualsiasi policy collegata all'utente viene mantenuta per l'utente con il nuovo nome.

• L'utente rimane negli stessi gruppi di utenti con il nuovo nome.

• L'ID univoco dell'utente rimane invariato. Per ulteriori informazioni sugli ID univoci, consulta Identificatori univoci.

• Qualsiasi policy relativa alle risorse o ai ruoli che fa riferimento all'utente come principale (l'utente a cui viene consentito l'accesso) viene automaticamente aggiornata per l'utilizzo del nuovo nome o percorso. Ad esempio, qualsiasi policy basata su code in Amazon SQS o basata sulle risorse in Amazon S3 viene aggiornata automaticamente per utilizzare il nuovo nome e percorso.

IAM non aggiorna automaticamente le policy che fanno riferimento all'utente come una risorsa per l'utilizzo del nuovo nome o percorso, è necessario un aggiornamento manuale. Ad esempio, si immagini che l'utente Richard disponga di una policy collegata che permette di gestire le credenziali di sicurezza dell'utente. Se un amministratore rinomina Richard in Rich, l'amministratore deve anche aggiornare questa policy per modificar la risorsa da:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

a:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

Ciò è valido anche se un amministratore cambia il percorso, l'amministratore deve aggiornare la policy in base al nuovo percorso per l'utente.

Per rinominare un utente

• AWS CLI: aws iam update-user

• AWS API: UpdateUser

Eliminazione di un utente IAM

Potresti eliminare un utente IAM dalla tua azienda Account AWS se quell'utente lascia la tua azienda. Se l'utente è temporaneamente assente, è possibile disattivare l'accesso dell'utente invece di eliminarlo dall'account come descritto nella sezione Disattivazione di un utente IAM.

Argomenti

• Eliminazione di un utente IAM (console)
• Eliminazione di un utente IAM (AWS CLI)

Eliminazione di un utente IAM (console)

Quando utilizzi il AWS Management Console per eliminare un utente IAM, IAM elimina automaticamente le seguenti informazioni per te:

• L'utente

• Qualsiasi appartenenza al gruppo, ovvero, l'utente viene rimosso da qualsiasi gruppo IAM di cui l'utente era membro

• Qualsiasi password associata all'utente

• Qualsiasi chiave di accesso di proprietà dell'utente

• Tutte le policy in linea integrate nell'utente (le policy applicate a un utente tramite le autorizzazioni del gruppo non sono interessate)

  Nota

  IAM rimuove tutte le policy gestite collegate all'utente quando si elimina l'utente, ma non elimina le policy gestite.

• Qualsiasi dispositivo MFA associato

Per eliminare un gruppo IAM (console)

1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione seleziona Utenti, quindi la casella di controllo accanto al nome utente da eliminare.

3. Nella parte superiore della pagina, scegli Delete (Elimina).

4. Nella casella di dialogo di conferma, inserisci il nome utente nel campo di inserimento testo per confermare l'eliminazione dell'utente. Scegli Delete (Elimina).

Eliminazione di un utente IAM (AWS CLI)

A differenza di AWS Management Console, quando elimini un utente con AWS CLI, devi eliminare gli elementi associati all'utente manualmente. Questa procedura illustra il processo.

Per eliminare un utente dall'account (AWS CLI)

1. Eliminare la password dell'utente, se l'utente ne ha una.

   aws iam delete-login-profile

2. Eliminare le chiavi di accesso dell'utente, se disponibili.

   aws iam list-access-keys (per elencare le chiavi di accesso dell'utente) e aws iam delete-access-key

3. Eliminare il certificato di firma dell'utente. Si noti che quando si eliminano delle credenziali di sicurezza queste vengono viene eliminate per sempre e non possono più essere recuperate.

   aws iam list-signing-certificates (per elencare i certificati di firma dell'utente) e aws iam delete-signing-certificate

4. Eliminare la chiave pubblica SSH dell'utente, se disponibile.

   aws iam list-ssh-public-keys (per elencare le chiavi pubbliche SSH dell'utente) e aws iam delete-ssh-public-key

5. Eliminare le credenziali Git dell'utente.

   aws iam list-service-specific-credentials (per elencare le credenziali git dell'utente) e aws iam delete-service-specific-credential

6. Disattivare il dispositivo Multi-Factor Authentication (MFA), se uno è disponibile.

   aws iam list-mfa-devices (per elencare i dispositivi MFA dell'utente), aws iam deactivate-mfa-device (per disattivare il dispositivo) e aws iam delete-virtual-mfa-device (per eliminare definitivamente un dispositivo MFA virtuale)

7. Eliminare le policy inline dell'utente.

   aws iam list-user-policies (per elencare le policy inline per l'utente) e aws iam delete-user-policy (per eliminare la policy)

8. Scollegare le policy gestite collegate all'utente.

   aws iam list-attached-user-policies (per elencare le policy gestite collegate all'utente) e aws iam detach-user-policy (per scollegare la policy)

9. Rimuovi l'utente da qualsiasi gruppo di utenti.

   aws iam list-groups-for-user (per elencare i gruppi di utenti a cui l'utente appartiene) e aws iam remove-user-from-group

10. Eliminare l'utente.

    aws iam delete-user

Disattivazione di un utente IAM

Potrebbe essere necessario disattivare un utente IAM mentre è temporaneamente lontano dall'azienda. Puoi lasciare invariate le loro credenziali utente IAM e bloccarne comunque AWS l'accesso.

Per disattivare un utente, crea e collega una policy per negare all'utente l'accesso a AWS. Puoi ripristinare l'accesso dell'utente in un secondo momento.

Di seguito sono riportati due esempi di policy di diniego che puoi collegare a un utente per negargli l'accesso.

La seguente policy non include un limite di tempo. È necessario rimuovere la policy per ripristinare l'accesso dell'utente.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

La seguente policy include una condizione che avvia la policy il 24 dicembre 2024 alle 23:59 (UTC) e la termina il 28 febbraio 2025 alle 23:59 (UTC).

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}