Che cos'è IAM?

AWS Identity and Access Management (IAM) è un servizio web che ti aiuta a controllare in modo sicuro l'accesso alle AWS risorse. Con IAM, puoi gestire centralmente le autorizzazioni che controllano le AWS risorse a cui gli utenti possono accedere. Utilizza IAM per controllare chi è autenticato (accesso effettuato) e autorizzato (dispone di autorizzazioni) per l'utilizzo di risorse.

Quando crei un Account AWS account, inizi con un'unica identità di accesso che ha accesso completo a tutte Servizi AWS le risorse dell'account. Questa identità è denominata utente Account AWS root ed è accessibile effettuando l'accesso con l'indirizzo e-mail e la password utilizzati per creare l'account. Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzarle per eseguire le operazioni che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono il tuo accesso come utente root, consulta la pagina Attività che richiedono credenziali dell'utente root.

Indice

• Video introduttivo a IAM
• Caratteristiche di IAM
• Accesso a IAM
• Quando si usa IAM?
• Funzionamento di IAM
• Panoramica della gestione delle identità AWS: utenti
• Panoramica della gestione degli accessi: autorizzazioni e policy
• A cosa serve ABAC? AWS
• Funzioni di sicurezza al di fuori di IAM
• Collegamenti rapidi per le attività comuni
• Ricerca con la console IAM
• Creazione di AWS Identity and Access Management risorse con AWS CloudFormation
• Utilizzo di AWS CloudShell per lavorare con AWS Identity and Access Management
• Utilizzo di IAM con un AWS SDK

Video introduttivo a IAM

AWS Training and Certification offre un video introduttivo di 10 minuti a IAM:

Introduzione a AWS Identity and Access Management

Caratteristiche di IAM

IAM offre le seguenti funzionalità:

Accesso condiviso al tuo Account AWS

Puoi concedere ad altri utenti le autorizzazioni per amministrare e utilizzare le risorse nel tuo account AWS senza la necessità di condividere la password o la chiave di accesso.

Autorizzazioni granulari

Puoi concedere autorizzazioni diverse a diverse persone per diverse risorse. Ad esempio, potresti consentire ad alcuni utenti l'accesso completo ad Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift e altri servizi. AWS Per gli altri utenti, puoi consentire l'accesso in sola lettura ad alcuni bucket S3, oppure l'autorizzazione ad amministrare solo alcune istanze EC2 oppure l'autorizzazione ad accedere alle informazioni di fatturazione, ma nient'altro.

Accesso sicuro alle AWS risorse per le applicazioni eseguite su Amazon EC2

Puoi utilizzare le funzionalità di IAM per fornire in maniera sicura le credenziali per le applicazioni che funzionano su istanze EC2. Queste credenziali forniscono all'applicazione le autorizzazioni per accedere ad altre risorse. AWS Alcuni esempi includono i bucket S3 e le tabelle DynamoDB.

Autenticazione a più fattori (MFA)

Puoi aggiungere l'autenticazione a due fattori per il tuo account e per i singoli utenti per maggiore sicurezza. Con MFA tu o i tuoi utenti dovete fornire non solo una password o la chiave di accesso che funzioni con il tuo account, ma anche un codice da un dispositivo appositamente configurato. Se utilizzi già una chiave di sicurezza FIDO con altri servizi e ha una configurazione AWS supportata, puoi utilizzarla WebAuthn per la sicurezza MFA. Per ulteriori informazioni, consulta Configurazioni supportate per l'uso delle chiavi di sicurezza FIDO.

Federazione delle identità

Puoi consentire agli utenti che utilizzano già le password altrove, ad esempio nella tua rete aziendale o con un provider di identità Internet, di ottenere l'accesso temporaneo al tuo Account AWS.

Informazioni d'identità per la sicurezza

Se utilizzi AWS CloudTrail riceverai i record del log che includono le informazioni su chi effettua le richieste per le risorse nel tuo account. Queste informazioni sono basate sulle identità IAM.

Conformità PCI DSS

IAM supporta l'elaborazione, l'archiviazione e la trasmissione di dati di carte di credito da parte di un esercente o di un provider di servizi, oltre a essere conforme allo standard Payment Card Industry Data Security Standard (PCI DSS). Per ulteriori informazioni su PCI DSS, incluso come richiedere una copia del PCI AWS Compliance Package, vedere PCI DSS Level 1.

Integrato con molti servizi AWS

Per un elenco di AWS servizi compatibili con IAM, consultaAWS servizi che funzionano con IAM.

Consistente finale

IAM, come molti altri AWS servizi, alla fine è coerente. IAM raggiunge un'alta disponibilità replicando i dati su più server nei data center di Amazon di tutto il mondo. Se una richiesta per modificare alcuni dati ha successo, la modifica viene completata e memorizzata in maniera sicura. Tuttavia, le modifiche devono essere replicate su IAM e questo può richiedere tempo. Tali modifiche includono la creazione o l'aggiornamento di utenti, gruppi, ruoli, o policy. Si consiglia di non includere tali modifiche IAM nei percorsi critici e ad alta disponibilità del codice dell'applicazione. Al contrario, apporta modifiche IAM in un'inizializzazione separata o in una routine di configurazione che si esegue meno frequentemente. Inoltre, assicurarsi di verificare che le modifiche siano state propagate prima che i flussi di lavoro di produzione dipendano da esse. Per ulteriori informazioni, consulta Le modifiche che apporto non sono sempre immediatamente visibili.

Utilizzo gratis

AWS Identity and Access Management (IAM) e AWS Security Token Service (AWS STS) sono funzionalità del tuo AWS account offerte senza costi aggiuntivi. Ti viene addebitato solo quando accedi ad altri AWS servizi utilizzando gli utenti IAM o le credenziali di sicurezza AWS STS temporanee. Per informazioni sui prezzi di altri AWS prodotti, consulta la pagina dei prezzi di Amazon Web Services.

Accesso a IAM

Puoi lavorare con AWS Identity and Access Management in uno dei seguenti modi.

AWS Management Console

La console è un'interfaccia basata su browser per gestire IAM e AWS risorse. Per ulteriori informazioni sull'accesso a IAM tramite la console, consulta Come accedere ad AWS nella Guida per l'utente di Accedi ad AWS .

AWS Strumenti da riga di comando

È possibile utilizzare gli strumenti della riga di AWS comando per impartire comandi dalla riga di comando del sistema per eseguire IAM e AWS attività. L'utilizzo della riga di comando può essere più veloce e semplice rispetto all'uso della console. Gli strumenti da riga di comando sono utili anche se desideri creare script che eseguano AWS attività.

AWS fornisce due set di strumenti da riga di comando: the AWS Command Line Interface(AWS CLI) e the AWS Tools for Windows PowerShell. Per informazioni sull'installazione e l'utilizzo di AWS CLI, consulta la Guida AWS Command Line Interface per l'utente. Per informazioni sull'installazione e l'utilizzo degli strumenti per Windows PowerShell, consulta la Guida per AWS Tools for Windows PowerShell l'utente.

Dopo aver effettuato l'accesso alla console, puoi utilizzarla AWS CloudShell dal tuo browser per eseguire i comandi CLI o SDK. Le autorizzazioni per l'accesso alle AWS risorse si basano sulle credenziali utilizzate per accedere alla console. A seconda della tua esperienza, potresti ritenere che la CLI sia un metodo più efficiente per gestire il tuo Account AWS. Per ulteriori informazioni, consultare Utilizzo di AWS CloudShell per lavorare con AWS Identity and Access Management

AWS SDK

AWS fornisce SDK (kit di sviluppo software) costituiti da librerie e codice di esempio per vari linguaggi e piattaforme di programmazione (Java, Python, Ruby, .NET, iOS, Android, ecc.). Gli SDK offrono un modo conveniente per creare un accesso programmatico a IAM e. AWS Ad esempio, gli SDK si occupano di attività quali la firma crittografica delle richieste, la gestione degli errori e la ripetizione automatica delle richieste. Per informazioni sugli AWS SDK, incluso come scaricarli e installarli, consulta la pagina Tools for Amazon Web Services.

API Query IAM

Puoi accedere a IAM e in modo AWS programmatico utilizzando l'API IAM Query, che consente di inviare richieste HTTPS direttamente al servizio. Quando utilizzi l'API Query, devi includere il codice per firmare in modo digitale le richieste utilizzando le tue credenziali. Per ulteriori informazioni, consulta Chiamata all'API IAM utilizzando le richieste di query HTTP e Documentazione di riferimento dell'API IAM.