Quali sono le diverse identità utente in IAM - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Quali sono le diverse identità utente in IAM

Le identità gestite AWS Identity and Access Management sono utenti IAM, ruoli IAM e gruppi IAM. Queste identità si aggiungono al tuo utente root che è stato creato insieme al tuo. Account AWS

È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Invece, fornisci ulteriori utenti e concedi loro le autorizzazioni necessarie per eseguire le attività necessarie. Puoi aggiungere utenti aggiungendo persone alla tua directory IAM Identity Center, federando un provider di identità esterno con IAM Identity Center o IAM o creando utenti IAM con privilegi minimi.

Dopo aver configurato gli utenti, puoi concedere l'accesso a persone specifiche e fornire loro le Account AWS autorizzazioni per accedere alle risorse.

Come best practice, AWS consigliamo di richiedere agli utenti umani di assumere un ruolo IAM per l'accesso, AWS in modo che utilizzino credenziali temporanee. Se gestisci le identità nella directory IAM Identity Center o utilizzi la federazione con un provider di identità, stai seguendo le best practice.

Utenti IAM e utenti nel Centro identità IAM

Gli utenti IAM non sono account separati; sono utenti all'interno del tuo account. Ciascun utente può disporre della propria password per accedere alla AWS Management Console. Puoi anche assegnare a ciascun utente una diversa chiave di accesso, per consentirgli di apportare richieste programmatiche e utilizzare le risorse del tuo account.

Agli utenti IAM e le relative chiavi di accesso vengono concesse credenziali a lungo termine per AWS le tue risorse. L'uso principale per gli utenti IAM è fornire ai carichi di lavoro che non possono utilizzare i ruoli IAM la possibilità di effettuare richieste programmatiche ai AWS servizi utilizzando l'API o la CLI.

Nota

Per gli scenari in cui sono necessari utenti IAM con accesso a livello di programmazione e credenziali a lungo termine, si consiglia di aggiornare le chiavi di accesso all'occorrenza. Per ulteriori informazioni, consulta Aggiornamento delle chiavi di accesso.

Al contrario, alle loro chiavi di accesso vengono utenti in Centro identità AWS IAM concesse credenziali a breve termine per le tue risorse. AWS Per una gestione centralizzata degli accessi, consigliamo di utilizzare AWS IAM Identity Center (IAM Identity Center ) per gestire l'accesso ai tuoi account e le autorizzazioni all'interno di questi account. IAM Identity Center è configurato automaticamente con una directory Identity Center come fonte di identità predefinita in cui è possibile creare utenti e gruppi e assegnare il AWS loro livello di accesso alle risorse. Per ulteriori informazioni, consulta Che cos'è AWS IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center .

La differenza principale tra questi due tipi di utenti è che gli utenti in IAM Identity Center assumono automaticamente un ruolo IAM al momento dell'accesso. AWS I ruoli IAM concedono credenziali temporanee che vengono stabilite ogni volta che l'utente accede. AWS

Federazione di utenti esistenti

Se gli utenti dell'organizzazione dispongono già di una modalità di autenticazione, ad esempio tramite l'accesso alla rete aziendale, non sarà necessario creare utenti IAM o utenti nel Centro identità IAM separati. Puoi invece federare tali identità utente per utilizzare IAM o. AWS AWS IAM Identity Center

Il diagramma seguente mostra come un utente può ottenere credenziali di AWS sicurezza temporanee per accedere alle risorse del proprio. Account AWS

Gli utenti che sono già autenticati altrove possono essere federati AWS e assumere un ruolo IAM che concede loro le autorizzazioni per accedere a risorse specifiche. Per ulteriori informazioni sui ruoli, consulta. Termini e concetti dei ruoli

La federazione risulta particolarmente utile nei casi seguenti:

  • Gli utenti esistono già in una directory aziendale.

    Se la directory aziendale è compatibile con Security Assertion Markup Language 2.0 (SAML 2.0), è possibile configurare la directory aziendale per fornire l'accesso Single Sign-On (SSO) ai propri utenti. AWS Management Console Per ulteriori informazioni, consulta Scenari comuni per le credenziali temporanee.

    Se la tua directory aziendale non è compatibile con SAML 2.0, puoi creare un'applicazione di identity broker per fornire l'accesso Single Sign-On (SSO) ai tuoi utenti. AWS Management Console Per ulteriori informazioni, consulta Abilitazione dell'accesso personalizzato da parte di un broker di identità alla AWS console.

    Se la directory aziendale è Microsoft Active Directory, è possibile utilizzare AWS IAM Identity Center per connettere una directory autogestita in Active Directory o una directory AWS Directory Serviceper stabilire un rapporto di fiducia tra la directory aziendale e la propria Account AWS.

    Se utilizzi un provider di identità (IdP) esterno come Okta o Microsoft Entra per gestire gli utenti, puoi AWS IAM Identity Center utilizzarlo per stabilire un rapporto di fiducia tra il tuo IdP e il tuo. Account AWS Per ulteriori informazioni, consulta Connessione a un provider di identità esterno nella Guida per l'utente di AWS IAM Identity Center .

  • I tuoi utenti dispongono di identità Internet.

    Se stai creando un'app mobile o un'applicazione Web che può consentire agli utenti di identificarsi tramite un provider di identità Internet, come Login with Amazon, Facebook, Google o qualsiasi provider di identità compatibile con OpenID Connect (OIDC), puoi decidere di utilizzare la federazione per accedere ad AWS. Per ulteriori informazioni, consulta Federazione OIDC.

    Suggerimento

    Per la federazione delle identità con i provider di identità Internet, ti consigliamo di utilizzare Amazon Cognito.

Metodi di controllo degli accessi

Ecco i modi in cui puoi controllare l'accesso alle tue risorse. AWS

Tipo di accesso utente Perché utilizzarlo? Dove si possono trovare ulteriori informazioni?

Accesso single sign-on per gli utenti, come gli utenti della forza lavoro, alle risorse AWS tramite il Centro identità IAM

IAM Identity Center offre un luogo centrale che riunisce l'amministrazione degli utenti e il loro accesso alle Account AWS applicazioni cloud.

È possibile configurare un archivio di identità all'interno del Centro identità IAM oppure configurare la federazione con un gestore dell'identità digitale (IdP) esistente. Come best practice di sicurezza, si consiglia di concedere agli utenti umani credenziali limitate alle AWS risorse in base alle esigenze.

Gli utenti hanno un'esperienza di accesso più semplice e tu mantieni il controllo sul loro accesso alle risorse da un unico sistema. Il Centro identità IAM supporta l'autenticazione a più fattori (MFA) per una maggiore sicurezza degli account.

Per ulteriori informazioni sulla configurazione del Centro identità IAM, consulta Nozioni di base nella Guida per l'utente di AWS IAM Identity Center .

Per ulteriori informazioni sull'uso di MFA nel Centro identità IAM, consulta Autenticazione a più fattori (MFA) nella Guida per l'utente di AWS IAM Identity Center .

Accesso federato per gli utenti, come gli utenti della forza lavoro, ai servizi AWS che utilizzano gestori di identità IAM

Supporti IdPs IAM compatibili con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0). Una volta creato un gestore di identità IAM, dovrai creare uno o più ruoli IAM che possano essere assegnati dinamicamente a un utente federato.

Per ulteriori informazioni sulla federazione e sui gestori di identità IAM, consulta Provider di identità e federazione.

Accesso tra più account tra Account AWS

Vuoi condividere l'accesso a determinate AWS risorse con gli utenti di altre Account AWS.

I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, alcuni dei servizi AWS ti consentono di collegare una policy direttamente a una risorsa (invece di utilizzare un ruolo come proxy). Queste sono denominate policy basate sull'identità.

Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM.

Per ulteriori informazioni sui ruoli collegati al servizio, consulta Uso di ruoli collegati ai servizi.

Per ulteriori informazioni sui servizi che supportano l'utilizzo di ruoli collegati ai servizi, consulta AWS servizi che funzionano con IAM. Cerca i servizi che hanno nella colonna Ruolo collegato ai servizi. Per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio, seleziona il link associato a Yes (Sì) nella colonna.

Credenziali a lungo termine per gli utenti IAM designati nel tuo Account AWS

Potresti avere casi d'uso specifici che richiedono credenziali a lungo termine con utenti IAM in. AWS Puoi utilizzare IAM per creare questi utenti IAM nel tuo Account AWS e utilizzare IAM per gestirne le autorizzazioni. Alcuni dei casi d'uso sono i seguenti:

  • Carichi di lavoro che non possono utilizzare i ruoli IAM

  • AWS Client di terze parti che richiedono l'accesso programmatico tramite chiavi di accesso

  • Credenziali specifiche del servizio per Amazon Keyspaces AWS CodeCommit

  • AWS IAM Identity Center non è disponibile per il tuo account e non hai un altro provider di identità

Come best practice, negli scenari in cui sono necessari utenti IAM con accesso a livello di programmazione e credenziali a lungo termine, si consiglia di aggiornare le chiavi di accesso all'occorrenza. Per ulteriori informazioni, consulta Aggiornamento delle chiavi di accesso.

Per informazioni sulla configurazione di un utente IAM, consulta Creare un utente IAM nel tuo Account AWS.

Per ulteriori informazioni sulle chiavi di accesso utente IAM, consultaGestione delle chiavi di accesso per gli utenti IAM.

Per ulteriori informazioni sulle credenziali specifiche del servizio per AWS CodeCommit Amazon Keyspaces, consulta e. Usare IAM con CodeCommit: credenziali Git, chiavi SSH e AWS chiavi di accesso Utilizzo di IAM con Amazon Keyspaces (per Apache Cassandra)

Accesso programmatico

Gli utenti necessitano di un accesso programmatico se desiderano interagire con l'esterno di. AWS AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede a: AWS

  • Se gestisci le identità in IAM Identity Center, le AWS API richiedono un profilo e AWS Command Line Interface richiedono un profilo o una variabile di ambiente.

  • Se hai utenti IAM, le AWS API e le AWS Command Line Interface richiedono chiavi di accesso. Quando possibile, creare credenziali temporanee formate da un ID della chiave di accesso, una chiave di accesso segreta e un token di sicurezza che ne indica la scadenza.

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico? Per Come

Identità della forza lavoro

(Utenti gestiti nel centro identità IAM)

Utilizza credenziali a breve termine per firmare le richieste programmatiche alle AWS CLI o AWS API (direttamente o utilizzando gli SDK). AWS

Segui le istruzioni per l'interfaccia che desideri utilizzare:

IAM Utilizza credenziali a breve termine per firmare le richieste programmatiche alle AWS API AWS CLI o (direttamente o utilizzando gli SDK). AWS Segui le istruzioni riportate in Utilizzo delle credenziali temporanee con le risorse. AWS
IAM Utilizza credenziali a lungo termine per firmare le richieste programmatiche alle AWS CLI o AWS API (direttamente o utilizzando gli SDK). AWS

(Non consigliato)

Segui le istruzioni in Gestione delle chiavi di accesso per gli utenti IAM.