Considerazioni relative alla sicurezza Identità federata Autenticazione a più fattori (MFA)Accesso programmatico Alternative alle chiavi di accesso a lungo termine Accesso AWS utilizzando le tue credenziali AWS

AWS credenziali di sicurezza

Quando interagisci con AWS, specifichi le tue credenziali di AWS sicurezza per verificare chi sei e se disponi dell'autorizzazione ad accedere alle risorse che stai richiedendo. AWS utilizza le credenziali di sicurezza per autenticare e autorizzare le richieste.

Ad esempio, se si desidera scaricare un file protetto da un bucket Amazon Simple Storage Service (Amazon S3), è necessario che le credenziali consentano tale accesso. Se le tue credenziali non mostrano che sei autorizzato a scaricare il file, AWS respinge la tua richiesta. Tuttavia, le tue credenziali di AWS sicurezza non sono necessarie per scaricare un file in un bucket Amazon S3 condiviso pubblicamente.

Esistono diversi tipi di utenti in. AWS Tutti AWS gli utenti dispongono di credenziali di sicurezza. Sono presenti il proprietario dell'account (utente root) utenti in Centro identità AWS IAM, gli utenti federati e gli utenti IAM.

Gli utenti dispongono di credenziali di sicurezza a lungo termine o temporanee. L'utente root, l'utente IAM e le chiavi di accesso dispongono di credenziali di sicurezza a lungo termine che non scadono. Per proteggere le credenziali a lungo termine, è consigliabile disporre di procedure per gestire le chiavi di accesso, modificare le password e abilitare l'MFA.

I ruoli IAM e utenti in Centro identità AWS IAM gli utenti federati dispongono di credenziali di sicurezza temporanee. Le credenziali di sicurezza temporanee scadono dopo un periodo di tempo definito o quando l'utente termina la sessione. Le credenziali temporanee funzionano quasi esattamente come le credenziali a lungo termine, con le seguenti differenze:

Le credenziali di sicurezza provvisorie sono a breve termine, come implica il nome. Possono essere configurate per durare ovunque per pochi minuti o diverse ore. Una volta scadute, le credenziali AWS non le riconosce più né consente alcun tipo di accesso alle richieste API effettuate con esse.
Le credenziali di sicurezza temporanee non sono archiviate con l'utente, ma vengono generate dinamicamente e fornite all'utente quando richiesto. Quando (o anche prima) le credenziali di sicurezza temporanee scadono, l'utente può richiedere nuove credenziali, purché l'utente che le richiede abbia ancora le autorizzazioni per farlo.

Di conseguenza, le credenziali temporanee presentano i seguenti vantaggi rispetto alle credenziali a lungo termine:

Non è necessario distribuire o incorporare credenziali di AWS sicurezza a lungo termine in un'applicazione.
È possibile fornire l'accesso alle AWS risorse agli utenti senza dover definire un' AWS identità per loro. Le credenziali provvisorie sono la base dei ruoli e della federazione delle identità.
Le credenziali di sicurezza temporanee hanno una durata limitata, perciò non è necessario aggiornarle o revocarle in modo esplicito quando non sono più necessarie. Dopo che le credenziali di sicurezza temporanee scadono, non possono essere riutilizzate. È possibile specificare quando scadono le credenziali, fino a un limite massimo.

Considerazioni relative alla sicurezza

Ti consigliamo di prendere in considerazione le informazioni seguenti nel momento in cui stabilisci le disposizioni di sicurezza per il tuo Account AWS:

Quando crei un account Account AWS, creiamo l'utente root dell'account. Le credenziali dell'utente root (proprietario dell'account) consentono il pieno accesso a tutte le risorse nell'account. La prima operazione da eseguire con l'utente root è concedere a un altro utente le autorizzazioni amministrative Account AWS in modo da ridurre al minimo l'utilizzo dell'utente root.
Non puoi utilizzare policy IAM per negare esplicitamente all'utente root l'accesso alle risorse. È possibile utilizzare solo una policy AWS Organizations di controllo del servizio (SCP) per limitare le autorizzazioni dell'utente root.
Se dimentichi o perdi la password dell'utente root, dovrai accedere all'indirizzo e-mail associato al tuo account per reimpostarla.
Se perdi le chiavi di accesso dell'utente root, devi essere in grado di accedere al tuo account come utente root per crearne di nuove.
Non utilizzare l'utente root per le attività quotidiane. Utilizzalo per eseguire le attività che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono il tuo accesso come utente root, consulta la pagina Attività che richiedono credenziali dell'utente root.
Le credenziali di sicurezza sono specifiche dell'account. Se hai accesso a più Account AWS, avrai credenziali separate per ogni account.
Le politiche determinano le azioni che un utente, un ruolo o un membro di un gruppo di utenti può eseguire, su quali AWS risorse e in quali condizioni. Utilizzando le policy è possibile controllare in modo sicuro l'accesso Servizi AWS e le risorse presenti in. Account AWS Se devi modificare o revocare le autorizzazioni in risposta a un evento di sicurezza, puoi eliminare o modificare le policy anziché modificare direttamente l'identità.
Assicurati di salvare in un luogo sicuro le credenziali di accesso per il tuo utente IAM per l'accesso di emergenza e tutte le chiavi di accesso che hai creato per l'accesso programmatico. Se perdi le chiavi di accesso, dovrai accedere al tuo account e crearne di nuove.
Ti consigliamo vivamente di utilizzare le credenziali temporanee fornite dai ruoli IAM e dagli utenti federati anziché quelle a lungo termine fornite dagli utenti IAM e dalle chiavi di accesso.

Identità federata

Le identità federate sono utenti con identità esterne a cui vengono concesse AWS credenziali temporanee che possono utilizzare per accedere a risorse sicure. Account AWS Le identità esterne possono provenire da un archivio di identità aziendali (ad esempio LDAP o Windows Active Directory) o da terze parti (ad esempio Login with Amazon, Facebook e Google). Le identità federate non accedono né accedono al portale. AWS Management Console AWS

Per consentire alle identità federate di accedere ad AWS, devi creare un URL personalizzato che includa https://signin.aws.amazon.com/federation. Per ulteriori informazioni, consulta Abilitazione dell'accesso personalizzato da parte di un broker di identità alla AWS console.

Per ulteriori informazioni sulle identità federate, consulta la pagina Provider di identità e federazione.

Autenticazione a più fattori (MFA)

L'autenticazione a più fattori (MFA) offre un ulteriore livello di sicurezza per gli utenti che possono accedere al tuo Account AWS. Per una maggiore sicurezza, consigliamo di richiedere l'MFA sulle credenziali di Utente root dell'account AWS e di tutti gli utenti IAM. Per ulteriori informazioni, consulta Utilizzo dell'autenticazione a più fattori (MFA) in AWS.

Quando attivi la MFA e accedi al tuo Account AWS, ti vengono richieste le credenziali di accesso, oltre a una risposta generata da un dispositivo MFA, ad esempio un codice, un tocco o un tocco o una scansione biometrica. Quando aggiungi la tecnologia MFA, Account AWS le impostazioni e le risorse sono più sicure.

Per impostazione predefinita, l'MFA non è attivata. Puoi attivare e gestire i dispositivi MFA per Utente root dell'account AWS visitando la pagina Credenziali di sicurezza o il pannello di controllo IAM nella AWS Management Console. Per ulteriori informazioni sull'attivazione dell'MFA per gli utenti IAM, consulta la pagina Abilitazione dei dispositivi MFA per gli utenti in AWS.

Per ulteriori informazioni sull'accesso con dispositivi di autenticazione a più fattori (MFA), consulta la pagina Utilizzo di dispositivi MFA con la pagina di accesso IAM.

Accesso programmatico

Fornisci le tue chiavi di AWS accesso per effettuare chiamate programmatiche AWS o per utilizzare la AWS Command Line Interface sala operatoria. AWS Tools for PowerShell Consigliamo di utilizzare chiavi di accesso a breve termine quando possibile.

Quando crei una chiavi di accesso a lungo termine, crei anche l'ID chiave di accesso (ad esempio, AKIAIOSFODNN7EXAMPLE) e la chiave di accesso segreta (ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). La chiave di accesso segreta può essere scaricata solo nel momento in cui viene creata. Se non si scarica la chiave di accesso segreta o se viene smarrita, è necessario crearne una nuova.

In molti scenari, non è necessaria una chiave di accesso a lungo termine a validità illimitata (come accade invece quando si creano le chiavi di accesso per un utente IAM). Al contrario, è possibile creare ruoli IAM e generare credenziali di sicurezza temporanee. Tali credenziali di sicurezza temporanee includono un ID chiave di accesso e una chiave di accesso segreta, ma includono anche un token di sicurezza che ne indica la scadenza. Dopo che scadono, non sono più valide.

Gli ID delle chiavi di accesso che iniziano con AKIA sono chiavi di accesso a lungo termine per un utente IAM o un utente Account AWS root. Gli ID delle chiavi di accesso che iniziano con ASIA sono credenziali temporanee, chiavi di accesso create utilizzando AWS STS le operazioni.

Gli utenti necessitano dell'accesso programmatico se desiderano interagire con l' AWS esterno di. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti nel centro identità IAM)	Utilizza credenziali temporanee per firmare le richieste programmatiche agli AWS CLI AWS SDK o alle API. AWS	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Configurazione dell'uso AWS IAM Identity Center nella Guida AWS CLI per l'utente.AWS Command Line Interface Per AWS SDK, strumenti e AWS API, consulta l'autenticazione IAM Identity Center nella Guida di riferimento agli AWS SDK e agli strumenti.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche agli SDK o alle API AWS CLI. AWS AWS	Segui le istruzioni in Uso delle credenziali temporanee con AWS risorse nella Guida per l'utente IAM.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare le richieste programmatiche agli AWS CLI AWS SDK o alle API. AWS	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali utente IAM nella Guida per l'utente.AWS Command Line Interface Per gli AWS SDK e gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli SDK e agli AWS strumenti. Per le AWS API, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente IAM.

Quale utente necessita dell'accesso programmatico?

Per

Come

Identità della forza lavoro

(Utenti gestiti nel centro identità IAM)

Utilizza credenziali temporanee per firmare le richieste programmatiche agli AWS CLI AWS SDK o alle API. AWS

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta Configurazione dell'uso AWS IAM Identity Center nella Guida AWS CLI per l'utente.AWS Command Line Interface
Per AWS SDK, strumenti e AWS API, consulta l'autenticazione IAM Identity Center nella Guida di riferimento agli AWS SDK e agli strumenti.

IAM

Utilizza credenziali temporanee per firmare le richieste programmatiche agli SDK o alle API AWS CLI. AWS AWS

Segui le istruzioni in Uso delle credenziali temporanee con AWS risorse nella Guida per l'utente IAM.

IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare le richieste programmatiche agli AWS CLI AWS SDK o alle API. AWS

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta Autenticazione tramite credenziali utente IAM nella Guida per l'utente.AWS Command Line Interface
Per gli AWS SDK e gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli SDK e agli AWS strumenti.
Per le AWS API, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente IAM.

Alternative alle chiavi di accesso a lungo termine

Per numerosi casi d'uso comuni, esistono delle alternative alle chiavi di accesso a lungo termine. Per migliorare la sicurezza del tuo account, considera quanto segue.

Non incorporate chiavi di accesso a lungo termine e chiavi di accesso segrete nel codice dell'applicazione o in un repository di codice: utilizzate invece una o altre soluzioni di gestione dei segreti AWS Secrets Manager, in modo da non dover codificare le chiavi in testo non crittografato. L'applicazione o il client possono quindi recuperare i segreti quando necessario. Per ulteriori informazioni, consulta Cos'è? AWS Secrets Manager nella Guida AWS Secrets Manager per l'utente.

Quando possibile, utilizza ruoli IAM per generare credenziali di sicurezza temporanee: usa sempre dei meccanismi per emettere credenziali di sicurezza temporanee anziché chiavi di accesso a lungo termine. Le credenziali di sicurezza temporanee sono più sicure perché non sono archiviate con l'utente ma vengono generate dinamicamente e fornite all'utente quando richiesto. Le credenziali di sicurezza temporanee hanno una durata limitata, quindi non è necessario gestirle o aggiornarle. I meccanismi che forniscono chiavi di accesso temporanee includono i ruoli IAM o l'autenticazione di un utente IAM Identity Center. Per le macchine che funzionano all'esterno dell' AWS utente, è possibile utilizzare AWS Identity and Access Management Roles Anywhere.
Utilizza alternative alle chiavi di accesso a lungo termine per AWS Command Line Interface (AWS CLI) o la aws-shell: le alternative includono quanto segue.
- AWS CloudShellè una shell preautenticata basata su browser che è possibile avviare direttamente da. AWS Management ConsoleÈ possibile eseguire AWS CLI comandi Servizi AWS tramite la shell preferita (Bash, Powershell o Z shell). Quando esegui questa operazione, non devi scaricare o installare strumenti a riga di comando. Per ulteriori informazioni, consulta Che cos'è AWS CloudShell? nella Guida per l'utente di AWS CloudShell .
- AWS CLI Integrazione della versione 2 con AWS IAM Identity Center (IAM Identity Center). Puoi autenticare gli utenti e fornire credenziali a breve termine per eseguire AWS CLI i comandi. Per ulteriori informazioni, consulta Integrazione AWS CLI con IAM Identity Center nella Guida per l'AWS IAM Identity Center utente e Configurazione per l'utilizzo di IAM Identity Center nella Guida AWS CLI per l'utente.AWS Command Line Interface
Non creare chiavi di accesso a lungo termine per utenti umani che devono accedere alle applicazioni, altrimenti Servizi AWS IAM Identity Center può generare credenziali di accesso temporanee a cui possono accedere gli utenti IdP esterni. Servizi AWS In questo modo si elimina la necessità di creare e gestire credenziali a lungo termine in IAM. In IAM Identity Center, crea un set di autorizzazioni di IAM Identity Center che conceda l'accesso agli utenti IdP esterni. Quindi assegna un gruppo da IAM Identity Center al set di autorizzazioni selezionato. Account AWS Per ulteriori informazioni, consulta What is AWS IAM Identity Center, Connect to your identity provider esterno e Set di autorizzazioni nella Guida per l'AWS IAM Identity Center utente.
Non archiviate le chiavi di accesso a lungo termine all'interno di un servizio di AWS elaborazione, ma assegnate invece un ruolo IAM alle risorse di calcolo. Ciò fornisce automaticamente le credenziali temporanee per concedere l'accesso. Ad esempio, quando crei un profilo di istanza collegato a un'istanza Amazon EC2, puoi assegnare un AWS ruolo all'istanza e renderla disponibile per tutte le sue applicazioni. Un profilo dell'istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza Amazon EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2.

Accesso AWS utilizzando le tue credenziali AWS

AWS richiede diversi tipi di credenziali di sicurezza, a seconda della modalità di accesso AWS e del tipo di AWS utente. Ad esempio, puoi usare credenziali di accesso per la AWS Management Console mentre utilizzi le chiavi di accesso per fare chiamate programmatiche ad AWS. Inoltre, ogni identità utilizzata, che si tratti dell'utente root dell'account, di un utente AWS Identity and Access Management (IAM), di un utente o di un' AWS IAM Identity Center identità federata, contiene credenziali univoche. AWS

Per step-by-step istruzioni su come accedere in AWS base al tipo di utente, consulta Come accedere nella Guida per AWS l'utente di AWS accesso.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza

AWS linee guida per l'audit di sicurezza