IAMtutorial: Consenti agli utenti di gestire le proprie credenziali e impostazioni MFA

Puoi consentire agli utenti di gestire i propri dispositivi e le proprie credenziali di autenticazione a più fattori (MFA) nella pagina Credenziali di sicurezza. È possibile utilizzarli AWS Management Console per configurare le credenziali (chiavi di accesso, password, certificati di firma e chiavi SSH pubbliche), eliminare o disattivare le credenziali non necessarie e abilitare i dispositivi per gli utenti. MFA Sebbene sia utile per un numero ridotto di utenti, è un'operazione che potrebbe richiedere molto tempo se il numero di utenti cresce. Mostrare come abilitare queste best practice senza sovraccaricare gli amministratori è l'obiettivo di questo tutorial.

Questo tutorial mostra come consentire agli utenti di accedere ai AWS servizi, ma solo quando effettuano l'accesso con. MFA Se non hanno effettuato l'accesso con un MFA dispositivo, gli utenti non possono accedere ad altri servizi.

Questo flusso di lavoro ha tre fasi di base.

Passaggio 1: crea una politica per imporre l'accesso MFA

Crea una politica gestita dal cliente che proibisca tutte le azioni tranne alcune IAM azioni. Queste eccezioni consentono a un utente di modificare le proprie credenziali e gestire i propri MFA dispositivi nella pagina Credenziali di sicurezza. Per ulteriori informazioni sull'accesso alla pagina, consulta Come gli utenti IAM possono cambiare le proprie password (console).

Fase 2: Collegamento delle policy al gruppo di utenti di test

Crea un gruppo di utenti i cui membri abbiano pieno accesso a tutte EC2 le azioni di Amazon se accedono conMFA. Per creare un gruppo di utenti di questo tipo, alleghi sia la politica AWS gestita chiamata AmazonEC2FullAccess che la politica gestita dai clienti che hai creato nel primo passaggio.

Fase 3: test dell'accesso dell'utente

Accedi come utente di prova per verificare che l'accesso ad Amazon EC2 sia bloccato finché l'utente non crea un MFA dispositivo. L'utente può quindi accedere utilizzando tale dispositivo.

Prerequisiti

Per eseguire queste fasi in questo tutorial, è necessario quanto segue:

• E a Account AWS cui puoi accedere come IAM utente con autorizzazioni amministrative.

• Il numero ID dell'account, che si digita nella policy nella Fase 1.

  Per trovare il numero ID dell'account nella barra di navigazione in alto sulla pagina, selezionare Support (Supporto) e selezionare Support Center (Centro di supporto). Puoi trovare l'ID dell'account nel menu Supporto di questa pagina.

• Un dispositivo virtuale (basato su software), una chiave di FIDO sicurezza o un MFA dispositivo basato su hardware. MFA

• Un IAM utente di prova che fa parte di un gruppo di utenti come segue:

Nome utente	Istruzioni per il nome utente	Nome gruppo di utenti	Aggiungere utente come un membro	Istruzioni per i gruppi di utenti
MFAUser	Seleziona solo l'opzione per Enable console access – optional (Abilita , l'accesso alla console - facoltativo) e assegna una password.	EC2MFA	MFAUser	NOTAllega eventuali politiche o concedi in altro modo le autorizzazioni a questo gruppo di utenti.

Passaggio 1: crea una politica per imporre l'accesso MFA

Si inizia con la creazione di una policy gestita dai IAM clienti che neghi tutte le autorizzazioni tranne quelle necessarie IAM agli utenti per gestire le proprie credenziali e i propri dispositivi. MFA

1. Accedi alla console di AWS gestione come utente con credenziali di amministratore. Per aderire alle IAM best practice, non accedere con le tue Utente root dell'account AWS credenziali.

   Importante

   IAMle migliori pratiche consigliano di richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee anziché utilizzare IAM utenti con credenziali a lungo termine. Si consiglia di utilizzare IAM gli utenti solo per casi d'uso specifici non supportati dagli utenti federati.

2. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

3. Nel riquadro di navigazione, seleziona Policy e quindi Crea policy.

4. Scegli la JSONscheda e copia il testo dal seguente documento JSON politico:AWS: consente agli utenti IAM autenticati tramite MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza.

5. Incolla il testo della politica nella casella di JSONtesto. Risolvi eventuali avvisi di sicurezza, errori o avvertenze generali generati durante la convalida delle policy, quindi scegli Successivo.

   Nota

   Puoi passare dall'editor visivo alle JSONopzioni in qualsiasi momento. Tuttavia, la policy qui sopra include l'elemento NotAction, che non è supportato nell'editor visivo. Per questa policy, verrà visualizzata una notifica nella scheda Visual Editor (Editor visivo). Torna a JSONper continuare a utilizzare questa politica.

   Questo esempio di policy non consente agli utenti di reimpostare la password durante il primo accesso a AWS Management Console . Ti consigliamo di non concedere autorizzazioni ai nuovi utenti fino a quando non hanno effettuato l'accesso e reimpostato la password.

6. Nella pagina Verifica policy, digita Force_MFA come nome della policy. Per la descrizione della policy, digita This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.. Nell'area Tag, puoi facoltativamente aggiungere coppie chiave-valore di tag alla policy gestita dal cliente. Esamina le autorizzazioni concesse dalla policy, quindi scegli Crea policy per salvare il lavoro.

   La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegare.

Fase 2: Collegamento delle policy al gruppo di utenti di test

Successivamente si allegano due politiche al gruppo di IAM utenti di test, che verranno utilizzate per concedere le autorizzazioni MFA -protected.

1. Nel pannello di navigazione seleziona Gruppi di utenti.

2. Nella casella di ricerca digitare EC2MFA e selezionare il nome del gruppo (non la casella di controllo) nell'elenco.

3. Nella scheda Permissions (Autorizzazioni), scegli Add permissions (Aggiungi autorizzazioni), quindi Attach policies (Collega policy).

4. Nella pagina Allega le politiche di autorizzazione al EC2MFA gruppo, nella casella di ricerca, digita. EC2Full Quindi seleziona la casella di controllo accanto ad Amazon EC2FullAccess nell'elenco. Non salvare ancora le modifiche.

5. Nella casella di ricerca, digitaForce, quindi seleziona la casella di controllo accanto a Force_ MFA nell'elenco.

6. Scegli Collega policy.

Fase 3: test dell'accesso dell'utente

In questa parte del tutorial, effettuare l'accesso come utente di prova e verificare che la policy funzioni correttamente.

1. Accedi al tuo annuncio Account AWS MFAUser con la password assegnata nella sezione precedente. Usa ilURL: https://<alias or account ID number>.signin.aws.amazon.com/console

2. Scegli EC2di aprire la EC2 console Amazon e verifica che l'utente non disponga delle autorizzazioni per fare nulla.

3. Selezionare il nome utente MFAUser in alto a destra nella barra di navigazione e scegli Security Credentials (Credenziali di sicurezza).

   

4. Ora aggiungi un MFA dispositivo. Nella sezione Autenticazione a più fattori (MFA), scegli Assegna dispositivo MFA.

   Nota

   Potrebbe essere visualizzato un errore che indica che non si è autorizzati a eseguire iam:DeleteVirtualMFADevice. Ciò potrebbe accadere se qualcuno in precedenza avesse iniziato ad assegnare un MFA dispositivo virtuale a questo utente e avesse annullato il processo. Per continuare, tu o un altro amministratore dovete eliminare il dispositivo virtuale non assegnato esistente dell'utente. MFA Per ulteriori informazioni, consulta Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice.

5. Per questo tutorial, utilizziamo un MFA dispositivo virtuale (basato su software), come l'app Google Authenticator su un telefono cellulare. Scegli l'app Authenticator, quindi fai clic su Next (Successivo).

   IAMgenera e visualizza informazioni di configurazione per il MFA dispositivo virtuale, inclusa una grafica con codice QR. Il grafico è una rappresentazione della chiave di configurazione segreta che è disponibile per l'inserimento manuale su dispositivi che non supportano i codici QR.

6. Apri la tua MFA app virtuale. (Per un elenco di app che puoi utilizzare per ospitare MFA dispositivi virtuali, consulta MFAApplicazioni virtuali.) Se l'MFAapp virtuale supporta più account (più MFA dispositivi virtuali), scegli l'opzione per creare un nuovo account (un nuovo MFA dispositivo virtuale).

7. Determina se l'MFAapp supporta i codici QR, quindi esegui una delle seguenti operazioni:

   • Nella procedura guidata, scegliere Show QR code (Mostra codice QR). Quindi utilizzare l'app per la scansione del codice QR. Ad esempio, è possibile selezionare l'icona della fotocamera o un'opzione simile a Scannerizza codice ed eseguire la scansione del codice tramite la fotocamera del dispositivo.

   • Nella procedura guidata di configurazione del dispositivo, scegli Mostra chiave segreta, quindi digita la chiave segreta nell'MFAapp.

   Al termine, il MFA dispositivo virtuale inizia a generare password monouso.

8. Nella procedura guidata di configurazione del dispositivo, nella sezione Inserisci il codice dall'app di autenticazione. casella, digita la password monouso che appare attualmente nel dispositivo virtuale. MFA Scegli RegistratiMFA.

   Importante

   Invia la richiesta immediatamente dopo la generazione del codice. Se generi i codici e poi attendi troppo a lungo per inviare la richiesta, il MFA dispositivo viene associato correttamente all'utente. Tuttavia, il MFA dispositivo non è sincronizzato. Ciò accade perché le password monouso basate sul tempo (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.

   Il MFA dispositivo virtuale è ora pronto per l'uso con. AWS

9. Uscire dalla console ed effettuare nuovamente l'accesso come MFAUser Questa volta AWS ti viene richiesto un MFA codice dal telefono. Una volta ottenuto, digitare il codice nella casella e selezionare Submit (Invia).

10. Scegli EC2di aprire nuovamente la EC2 console Amazon. In questo momento è possibile visualizzare tutte le informazioni ed eseguire tutte le azioni desiderate. Se si accede a qualsiasi altra console come questo utente, vengono visualizzati messaggi di accesso negato. Il motivo è che le politiche di questo tutorial garantiscono l'accesso solo ad AmazonEC2.

Risorse correlate

Per ulteriori informazioni, consulta i seguenti argomenti:

• AWS Autenticazione a più fattori in IAM

• MFAaccesso abilitato