Gestione delle identità e degli accessi in AWS Control Tower

Per eseguire qualsiasi operazione nella tua landing zone, come il provisioning degli account in Account Factory o la creazione di nuove unità organizzative (OUs) nella console AWS Control Tower, AWS Identity and Access Management (IAM) o AWS IAM Identity Center richiederti di autenticare che sei un utente approvato AWS utente. Ad esempio, se utilizzi la console AWS Control Tower, autentichi la tua identità fornendo AWS credenziali, fornite dall'amministratore.

Dopo aver autenticato la tua identità, IAM controlla il tuo accesso a AWS con un insieme definito di autorizzazioni su un insieme specifico di operazioni e risorse. Se sei un amministratore di account, puoi IAM utilizzarlo per controllare l'accesso di altri IAM utenti alle risorse associate al tuo account.

Argomenti

• Autenticazione
• Controllo accessi
• Utilizzo di AWS IAM Identity Center e AWS Control Tower
• Panoramica sulla gestione delle autorizzazioni di accesso alle risorse AWS Control Tower
• Impedisci l'impersonificazione tra servizi
• Utilizzo di policy basate sull'identità (policy IAM) per AWS Control Tower

Autenticazione

Hai accesso a AWS come uno dei seguenti tipi di identità:

• AWS account root user — Quando si crea per la prima volta un AWS account, si inizia con un'identità che ha accesso completo a tutti AWS servizi e risorse presenti nell'account. Questa identità è denominata AWS utente root dell'account. Puoi accedere a questa identità utilizzando l'indirizzo e-mail e la password usati per creare l'account. È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Rispetta invece la best practice di utilizzare l'utente root solo per creare il primo utente o IAM utente di IAM Identity Center (scelta consigliata) (non è una procedura consigliata nella maggior parte dei casi d'uso). Quindi conservare al sicuro le credenziali dell'utente root e utilizzarle per eseguire solo alcune attività di gestione dell'account e del servizio. Per ulteriori informazioni, consulta Quando effettuare l'accesso come utente root.

• IAMutente: un IAMutente è un'identità all'interno dell'utente AWS account con autorizzazioni specifiche e personalizzate. È possibile utilizzare le credenziali IAM utente per accedere in modo sicuro AWS pagine web come AWS Console di gestione, AWS Forum di discussione o AWS Centro di supporto. AWS le migliori pratiche consigliano di creare un utente di IAM Identity Center anziché un IAM utente, poiché il rischio per la sicurezza aumenta quando si crea un IAM utente con credenziali a lungo termine.

  Se è necessario creare un IAM utente per un determinato scopo, oltre alle credenziali di accesso, è possibile generare chiavi di accesso per ogni utente. IAM È possibile utilizzare questi tasti quando si chiama AWS servizi a livello di codice, tramite uno dei tanti SDKs o utilizzando il AWS Interfaccia a riga di comando ()CLI. CLIGli strumenti SDK and utilizzano le chiavi di accesso per firmare crittograficamente la richiesta. Se non lo usi AWS strumenti, devi firmare tu stesso la richiesta. AWSControl Tower supporta Signature Version 4, un protocollo per l'autenticazione delle richieste in entrataAPI. Per ulteriori informazioni sull'autenticazione delle richieste, consulta la sezione Processo di firma della versione 4 di Signature nel AWS Riferimento generale.

• IAMruolo: un IAMruolo è un'IAMidentità che puoi creare nel tuo account con autorizzazioni specifiche. Un IAM ruolo è simile a un IAM utente in quanto è un AWS identità e dispone di politiche di autorizzazione che determinano ciò che l'identità può e non può fare in AWS. Tuttavia, anziché essere associato esclusivamente a una persona, un ruolo è pensato per essere assunto da chiunque ne abbia bisogno. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo. IAMi ruoli con credenziali temporanee sono utili nelle seguenti situazioni:

  • Accesso utente federato: anziché creare un IAM utente, è possibile utilizzare identità esistenti da AWS Directory Service, la tua rubrica utenti aziendale o un provider di identità web. Questi sono noti come utenti federati. AWS assegna un ruolo a un utente federato quando l'accesso viene richiesto tramite un provider di identità. Per ulteriori informazioni sugli utenti federati, consulta Federated Users and Roles nella Guida per l'utente. IAM

  • AWS accesso al servizio: un ruolo di servizio è un IAM ruolo che un servizio assume per eseguire azioni sull'account dell'utente per conto dell'utente. Quando ne configuri alcuni AWS ambienti di servizio, è necessario definire un ruolo che il servizio deve assumere. Questo ruolo di servizio deve includere tutte le autorizzazioni necessarie affinché il servizio possa accedere a AWS risorse di cui ha bisogno. I ruoli del servizio variano da servizio a servizio, ma molti permettono di selezionare le autorizzazioni, a condizione di soddisfare i requisiti documentati per quel servizio. I ruoli del servizio forniscono l'accesso all'interno dell'account e non possono essere utilizzati per concedere l'accesso ai servizi in altri account. È possibile creare, modificare ed eliminare un ruolo di servizio dall'internoIAM. Ad esempio, puoi creare un ruolo che consente ad Amazon Redshift di accedere a un bucket Amazon S3 per tuo conto e quindi caricare i dati dal bucket in un cluster Amazon Redshift. Per ulteriori informazioni, vedere Creazione di un ruolo per delegare le autorizzazioni a un AWS Servizio nella Guida per l'IAMutente.

  • Applicazioni in esecuzione su Amazon EC2: puoi utilizzare un IAM ruolo per gestire le credenziali temporanee per le applicazioni in esecuzione su un'EC2istanza Amazon e in fase di creazione AWS CLIoppure AWS APIrichieste. È preferibile alla memorizzazione delle chiavi di accesso all'interno dell'EC2istanza Amazon. Per assegnare un AWS assegna il ruolo a un'EC2istanza Amazon e la rendi disponibile per tutte le sue applicazioni, crei un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull'EC2istanza Amazon di ottenere credenziali temporanee. Per ulteriori informazioni, consulta Usare un IAM ruolo per concedere autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella Guida per l'IAMutente.

• IAML'autenticazione degli utenti di IAM Identity Center al portale utenti di Identity Center è controllata dalla directory che hai collegato a IAM Identity Center. Tuttavia, l'autorizzazione al AWS gli account disponibili per gli utenti finali all'interno del portale utenti sono determinati da due fattori:

  • A chi è stato assegnato l'accesso a tali AWS conti in AWS IAMconsole Identity Center. Per ulteriori informazioni, consulta Single Sign-On Access nel AWS IAM Identity Center Guida per l'utente.

  • Quale livello di autorizzazioni è stato concesso agli utenti finali nel AWS IAMConsole Identity Center per consentire loro l'accesso appropriato a tali AWS conti. Per ulteriori informazioni, vedere Set di autorizzazioni nella AWS IAM Identity Center Guida per l'utente.

Controllo accessi

Per creare, aggiornare, eliminare o elencare risorse AWS Control Tower o altro AWS per le risorse presenti nella tua landing zone ti servono le autorizzazioni per eseguire l'operazione e le autorizzazioni per accedere alle risorse corrispondenti. Inoltre, per eseguire l'operazione a livello di codice, devi disporre di chiavi di accesso valide.

Le seguenti sezioni descrivono come gestire le autorizzazioni per AWS Control Tower:

Argomenti

• Panoramica sulla gestione delle autorizzazioni di accesso alle risorse AWS Control Tower

• Utilizzo di policy basate sull'identità (policy IAM) per AWS Control Tower