Gestione delle identità e degli accessi in AWS Control Tower

Per eseguire qualsiasi operazione nella tua landing zone, come il provisioning degli account in Account Factory o la creazione di nuove unità organizzative (OUs) nella console AWS Control Tower, puoi farlo AWS Identity and Access Management (IAM) o AWS IAM Identity Center richiedere l'autenticazione di essere un utente approvato AWS . Ad esempio, se utilizzi la console AWS Control Tower, autentichi la tua identità fornendo AWS le credenziali fornite dall'amministratore.

Dopo aver autenticato la tua identità, IAM controlla il tuo accesso AWS con un set definito di autorizzazioni su un insieme specifico di operazioni e risorse. Se sei un amministratore di account, puoi utilizzare IAM per controllare l'accesso di altri utenti IAM alle risorse associate al tuo account.

Argomenti

• Autenticazione

• Controllo accessi

• Utilizzo di AWS IAM Identity Center e AWS Control Tower

• Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Control Tower

• Impedisci l'impersonificazione tra servizi

• Utilizzo di policy basate sull'identità (policy IAM) per AWS Control Tower

Autenticazione

Hai accesso a AWS uno qualsiasi dei seguenti tipi di identità:

• AWS account utente root: la prima volta che si crea un AWS account, si inizia con un'identità che ha accesso completo a tutti i AWS servizi e le risorse dell'account. Questa identità è chiamata utente root dell' AWS account. Puoi accedere a questa identità utilizzando l'indirizzo e-mail e la password usati per creare l'account. È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Rispetta invece la best practice di utilizzare l'utente root solo per creare il primo utente IAM Identity Center (consigliato) o utente IAM (non è una best practice nella maggior parte dei casi d'uso). Quindi conservare al sicuro le credenziali dell'utente root e utilizzarle per eseguire solo alcune attività di gestione dell'account e del servizio. Per ulteriori informazioni, consulta Quando effettuare l'accesso come utente root.

• Utente IAM: un utente IAM è un'identità all'interno del tuo AWS account che dispone di autorizzazioni specifiche e personalizzate. È possibile utilizzare le credenziali utente IAM per accedere a AWS pagine Web sicure come la console di AWS gestione, i forum di AWS discussione o il AWS Support Center. AWS le migliori pratiche consigliano di creare un utente IAM Identity Center anziché un utente IAM, poiché esiste un rischio maggiore per la sicurezza quando si crea un utente IAM con credenziali a lungo termine.

  Se devi creare un utente IAM per un determinato scopo, oltre alle credenziali di accesso, puoi generare chiavi di accesso per ogni utente IAM. È possibile utilizzare questi tasti quando si chiamano AWS i servizi a livello di codice, tramite uno dei numerosi tasti SDKs o utilizzando l'interfaccia a riga di AWS comando (CLI). L'SDK e gli strumenti della CLI utilizzano le chiavi di accesso per firmare crittograficamente la tua richiesta. Se non utilizzi AWS strumenti, devi firmare tu stesso la richiesta. AWS Control Tower supporta Signature Version 4, un protocollo per l'autenticazione delle richieste API in entrata. Per ulteriori informazioni sull'autenticazione delle richieste, consulta il processo di firma della versione 4 di Signature nella Guida generale. AWS

• Ruolo IAM: un ruolo IAM è un'identità IAM che è possibile creare nell'account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a un utente IAM in quanto è un' AWS identità e dispone di politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo. I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:

  • Accesso utente federato: invece di creare un utente IAM, puoi utilizzare le identità esistenti della tua directory utenti aziendale o di un provider di identità web. AWS Directory Service Questi sono noti come utenti federati. AWS assegna un ruolo a un utente federato quando l'accesso viene richiesto tramite un provider di identità. Per ulteriori informazioni sugli utenti federati, consulta la sezione relativa a utenti federati e ruoli nella Guida per l'utente di IAM.

  • AWS accesso al servizio: un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire azioni sull'account dell'utente per conto dell'utente. Quando configuri alcuni ambienti AWS di servizio, devi definire un ruolo che il servizio deve assumere. Questo ruolo di servizio deve includere tutte le autorizzazioni necessarie al servizio per accedere alle AWS risorse di cui ha bisogno. I ruoli del servizio variano da servizio a servizio, ma molti permettono di selezionare le autorizzazioni, a condizione di soddisfare i requisiti documentati per quel servizio. I ruoli del servizio forniscono l'accesso all'interno dell'account e non possono essere utilizzati per concedere l'accesso ai servizi in altri account. Puoi creare, modificare ed eliminare un ruolo del servizio dall'interno di IAM. Ad esempio, puoi creare un ruolo che consente ad Amazon Redshift di accedere a un bucket Amazon S3 per tuo conto e quindi caricare i dati dal bucket in un cluster Amazon Redshift. Per ulteriori informazioni, consulta Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'utente IAM.

  • Applicazioni in esecuzione su Amazon EC2: puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un' EC2 istanza Amazon e che effettuano richieste AWS CLI AWS o API. È preferibile alla memorizzazione delle chiavi di accesso all'interno dell' EC2 istanza Amazon. Per assegnare un AWS ruolo a un' EC2 istanza Amazon e renderlo disponibile per tutte le sue applicazioni, crei un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull' EC2 istanza Amazon di ottenere credenziali temporanee. Per ulteriori informazioni, consulta Using an IAM Role to Concedi le autorizzazioni alle applicazioni in esecuzione su Amazon EC2 Instances nella IAM User Guide.

• L'autenticazione degli utenti di IAM Identity Center al portale utenti IAM Identity Center è controllata dalla directory che hai collegato a IAM Identity Center. Tuttavia, l'autorizzazione agli AWS account disponibili per gli utenti finali dall'interno del portale utenti è determinata da due fattori:

  • A chi è stato assegnato l'accesso a tali AWS account nella console AWS IAM Identity Center. Per ulteriori informazioni, consulta Single Sign-On Access nella Guida per l'AWS IAM Identity Center utente.

  • Quale livello di autorizzazioni è stato concesso agli utenti finali nella console AWS IAM Identity Center per consentire loro l'accesso appropriato a tali account. AWS Per ulteriori informazioni, consulta i set di autorizzazioni nella Guida per l'AWS IAM Identity Center utente.

Controllo accessi

Per creare, aggiornare, eliminare o elencare risorse AWS Control Tower o altre AWS risorse nella tua landing zone sono necessarie le autorizzazioni per eseguire l'operazione e le autorizzazioni per accedere alle risorse corrispondenti. Inoltre, per eseguire l'operazione a livello di codice, devi disporre di chiavi di accesso valide.

Le seguenti sezioni descrivono come gestire le autorizzazioni per AWS Control Tower:

Argomenti

• Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Control Tower

• Utilizzo di policy basate sull'identità (policy IAM) per AWS Control Tower