Panoramica sull'accesso e sull'autenticazione - AWS Global Accelerator
Che cos'è l'autenticazione?Cos'è il controllo degli accessi?Che cosa sono le policy?Nozioni di base su IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica sull'accesso e sull'autenticazione

Se non si è esperti di IAM, leggere i seguenti argomenti per iniziare a utilizzare l'autorizzazione e l'accesso in AWS.

Che cos'è l'autenticazione?

L'autenticazione è la procedura di accesso ad AWS utilizzando le credenziali.

Nota

Per iniziare, puoi ignorare questa sezione. Innanzi tutto, leggi le informazioni introduttive disponibili nella paginaIdentity and Access Management per AWS Global Acceleratore quindi vedereNozioni di base su IAM: .

In quanto preside, devi essereAutenticazione(connesso a AWS) utilizzando un'entità (utente root, utente IAM o ruolo IAM) per inviare una richiesta ad AWS. Un utente IAM può disporre di credenziali a lungo termine, ad esempio un nome utente e una password oppure un set di chiavi di accesso. Quando assumi un ruolo IAM, riceverai le credenziali di sicurezza temporanee.

Per ottenere l'autenticazione dalla console di gestione AWS come utente, devi effettuare l'accesso con il tuo nome utente e la password. Per eseguire l'autenticazione tramite l'interfaccia a riga di comando AWS o l'API AWS, devi fornire la chiave di accesso e la chiave segreta o le credenziali temporanee. AWS fornisce SDK e strumenti CLI per firmare la richiesta in maniera crittografica utilizzando le credenziali. Se non utilizzi gli strumenti di AWS, devi firmare la richiesta personalmente. Indipendentemente dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. AWS consiglia ad esempio di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account.

In qualità di principale, puoi accedere ad AWS utilizzando le seguenti entità (utenti o ruoli):

Utente root dell'account AWS

Quando crei un account AWS per la prima volta, inizi con una singola identità di accesso che ha accesso completo a tutti i servizi e le risorse AWS nell'account. Tale identità è detta utente root dell'account AWS e puoi accedervi con l'indirizzo e-mail e la password utilizzati per creare l'account. È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Rispetta piuttosto la best practice di utilizzare l'utente root soltanto per creare il tuo primo utente &IAM;. Quindi conserva al sicuro le credenziali dell'utente root e utilizzale per eseguire solo alcune attività di gestione dell'account e del servizio.

Utente IAM

UnUtente IAMè un'entità all'interno del tuo account AWS che dispone di autorizzazioni specifiche. Global Accelerator supportaSignature Version 4, un protocollo per l'autenticazione di richieste API in entrata. Per ulteriori informazioni sull'autenticazione delle richieste API, consulta la sezione relativa al processo di firma Signature Version 4 nella Guida di riferimento generale di AWS.

Ruolo IAM

UnRuolo IAML'identità IAM che puoi creare nell'account che ha le autorizzazioni specifiche. Un ruolo IAM è simile a un utente IAM, in quanto è un'identità AWS con policy di autorizzazioni che determinano ciò che l'identità può e non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo. I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:

Accesso utente federato

Anziché creare un utente IAM, è possibile utilizzare identità preesistenti da AWS Directory Service, dalla directory utente aziendale o da un provider di identità Web (IdP). Questi sono noti come utenti federati. AWS assegna un ruolo a un utente federato quando è richiesto l'accesso tramite un provider di identità. Per ulteriori informazioni sugli utenti federati, consultare la sezione relativa a Utenti e ruoli federati nella Guida per l'utente di IAM.

Autorizzazioni temporanee

Un utente IAM può assumere un ruolo temporaneamente per ottenere autorizzazioni diverse per un'attività specifica.

Accesso tra account

Puoi utilizzare un ruolo IAM per permettere a un principale attendibile con un account diverso di accedere alle risorse nel tuo account. I ruoli sono lo strumento principale per concedere l'accesso tra account. Tuttavia, alcuni servizi AWS consentono di collegare una policy direttamente a una risorsa, invece di utilizzare un ruolo come proxy. Global Accelerator non supporta queste policy basate su risorse. Per ulteriori informazioni sulla scelta se utilizzare un ruolo o una policy basata sulle risorse per consentire l'accesso multiaccount, consulta Controllo dell'accesso ai principale in un account diverso.

Accesso al servizio AWS

Un ruolo di servizio è unRuolo IAMche un servizio assume per eseguire operazioni a nome dell'utente. I ruoli del servizio forniscono l'accesso all'interno del tuo account e non possono essere utilizzati per concedere l'accesso ai servizi in altri account. Un amministratore di IAM può creare, modificare ed eliminare un ruolo di servizio da IAM. Per ulteriori informazioni, consultare la sezione Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS nella Guida per l'utente di IAM.

Applicazioni in esecuzione su Amazon EC2

È possibile utilizzare un ruolo IAM per gestire credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 che eseguono richieste AWS CLI o API AWS. Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare un ruolo AWS a un'istanza EC2, affinché sia disponibile per tutte le relative applicazioni, puoi creare un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consultare Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2 nella Guida per l'utente di IAM.

Cos'è il controllo degli accessi?

Dopo aver effettuato l'accesso (dopo l'autenticazione) ad AWS, l'accesso alle risorse e alle operazioni AWS è disciplinato dalle policy. Il controllo dell'accesso è noto anche come autorizzazione.

Nota

Per iniziare, puoi ignorare questa pagina. Innanzi tutto, leggi le informazioni introduttive disponibili nella paginaIdentity and Access Management per AWS Global Acceleratore quindi vedereNozioni di base su IAM: .

Durante l'autorizzazione, AWS utilizza i valori dellaRichiesta di contestoPer verificare le policy applicabili. Quindi, utilizza le policy per determinare se accettare o rifiutare la richiesta. La maggior parte delle policy viene memorizzata in AWS sotto forma di documenti JSON e specifica le autorizzazioni concesse o negate per le entità principali. Per ulteriori informazioni sulla struttura e sui contenuti dei documenti delle policy JSON , consulta Che cosa sono le policy?.

Le policy consentono a un amministratore di specificare quali utenti hanno accesso alle risorse AWS e quali operazioni possono effettuare su tali risorse. Ogni entità IAM (utente o ruolo) inizialmente non dispone di autorizzazioni. Ovvero, per impostazione predefinita, gli utenti non possono eseguire alcuna operazione, neppure visualizzare le proprie chiavi di accesso. Per autorizzare un utente a eseguire operazioni, un amministratore deve collegare una policy di autorizzazioni a tale utente. In alternativa, può aggiungere l'utente a un gruppo che dispone delle autorizzazioni desiderate. Quando un amministratore associa le autorizzazioni a un gruppo, tali autorizzazioni verranno assegnate a tutti gli utenti del gruppo.

Anche se disponi di credenziali valide per autenticare le richieste, non puoi creare né accedere a risorse AWS Global Accelerator se un amministratore non ti concede le autorizzazioni necessarie. Ad esempio, devi disporre di autorizzazioni esplicite per creare un acceleratore AWS Global Accelerator.

Un amministratore può scrivere una policy per controllare l'accesso ai seguenti elementi:

  • Principali— Consente di controllare quali sono le persone o le applicazioni che effettuano la richiesta (laprincipale) è permesso di fare.

  • Identità IAMConsente di controllare a quali identità IAM (gruppi, utenti e ruoli) è possibile accedere e come.

  • Policy IAMControllo degli utenti possono creare, modificare ed eliminare le policy gestite dai clienti e quali utenti possono collegare e scollegare tutte le policy gestite.

  • Risorse AWSControllo dell'accesso alle risorse mediante una policy basata sulle identità o una policy basata sulle risorse.

  • Account AWS: consente di controllare se una richiesta è consentita solo per i membri di un determinato account.

Controllo dell'accesso per le entità principali

Le policy di autorizzazioni controllano le operazioni che un principale può eseguire. Un amministratore deve collegare una policy di autorizzazioni basata sulle identità all'identità (utente, gruppo o ruolo) che fornisce le autorizzazioni. Le policy di autorizzazioni consentono o negano l'accesso ad AWS. Gli amministratori possono inoltre impostare un limite alle autorizzazioni per un'entità IAM (utente o ruolo) per definire il numero massimo di autorizzazioni che è possibile concedere all'entità. I limiti delle autorizzazioni sono una caratteristica avanzata di IAM. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le identità IAM nella Guida per l'utente di IAM.

Per ulteriori informazioni e per un esempio di come controllare l'accesso AWS per i principali, consultaControllo dell'accesso per le entità principalinellaGuida per l'utente di IAM: .

Controllo dell'accesso ad identità

Gli amministratori controllano le operazioni che è possibile eseguire su un'identità IAM (utente, gruppo o ruolo) mediante la creazione di una policy che limita le operazioni che possono essere eseguite su un'identità o chi può accedervi. Possono quindi collegare tale policy all'identità che fornisce le autorizzazioni.

Ad esempio, un amministratore potrebbe permetterti di reimpostare la password per tre utenti specifici. A tale scopo, l'amministratore collega una policy all'utente IAM che ti autorizza a reimpostare la password solo per te stesso e per gli utenti con l'ARN dei tre utenti specificati. In questo modo potrai reimpostare la password dei membri del tuo team ma non di altri utenti IAM.

Per ulteriori informazioni e per un esempio di utilizzo di una policy per controllare l'accesso AWS alle identità, consultaControllo dell'accesso ad identitànellaGuida per l'utente di IAM: .

Controllo dell'accesso ai criteri

Gli amministratori possono controllare quali utenti possono creare, modificare ed eliminare le policy gestite dai clienti e quali utenti possono collegare e scollegare tutte le policy gestite. Quando si utilizza una policy, è possibile visualizzare il riepilogo della policy che include un riepilogo del livello di accesso per ciascun servizio nella policy. AWS categorizza ogni azione di servizio in una delle quattroLivelli di accessoin base a ciò che ogni azione fa:List,Read,Write, oppurePermissions management: . È possibile utilizzare questi livelli di accesso per determinare quali operazioni includere nelle policy. Per ulteriori informazioni, consultaInformazioni sui riepiloghi dei livelli di accesso all'interno di una policynellaGuida per l'utente di IAM: .

avvertimento

È consigliabile limitarePermissions ManagementAutorizzazioni a livello di accesso nel tuo account. In caso contrario, i membri del tuo account potrebbero creare policy per se stessi con livelli di autorizzazioni superiori a quelli consentiti. Oppure possono creare altri utenti con accesso completo ad AWS.

Per ulteriori informazioni e per un esempio di come controllare l'accesso AWS alle policy, consultaControllo dell'accesso ai criterinellaGuida per l'utente di IAM: .

Controllo dell'accesso alle risorse

Gli amministratori possono controllare chi ha accesso alle risorse utilizzando una policy basata sulle identità o una policy basata sulle risorse. In una policy basata sulle identità si collega la policy a un'identità e si specifica a quali risorse può accedere tale identità. In una policy basata sulle risorse, si collega una policy alla risorsa che si desidera controllare. Nella policy, è necessario specificare quali entità principali possono accedere a tale risorsa.

Per ulteriori informazioni, consultaControllo dell'accesso alle risorsenellaGuida per l'utente di IAM: .

I creatori di risorse non dispongono automaticamente delle autorizzazioni

Tutte le risorse in un account sono di proprietà di tale account, indipendentemente da chi le ha create. L'utente root dell'account AWS è il proprietario dell'account e quindidispone dell'autorizzazione per eseguire qualsiasi operazione su qualsiasi risorsa inclusa nell'account.

Importante

È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Seguire invece laBest practice sull'utilizzo dell'utente root solo per creare il tuo primo utente IAM: . Quindi conserva al sicuro le credenziali dell'utente root e utilizzale per eseguire solo alcune attività di gestione dell'account e del servizio. Per visualizzare le attività che richiedono l'accesso come utente root, consultaAttività AWS che richiedono l'utente root: .

Alle entità (utenti o ruoli) nell'account AWS deve essere concesso l'accesso per creare una risorsa. Tuttavia, il solo fatto di poter creare una risorsa non significa che automaticamente si dispone dell'accesso completo a tale risorsa. Gli amministratori devono concedere esplicitamente le autorizzazioni per ogni operazione. Inoltre, gli amministratori possono revocare le autorizzazioni in qualsiasi momento, a condizione che dispongano dell'accesso per la gestione di utenti e autorizzazioni del ruolo.

Controllo dell'accesso ai principale in un account diverso

Gli amministratori possono utilizzare policy basate su risorse AWS, ruoli multiaccount IAM o il servizio AWS Organizations per consentire ai principali in un altro account di accedere alle risorse nell'account corrente.

Per alcuni servizi AWS Services, gli amministratori possono concedere l'accesso per più account alle risorse. A tale scopo, un amministratore collega una policy direttamente alla risorsa da condividere, anziché utilizzare un ruolo come proxy. Se il servizio supporta questo tipo di policy, anche la risorsa condivisa dall'amministratore deve supportare le policy basate sulle risorse. A differenza di una policy basata sugli utenti, una policy basata sulle risorse specifica quali utenti (sotto forma di elenco di numeri ID account AWS) possono accedere a tale risorsa. Global Accelerator non supporta policy basate su risorse.

L'accesso per più account con una policy basata sulle risorse offre alcuni vantaggi rispetto a un ruolo. Con una risorsa accessibile tramite una policy basata sulle risorse, il principale (persona o applicazione) continua a utilizzare l'account attendibile e non deve rinunciare alle proprie autorizzazioni utente al posto delle autorizzazioni di ruolo. In altre parole, il principale ha accesso alle risorse nell'account attendibile e nell'account trusting contemporaneamente. Ciò risulta per attività quali, ad esempio, la copia di informazioni da un account a un altro. Per ulteriori informazioni sull'utilizzo di ruoli tra account, consultaOfferta di un accesso a un utente IAM di un altro account AWS di proprietànellaGuida per l'utente di IAM: .

AWS Organizations ization offre gestione basata su policy per più account AWS di tua proprietà. Con Organizations, è possibile creare gruppi di account, automatizzare la creazione di account, nonché applicare e gestire policy per tali gruppi. Organizations consentono di gestire a livello centralizzato le policy tra più account, senza la necessità di script personalizzati e di processi manuali. Utilizzando AWS Organizations, è possibile creare policy di controllo dei servizi (SCP) che controllano centralmente l'utilizzo dei servizi AWS negli account AWS. Per ulteriori informazioni, consultaCos'è AWS Organizations?nellaGuida utente AWS Organizations: .

Che cosa sono le policy?

Per controllare l'accesso ad AWS è possibile creare policy e collegarle a identità IAM o risorse AWS.

Nota

Per iniziare, puoi ignorare questa pagina. Innanzi tutto, leggi le informazioni introduttive disponibili nella paginaIdentity and Access Management per AWS Global Acceleratore quindi vedereNozioni di base su IAM: .

Una policy è un oggetto in AWS che, se associato a una entità o risorsa, ne definisce le relative autorizzazioni. AWS valuta queste policy quando un principale, come ad esempio un utente, invia una richiesta. Le autorizzazioni della policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle policy viene memorizzata in AWS sotto forma di documenti JSON.

Le policy IAM definiscono le autorizzazioni relative a un'operazione, indipendentemente dal metodo utilizzato per eseguirla. Ad esempio, se un criterio consente l'opzioneGetUser, un utente con tale policy può ottenere informazioni utente dalla Console di gestione AWS, dall'interfaccia a riga di comando AWS oppure dall'API AWS. Nella creazione di un utente IAM, è possibile configurare l'utente consentendogli l'accesso programmatico o alla console. L'utente IAM può accedere alla console con un nome utente e una password oppure può usare le chiavi di accesso per utilizzare l'API o l'interfaccia a riga di comando.

I seguenti tipi di policy, elencati in ordine di frequenza, possono influenzare se una richiesta viene autorizzata o meno. Per ulteriori dettagli, consulta .Tipi di policynellaGuida per l'utente di IAM: .

Policy basate su identità

È possibile collegare policy inline e policy gestite a identità IAM (utenti, gruppi a cui appartengono gli utenti e ruoli).

Policy basate su risorse

Puoi collegare policy inline alle risorse in alcuni servizi AWS. Gli esempi più comuni di policy basate sulle risorse sono le policy dei bucket Amazon S3 e le policy di affidabilità dei ruoli IAM. Global Accelerator non supporta policy basate su risorse.

SCP delle Organizations

È possibile utilizzare una policy di controllo dei servizi (SCP) di AWS Organizations per applicare un limite delle autorizzazioni a un'organizzazione o a un'unità organizzativa (UO) in. Queste autorizzazioni vengono applicate a tutte le entità all'interno degli account membri.

Liste di controllo accessi di rete (ACL)

Puoi utilizzare le liste di controllo accessi per controllare quali entità principali possono accedere a una risorsa. Le ACL sono simili alle policy basate su risorse, anche se sono l'unico tipo di policy che non utilizza la struttura del documento di policy JSON. Global Accelerator supporta OR non supporta ACL.

Questi tipi di policy possono essere classificati come policy di autorizzazione o limiti di autorizzazione.

Policy di autorizzazione

Puoi collegare le policy di autorizzazione a una risorsa in AWS per definire le autorizzazioni per tale oggetto. All'interno di un unico account, AWS valuta tutte le policy di autorizzazione insieme. Le policy di autorizzazione sono le più comuni. I seguenti tipi di policy possono essere utilizzati come policy di autorizzazione:

Policy basate su identità

Quando colleghi una policy inline o gestita a un utente, un gruppo o un ruolo IAM, la policy definisce le autorizzazioni per tale entità.

Policy basate su risorse

Quando si collega un documento di policy JSON a una risorsa, è possibile definire le autorizzazioni per tale risorsa. Il servizio deve supportare le policy basate su risorse.

Liste di controllo accessi di rete (ACL)

Quando si collega un ACL a una risorsa, è possibile definire un elenco di entità principali autorizzate ad accedere a tale risorsa. La risorsa deve supportare le ACL.

Limiti delle autorizzazioni

È possibile utilizzare le policy per definire il limite delle autorizzazioni per un'entità (utente o ruolo). Il limite di autorizzazione controlla il numero massimo di autorizzazioni di cui un'entità può disporre. I limiti delle autorizzazioni sono una caratteristica avanzata di AWS. Quando più di uno di questi limiti di autorizzazione è applicabile a una richiesta, AWS valuta ogni limite separatamente. È possibile applicare un limite delle autorizzazioni nelle situazioni seguenti:

Organizations

È possibile utilizzare una policy di controllo dei servizi (SCP) di AWS Organizations per applicare un limite delle autorizzazioni a un'organizzazione o a un'unità organizzativa (UO) in.

Utenti o ruoli IAM

È possibile utilizzare una policy gestita per un limite delle autorizzazioni di un utente o un ruolo. Per ulteriori informazioni, consultaLimiti delle autorizzazioni per le entità IAMnellaGuida per l'utente di IAM: .

Policy basate su identità

Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:

Allegare una policy di autorizzazioni a un utente o un gruppo nell'account

Per concedere a un utente le autorizzazioni per creare una risorsa AWS Global Accelerator, ad esempio un acceleratore, è possibile collegare una policy di autorizzazione a un utente o a un gruppo a cui appartiene l'utente.

Allegare una policy di autorizzazione a un ruolo (per concedere autorizzazioni multiaccount)

Per concedere autorizzazioni multiaccount, puoi collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni multi-account a un altro account AWS (ad esempio l'account B) oppure a un servizio AWS nel modo seguente:

  1. Account Un amministratore crea un ruolo IAM e attribuisce una policy di autorizzazioni al ruolo che concede le autorizzazioni per le risorse nell'account A.

  2. L'amministratore dell'account A collega una policy di attendibilità al ruolo, identificando l'account B come principale per tale ruolo.

  3. L'amministratore dell'account B può quindi delegare le autorizzazioni per usare tale ruolo a qualsiasi utente nell'account B. In questo modo, gli utenti nell'account B possono creare risorse nell'account A o accedervi. Se si desidera concedere a un servizio AWS le autorizzazioni per usare il ruolo, l'entità principale nella policy di trust può essere anche un'entità principale del servizio AWS.

Per ulteriori informazioni sull'utilizzo di IAM per delegare le autorizzazioni, consultaGestione degli accessinellaGuida per l'utente di IAM: .

Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente di IAM.

Di seguito sono riportati due esempi di criteri che è possibile utilizzare con Global Accelerator Il primo criterio di esempio concede a un utente l'accesso a livello di programmazione a tutte le azioni Elenca e Descrivi per gli acceleratori nell'account AWS:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:List*",
                "globalaccelerator:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

Nell'esempio seguente viene concesso l'accesso a livello di programmazione allaListAcceleratorsoperazione:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:ListAccelerators",
            ],
            "Resource": "*"
        }
    ]
}

Policy basate su risorse

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Queste policy consentono di specificare quali operazioni può effettuare una determinata entità principale su tale risorsa e in quali condizioni. La policy basata su risorse più comune è quella di un bucket Amazon S3. Le policy basate sulle risorse sono policy che esistono solo nella risorsa. Non esistono policy basate su risorse gestite.

La concessione di autorizzazioni ai membri di altri account AWS mediante una policy basata sulle risorse presenta alcuni vantaggi rispetto a un ruolo IAM. Per ulteriori informazioni, consulta Differenza tra i ruoli IAM e le policy basate su risorse nella Guida per l’utente IAM.

Classificazioni a livello di accesso ai

Nella console IAM, le operazioni sono raggruppate utilizzando le seguenti classificazioni a livello di accesso:

Elenco

Fornisce l'autorizzazione per elencare le risorse all'interno del servizio per determinare l'esistenza di un oggetto. Le operazioni con questo livello di accesso possono elencare gli oggetti, ma consentono di visualizzare i contenuti di una risorsa. La maggior parte delle operazioni all'interno del livello di accesso List (Elenco) non può essere eseguita su una risorsa specifica. Quando si crea una dichiarazione di policy con queste operazioni, è necessario specificare All resources (Tutte le risorse) ("*").

Leggi

Fornisce l'autorizzazione per leggere ma non per modificare i contenuti e gli attributi delle risorse del servizio. Ad esempio, le operazioni Amazon S3GetObjecteGetBucketLocationDispongono dellaLeggiLivello di accesso.

Write

Concede l'autorizzazione per creare, eliminare o modificare le risorse del servizio. Ad esempio, le operazioni Amazon S3CreateBucket,DeleteBucket, ePutObjectDispongono dellaWriteLivello di accesso.

Gestione delle autorizzazioni

Concede l'autorizzazione per concedere o modificare le autorizzazioni a livello di risorsa nel servizio. Ad esempio, la maggior parte delle operazioni policy di IAM e AWS Organizations ization hanno la proprietàGestione delle autorizzazioniLivello di accesso.

Tip

Per migliorare la sicurezza del tuo account AWS, limita o monitora regolarmente le policy che includono ilGestione delle autorizzazioniclassificazione a livello di accesso.

Applicazione di tag

Fornisce l'autorizzazione per creare, eliminare o modificare i tag collegati a una risorsa nel servizio. Ad esempio, Amazon EC2CreateTagseDeleteTagsle operazioni hannoApplicazione di tagLivello di accesso.

Nozioni di base su IAM

AWS Identity and Access Management (IAM) è un servizio AWS che consente di gestire l'accesso ai servizi e alle risorse in modo sicuro. IAM è una caratteristica dell'account AWS offerta senza costi aggiuntivi.

Nota

Prima di iniziare a utilizzare IAM, leggi le informazioni introduttive disponibili nellaIdentity and Access Management per AWS Global Accelerator: .

Quando crei un account AWS per la prima volta, inizi con una singola identità di accesso che ha accesso completo a tutti i servizi e le risorse AWS nell'account. Tale identità è detta utente root dell'account AWS e puoi accedervi con l'indirizzo e-mail e la password utilizzati per creare l'account. È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Rispetta piuttosto la best practice di utilizzare l'utente root soltanto per creare il tuo primo utente &IAM;. Quindi conserva al sicuro le credenziali dell'utente root e utilizzale per eseguire solo alcune attività di gestione dell'account e del servizio.

Creare l'utente amministratore IAM

Per creare un utente amministratore per se stessi e aggiungere l'utente a un gruppo di amministratori (console)

  1. Accedere alla console IAM come proprietario dell'account scegliendo Root user (Utente root) e immettendo l'indirizzo email dell'account AWS. Nella pagina successiva, inserisci la password.

    Nota

    È fortemente consigliato rispettare la best practice sull'utilizzo delAdministratorUtente IAM che segue e blocca in un luogo sicuro le credenziali dell'utente root. Accedere come utente root solo per eseguire alcune attività di gestione dell'account e del servizio.

  2. Nel riquadro di navigazione selezionare Users (Utenti), quindi selezionare Add user (Aggiungi utente).

  3. In User name (Nome utente), immettere Administrator.

  4. Selezionare la casella di controllo accanto a AWS Management Console access (Accesso a Console di gestione AWS). Quindi, selezionare Custom password (Password personalizzata)e immettere la nuova password nella casella di testo.

  5. (Facoltativo) Per impostazione predefinita, AWS richiede che il nuovo utente crei una nuova password al primo accesso. Puoi deselezionare la casella di controllo accanto a User must create a new password at next sign-in (L'utente deve creare una nuova password al prossimo accesso) per consentire al nuovo utente di reimpostare la propria password dopo aver effettuato l'accesso.

  6. ScegliereSuccessivo: Autorizzazioni.

  7. In Set permissions (Imposta autorizzazioni), selezionare Add user to group (Aggiungi l'utente al gruppo).

  8. Seleziona Create group (Crea gruppo).

  9. Nella finestra di dialogo Create group (Crea gruppo), per Group name (Nome gruppo) immettere Administrators.

  10. SceglierePolicy di filtroe quindi selezionareAWS gestito - funzione di lavoroper filtrare il contenuto della tabella.

  11. Nell'elenco delle policy, selezionare la casella di controllo accanto ad AdministratorAccess. Seleziona quindi Create group (Crea gruppo).

    Nota

    È necessario attivare l'accesso utente e ruolo IAM alla fatturazione prima di poter utilizzare le autorizzazioni AdministratorAccess per accedere alla console Fatturazione e gestione costi AWS. A questo scopo, seguire le istruzioni nella fase 1 del tutorial sulla delega dell'accesso alla console di fatturazione.

  12. Nell'elenco dei gruppi seleziona la casella di controllo per il tuo nuovo gruppo. Se necessario, selezionare Refresh (Aggiorna) per visualizzare il gruppo nell'elenco.

  13. ScegliereSuccessivo: Tags: .

  14. (Facoltativo) Aggiungere metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consultare Tagging di utenti e ruoli IAM nella Guida per l'utente di IAM.

  15. ScegliereSuccessivo: Review (Revisione)Per visualizzare l'elenco delle appartenenze ai gruppi da aggiungere al nuovo utente. Quando sei pronto per continuare, seleziona Create user (Crea utente).

È possibile utilizzare questa stessa procedura per creare altri gruppi e utenti e concedere agli utenti l'accesso alle risorse dell'account AWS. Per ulteriori informazioni sull'utilizzo di policy per limitare le autorizzazioni degli utenti alle risorse AWS, consulta Gestione degli accessi e Esempi di policy.

Creazione di utenti delegati per Global Accelerator

Per supportare più utenti nel tuo account AWS, devi delegare l'autorizzazione per consentire ad altri utenti di eseguire solo le operazioni che vuoi consentire. A tale scopo, crea un gruppo IAM con le autorizzazioni necessarie a questi utenti e aggiungi gli utenti IAM ai gruppi necessari al momento della creazione. Puoi utilizzare questa procedura per impostare i gruppi, gli utenti e le autorizzazioni per tutto il tuo account AWS. Questa soluzione è ottimale se utilizzata da organizzazioni di piccole e medie dimensioni in cui un amministratore AWS può gestire manualmente gli utenti e gruppi. Per le organizzazioni di grandi dimensioni, è possibile utilizzareRuoli IAM personalizzati,federazione, oppureSingle Sign-On: .

Nella procedura seguente vengono creati tre utenti denominatiarnav,carlos, emarthae allegare un criterio che concede l'autorizzazione a creare un acceleratore denominatomy-example-accelerator, ma solo entro i prossimi 30 giorni. Puoi utilizzare le fasi descritte qui per aggiungere utenti con autorizzazioni diverse.

Per creare un utente delegato per un'altra persona (console)

  1. Accedere alla Console di gestione AWS e aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegliere Users (Utenti), quindi scegliere Add user (Aggiungi utente).

  3. In User name (Nome utente), immettere arnav.

  4. Scegliere Add another user (Aggiungi un altro utente) e immettere carlos per il secondo utente. Scegliere quindi Add another user (Aggiungi un altro utente) e immettere martha per il terzo utente.

  5. Selezionare la casella di controllo accanto aAccesso alla console di gestione AWSe quindi selezionareAutogenerated password: .

  6. Deselezionare la casella di controllo accanto a User must create a new password at next sign-in (L'utente deve creare una nuova password al prossimo accesso) per consentire al nuovo utente di reimpostare la propria password dopo aver effettuato l'accesso.

  7. ScegliereSuccessivo: Autorizzazioni.

  8. Scegli Attach existing policies directly (Collega direttamente le policy esistenti). Creerai una nuova policy gestita per gli utenti.

  9. Seleziona Create Policy (Crea policy).

    La procedura guidata Create policy (Crea policy) viene visualizzata in una nuova scheda o in una nuova finestra del browser.

  10. Nella scheda Visual editor (Editor visivo), selezionare Choose a Service (Scegli un servizio). Quindi scegliete Global Accelerator. È possibile utilizzare la casella di ricerca in alto per limitare i risultati nell'elenco di servizi.

    LaService (Servizio)si chiude e la sezioneOperazionisi apre automaticamente.

  11. Scegliere le operazioni Acceleratore globale che si desidera consentire. Ad esempio, per concedere l'autorizzazione per creare un acceleratore, immettereglobalaccelerator:CreateAcceleratornellaFiltra le azioniCasella di testo. Quando l'elenco di operazioni di acceleratore globale è filtrata, selezionare la casella di controllo accanto aglobalaccelerator:CreateAccelerator: .

    Le operazioni Acceleratore globale sono raggruppate in base alla classificazione del livello di accesso per semplificare la definizione del livello di accesso di ogni operazione. Per ulteriori informazioni, consulta Classificazioni a livello di accesso ai.

  12. Se le operazioni selezionate nelle fasi precedenti non supportano la scelta di risorse specifiche, l'opzioneA tutte le risorseè selezionato per te. In questo caso, non è possibile modificare questa sezione.

    Se si seleziona una o più operazioni che supportano le autorizzazioni a livello di risorsa, l'editor visivo elenca tali tipi di risorsa nella sezione Resources (Risorse). ScegliereHai scelto le azioni che richiedono ilAcceleratoreTipo di risorsaper scegliere se inserire un acceleratore specifico per il criterio.

  13. Se si desidera consentire l'operazione globalaccelerator:CreateAccelerator per tutte le risorse, scegliere All resources (Tutte le risorse).

    Se si desidera specificare una risorsa, scegliere Add ARN (Aggiungi ARN). Specificare la regione e l'ID account (o l'ID account) (oppure selezionareQualsiasi), quindi immetteremy-example-acceleratorper la risorsa. Quindi scegliere Add (Aggiungi).

  14. Scegliere Specify request conditions (optional) (Specifica le condizioni di richiesta (opzionale)).

  15. ScegliereAggiungi condizionePer concedere l'autorizzazione per creare un acceleratoreentro i successivi 7 giorni. Supponiamo che la data odierna sia il 1° gennaio 2019.

  16. Per Condition Key (Chiave di condizione), scegliere aws:CurrentTime. Questa chiave di condizione controlla la data e l'ora in cui l'utente effettua la richiesta. Restituisce True e pertanto consente l'operazione globalaccelerator:CreateAccelerator solo se la data e l'ora sono comprese nell'intervallo specificato.

  17. PerQualifierMantenere il valore predefinito.

  18. Per specificare l'inizio dell'intervallo di data e ora consentito, in Operator (Operatore) scegliere DateGreaterThan. In Value (Valore), immettere 2019-01-01T00:00:00Z.

  19. Scegliere Add (Aggiungi) per salvare la condizione.

  20. Selezionare Add another condition (Aggiungi un'altra condizione) per specificare la data di fine.

  21. Eseguire una procedura analoga per specificare la fine dell'intervallo di data e ora consentito. Per Condition Key (Chiave di condizione), scegliere aws:CurrentTime. In Operator (Operatore), scegliere DateLessThan. In Value (Valore), immettere 2019-01-06T23:59:59Z, 7 giorni dopo la prima data. Scegliere Add (Aggiungi) per salvare la condizione.

  22. (Facoltativo) Per visualizzare il documento di policy JSON per la policy in fase di creazione, scegliere la casella di controlloJSONScheda. È possibile passare tra le schede Visual editor (Editor visivo) e JSON in qualsiasi momento. Tuttavia, se si apportano modifiche o si sceglieEsamina policynellaVisual editor (Editor visivo)IAM potrebbe modificare la struttura della policy per ottimizzarla per l'editor visivo. Per ulteriori informazioni, consultaModifica della struttura delle policynellaGuida per l'utente di IAM: .

  23. Al termine, selezionare Review policy (Rivedi policy).

  24. SulEsamina policy, perNome, immettereglobalaccelerator:CreateAcceleratorPolicy: . Per Descrizione, immettere Policy to grants permission to create an accelerator. Esaminare il riepilogo della policy per assicurarsi di aver concesso le autorizzazioni corrette e selezionare Create policy (Crea policy) per salvare la nuova policy.

  25. Tornare alla scheda o alla finestra originale e aggiornare l'elenco di policy.

  26. Nella casella di ricerca immetti globalaccelerator:CreateAcceleratorPolicy. Selezionare la casella di controllo accanto alla nuova policy. Quindi selezionare Next Step (Fase successiva).

  27. ScegliereSuccessivo: Review (Revisione)Per visualizzare in anteprima i nuovi utenti. Quando si è pronti per continuare, selezionare Create users (Crea utenti).

  28. Scaricare o copiare le password per i nuovi utenti e consegnarle agli utenti in modo sicuro. Separatamente, fornisci agli utenti uncollegamento alla pagina della console utente IAMe i nomi utente appena creati.

Consente agli utenti di gestire in modo autonomo le proprie credenziali

È necessario avere l'accesso fisico all'hardware che ospiterà il dispositivo MFA virtuale dell'utente per configurare MFA. Ad esempio, è possibile configurare MFA per un utente che utilizzerà un dispositivo MFA virtuale in esecuzione su uno smartphone. In questo caso, è necessario disporre di uno smartphone per completare la procedura guidata. Per questo motivo, è possibile consentire agli utenti di configurare e gestire i propri dispositivi MFA virtuali. In questo caso, è necessario concedere agli utenti le autorizzazioni per eseguire le necessarie operazioni IAM.

Per creare una policy che consenta l'autogestione delle credenziali (console)

  1. Accedere alla Console di gestione AWS e aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, selezionare Policies (Policy) e Create Policy (Crea policy).

  3. Selezionare la scheda JSON e copiare il testo dal documento della seguente policy JSON. Incollare il testo nella casella di testo JSON.

    Importante

    Questo esempio di policy non consente agli utenti di modificare la password durante l'accesso. I nuovi utenti e gli utenti con una password scaduta potrebbero provare a farlo. Per consentire questa operazione, aggiungere iam:ChangePassword e iam:CreateLoginProfile all'istruzione BlockMostAccessUnlessSignedInWithMFA. Tuttavia, IAM sconsiglia di farlo.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAccounts",
            "Effect": "Allow",
            "Action": [
                "iam:ListAccountAliases",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:CreateAccessKey",
                "iam:CreateLoginProfile",
                "iam:DeleteAccessKey",
                "iam:DeleteLoginProfile",
                "iam:GetLoginProfile",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:UpdateLoginProfile",
                "iam:ListSigningCertificates",
                "iam:DeleteSigningCertificate",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate",
                "iam:ListSSHPublicKeys",
                "iam:GetSSHPublicKey",
                "iam:DeleteSSHPublicKey",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowIndividualUserToViewAndManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:ListVirtualMFADevices",
                "iam:EnableMFADevice",
                "iam:ResyncMFADevice",
                "iam:ListAccountAliases",
                "iam:ListUsers",
                "iam:ListSSHPublicKeys",
                "iam:ListAccessKeys",
                "iam:ListServiceSpecificCredentials",
                "iam:ListMFADevices",
                "iam:GetAccountSummary",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

    Che cosa fa questa policy?

    • LaAllowAllUsersToListAccountsconsente all'utente di visualizzare informazioni di base sull'account e i suoi utenti nella console IAM. Queste autorizzazioni devono essere nella propria istruzione perché non supportano o non devono specificare una risorsa ARN specifica e specificano invece "Resource" : "*".

    • LaAllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformationL'istruzione consente all'utente di gestire l'utente, la password, le chiavi di accesso, la firma di certificati, le chiavi pubbliche SSH e le informazioni MFA nella console IAM. Inoltre, consente agli utenti di effettuare l'accesso per la prima volta se un amministratore richiede di impostare una password per la prima volta. La risorsa ARN limita l'uso di queste autorizzazioni solo per l'entità utente IAM dell'utente.

    • L'istruzione AllowIndividualUserToViewAndManageTheirOwnMFA consente all'utente di visualizzare o gestire il proprio dispositivo MFA. Si noti che gli ARN della risorsa in questa istruzione consentono l'accesso a un solo dispositivo MFA o utente con lo stesso nome dell'utente registrato al momento. Gli utenti non possono creare o modificare qualsiasi dispositivo MFA diverso dal proprio.

    • L'istruzione AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA consente all'utente di disattivare solo il proprio dispositivo MFA e solo se l'utente ha effettuato l'accesso utilizzando MFA. Ciò impedisce ad altri con solo le chiavi di accesso (e non il dispositivo MFA) di disattivare il dispositivo MFA e accedere all'account.

    • LaBlockMostAccessUnlessSignedInWithMFAutilizza una combinazione di"Deny"e"NotAction"per negare l'accesso a tutte le azioni tranne alcune in IAM e altri servizi AWSifl'utente non ha effettuato l'accesso con MFA. Per ulteriori informazioni sulla logica di questa istruzione, consultaNotAction con DenynellaGuida per l'utente di IAM: . Se l'utente ha effettuato l'accesso con MFA, il test "Condition" ha esito negativo e l'istruzione "deny" finale non ha effetto, quindi le altre policy o istruzioni per l'utente ne determinano le relative autorizzazioni. Questa istruzione garantisce che quando l'utente non ha effettuato l'accesso con MFA può eseguire solo le operazioni elencate e solo se un'altra istruzione o policy consente l'accesso a tali operazioni.

      La versione ...IfExists dell'operatore Bool garantisce che se la chiave aws:MultiFactorAuthPresent manca, la condizione restituisce true. Questo significa che a un utente che accede a un'API con le credenziali di lungo termine, ad esempio con una chiave di accesso, viene negato l'accesso alle operazioni API non IAM.

  4. Al termine, selezionare Review policy (Rivedi policy).

  5. Nella pagina Review policy (Esamina policy), immettere Force_MFA come nome della policy. Per la descrizione del criterio, immettiThis policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.Consulta la policyRiepilogoPer visualizzare le autorizzazioni concesse dalla policy e selezionareCrea policyPer salvare il proprio lavoro.

    La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegare.

Per collegare la policy a un utente (console)

  1. Nel riquadro di navigazione, seleziona Users (Utenti).

  2. Scegliere il nome (non la casella di controllo) dell'utente che si desidera modificare.

  3. Nella scheda Permissions (Autorizzazioni), scegliere Add permissions (Aggiungi autorizzazioni).

  4. Scegli Attach existing policies directly (Collega direttamente le policy esistenti).

  5. Nella casella di ricerca, immettere Force e selezionare la casella di controllo accanto a Force_MFA nell'elenco. Quindi scegli Next (Successivo): Review (Revisione): .

  6. Rivedere i dettagli e scegliere Add permissions (Aggiungi autorizzazioni).

Abilitare MFA per l'utente IAM

Per maggiore sicurezza, consigliamo a tutti gli utenti IAM di configurare l'autenticazione a più fattori o MFA (Multi-Factor Authentication) per favorire la protezione delle risorse Global Accelerator. L'autenticazione MFA garantisce una maggiore sicurezza poiché richiede agli utenti di fornire autenticazione univoca da un dispositivo MFA supportato da AWS in aggiunta alle normali credenziali di accesso. Il dispositivo AWS MFA più sicuro è la chiave di sicurezza U2F. Se la tua azienda dispone già di dispositivi U2F, ti consigliamo di abilitare quei dispositivi per AWS. In caso contrario, è necessario acquistare un dispositivo per ciascun utente e attendere l'arrivo dell'hardware. Per ulteriori informazioni, consultaAbilitazione di una chiave di sicurezza U2FnellaGuida per l'utente di IAM: .

Se non disponi di un dispositivo U2F, puoi iniziare a utilizzare il prodotto in modo semplice e rapido e a basso costo mediante l'abilitazione di un dispositivo MFA virtuale. Ciò richiede di installare un'applicazione software su un telefono esistente o su un altro dispositivo mobile. Il dispositivo genera un codice numerico di sei cifre basato su un algoritmo di password monouso sincronizzato nel tempo. Quando l'utente accede ad AWS, verrà richiesto di immettere un codice dal dispositivo. Ogni dispositivo MFA virtuale assegnato a un utente deve essere univoco. Per eseguire l'autenticazione, gli utenti non possono immettere un codice generato dal dispositivo MFA virtuale di un altro utente. Per un elenco di alcune delle app supportate che puoi utilizzare come dispositivi MFA virtuali, consulta la pagina Multi-Factor Authentication.

Nota

È necessario avere l'accesso fisico al dispositivo mobile che ospiterà il dispositivo MFA virtuale dell'utente per configurare MFA per un utente IAM.

Per abilitare un dispositivo MFA virtuale per un utente IAM (console)

  1. Accedere alla Console di gestione AWS e aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Users (Utenti).

  3. Nell'elenco Nome utente, selezionare il nome dell'utente MFA in questione.

  4. Selezionare la scheda Security Credentials (Credenziali di sicurezza). Accanto ad Assigned MFA device (Dispositivo MFA assegnato), selezionare Gestione.

  5. Nella procedura guidata Manage MFA Device (Gestisci dispositivo MFA), selezionare Virtual MFA device (Dispositivo MFA virtuale) e scegliere Continua.

    IAM genera e visualizza le informazioni di configurazione per il dispositivo MFA virtuale, tra cui il codice grafico QR. Il grafico è una rappresentazione della "chiave di configurazione segreta" disponibile per l'inserimento manuale sui dispositivi che non supportano i codici QR.

  6. Aprire l'app MFA virtuale.

    Per un elenco delle app che è possibile utilizzare per ospitare i dispositivi MFA virtuali, consultare la pagina Multi-Factor Authentication. Se l'app MFA virtuale supporta più account (più dispositivi MFA virtuali), selezionare l'opzione che consente di creare un nuovo account (un nuovo dispositivo virtuale MFA).

  7. Determinare se l'app MFA supporta i codici QR e procedere in uno dei seguenti modi:

    • Nella procedura guidata, scegliere Show QR code (Mostra codice QR) ed eseguire la scansione del codice QR tramite l'app. Ad esempio, è possibile selezionare l'icona della fotocamera o un'opzione simile a Scan code (Scannerizza codice) ed eseguire la scansione del codice tramite la fotocamera del dispositivo.

    • Nella procedura guidata Manage MFA Device (Gestisci dispositivo MFA), selezionare Show secret key (Mostra chiave segreta) e quindi immettere la chiave segreta nell'app MFA.

    Al termine, il dispositivo MFA virtuale avvia la generazione di password una tantum.

  8. Nella procedura guidata Manage MFA Device (Gestisci dispositivo MFA), nella casella MFA code 1 (Codice MFA 1), immettere la password monouso visualizzata nel dispositivo MFA virtuale. Attendere fino a un massimo di 30 secondi prima che il dispositivo generi una nuova password una tantum. Immettere quindi la seconda password monouso nella casella MFA code 2 (Codice MFA 2). Scegliere Assign MFA (Assegna MFA).

    Importante

    Inviare la richiesta immediatamente dopo la generazione dei codici. Se si generano i codici e si attende troppo a lungo per inviare la richiesta, il dispositivo MFA si associa correttamente con l'utente ma il dispositivo MFA non viene sincronizzato. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo. Per ulteriori informazioni, consultaRisincronizzazione dei dispositivi MFA virtuali e hardwarenellaGuida per l'utente di IAM: .

    Il dispositivo MFA virtuale ora è pronto per l'uso con AWS.