ACCT.03 Configurare l'accesso alla console per ogni utente - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

ACCT.03 Configurare l'accesso alla console per ogni utente

Come best practice, AWS consiglia di utilizzare credenziali temporanee per concedere l'accesso alle risorse e alle Account AWS risorse. Le credenziali di sicurezza provvisorie hanno una durata limitata, perciò non è necessario ruotarle o revocarle in modo esplicito quando non sono più necessarie. Per ulteriori informazioni, consulta Credenziali di sicurezza temporanee (IAMdocumentazione).

Per gli utenti umani, AWS consiglia di utilizzare identità federate di un provider di identità centralizzato (IdP), come AWS IAM Identity Center Okta, Active Directory o Ping Identity. La federazione degli utenti consente di definire le identità in un'unica posizione centrale e gli utenti possono autenticarsi in modo sicuro su più applicazioni e siti Web, anche AWS utilizzando un solo set di credenziali. Per ulteriori informazioni, vedere Identity Federation in AWS and IAMIdentity Center (sito Web).AWS

Nota

La federazione delle identità può complicare la transizione da un'architettura a singolo account a un'architettura multi-account. È normale che le startup ritardino l'implementazione della federazione delle identità fino a quando non stabiliscono un'architettura multi-account gestita in AWS Organizations.

Per configurare la federazione delle identità

  1. Se utilizzi IAM Identity Center, vedi Guida introduttiva (documentazione di IAM Identity Center).

    Se utilizzi un IdP esterno o di terze parti, consulta Provider di identità e federazione (IAMdocumentazione).

  2. Assicurati che il tuo IdP applichi l'autenticazione a più fattori (). MFA

  3. Applica le autorizzazioni in base a ACCT.04 Assegnare autorizzazioni.

Per le startup che non sono preparate a configurare la federazione delle identità, puoi creare utenti direttamente in. IAM Questa non è una best practice di sicurezza consigliata in quanto si tratta di credenziali a lungo termine che non scadono mai. Tuttavia, questa è una pratica comune per le startup nelle prime fasi operative per evitare difficoltà nel passaggio a un'architettura multi-account quando sono pronte dal punto di vista operativo.

Come base, puoi creare un IAM utente per ogni persona che deve accedere a. AWS Management Console Se configurate IAM gli utenti, non condividete le credenziali tra gli utenti e ruotate regolarmente le credenziali a lungo termine.

avvertimento

IAMgli utenti dispongono di credenziali a lungo termine, il che rappresenta un rischio per la sicurezza. Per contribuire a mitigare questo rischio, si consiglia di fornire a questi utenti solo le autorizzazioni necessarie per eseguire l'attività e di rimuoverli quando non sono più necessari.

Per creare un utente IAM

  1. Creare IAM utenti (IAMdocumentazione).

  2. Applica le autorizzazioni in base a ACCT.04 Assegnare autorizzazioni.