ACCT.03 - Configura l'accesso alla console per ogni utente - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

ACCT.03 - Configura l'accesso alla console per ogni utente

Come procedura ottimale, AWS consiglia di utilizzare credenziali temporanee per concedere l'accesso a Account AWS risorse e risorse. Le credenziali di sicurezza provvisorie hanno una durata limitata, perciò non è necessario ruotarle o revocarle in modo esplicito quando non sono più necessarie. Per ulteriori informazioni, consulta Credenziali di sicurezza provvisorie (documentazione di IAM).

Per gli utenti umani, AWS consiglia di utilizzare identità federate di un provider di identità centralizzato (IdP), come AWS IAM Identity Center Okta, Active Directory o Ping Identity. La federazione degli utenti consente di definire le identità in un'unica posizione centrale e gli utenti possono autenticarsi in modo sicuro su più applicazioni e siti Web, anche AWS utilizzando un solo set di credenziali. Per ulteriori informazioni, consulta Identity Federation in AWS e IAM Identity Center (sito Web).AWS

Nota

La federazione delle identità può complicare la transizione da un'architettura a singolo account a un'architettura multi-account. È normale che le startup ritardino l'implementazione della federazione delle identità fino a quando non stabiliscono un'architettura multi-account gestita in AWS Organizations.

Per configurare la federazione delle identità

  1. Se utilizzi IAM Identity Center, consulta Nozioni di base (documentazione di IAM Identity Center).

    Se utilizzi un IdP esterno o di terze parti, consulta Creazione di provider di identità IAM (documentazione di IAM).

  2. Assicurati che il tuo IdP applichi l'autenticazione a più fattori (MFA).

  3. Applica le autorizzazioni in base a ACCT.04 - Assegna autorizzazioni.

Per le startup che non sono preparate a configurare la federazione delle identità, puoi creare utenti direttamente in IAM. Questa non è una best practice di sicurezza consigliata in quanto si tratta di credenziali a lungo termine che non scadono mai. Tuttavia, questa è una pratica comune per le startup nelle prime fasi operative per evitare difficoltà nel passaggio a un'architettura multi-account quando sono pronte dal punto di vista operativo.

Di base, puoi creare un utente IAM per ogni persona che deve accedere a AWS Management Console. Se configuri utenti IAM, non condividere le credenziali tra gli utenti e ruota regolarmente le credenziali a lungo termine.

avvertimento

Gli utenti IAM dispongono di credenziali a lungo termine, il che rappresenta un rischio per la sicurezza. Per contribuire a mitigare questo rischio, ti consigliamo di fornire a questi utenti solo le autorizzazioni necessarie per eseguire l'attività e di rimuoverli quando non sono più necessari.

Per creare un utente IAM

  1. Crea utenti IAM (documentazione di IAM).

  2. Applica le autorizzazioni in base a ACCT.04 - Assegna autorizzazioni.