Accesso Single Sign-On a Account AWS - AWS IAM Identity Center
Assegna l'accesso utente a Account AWSRimuovi l'accesso a utenti e gruppiRevoca una sessione attiva del set di autorizzazioniDelega chi può assegnare l'accesso Single Sign-On a utenti e gruppi nell'account di gestione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso Single Sign-On a Account AWS

È possibile assegnare agli utenti della directory connessa le autorizzazioni all'account di gestione o agli account dei membri dell'organizzazione in AWS Organizations base alle funzioni lavorative comuni. In alternativa, è possibile utilizzare autorizzazioni personalizzate per soddisfare i requisiti specifici di sicurezza. Ad esempio, puoi concedere agli amministratori di database ampie autorizzazioni ad Amazon RDS negli account di sviluppo, ma limitare le loro autorizzazioni negli account di produzione. IAM Identity Center configura automaticamente tutte le autorizzazioni utente necessarie. Account AWS

Nota

Potrebbe essere necessario concedere a utenti o gruppi le autorizzazioni per operare nell' AWS Organizations account di gestione. Poiché si tratta di un account altamente privilegiato, ulteriori restrizioni di sicurezza richiedono che tu disponga della FullAccess policy IAM o di autorizzazioni equivalenti prima di poterlo configurare. Queste restrizioni di sicurezza aggiuntive non sono richieste per nessuno degli account membri dell'organizzazione. AWS

Assegna l'accesso utente a Account AWS

Utilizzare la procedura seguente per assegnare l'accesso Single Sign-On a utenti e gruppi nella directory connessa e utilizzare i set di autorizzazioni per determinarne il livello di accesso.

Per verificare l'accesso esistente di utenti e gruppi, vedere. Visualizza le assegnazioni di utenti e gruppi

Nota

Per semplificare l'amministrazione delle autorizzazioni di accesso, ti consigliamo di assegnare l'accesso direttamente ai gruppi anziché ai singoli utenti. I gruppi ti consentono di concedere o negare autorizzazioni a più utenti senza dover applicare tali autorizzazioni a ogni singola persona. Se un utente passa a un'altra organizzazione, devi solo spostare tale utente in un altro gruppo affinché riceva automaticamente le autorizzazioni necessarie per la nuova organizzazione.

Per assegnare l'accesso a utenti o gruppi a Account AWS

  1. Apri la console IAM Identity Center.

    Nota

    Assicurati che la console IAM Identity Center utilizzi la regione in cui si trova la tua AWS Managed Microsoft AD directory prima di passare alla fase successiva.

  2. Nel pannello di navigazione, in Autorizzazioni multiaccount, scegli. Account AWS

  3. Nella Account AWSpagina viene visualizzato un elenco ad albero della tua organizzazione. Seleziona la casella di controllo accanto a una o più Account AWS a cui desideri assegnare l'accesso Single Sign-On.

    Nota

    Puoi selezionarne fino a 10 Account AWS alla volta per set di autorizzazioni quando assegni l'accesso Single Sign-On a utenti e gruppi. Per assegnare più di 10 utenti e gruppi Account AWS allo stesso set di utenti e gruppi, ripeti questa procedura come richiesto per gli account aggiuntivi. Quando richiesto, seleziona gli stessi utenti, gruppi e set di autorizzazioni.

  4. Scegli Assegna utenti o gruppi.

  5. Per il Passaggio 1: Seleziona utenti e gruppi, nella pagina Assegna utenti e gruppi a "AWS-account-name", procedi come segue:

    1. Nella scheda Utenti, seleziona uno o più utenti a cui concedere l'accesso Single Sign-On.

      Per filtrare i risultati, inizia a digitare il nome dell'utente che desideri nella casella di ricerca.

    2. Nella scheda Gruppi, seleziona uno o più gruppi a cui concedere l'accesso Single Sign-On.

      Per filtrare i risultati, inizia a digitare il nome del gruppo che desideri nella casella di ricerca.

    3. Per visualizzare gli utenti e i gruppi selezionati, scegli il triangolo laterale accanto a Utenti e gruppi selezionati.

    4. Dopo aver confermato che sono stati selezionati gli utenti e i gruppi corretti, scegli Avanti.

  6. Per il passaggio 2: selezione dei set di autorizzazioni, nella pagina Assegna set di autorizzazioni a "AWS-account-name", procedi come segue:

    1. Seleziona uno o più set di autorizzazioni. Se necessario, è possibile creare e selezionare nuovi set di autorizzazioni.

      • Per selezionare uno o più set di autorizzazioni esistenti, in Set di autorizzazioni, seleziona i set di autorizzazioni che desideri applicare agli utenti e ai gruppi selezionati nel passaggio precedente.

      • Per creare uno o più nuovi set di autorizzazioni, scegli Crea set di autorizzazioni e segui i passaggi indicatiCrea un set di autorizzazioni.. Dopo aver creato i set di autorizzazioni che desideri applicare, nella console IAM Identity Center, torna Account AWSe segui le istruzioni fino a raggiungere la Fase 2: Seleziona i set di autorizzazioni. Una volta raggiunto questo passaggio, seleziona i nuovi set di autorizzazioni che hai creato e procedi al passaggio successivo di questa procedura.

    2. Dopo aver confermato che sono stati selezionati i set di autorizzazioni corretti, scegli Avanti.

  7. Per la Fase 3: Revisione e invio, nella pagina Rivedi e invia le assegnazioni a "AWS-account-name", procedi come segue:

    1. Rivedi gli utenti, i gruppi e i set di autorizzazioni selezionati.

    2. Dopo aver verificato che siano selezionati gli utenti, i gruppi e i set di autorizzazioni corretti, scegli Invia.

      Importante

      Il completamento del processo di assegnazione di utenti e gruppi potrebbe richiedere alcuni minuti. Lascia aperta questa pagina fino al completamento del processo.

      Nota

      Potrebbe essere necessario concedere a utenti o gruppi le autorizzazioni per operare nell'account di AWS Organizations gestione. Poiché si tratta di un account altamente privilegiato, ulteriori restrizioni di sicurezza richiedono che tu disponga della FullAccess policy IAM o di autorizzazioni equivalenti prima di poterlo configurare. Queste restrizioni di sicurezza aggiuntive non sono richieste per nessuno degli account membri dell'organizzazione. AWS

Rimuovi l'accesso a utenti e gruppi

Utilizzare questa procedura per rimuovere l'accesso Single Sign-On a uno Account AWS o più utenti e gruppi nella directory connessa.

Per rimuovere l'accesso di utenti e gruppi a un Account AWS

  1. Apri la console IAM Identity Center.

  2. Nel riquadro di navigazione, in Autorizzazioni multiaccount, scegli. Account AWS

  3. Nella Account AWSpagina viene visualizzato un elenco ad albero della tua organizzazione. Seleziona il nome dell'account Account AWS che contiene gli utenti e i gruppi per i quali desideri rimuovere l'accesso Single Sign-On.

  4. Nella pagina Panoramica relativa a Account AWS, in Utenti e gruppi assegnati, seleziona il nome di uno o più utenti o gruppi e scegli Rimuovi accesso.

  5. Nella finestra di dialogo Rimuovi accesso, conferma che i nomi degli utenti o dei gruppi siano corretti e scegli Rimuovi accesso.

Revoca le sessioni di ruolo IAM attive create dai set di autorizzazioni

Di seguito è riportata una procedura generale per revocare una sessione attiva del set di autorizzazioni per un utente IAM Identity Center. La procedura presuppone che si desideri rimuovere tutti gli accessi per un utente che ha credenziali compromesse o per un malintenzionato presente nel sistema. Il prerequisito è aver seguito le indicazioni contenute in. Preparati a revocare una sessione di ruolo IAM attiva creata da un set di autorizzazioni Partiamo dal presupposto che la politica di negazione totale sia presente in una politica di controllo del servizio (SCP).

Nota

AWS consiglia di creare un'automazione per gestire tutti i passaggi tranne le operazioni relative alla sola console.

  1. Ottieni l'ID utente della persona a cui devi revocare l'accesso. Puoi utilizzare le API dell'archivio di identità per trovare l'utente in base al suo nome utente.

  2. Aggiorna la politica Deny per aggiungere l'ID utente dal passaggio 1 della tua policy di controllo del servizio (SCP). Dopo aver completato questo passaggio, l'utente di destinazione perde l'accesso e non è in grado di intraprendere azioni con i ruoli interessati dalla policy.

  3. Rimuove tutte le assegnazioni dei set di autorizzazioni per l'utente. Se l'accesso viene assegnato tramite l'appartenenza ai gruppi, rimuovi l'utente da tutti i gruppi e da tutte le assegnazioni dirette dei set di autorizzazioni. Questo passaggio impedisce all'utente di assumere ruoli IAM aggiuntivi. Se un utente ha una sessione attiva del portale di AWS accesso e lo disabiliti, può continuare ad assumere nuovi ruoli fino a quando non rimuovi il suo accesso.

  4. Se utilizzi un provider di identità (IdP) o Microsoft Active Directory come origine di identità, disabilita l'utente nell'origine dell'identità. La disabilitazione dell'utente impedisce la creazione di sessioni aggiuntive del portale di AWS accesso. Usa la documentazione dell'API IdP o Microsoft Active Directory per scoprire come automatizzare questo passaggio. Se utilizzi la directory IAM Identity Center come fonte di identità, non disabilitare ancora l'accesso degli utenti. Disabiliterai l'accesso degli utenti nel passaggio 6.

  5. Nella console IAM Identity Center, trova l'utente ed elimina la sua sessione attiva.

    1. Scegliere Users (Utenti).

    2. Scegli l'utente di cui desideri eliminare la sessione attiva.

    3. Nella pagina dei dettagli dell'utente, scegli la scheda Sessioni attive.

    4. Seleziona le caselle di controllo accanto alle sessioni che desideri eliminare e scegli Elimina sessione.

    Ciò garantisce che la sessione del portale di AWS accesso dell'utente si interrompa entro circa 60 minuti. Scopri la durata della sessione.

  6. Nella console IAM Identity Center, disabilita l'accesso degli utenti.

    1. Scegliere Users (Utenti).

    2. Scegli l'utente di cui desideri disabilitare l'accesso.

    3. Nella pagina dei dettagli dell'utente, espandi Informazioni generali e scegli il pulsante Disabilita l'accesso utente per impedire ulteriori accessi dell'utente.

  7. Lascia in vigore la politica di rifiuto per almeno 12 ore. In caso contrario, l'utente con una sessione attiva del ruolo IAM avrà ripristinato le azioni con il ruolo IAM. Se attendi 12 ore, le sessioni attive scadono e l'utente non potrà più accedere al ruolo IAM.

Importante

Se disabiliti l'accesso di un utente prima di interrompere la sessione utente (hai completato il passaggio 6 senza completare il passaggio 5), non puoi più interrompere la sessione utente tramite la console IAM Identity Center. Se disabiliti inavvertitamente l'accesso utente prima di interrompere la sessione utente, puoi riabilitare l'utente, interrompere la sua sessione e quindi disabilitare nuovamente il suo accesso.

Ora puoi modificare le credenziali dell'utente se la sua password è stata compromessa e ripristinare le sue assegnazioni.

Delega chi può assegnare l'accesso Single Sign-On a utenti e gruppi nell'account di gestione

L'assegnazione dell'accesso Single Sign-On all'account di gestione utilizzando la console IAM Identity Center è un'azione privilegiata. Per impostazione predefinita, solo uno Utente root dell'account AWS o un utente a cui sono associate le policy AWSSSOMasterAccountAdministratore le policy IAMFullAccess AWS gestite possono assegnare l'accesso Single Sign-On all'account di gestione. Le IAMFullAccesspolicy AWSSSOMasterAccountAdministratore gestiscono l'accesso Single Sign-On all'account di gestione all'interno di un'organizzazione. AWS Organizations

Utilizza i seguenti passaggi per delegare le autorizzazioni per gestire l'accesso Single Sign-On a utenti e gruppi nella tua directory.

Per concedere le autorizzazioni per gestire l'accesso Single Sign-On a utenti e gruppi presenti nella tua directory

  1. Accedi alla console IAM Identity Center come utente root dell'account di gestione o con un altro utente che dispone delle autorizzazioni di amministratore per l'account di gestione.

  2. Segui i passaggi indicati Crea un set di autorizzazioni. per creare un set di autorizzazioni, quindi procedi come segue:

    1. Nella pagina Crea nuovo set di autorizzazioni, seleziona la casella di controllo Crea un set di autorizzazioni personalizzato, quindi scegli Avanti: dettagli.

    2. Nella pagina Crea nuovo set di autorizzazioni, specifica un nome per il set di autorizzazioni personalizzato e, facoltativamente, una descrizione. Se necessario, modificate la durata della sessione e specificate un URL dello stato di inoltro.

      Nota

      Per l'URL dello stato di inoltro, è necessario specificare un URL che si trova in. AWS Management Console Per esempio:

      https://console.aws.amazon.com/ec2/

      Per ulteriori informazioni, consulta Imposta lo stato del relè.

    3. In Quali politiche desideri includere nel tuo set di autorizzazioni? , seleziona la casella di controllo Allega politiche AWS gestite.

    4. Nell'elenco delle politiche IAM, scegli sia le AWSSSOMasterAccountAdministratorpolitiche gestite che quelle IAMFullAccess AWS gestite. Queste politiche concedono le autorizzazioni a tutti gli utenti e i gruppi a cui verrà assegnato l'accesso a questo set di autorizzazioni in futuro.

    5. Scegli Successivo: Tag.

    6. In Aggiungi tag (opzionale), specifica i valori per Chiave e Valore (opzionale), quindi scegli Avanti: revisione. Per ulteriori informazioni sui tag, consulta Tagging delle risorse AWS IAM Identity Center.

    7. Controlla le selezioni effettuate, quindi scegli Crea.

  3. Segui i passaggi indicati Assegna l'accesso utente a Account AWS per assegnare gli utenti e i gruppi appropriati al set di autorizzazioni appena creato.

  4. Comunica quanto segue agli utenti assegnati: quando accedono al portale di AWS accesso e scelgono la scheda Account, devono scegliere il nome del ruolo appropriato da autenticare con le autorizzazioni che hai appena delegato.