Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Controllo dell’uso delle chiavi di accesso collegando una policy inline a un utente IAM Come best practice, consigliamo di [far utilizzare ai carichi di lavoro credenziali temporanee con ruoli IAM](best-practices.md#bp-workloads-use-roles) per l’accesso ad AWS. Agli utenti IAM con chiavi di accesso deve essere assegnato l’accesso con privilegio minimo e deve essere abilitata l’[autenticazione a più fattori (MFA)](id_credentials_mfa.md). Per ulteriori informazioni sull’assunzione dei ruoli IAM, consulta [Metodi per assumere un ruolo](id_roles_manage-assume.md). Tuttavia, se stai creando un test proof of concept di un’automazione di servizio o un altro caso d’uso a breve termine e scegli di eseguire carichi di lavoro utilizzando un utente IAM con chiavi di accesso, ti consigliamo di [utilizzare le condizioni di policy per limitare ulteriormente l’accesso](best-practices.md#use-policy-conditions) alle sue credenziali utente IAM. In questa situazione puoi creare una policy a tempo limitato che faccia scadere le credenziali dopo il tempo specificato oppure, se stai eseguendo un carico di lavoro da una rete sicura, puoi utilizzare una policy di limitazione dell’IP. Per entrambi questi casi d’uso, puoi utilizzare una policy inline collegata all’utente IAM che dispone delle chiavi di accesso. **Per configurare una policy a tempo limitato per un’utente IAM** 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Nel pannello di navigazione, scegli **Utenti**, quindi seleziona l’utente per il caso d’uso a breve termine. Se non hai ancora creato l’utente, puoi [crearlo](getting-started-workloads.md) ora. 1. Nella pagina **Dettagli**, scegli la scheda **Autorizzazioni**. 1. Scegli **Aggiungi autorizzazioni**, quindi scegli **Crea policy inline**. 1. Nella sezione **Editor di policy**, seleziona **JSON** per visualizzare l’editor JSON. 1. Nell’editor JSON, immetti la seguente policy, sostituendo il valore del timestamp `aws:CurrentTime` con la data e l’ora di scadenza desiderate: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2025-03-01T00:12:00Z" } } } ] } ``` ------ Questa policy utilizza l’effetto `Deny` per limitare tutte le operazioni su tutte le risorse dopo la data specificata. La condizione `DateGreaterThan` confronta l’ora corrente con il timestamp impostato. 1. Seleziona **Next** (Successivo) per passare alla pagina **Review and create** (Rivedi e crea). Nei dettagli della **Policy**, in **Nome della policy** inserisci un nome per la policy, quindi scegli **Crea policy**. Una volta creata, la policy viene visualizzata nella scheda **Autorizzazioni** per l’utente. Quando l'ora corrente è maggiore o uguale all'ora specificata nella policy, l'utente non avrà più accesso alle AWS risorse. Assicurati di informare gli sviluppatori dei carichi di lavoro della data di scadenza specificata per queste chiavi di accesso. **Per configurare una policy di limitazione dell’IP per un utente IAM** 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Nel pannello di navigazione, scegli **Utenti**, quindi seleziona l’utente che eseguirà il carico di lavoro dalla rete sicura. Se non hai ancora creato l’utente, puoi [crearlo](getting-started-workloads.md) ora. 1. Nella pagina **Dettagli**, scegli la scheda **Autorizzazioni**. 1. Scegli **Aggiungi autorizzazioni**, quindi scegli **Crea policy inline**. 1. Nella sezione **Editor di policy**, seleziona **JSON** per visualizzare l’editor JSON. 1. Copia la seguente policy IAM nell'editor JSON e modifica il pubblico, IPv6 gli indirizzi IPv4 o gli intervalli in base alle tue esigenze. Puoi usare [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/)per determinare il tuo attuale indirizzo IP pubblico. Puoi specificare singoli indirizzi IP o intervalli di indirizzi IP utilizzando la notazione slash. Per ulteriori informazioni, consulta [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). **Nota** Gli indirizzi IP non devono essere offuscati da una VPN o da un server proxy. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid":"IpRestrictionIAMPolicyForIAMUser", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64", "203.0.114.1" ] }, "BoolIfExists": { "aws:ViaAWSService": "false" } } } ] } ``` ------ Questo esempio di policy nega l'uso delle chiavi di accesso di un utente IAM con questa policy applicata, a meno che la richiesta non provenga dalle reti (specificate nella notazione CIDR) «203.0.113.0/24», «2001:: 1234:5678DB8: :/64» o dall'indirizzo IP specifico «203.0.114.1» 1. Seleziona **Next** (Successivo) per passare alla pagina **Review and create** (Rivedi e crea). Nei dettagli della **Policy**, in **Nome della policy** inserisci un nome per la policy, quindi scegli **Crea policy**. Una volta creata, la policy viene visualizzata nella scheda **Autorizzazioni** per l’utente. Puoi anche applicare questa politica come policy di controllo del servizio (SCP) su più AWS account in AWS Organizations, ti consigliamo di utilizzare una condizione aggiuntiva, `aws:PrincipalArn` per fare in modo che questa dichiarazione di politica si applichi solo agli utenti IAM all'interno degli AWS account soggetti a questo SCP. La seguente politica include tale aggiornamento: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "IpRestrictionServiceControlPolicyForIAMUsers", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64", "203.0.114.1" ] }, "BoolIfExists": { "aws:ViaAWSService": "false" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:user/*" } } } ] } ``` ------