Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Creare un utente IAM per carichi di lavoro che non possono utilizzare i ruoli IAM
**Importante**
Come [best practice](best-practices.md#lock-away-credentials), ti consigliamo di richiedere agli utenti umani di utilizzare [credenziali temporanee](id_credentials_temp.md) per l'accesso. AWS
In alternativa, puoi gestire le tue identità utente, incluso l’utente amministrativo, con [AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html). Consigliamo di utilizzare Centro identità IAM per gestire l’accesso ai tuoi account e le autorizzazioni all’interno di questi account. Se utilizzi un provider di identità esterno, puoi configurare le autorizzazioni di accesso per le identità degli utenti nel Centro identità IAM.
Se il tuo caso d'uso richiede utenti IAM con accesso programmatico e credenziali a lungo termine, si consiglia di stabilire procedure per aggiornare le chiavi di accesso all'occorrenza. Per ulteriori informazioni, consulta [Aggiornare le chiavi di accesso](id-credentials-access-keys-update.md).
Per eseguire alcune attività di gestione di account e servizi, è necessario effettuare l'accesso utilizzando le credenziali dell'utente root. Per visualizzare le attività che richiedono l'accesso come utente root, consulta [Attività che richiedono credenziali dell'utente root](id_root-user.md#root-user-tasks).
## Per creare un utente IAM per carichi di lavoro che non possono utilizzare i ruoli IAM
**Autorizzazioni minime**
Per eseguire le seguenti operazioni, devi disporre come minimo delle seguenti autorizzazioni IAM:
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateAccessKey`
`iam:CreateGroup`
`iam:CreateServiceSpecificCredential`
`iam:CreateUser`
`iam:GetAccessKeyLastUsed`
`iam:GetAccountPasswordPolicy`
`iam:GetAccountSummary`
`iam:GetGroup`
`iam:GetLoginProfile`
`iam:GetPolicy`
`iam:GetRole`
`iam:GetUser`
`iam:ListAccessKeys`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListInstanceProfilesForRole`
`iam:ListMFADevices`
`iam:ListPolicies`
`iam:ListRoles`
`iam:ListRoleTags`
`iam:ListSSHPublicKeys`
`iam:ListServiceSpecificCredentials`
`iam:ListSigningCertificates`
`iam:ListUserPolicies`
`iam:ListUserTags`
`iam:ListUsers`
`iam:UploadSSHPublicKey`
`iam:UploadSigningCertificate`
------
#### [ Console ]
1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento [Come accedere ad AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l'utente di AWS Sign-In*.
1. Nella **home page della console IAM**, nel pannello di navigazione a sinistra, immetti la query nella casella di testo **Cerca IAM**.
1. Nel riquadro di navigazione, seleziona **Utenti**, quindi scegli **Crea utenti**.
1. Nella pagina **Specifica dettagli utente**, procedi come segue:
1. Per **Nome utente**, digita ***WorkloadName***. Sostituisci ***WorkloadName*** con il nome del carico di lavoro che utilizzerà l'account.
1. Scegli **Next (Successivo)**.
1. (Facoltativo) Nella pagina **Imposta autorizzazioni**, procedi nel modo seguente:
1. Scegli **Add user to group (Aggiungi utente al gruppo)**.
1. Seleziona **Crea gruppo**.
1. Nella finestra di dialogo **Crea gruppo di utenti**, in **Nome gruppo di utenti**, inserisci un nome che rappresenti l'uso dei carichi di lavoro nel gruppo. Per questo esempio, usa il nome **Automation**.
1. In **Politiche di autorizzazione** seleziona la casella di controllo per la politica gestita **PowerUserAccess**.
**Suggerimento**
Inserisci *Power* nella casella di ricerca **Policy di autorizzazione** per trovare rapidamente la policy gestita.
1. Scegli **Create user group** (Crea gruppo di utenti).
1. Di nuovo nella pagina con l'elenco dei gruppi IAM, seleziona la casella di controllo per il nuovo gruppo di utenti. Scegli **Aggiorna** se il nuovo gruppo di utenti non viene visualizzato nell'elenco.
1. Scegli **Next (Successivo)**.
1. (Facoltativo) Nella sezione **Tag** aggiungi i metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni, consulta [Tag per AWS Identity and Access Management le risorse](id_tags.md).
1. Verifica le appartenenze ai gruppi di utenti per il nuovo utente. Quando sei pronto per continuare, seleziona **Crea utente**.
1. Viene visualizzata una notifica di stato che informa che l'utente è stato creato correttamente. Seleziona **Visualizza utente** per accedere alla pagina dei dettagli dell'utente.
1. Seleziona la scheda **Credenziali di sicurezza**. Crea quindi le credenziali necessarie per il carico di lavoro.
+ **Chiavi di accesso**: seleziona **Crea chiave di accesso** per generare e scaricare le chiavi di accesso per l'utente.
**Importante**
Questa è la tua unica opportunità per visualizzare o scaricare le chiavi di accesso segrete e devi fornire queste informazioni agli utenti prima che possano utilizzare l' AWS API. Salva i nuovi ID chiave di accesso e Secret Access Key dell'utente in un luogo sicuro. **Successivamente a questa fase non sarà più possibile accedere alle chiavi segrete.**
+ **Chiavi pubbliche SSH per AWS CodeCommit**: seleziona **Carica chiave pubblica SSH per caricare una chiave pubblica** SSH in modo che l'utente possa comunicare con CodeCommit i repository tramite SSH.
+ **Credenziali HTTPS Git per AWS CodeCommit** —Seleziona **Genera credenziali** per generare un set unico di credenziali utente da utilizzare con i repository Git. Seleziona **Scarica credenziali** per salvare il nome utente e la password in un file .csv. Questa è l'unica volta in cui le informazioni sono disponibili. Se dimentichi o perdi la password, dovrai reimpostarla.
+ **Credenziali per Amazon Keyspaces (per Apache Cassandra)**: seleziona **Genera credenziali** per generare le credenziali utente specifiche del servizio da utilizzare con Amazon Keyspaces. Seleziona **Scarica credenziali** per salvare il nome utente e la password in un file .csv. Questa è l'unica volta in cui le informazioni sono disponibili. Se dimentichi o perdi la password, dovrai reimpostarla.
**Importante**
Le credenziali specifiche del servizio sono credenziali a lungo termine associate a uno specifico utente IAM e possono essere utilizzate solo per il servizio per cui sono state create. Per concedere ai ruoli IAM o alle identità federate le autorizzazioni per accedere a tutte le tue AWS risorse utilizzando credenziali temporanee, utilizza AWS l'autenticazione con il plug-in di autenticazione SigV4 per Amazon Keyspaces. Per ulteriori informazioni, consulta [Utilizzo di credenziali temporanee per connettersi ad Amazon Keyspaces (per Apache Cassandra) utilizzando un ruolo IAM e il plugin SIGv4](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM) nella *Guida per gli sviluppatori di Amazon Keyspaces (per Apache Cassandra)*.
+ **Certificati di firma X.509**: seleziona **Crea certificato X.509** se devi effettuare richieste sicure con il protocollo SOAP e ti trovi in una regione non supportata da. AWS Certificate Manager ACM è lo strumento preferito per il provisioning, la gestione e la distribuzione dei certificati del server. Per ulteriori informazioni sull'utilizzo di ACM, consulta la [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
Hai creato un utente con accesso programmatico e lo hai configurato con la funzione job. **PowerUserAccess** La politica di autorizzazione di questo utente garantisce l'accesso completo a tutti i servizi ad eccezione di IAM e. AWS Organizations
Puoi utilizzare lo stesso processo per concedere a carichi di lavoro aggiuntivi l'accesso programmatico alle tue Account AWS risorse, se i carichi di lavoro non sono in grado di assumere ruoli IAM. Questa procedura ha utilizzato la policy **PowerUserAccess**gestita per assegnare le autorizzazioni. Per seguire la best practice del privilegio minimo, prendi in considerazione l'utilizzo di una policy più restrittiva o la creazione di una policy personalizzata che limiti l'accesso alle sole risorse richieste dal programma. Per ulteriori informazioni sull'utilizzo di politiche che limitano le autorizzazioni degli utenti a AWS risorse specifiche, consulta e. [Gestione degli accessi AWS alle risorse](access.md) [Esempi di policy basate su identità IAM](access_policies_examples.md) Per aggiungere altri utenti al gruppo di utenti dopo averlo creato, consulta [Modificare gli utenti nei gruppi IAM](id_groups_manage_add-remove-users.md).
------
#### [ AWS CLI ]
1. Crea un utente denominato **Automation**.
+ [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)
```
aws iam create-user \
--user-name Automation
```
1. Crea un gruppo di utenti IAM denominato**AutomationGroup**, collega la policy AWS gestita `PowerUserAccess` al gruppo, quindi aggiungi l'**Automation**utente al gruppo.
**Nota**
Una *policy gestita da AWS * è una policy autonoma che viene creata e amministrata da AWS. Ogni policy ha il proprio nome della risorsa Amazon (ARN) che include il nome della policy. Ad esempio, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` è una politica AWS gestita. Per ulteriori informazioni su ARNs, vedere[IAM ARNs](reference_identifiers.md#identifiers-arns). Per un elenco delle politiche AWS gestite per Servizi AWS, consulta [le politiche AWS gestite](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)
```
aws iam create-group \
--group-name AutomationGroup
```
+ [era io attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
--group-name AutomationGroup
```
+ [era io add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)
```
aws iam add-user-to-group \
--user-name Automation \
--group-name AutomationGroup
```
+ Esegui il comando [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) per elencare **AutomationGroup** e i relativi membri.
```
aws iam get-group \
--group-name AutomationGroup
```
1. Crea quindi le credenziali di sicurezza necessarie per il carico di lavoro.
+ **Crea chiavi di accesso per i test** — [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
```
aws iam create-access-key \
--user-name Automation
```
Il risultato di questo comando mostra la chiave di accesso segreta e l'ID chiave di accesso. Registra e archivia queste informazioni in un posto sicuro. Se queste credenziali vengono perse, non possono essere recuperate e dovrai creare una nuova chiave di accesso.
**Importante**
Queste chiavi di accesso dell'utente IAM sono credenziali a lungo termine che presentano un rischio per la sicurezza del tuo account. Una volta completato il test, ti consigliamo di eliminare queste chiavi di accesso. Se hai scenari in cui stai considerando le chiavi di accesso, verifica se puoi abilitare l'MFA per il tuo utente IAM del carico di lavoro e usa [aws sts get-session-token](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) per ottenere credenziali temporanee per la sessione invece di utilizzare le chiavi di accesso IAM.
+ **Carica le chiavi pubbliche SSH** [per — aws iam AWS CodeCommit upload-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html)
Nel seguente esempio si assume che le tue chiavi pubbliche SSH siano memorizzate nel file `sshkey.pub`.
```
aws upload-ssh-public-key \
--user-name Automation \
--ssh-public-key-body file://sshkey.pub
```
+ **Carica un certificato di firma X.509**[: aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)
Carica un certificato X.509 se devi effettuare richieste sicure con il protocollo SOAP e ti trovi in una regione non supportata da. AWS Certificate Manager ACM è lo strumento preferito per il provisioning, la gestione e la distribuzione dei certificati del server. Per ulteriori informazioni sull'utilizzo di ACM, consulta la [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
Nell'esempio seguente si assume che il certificato di firma X.509 sia memorizzato nel file `certificate.pem`.
```
aws iam upload-signing-certificate \
--user-name Automation \
--certificate-body file://certificate.pem
```
Puoi utilizzare lo stesso processo per concedere a carichi di lavoro aggiuntivi l'accesso programmatico alle tue Account AWS risorse, se i carichi di lavoro non sono in grado di assumere ruoli IAM. Questa procedura ha utilizzato la policy **PowerUserAccess**gestita per assegnare le autorizzazioni. Per seguire la best practice del privilegio minimo, prendi in considerazione l'utilizzo di una policy più restrittiva o la creazione di una policy personalizzata che limiti l'accesso alle sole risorse richieste dal programma. Per ulteriori informazioni sull'utilizzo di politiche che limitano le autorizzazioni degli utenti a AWS risorse specifiche, consulta e. [Gestione degli accessi AWS alle risorse](access.md) [Esempi di policy basate su identità IAM](access_policies_examples.md) Per aggiungere altri utenti al gruppo di utenti dopo averlo creato, consulta [Modificare gli utenti nei gruppi IAM](id_groups_manage_add-remove-users.md).
------