Impostazione di una policy delle password Autorizzazioni necessarie per impostare una policy delle password Policy delle password predefinita Opzioni di policy delle password personalizzata Impostazione di una policy sulle password (Console)Impostazione di una policy sulle password (AWS CLI)Impostazione di una policy sulle password (AWS API)

Imposta una politica di password dell'account per IAM gli utenti

Puoi impostare una politica personalizzata in materia di password Account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per le password IAM degli utenti. Se non imposti una politica di password personalizzata, le password IAM degli utenti devono soddisfare la politica di password predefinita AWS . Per ulteriori informazioni, consulta Opzioni di policy delle password personalizzata.

Argomenti

Impostazione di una policy delle password
Autorizzazioni necessarie per impostare una policy delle password
Policy delle password predefinita
Opzioni di policy delle password personalizzata
Impostazione di una policy sulle password (Console)
Impostazione di una policy sulle password (AWS CLI)
Impostazione di una policy sulle password (AWS API)

Impostazione di una policy delle password

La politica in materia di IAM password non si applica alla Utente root dell'account AWS password o alle chiavi di accesso IAM utente. Se una password scade, l'IAMutente non può accedere AWS Management Console ma può continuare a utilizzare le proprie chiavi di accesso.

Quando si crea o si modifica una policy sulle password, la maggior parte delle impostazioni sulla policy delle password vengono applicate la prossima volta che gli utenti modificano le password. Tuttavia, alcune delle impostazioni vengono applicate immediatamente. Ad esempio:

Quando si impostano i requisiti minimi di lunghezza e del tipo di caratteri, le impostazioni vengono applicate la volta successiva che gli utenti cambiano le password. Gli utenti non sono costretti a modificare le proprie password esistenti, anche se le password esistenti non rispettano i criteri della policy aggiornata sulle password.
Quando si imposta un periodo di scadenza della password, il periodo di scadenza viene applicato immediatamente. Ad esempio, un periodo di scadenza della password viene impostato a 90 giorni. In tal caso, la password scade per tutti IAM gli utenti la cui password esistente è più vecchia di 90 giorni. Gli utenti sono tenuti a modificare la propria password all'accesso successivo.

Non è possibile creare una "policy di esclusione" per bloccare un utente fuori dall'account dopo un numero specificato di tentativi di accesso non riusciti. Per una maggiore sicurezza, si consiglia di combinare una politica di password avanzata con l'autenticazione a più fattori ()MFA. Per ulteriori informazioni suMFA, vedereAWS Autenticazione a più fattori in IAM.

Autorizzazioni necessarie per impostare una policy delle password

È necessario configurare le autorizzazioni per consentire a un'IAMentità (utente o ruolo) di visualizzare o modificare la politica relativa alle password dell'account. È possibile includere le seguenti azioni relative alla politica delle password in una IAM politica:

iam:GetAccountPasswordPolicy: consente all'entità di visualizzare la policy delle password per il proprio account
iam:DeleteAccountPasswordPolicy: consente all'entità di eliminare la policy delle password personalizzata per il proprio account e ripristinare la policy delle password di default
iam:UpdateAccountPasswordPolicy: consente all'entità di creare o modificare la policy delle password personalizzata per il proprio account

La policy seguente consente l'accesso completo per visualizzare e modificare la policy delle password dell'account. Per informazioni su come creare una IAM politica utilizzando questo documento di esempioJSON, consultaCreazione di politiche utilizzando l'JSONeditor.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Per informazioni sulle autorizzazioni richieste a un IAM utente per modificare la propria password, vedereConsenti IAM agli utenti di modificare le proprie password.

Policy delle password predefinita

Se un amministratore non imposta una politica di password personalizzata, le password IAM degli utenti devono soddisfare la politica di AWS password predefinita.

La policy delle password predefinita applica le seguenti condizioni:

Deve avere una lunghezza minima di 8 caratteri e massima di 128 caratteri
Deve includere almeno tre dei seguenti tipi di caratteri: lettere maiuscole, lettere minuscole, numeri e caratteri non alfanumerici (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')
Non devono essere identiche al Account AWS nome o all'indirizzo e-mail
Password che non scadono mai

Opzioni di policy delle password personalizzata

Quando si configura una policy delle password personalizzata per l'account, è possibile specificare le seguenti condizioni:

Lunghezza minima della password: è possibile specificare un minimo di 6 caratteri e un massimo di 128 caratteri.
Sicurezza della password: puoi selezionare una delle seguenti caselle di controllo per definire la sicurezza delle password IAM degli utenti:
- Richiedi almeno una lettera maiuscola dall'alfabeto latino (A-Z)
- Richiedi almeno una lettera minuscola dall'alfabeto latino (a-z)
- Richiedere almeno un numero
- Richiedere almeno un carattere non alfanumerico ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '
Attiva la scadenza della password: puoi selezionare e specificare da un minimo di 1 a un massimo di 1.095 giorni di validità delle password IAM utente dopo l'impostazione. Ad esempio, se specifichi una scadenza di 90 giorni, ciò influisce immediatamente su tutti gli utenti. Dopo la modifica, gli utenti con password impostata da oltre 90 giorni dovranno impostarne una nuova quando accedono alla console. Gli utenti con password vecchie di 75-89 giorni ricevono un AWS Management Console avviso sulla scadenza della password. IAMgli utenti possono modificare la propria password in qualsiasi momento se dispongono dell'autorizzazione. Quando impostano una nuova password, il periodo di scadenza per tale password ricomincia da capo. Un IAM utente può avere una sola password valida alla volta.
La scadenza della password richiede la reimpostazione dell'amministratore: seleziona questa opzione per impedire agli IAM utenti di utilizzare il AWS Management Console per aggiornare le proprie password dopo la scadenza della password. Prima di selezionare questa opzione, verifica di disporre di più di un utente con autorizzazioni amministrative per reimpostare IAM le password degli utenti. Account AWS Gli amministratori con iam:UpdateLoginProfile autorizzazione possono reimpostare le password IAM degli utenti. IAMgli utenti con iam:ChangePassword autorizzazione e chiavi di accesso attive possono reimpostare la password della propria console IAM utente a livello di programmazione. Se si deseleziona questa casella di controllo, IAM gli utenti con password scadute devono comunque impostare una nuova password prima di poter accedere a. AWS Management Console
Consenti agli utenti di modificare la propria password: puoi consentire a tutti IAM gli utenti del tuo account di modificare la propria password. Ciò consente agli utenti di accedere all'operazione iam:ChangePassword solo per il proprio utente e all'operazione iam:GetAccountPasswordPolicy. Questa opzione non associa una policy di autorizzazione a ciascun utente. Piuttosto, IAM applica le autorizzazioni a livello di account per tutti gli utenti. In alternativa, è possibile consentire solo ad alcuni utenti di gestire in autonomia le proprie password. A tale scopo, deseleziona questa casella di controllo. Per ulteriori informazioni sull'utilizzo di policy per limitare chi può gestire le password, consultare Consenti IAM agli utenti di modificare le proprie password.
Impedisci il riutilizzo delle password: puoi impedire IAM agli utenti di riutilizzare un numero specificato di password precedenti. È possibile specificare un numero minimo di 1 e un numero massimo di 24 password precedenti che non possono essere ripetute.

Impostazione di una policy sulle password (Console)

È possibile utilizzare la AWS Management Console per creare, modificare o eliminare una politica personalizzata in materia di password.

Per creare una policy delle password personalizzata (console)

Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).
Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).
Scegli Custom (Personalizzato) per utilizzare una policy di password personalizzata.
Seleziona le opzioni che desideri applicare alla policy delle password e scegli Salva modifiche.
Conferma che desideri impostare la policy delle password personalizzata scegliendo Set custom (Imposta personalizzata).

Per modificare una policy delle password personalizzata (console)

Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).
Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).
Seleziona le opzioni che desideri applicare alla policy delle password e scegli Salva modifiche.
Conferma che desideri impostare la policy delle password personalizzata scegliendo Set custom (Imposta personalizzata).

Eliminazione di una policy delle password personalizzata (console)

Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).
Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).
Scegli IAMPredefinito per eliminare la politica personalizzata in materia di password e scegli Salva modifiche.
Conferma di voler impostare la politica IAM predefinita per le password scegliendo Imposta predefinita.

Impostazione di una policy sulle password (AWS CLI)

È possibile utilizzare il AWS Command Line Interface per impostare una politica in materia di password.

Per gestire la politica personalizzata in materia di password dell'account dal AWS CLI

Esegui i comandi seguenti:

Per creare o modificare la policy delle password personalizzata: aws iam update-account-password-policy
Per visualizzare la policy delle password: aws iam get-account-password-policy
Per eliminare la policy delle password personalizzata: aws iam delete-account-password-policy

Impostazione di una policy sulle password (AWS API)

È possibile utilizzare AWS API le operazioni per impostare una politica in materia di password.

Per gestire la politica personalizzata in materia di password dell'account dal AWS API

Chiamare le operazioni seguenti:

Per creare o modificare la policy delle password personalizzata: UpdateAccountPasswordPolicy
Per visualizzare la policy delle password: GetAccountPasswordPolicy
Per eliminare la policy delle password personalizzata: DeleteAccountPasswordPolicy

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestire le password

Gestire le password degli utenti