Imposta una politica di password dell'account per IAM gli utenti - AWS Identity and Access Management
Impostazione di una policy delle passwordAutorizzazioni necessarie per impostare una policy delle passwordPolicy delle password predefinitaOpzioni di policy delle password personalizzataPer impostare una politica in materia di password (console)Per modificare una politica in materia di password (console)Eliminazione di una policy delle password personalizzata (console)Impostazione di una policy sulle password (AWS CLI)Impostazione di una policy sulle password (AWS API)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta una politica di password dell'account per IAM gli utenti

Puoi impostare una politica di password personalizzata Account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per le password IAM degli utenti. Se non imposti una politica di password personalizzata, le password IAM degli utenti devono soddisfare la politica di password predefinita AWS . Per ulteriori informazioni, consulta Opzioni di policy delle password personalizzata.

Impostazione di una policy delle password

La politica in materia di IAM password non si applica alla Utente root dell'account AWS password o alle chiavi di accesso IAM utente. Se una password scade, l'IAMutente non può accedere AWS Management Console ma può continuare a utilizzare le proprie chiavi di accesso.

Quando si crea o si modifica una policy sulle password, la maggior parte delle impostazioni sulla policy delle password vengono applicate la prossima volta che gli utenti modificano le password. Tuttavia, alcune delle impostazioni vengono applicate immediatamente. Ad esempio:

  • Quando si impostano i requisiti minimi di lunghezza e del tipo di caratteri, le impostazioni vengono applicate la volta successiva che gli utenti cambiano le password. Gli utenti non sono costretti a modificare le proprie password esistenti, anche se le password esistenti non rispettano i criteri della policy aggiornata sulle password.

  • Quando si imposta un periodo di scadenza della password, il periodo di scadenza viene applicato immediatamente. Ad esempio, un periodo di scadenza della password viene impostato a 90 giorni. In tal caso, la password scade per tutti IAM gli utenti la cui password esistente è più vecchia di 90 giorni. Gli utenti sono tenuti a modificare la propria password all'accesso successivo.

Non è possibile creare una "policy di esclusione" per bloccare un utente fuori dall'account dopo un numero specificato di tentativi di accesso non riusciti. Per una maggiore sicurezza, si consiglia di combinare una politica di password avanzata con l'autenticazione a più fattori ()MFA. Per ulteriori informazioni suMFA, vedereAWS Autenticazione a più fattori in IAM.

Autorizzazioni necessarie per impostare una policy delle password

È necessario configurare le autorizzazioni per consentire a un'IAMentità (utente o ruolo) di visualizzare o modificare la politica relativa alle password dell'account. È possibile includere le seguenti azioni relative alla politica delle password in una IAM politica:

  • iam:GetAccountPasswordPolicy: consente all'entità di visualizzare la policy delle password per il proprio account

  • iam:DeleteAccountPasswordPolicy: consente all'entità di eliminare la policy delle password personalizzata per il proprio account e ripristinare la policy delle password di default

  • iam:UpdateAccountPasswordPolicy: consente all'entità di creare o modificare la policy delle password personalizzata per il proprio account

La policy seguente consente l'accesso completo per visualizzare e modificare la policy delle password dell'account. Per informazioni su come creare una IAM politica utilizzando questo documento di esempioJSON, consultaCreazione di politiche utilizzando l'JSONeditor.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Per informazioni sulle autorizzazioni richieste a un IAM utente per modificare la propria password, vedereConsenti IAM agli utenti di modificare le proprie password.

Policy delle password predefinita

Se un amministratore non imposta una politica di password personalizzata, le password IAM degli utenti devono soddisfare la politica di AWS password predefinita.

La policy delle password predefinita applica le seguenti condizioni:

  • Deve avere una lunghezza minima di 8 caratteri e massima di 128 caratteri

  • Deve includere almeno tre dei seguenti tipi di caratteri: lettere maiuscole, lettere minuscole, numeri e caratteri non alfanumerici (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')

  • Non essere identico al tuo Account AWS nome o indirizzo email

  • Password che non scadono mai

Opzioni di policy delle password personalizzata

Quando si configura una policy delle password personalizzata per l'account, è possibile specificare le seguenti condizioni:

  • Lunghezza minima della password: è possibile specificare un minimo di 6 caratteri e un massimo di 128 caratteri.

  • Sicurezza della password: puoi selezionare una delle seguenti caselle di controllo per definire la sicurezza delle password IAM degli utenti:

    • Richiedi almeno una lettera maiuscola dall'alfabeto latino (A-Z)

    • Richiedi almeno una lettera minuscola dall'alfabeto latino (a-z)

    • Richiedere almeno un numero

    • Richiedere almeno un carattere non alfanumerico ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Attiva la scadenza della password: puoi selezionare e specificare un minimo di 1 e un massimo di 1.095 giorni di validità delle password IAM utente dopo l'impostazione. Ad esempio, se specifichi una scadenza di 90 giorni, ciò influisce immediatamente su tutti gli utenti. Dopo la modifica, gli utenti con password impostata da oltre 90 giorni dovranno impostarne una nuova quando accedono alla console. Gli utenti con password vecchie di 75-89 giorni ricevono un AWS Management Console avviso sulla scadenza della password. IAMgli utenti possono modificare la propria password in qualsiasi momento se dispongono dell'autorizzazione. Quando impostano una nuova password, il periodo di scadenza per tale password ricomincia da capo. Un IAM utente può avere una sola password valida alla volta.

  • La scadenza della password richiede la reimpostazione dell'amministratore: seleziona questa opzione per impedire agli IAM utenti di utilizzare il AWS Management Console per aggiornare le proprie password dopo la scadenza della password. Prima di selezionare questa opzione, verifica di disporre di più di un utente con autorizzazioni amministrative per reimpostare IAM le password degli utenti. Account AWS Gli amministratori con iam:UpdateLoginProfile autorizzazione possono reimpostare le password IAM degli utenti. IAMgli utenti con iam:ChangePassword autorizzazione e chiavi di accesso attive possono reimpostare la password della propria console IAM utente a livello di programmazione. Se si deseleziona questa casella di controllo, IAM gli utenti con password scadute devono comunque impostare una nuova password prima di poter accedere a. AWS Management Console

  • Consenti agli utenti di modificare la propria password: puoi consentire a tutti IAM gli utenti del tuo account di modificare la propria password. Ciò consente agli utenti di accedere all'operazione iam:ChangePassword solo per il proprio utente e all'operazione iam:GetAccountPasswordPolicy. Questa opzione non associa una policy di autorizzazione a ciascun utente. Piuttosto, IAM applica le autorizzazioni a livello di account per tutti gli utenti. In alternativa, è possibile consentire solo ad alcuni utenti di gestire in autonomia le proprie password. A tale scopo, deseleziona questa casella di controllo. Per ulteriori informazioni sull'utilizzo di policy per limitare chi può gestire le password, consultare Consenti IAM agli utenti di modificare le proprie password.

  • Impedisci il riutilizzo delle password: puoi impedire IAM agli utenti di riutilizzare un numero specificato di password precedenti. È possibile specificare un numero minimo di 1 e un numero massimo di 24 password precedenti che non possono essere ripetute.

Per impostare una politica in materia di password (console)

È possibile utilizzare la AWS Management Console per creare, modificare o eliminare una politica personalizzata in materia di password. Le modifiche alla politica in materia di password si applicano ai nuovi IAM utenti creati dopo questa modifica della politica e IAM agli utenti esistenti quando modificano le proprie password.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il IAM servizio.

  3. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  4. Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).

  5. Scegli Custom (Personalizzato) per utilizzare una policy di password personalizzata.

  6. Seleziona le opzioni che desideri applicare alla policy delle password e scegli Salva modifiche.

  7. Conferma che desideri impostare la policy delle password personalizzata scegliendo Set custom (Imposta personalizzata).

La console visualizza un messaggio di stato che informa che i requisiti di password per IAM gli utenti sono stati aggiornati.

Per modificare una politica in materia di password (console)

È possibile utilizzare la AWS Management Console per creare, modificare o eliminare una politica personalizzata in materia di password. Le modifiche alla politica in materia di password si applicano ai nuovi IAM utenti creati dopo questa modifica della politica e IAM agli utenti esistenti quando modificano le proprie password.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il IAM servizio.

  3. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  4. Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).

  5. Seleziona le opzioni che desideri applicare alla policy delle password e scegli Salva modifiche.

  6. Conferma che desideri impostare la policy delle password personalizzata scegliendo Set custom (Imposta personalizzata).

La console visualizza un messaggio di stato che informa che i requisiti di password per IAM gli utenti sono stati aggiornati.

Eliminazione di una policy delle password personalizzata (console)

È possibile utilizzare il AWS Management Console per creare, modificare o eliminare una politica personalizzata in materia di password. Le modifiche alla politica in materia di password si applicano ai nuovi IAM utenti creati dopo questa modifica della politica e IAM agli utenti esistenti quando modificano le proprie password.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il IAM servizio.

  3. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  4. Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).

  5. Scegli l'IAMimpostazione predefinita per eliminare la politica personalizzata in materia di password e scegli Salva modifiche.

  6. Conferma di voler impostare la politica di password IAM predefinita scegliendo Imposta predefinita.

La console visualizza un messaggio di stato che informa che la politica delle password è impostata IAM come predefinita.

Impostazione di una policy sulle password (AWS CLI)

È possibile utilizzare il AWS Command Line Interface per impostare una politica in materia di password.

Per gestire la politica personalizzata in materia di password dell'account dal AWS CLI

Esegui i comandi seguenti:

Impostazione di una policy sulle password (AWS API)

È possibile utilizzare AWS API le operazioni per impostare una politica in materia di password.

Per gestire la politica personalizzata in materia di password dell'account dal AWS API

Chiamare le operazioni seguenti: