Configurare una policy delle password di un account per gli utenti IAM - AWS Identity and Access Management
Impostazione di una policy delle passwordAutorizzazioni necessarie per impostare una policy delle passwordPolicy delle password predefinitaOpzioni di policy delle password personalizzataPer impostare una policy delle password (console)Per modificare una policy delle password (console)Eliminazione di una policy delle password personalizzata (console)Impostazione di una policy sulle password (AWS CLI)Impostazione di una politica in materia di password (AWS API)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare una policy delle password di un account per gli utenti IAM

Puoi impostare una politica di password personalizzata Account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per le password degli utenti IAM. Se non imposti una politica di password personalizzata, le password utente IAM devono soddisfare la politica di password predefinita AWS . Per ulteriori informazioni, consulta Opzioni di policy delle password personalizzata.

Impostazione di una policy delle password

La policy sulle password IAM non si applica alla Utente root dell'account AWS password o alle chiavi di accesso utente IAM. Se una password scade, l'utente IAM non può accedere AWS Management Console ma può continuare a utilizzare le proprie chiavi di accesso.

Quando si crea o si modifica una policy sulle password, la maggior parte delle impostazioni sulla policy delle password vengono applicate la prossima volta che gli utenti modificano le password. Tuttavia, alcune delle impostazioni vengono applicate immediatamente. Ad esempio:

  • Quando si impostano i requisiti minimi di lunghezza e del tipo di caratteri, le impostazioni vengono applicate la volta successiva che gli utenti cambiano le password. Gli utenti non sono costretti a modificare le proprie password esistenti, anche se le password esistenti non rispettano i criteri della policy aggiornata sulle password.

  • Quando si imposta un periodo di scadenza della password, il periodo di scadenza viene applicato immediatamente. Ad esempio, un periodo di scadenza della password viene impostato a 90 giorni. In tal caso, la password scade per tutti gli utenti IAM la cui password attuale è più vecchia di 90 giorni. Gli utenti sono tenuti a modificare la propria password all'accesso successivo.

Non è possibile creare una "policy di esclusione" per bloccare un utente fuori dall'account dopo un numero specificato di tentativi di accesso non riusciti. Per una maggiore sicurezza, si consiglia di combinare una policy delle password complessa con l'autenticazione Multi-Factor Authentication (MFA). Per ulteriori informazioni sulla funzionalità MFA, consultare AWS Autenticazione a più fattori in IAM.

Autorizzazioni necessarie per impostare una policy delle password

È necessario configurare le autorizzazioni per consentire a un'entità IAM (utente o ruolo) di visualizzare o modificare la policy delle password dell'account. È possibile includere le seguenti operazioni di policy della password in una policy IAM:

  • iam:GetAccountPasswordPolicy: consente all'entità di visualizzare la policy delle password per il proprio account

  • iam:DeleteAccountPasswordPolicy: consente all'entità di eliminare la policy delle password personalizzata per il proprio account e ripristinare la policy delle password di default

  • iam:UpdateAccountPasswordPolicy: consente all'entità di creare o modificare la policy delle password personalizzata per il proprio account

La policy seguente consente l'accesso completo per visualizzare e modificare la policy delle password dell'account. Per ulteriori informazioni su come creare una policy IAM usando il documento di policy JSON di esempio, consulta Creazione di policy utilizzando l'editor JSON.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Per informazioni sulle autorizzazioni necessarie per modificare la password da parte di un utente IAM, consulta Consentire agli utenti IAM di cambiare le loro password.

Policy delle password predefinita

Se un amministratore non imposta una politica di password personalizzata, le password degli utenti IAM devono soddisfare la politica di AWS password predefinita.

La policy delle password predefinita applica le seguenti condizioni:

  • Deve avere una lunghezza minima di 8 caratteri e massima di 128 caratteri

  • Deve includere almeno tre dei seguenti tipi di caratteri: lettere maiuscole, lettere minuscole, numeri e caratteri non alfanumerici (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')

  • Non essere identico al tuo Account AWS nome o indirizzo email

  • Password che non scadono mai

Opzioni di policy delle password personalizzata

Quando si configura una policy delle password personalizzata per l'account, è possibile specificare le seguenti condizioni:

  • Lunghezza minima della password: è possibile specificare un minimo di 6 caratteri e un massimo di 128 caratteri.

  • Complessità della password: puoi selezionare una delle seguenti caselle di controllo per definire la complessità delle password dell'utente IAM:

    • Richiedi almeno una lettera maiuscola dall'alfabeto latino (A-Z)

    • Richiedi almeno una lettera minuscola dall'alfabeto latino (a-z)

    • Richiedere almeno un numero

    • Richiedere almeno un carattere non alfanumerico ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Turn on password expiration (Abilita scadenza della password): puoi selezionare e specificare un minimo di 1 e un massimo di 1.095 giorni di validità delle password utente IAM dopo che sono state impostate. Ad esempio, se specifichi una scadenza di 90 giorni, ciò influisce immediatamente su tutti gli utenti. Dopo la modifica, gli utenti con password impostata da oltre 90 giorni dovranno impostarne una nuova quando accedono alla console. Gli utenti con password vecchie di 75-89 giorni ricevono un AWS Management Console avviso sulla scadenza della password. Gli utenti IAM possono modificare la password in qualsiasi momento se dispongono dell'autorizzazione. Quando impostano una nuova password, il periodo di scadenza per tale password ricomincia da capo. Un utente IAM può avere solo una password valida alla volta.

  • La scadenza della password richiede la reimpostazione dell'amministratore: seleziona questa opzione per impedire agli utenti IAM di utilizzare il AWS Management Console per aggiornare le proprie password dopo la scadenza della password. Prima di selezionare questa opzione, verifica che nell' Account AWS sia presente più di un utente con le autorizzazioni amministrative per ripristinare le password degli utenti IAM. Gli amministratori che dispongono dell'autorizzazione iam:UpdateLoginProfile possono reimpostare le password degli utenti IAM. Gli utenti IAM che dispongono dell'autorizzazione iam:ChangePassword e di chiavi di accesso attive possono reimpostare autonomamente la propria password della console utente IAM a livello di programmazione. Se si deseleziona questa casella di controllo, gli utenti IAM con password scadute devono comunque impostare una nuova password prima di poter accedere alla AWS Management Console.

  • Allow users to change their own password (Consenti agli utenti di modificare la propria password): puoi consentire a tutti gli utenti IAM nel tuo account di modificare autonomamente le proprie password. Ciò consente agli utenti di accedere all'operazione iam:ChangePassword solo per il proprio utente e all'operazione iam:GetAccountPasswordPolicy. Questa opzione non associa una policy di autorizzazione a ciascun utente. Piuttosto, IAM applica le autorizzazioni a livello di account per tutti gli utenti. In alternativa, è possibile consentire solo ad alcuni utenti di gestire in autonomia le proprie password. A tale scopo, deseleziona questa casella di controllo. Per ulteriori informazioni sull'utilizzo di policy per limitare chi può gestire le password, consultare Consentire agli utenti IAM di cambiare le loro password.

  • Impedisci il riutilizzo di una password: puoi impedire che gli utenti IAM riutilizzino un determinato numero di password precedenti. È possibile specificare un numero minimo di 1 e un numero massimo di 24 password precedenti che non possono essere ripetute.

Per impostare una policy delle password (console)

Puoi utilizzare la AWS Management Console per creare, modificare o eliminare una politica di password personalizzata. Le modifiche alla policy delle password si applicano ai nuovi utenti IAM creati dopo questa modifica della policy e agli utenti IAM esistenti quando questi modificano le proprie password.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  4. Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).

  5. Scegli Custom (Personalizzato) per utilizzare una policy di password personalizzata.

  6. Seleziona le opzioni che desideri applicare alla policy delle password e scegli Salva modifiche.

  7. Conferma che desideri impostare la policy delle password personalizzata scegliendo Set custom (Imposta personalizzata).

La console visualizza un messaggio di stato che informa che i requisiti di password per gli utenti IAM sono stati aggiornati.

Per modificare una policy delle password (console)

È possibile utilizzare la AWS Management Console per creare, modificare o eliminare una politica personalizzata in materia di password. Le modifiche alla policy delle password si applicano ai nuovi utenti IAM creati dopo questa modifica della policy e agli utenti IAM esistenti quando questi modificano le proprie password.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  4. Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).

  5. Seleziona le opzioni che desideri applicare alla policy delle password e scegli Salva modifiche.

  6. Conferma che desideri impostare la policy delle password personalizzata scegliendo Set custom (Imposta personalizzata).

La console visualizza un messaggio di stato che informa che i requisiti di password per gli utenti IAM sono stati aggiornati.

Eliminazione di una policy delle password personalizzata (console)

È possibile utilizzare la AWS Management Console per creare, modificare o eliminare una politica personalizzata in materia di password. Le modifiche alla policy delle password si applicano ai nuovi utenti IAM creati dopo questa modifica della policy e agli utenti IAM esistenti quando questi modificano le proprie password.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  4. Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).

  5. Scegli IAM default (Predefinito IAM) per eliminare la policy di password personalizzata, quindi scegli Save changes (Salva modifiche).

  6. Conferma che desideri impostare la policy delle password predefinita IAM scegliendo Set default (Imposta predefinita).

La console visualizza un messaggio di stato che informa che la policy delle password è impostata sul valore predefinito di IAM.

Impostazione di una policy sulle password (AWS CLI)

È possibile utilizzare il AWS Command Line Interface per impostare una politica in materia di password.

Per gestire la politica personalizzata in materia di password dell'account dal AWS CLI

Esegui i comandi seguenti:

Impostazione di una politica in materia di password (AWS API)

È possibile utilizzare le operazioni AWS API per impostare una politica in materia di password.

Per gestire la politica personalizzata in materia di password dell'account dall' AWS API

Chiamare le operazioni seguenti: