Gestione delle password per gli utenti IAM - AWS Identity and Access Management
Creazione, modifica o eliminazione di una password IAM utente (console)Creazione, modifica o eliminazione di una password IAM utente ()AWS CLICreazione, modifica o eliminazione di una password IAM utente ()AWS API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle password per gli utenti IAM

IAMgli utenti che utilizzano il AWS Management Console per lavorare con AWS le risorse devono disporre di una password per poter accedere. Puoi creare, modificare o eliminare una password per un IAM utente nel tuo AWS account.

Dopo aver assegnato una password a un utente, l'utente può accedervi AWS Management Console utilizzando l'accesso URL per il tuo account, che ha il seguente aspetto: 

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Per ulteriori informazioni su come IAM gli utenti accedono a AWS Management Console, vedi Come accedere a AWS nella Guida per l'Accedi ad AWS utente.

Anche se gli utenti hanno le proprie password, hanno ancora bisogno delle autorizzazioni per accedere alle tue risorse AWS . Per impostazione predefinita, un utente non ha autorizzazioni. Per fornire agli utenti le autorizzazioni di cui hanno bisogno, assegna loro le policy o ai gruppi di appartenenza. Per ulteriori informazioni sulla creazione di utenti e gruppi, vedere IAMIdentità . Per ulteriori informazioni sull'utilizzo di policy per impostare le autorizzazioni, vedere Modificare le autorizzazioni per un IAM utente.

Puoi concedere le autorizzazioni agli utenti per modificare le loro password. Per ulteriori informazioni, consulta Consenti IAM agli utenti di modificare le proprie password. Per informazioni su come gli utenti accedono alla pagina di accesso del tuo account, consulta Come accedere ad AWS nella Guida per l'utente di Accedi ad AWS .

Creazione, modifica o eliminazione di una password IAM utente (console)

Puoi utilizzarla AWS Management Console per gestire le password dei tuoi IAM utenti.

Quando gli utenti lasciano l'organizzazione o non hanno più bisogno dell' AWS accesso, è importante trovare le credenziali che utilizzavano e assicurarsi che non siano più operative. La soluzione ideale consiste nell'eliminare tutte le credenziali inutilizzate. Se l'utente dovesse averne bisogno in un secondo momento, potrai sempre ricrearle. Come minimo, dovresti modificare le credenziali, in modo che gli ex utenti non siano più in grado di poter accedere.

Per aggiungere una password per un IAM utente (console)

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Utenti.

  3. Seleziona il nome dell'utente sul quale desideri creare la password.

  4. Scegli la scheda Security credentials (Credenziali di sicurezza), quindi in Console sign-in (Accesso alla console), scegli Enable console access (Abilita l'accesso alla console).

  5. In Abilita l'accesso alla console, per Password della console, scegli se IAM generare una password o crearne una personalizzata:

    • Per IAM generare una password, scegli Password generata automaticamente.

    • Per creare una password personalizzata, scegliere Custom password (Password personalizzata) e digitare la password.

      Nota

      La password creata deve essere conforme alla policy delle password dell'account.

  6. Per richiedere all'utente di creare una nuova password al prossimo accesso. scegli User must create a new password at next sign-in (L'utente deve creare una nuova password al prossimo accesso). Quindi scegli Abilita l'accesso alla console.

    Importante

    Se si seleziona l'opzione User must create a new password at next sign-in (L'utente deve creare una nuova password al prossimo accesso), assicurati che l'utente disponga dell'autorizzazione per modificare la propria password. Per ulteriori informazioni, consulta Consenti IAM agli utenti di modificare le proprie password.

  7. Per visualizzare la password in modo da poterla condividere con l'utente, scegli Mostra nella finestra di dialogo della password della console.

    Importante

    Per motivi di sicurezza, non è possibile accedere alla password dopo aver completato questa fase, ma è possibile creare una nuova password in qualsiasi momento.

Per modificare la password di un IAM utente (console)

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Utenti.

  3. Seleziona il nome dell'utente di cui desideri modificare la password.

  4. Scegli la scheda Security credentials (Credenziali di sicurezza), quindi in Console sign-in (Accesso alla console), scegli Manage console access (Gestisci l'accesso alla console).

  5. In Gestisci l'accesso alla console, scegli Reimposta la password se non l'hai già selezionata. Se l'accesso alla console è disabilitato, non è richiesta alcuna password.

  6. Per l'accesso alla console, scegli se IAM generare una password o crearne una personalizzata:

    • Per IAM generare una password, scegli Password generata automaticamente.

    • Per creare una password personalizzata, scegliere Custom password (Password personalizzata) e digitare la password.

      Nota

      La password creata deve essere conforme alla policy sulle password dell'account, se ne è stata impostata una.

  7. Per richiedere all'utente di creare una nuova password al prossimo accesso. scegli User must create a new password at next sign-in (L'utente deve creare una nuova password al prossimo accesso).

    Importante

    Se si seleziona l'opzione User must create a new password at next sign-in (L'utente deve creare una nuova password al prossimo accesso), assicurati che l'utente disponga dell'autorizzazione per modificare la propria password. Per ulteriori informazioni, consulta Consenti IAM agli utenti di modificare le proprie password.

  8. Per revocare le sessioni di console attive dell'utente, scegli Revoca sessioni di console attive. Quindi, scegliere Apply (Applica).

    Quando revochi le sessioni attive della console per un utente, assegna all'utente una nuova politica in linea IAM che nega tutte le autorizzazioni a tutte le azioni. Include una condizione che applica le restrizioni solo se la sessione è stata creata prima del momento in cui si revocano le autorizzazioni, nonché dopo circa 30 secondi dal futuro. Se l'utente crea una nuova sessione dopo aver revocato le autorizzazioni, la politica di negazione non si applica a quell'utente. Se un utente revoca le proprie sessioni di console attive utilizzando questo metodo, verrà immediatamente disconnesso da. AWS Management Console

    Importante

    Per revocare correttamente le sessioni attive della console per un utente, è necessario disporre dell'PutUserPolicyautorizzazione dell'utente. Ciò consente di allegare la politica AWSRevokeOlderSessions in linea all'utente.

  9. Per visualizzare la password in modo da poterla condividere con l'utente, scegli Mostra nella finestra di dialogo della password della console.

    Importante

    Per motivi di sicurezza, non è possibile accedere alla password dopo aver completato questa fase, ma è possibile creare una nuova password in qualsiasi momento.

Per eliminare (disabilitare) una password IAM utente (console)

  1. Accedere a AWS Management Console e aprire la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Utenti.

  3. Seleziona il nome dell'utente di cui desideri eliminare la password.

  4. Scegli la scheda Security credentials (Credenziali di sicurezza), quindi in Console sign-in (Accesso alla console), scegli Manage console access (Gestisci l'accesso alla console).

  5. In Gestisci l'accesso alla console, scegli Disabilita l'accesso alla console se non è già selezionato. Se l'accesso alla console è disabilitato, non è richiesta alcuna password.

  6. Per revocare le sessioni di console attive dell'utente, scegli Revoca sessioni di console attive. Quindi scegli Disabilita l'accesso.

    Importante

    Per revocare correttamente le sessioni di console attive per un utente, devi disporre dell'PutUserPolicyautorizzazione per l'utente. Ciò consente di allegare la politica AWSRevokeOlderSessions in linea all'utente.

    Quando revochi le sessioni di console attive per un utente, IAM incorpora nell'utente una nuova policy in linea che nega tutte le IAM autorizzazioni a tutte le azioni. Include una condizione che applica le restrizioni solo se la sessione è stata creata prima del momento in cui si revocano le autorizzazioni, nonché dopo circa 30 secondi dal futuro. Se l'utente crea una nuova sessione dopo aver revocato le autorizzazioni, la politica di negazione non si applica a quell'utente. Se un utente revoca le proprie sessioni di console attive utilizzando questo metodo, verrà immediatamente disconnesso da. AWS Management Console

Importante

È possibile impedire a un IAM utente di accedervi AWS Management Console rimuovendo la sua password. Ciò impedisce loro di accedere AWS Management Console utilizzando le proprie credenziali di accesso. Non modifica le autorizzazioni né impedisce l'accesso alla console utilizzando un ruolo assunto. Se l'utente dispone di tasti di accesso attivi, questi continuano a funzionare e consentono l' AWS CLI accesso tramite Tools for Windows PowerShell o l'Applicazione AWS Console Mobile. AWS API

Creazione, modifica o eliminazione di una password IAM utente ()AWS CLI

Puoi utilizzarlo AWS CLI API per gestire le password dei tuoi IAM utenti.

Per creare una password (AWS CLI)

  1. (Facoltativo) Per determinare se un utente dispone di una password, esegui questo comando: aws iam get-login-profile

  2. Per creare una password, esegui questo comando: aws iam create-login-profile

Per modificare la password di un utente (AWS CLI)

  1. (Facoltativo) Per determinare se un utente dispone di una password, esegui questo comando: aws iam get-login-profile

  2. Per modificare una password, esegui questo comando: aws iam update-login-profile

Per eliminare (disabilitare) una password utente (AWS CLI)

  1. (Facoltativo) Per determinare se un utente dispone di una password, esegui questo comando: aws iam get-login-profile

  2. (Facoltativo) Per determinare quando una password è stata utilizzata per l'ultima volta, eseguire questo comando: aws iam get-user

  3. Per eliminare una password, esegui questo comando: aws iam delete-login-profile

Importante

Quando elimini una password dell'utente, l'utente non può più accedere alla AWS Management Console. Se l'utente dispone di tasti di accesso attivi, questi continuano a funzionare e consentono l' AWS CLI accesso tramite Tools for Windows PowerShell o chiamate di AWS API funzione. Quando si utilizza Tools for Windows PowerShell o AWS API si elimina un utente dal proprio Account AWS, è necessario innanzitutto eliminare la password utilizzando questa operazione. AWS CLI Per ulteriori informazioni, consulta Eliminazione di un IAM utente ()AWS CLI.

Per revocare le sessioni attive della console di un utente prima di un orario specificato ()AWS CLI

  1. Per incorporare una policy in linea che revochi le sessioni di console attive di un IAM utente prima di un orario specificato, usa la seguente policy in linea ed esegui questo comando: aws iam put-user-policy

    Questa politica in linea nega tutte le autorizzazioni e include la chiave di condizione. leggi: TokenIssueTime Revoca le sessioni di console attive dell'utente prima del tempo specificato nell'Conditionelemento della politica in linea. Sostituisci il valore della chiave della aws:TokenIssueTime condizione con il tuo valore.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Facoltativo) Per elencare i nomi delle politiche in linea incorporate nell'IAMutente, esegui questo comando: aws iam list-user-policies

  3. (Facoltativo) Per visualizzare la politica in linea denominata incorporata nell'IAMutente, esegui questo comando: aws iam get-user-policy

Creazione, modifica o eliminazione di una password IAM utente ()AWS API

Puoi utilizzarlo AWS API per gestire le password dei tuoi IAM utenti.

Per creare una password (AWS API)

  1. (Facoltativo) Per determinare se un utente dispone di una password, richiamate questa operazione: GetLoginProfile

  2. Per creare una password, richiamate questa operazione: CreateLoginProfile

Per modificare la password di un utente (AWS API)

  1. (Facoltativo) Per determinare se un utente dispone di una password, richiamate questa operazione: GetLoginProfile

  2. Per modificare una password, chiamate questa operazione: UpdateLoginProfile

Per eliminare (disabilitare) la password di un utente (AWS API)

  1. (Facoltativo) Per determinare se un utente dispone di una password, esegui questo comando: GetLoginProfile

  2. (Facoltativo) Per determinare quando è stata utilizzata l'ultima volta una password, esegui questo comando: GetUser

  3. Per eliminare una password, esegui questo comando: DeleteLoginProfile

Importante

Quando elimini una password dell'utente, l'utente non può più accedere alla AWS Management Console. Se l'utente dispone di tasti di accesso attivi, questi continuano a funzionare e consentono l' AWS CLI accesso tramite Tools for Windows PowerShell o chiamate di AWS API funzione. Quando si utilizza Tools for Windows PowerShell o AWS API si elimina un utente dal proprio Account AWS, è necessario innanzitutto eliminare la password utilizzando questa operazione. AWS CLI Per ulteriori informazioni, consulta Eliminazione di un IAM utente ()AWS CLI.

Per revocare le sessioni attive della console di un utente prima di un orario specificato ()AWS API

  1. Per incorporare una politica in linea che revochi le sessioni di console attive di un IAM utente prima di un orario specificato, utilizza la seguente politica in linea ed esegui questo comando: PutUserPolicy

    Questa politica in linea nega tutte le autorizzazioni e include la chiave di condizione. leggi: TokenIssueTime Revoca le sessioni di console attive dell'utente prima del tempo specificato nell'Conditionelemento della politica in linea. Sostituisci il valore della chiave della aws:TokenIssueTime condizione con il tuo valore.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Facoltativo) Per elencare i nomi delle politiche in linea incorporate nell'IAMutente, esegui questo comando: ListUserPolicies

  3. (Facoltativo) Per visualizzare la politica in linea denominata incorporata nell'IAMutente, esegui questo comando: GetUserPolicy