Gestione delle password per gli utenti IAM - AWS Identity and Access Management
Creazione, modifica o eliminazione di una password dell'utente IAM (console)

Gestione delle password per gli utenti IAM

Gli utenti IAM che utilizzano la AWS Management Console per lavorare con le risorse AWS devono disporre di una password per effettuare l'accesso. Puoi creare, modificare o eliminare una password di un utente IAM nel tuo account AWS.

Dopo aver assegnato una password a un utente, l'utente può accedere alla AWS Management Console utilizzando l'URL di accesso per il tuo account, che assomiglia al seguente: 

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Per ulteriori informazioni su come gli utenti IAM accedono alla AWS Management Console, consulta Come accedere ad AWS nella Guida per l'utente di Accedi ad AWS.

Anche se gli utenti hanno le proprie password, hanno ancora bisogno delle autorizzazioni per accedere alle tue risorse AWS. Per impostazione predefinita, un utente non ha autorizzazioni. Per fornire agli utenti le autorizzazioni di cui hanno bisogno, assegna loro le policy o ai gruppi di appartenenza. Per ulteriori informazioni sulla creazione di utenti e gruppi, vedere Identità IAM . Per ulteriori informazioni sull'utilizzo di policy per impostare le autorizzazioni, vedere Modificare le autorizzazioni per un utente IAM.

Puoi concedere le autorizzazioni agli utenti per modificare le loro password. Per ulteriori informazioni, consulta Consentire agli utenti IAM di cambiare le loro password. Per informazioni su come gli utenti accedono alla pagina di accesso del tuo account, consulta Come accedere ad AWS nella Guida per l'utente di Accedi ad AWS.

Creazione, modifica o eliminazione di una password dell'utente IAM (console)

Puoi utilizzare la AWS Management Console per gestire le password degli utenti IAM.

Le esigenze di accesso degli utenti possono cambiare nel tempo. Potrebbe essere necessario consentire a un utente destinato all'accesso CLI di accedere alla console, modificare la password di un utente perché riceve l'e-mail con le proprie credenziali o eliminare un utente quando lascia l'organizzazione o non ha più bisogno dell'accesso AWS.

Per creare una password per l'utente IAM (console)

Utilizza questa procedura per consentire a un utente di accedere alla console creando una password associata al nome utente.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Seleziona il nome dell'utente sul quale desideri creare la password.

  5. Scegli la scheda Security credentials (Credenziali di sicurezza), quindi in Console sign-in (Accesso alla console), scegli Enable console access (Abilita l'accesso alla console).

  6. Nella finestra di dialogo Consenti accesso alla console, seleziona Reimposta password, quindi scegli se IAM deve generare una password o se deve essere creata una password personalizzata:

    • Per fare in modo che IAM generi una password, scegli Password autogenerata

    • Per creare una password personalizzata, scegliere Custom password (Password personalizzata) e digitare la password.

      Nota

      La password creata deve essere conforme alla policy delle password dell'account.

  7. Per richiedere all'utente di creare una nuova password all'accesso, scegli L'utente deve creare una nuova password al prossimo accesso.

  8. Per richiedere all'utente di utilizzare immediatamente la nuova password, seleziona Revoca sessioni di console attive. Ciò collega una policy in linea all'utente IAM che nega all'utente l'accesso alle risorse se le sue credenziali sono più vecchie del periodo specificato dalla policy.

  9. Scegliere Reimposta password

  10. La finestra di dialogo Password della console ti informa che è stata abilitata la nuova password dell'utente. Per visualizzare la password in modo da poterla condividere con l'utente, scegli Mostra nella finestra di dialogo Password della console. Seleziona Scarica il file .csv per scaricare un file con le credenziali dell'utente.

    Importante

    Per motivi di sicurezza, non è possibile accedere alla password dopo aver completato questa fase, ma è possibile creare una nuova password in qualsiasi momento.

La console visualizza un messaggio di stato che informa che l'accesso alla console è stato abilitato.

Come cambiare la password per un utente IAM (console)

Utilizza questa procedura per aggiornare una password associata al nome utente.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Seleziona il nome dell'utente di cui desideri modificare la password.

  5. Scegli la scheda Security credentials (Credenziali di sicurezza), quindi in Console sign-in (Accesso alla console), scegli Manage console access (Gestisci l'accesso alla console).

  6. Nella finestra di dialogo Gestisci l'accesso alla console, seleziona Reimposta password, quindi scegli se la password deve essere generata da IAM o se deve essere creata una password personalizzata:

    • Per fare in modo che IAM generi una password, scegli Password autogenerata

    • Per creare una password personalizzata, scegliere Custom password (Password personalizzata) e digitare la password.

      Nota

      La password creata deve essere conforme alla policy delle password dell'account.

  7. Per richiedere all'utente di creare una nuova password all'accesso, scegli L'utente deve creare una nuova password al prossimo accesso.

  8. Per richiedere all'utente di utilizzare immediatamente la nuova password, seleziona Revoca sessioni di console attive. Ciò collega una policy in linea all'utente IAM che nega all'utente l'accesso alle risorse se le sue credenziali sono più vecchie del periodo specificato dalla policy.

  9. Scegliere Reimposta password

  10. La finestra di dialogo Password della console ti informa che è stata abilitata la nuova password dell'utente. Per visualizzare la password in modo da poterla condividere con l'utente, scegli Mostra nella finestra di dialogo Password della console. Seleziona Scarica il file .csv per scaricare un file con le credenziali dell'utente.

    Importante

    Per motivi di sicurezza, non è possibile accedere alla password dopo aver completato questa fase, ma è possibile creare una nuova password in qualsiasi momento.

La console visualizza un messaggio di stato che informa che l'accesso alla console è stato aggiornato.

Come eliminare (disabilitare) una password dell'utente IAM (console)

Utilizza questa procedura per eliminare una password associata al nome utente rimuovendo l'accesso alla console per l'utente.

Importante

È possibile impedire a un utente IAM di accedere alla AWS Management Console rimuovendone la password. Ciò impedisce all'utente di accedere alla AWS Management Console utilizzando le credenziali di accesso. Non modifica le autorizzazioni né impedisce l'accesso alla console utilizzando un ruolo assunto. Se l'utente dispone di chiavi d'accesso attive, esse continueranno a funzionare e a permettere l'accesso mediante la AWS CLI, Tools for Windows PowerShell, l'API AWS o AWS Console Mobile Application.

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel pannello di navigazione, seleziona Utenti.

  4. Seleziona il nome dell'utente di cui desideri eliminare la password.

  5. Scegli la scheda Security credentials (Credenziali di sicurezza), quindi in Console sign-in (Accesso alla console), scegli Manage console access (Gestisci l'accesso alla console).

  6. Per richiedere all'utente di interrompere immediatamente l'uso della console, seleziona Revoca sessioni di console attive. Ciò collega una policy in linea all'utente IAM che nega all'utente l'accesso alle risorse se le sue credenziali sono più vecchie del periodo specificato dalla policy.

  7. Scegli Disabilita accesso

La console visualizza un messaggio di stato che informa che l'accesso alla console è stato disabilitato.

Creazione, modifica o eliminazione di una password utente IAM (AWS CLI)

Puoi utilizzare l'API AWS CLI per gestire le password degli utenti IAM.

Per creare una password (AWS CLI)

  1. (Facoltativo) Per determinare se un utente dispone di una password, eseguire questo comando: aws iam get-login-profile

  2. Per creare una password, eseguire questo comando: aws iam create-login-profile

Per modificare la password di un utente (AWS CLI)

  1. (Facoltativo) Per determinare se un utente dispone di una password, eseguire questo comando: aws iam get-login-profile

  2. Per modificare una password, eseguire questo comando: aws iam update-login-profile

Per eliminare (disabilitare) una password utente (AWS CLI)

  1. (Facoltativo) Per determinare se un utente dispone di una password, eseguire questo comando: aws iam get-login-profile

  2. (Facoltativo) Per determinare quando una password è stata utilizzata per l'ultima volta, eseguire questo comando: aws iam get-user

  3. Per eliminare una password, eseguire questo comando: aws iam delete-login-profile

Importante

Quando elimini una password dell'utente, l'utente non può più accedere alla AWS Management Console. Se l'utente dispone di chiavi di accesso attive, esse continueranno a funzionare e a permettere l'accesso tramite la AWS CLI, Tools for Windows PowerShell o le chiamate di funzione all'API AWS. Se utilizzi la AWS CLI, Tools for Windows PowerShell o l'API AWS per eliminare un utente dall'Account AWS, occorre prima eliminare la password utilizzando questa operazione. Per ulteriori informazioni, consulta Eliminazione di un utente IAM (AWS CLI).

Per revocare le sessioni di console attive di un utente prima di un orario specificato (AWS CLI)

  1. Per incorporare una policy in linea che revochi le sessioni di console attive di un utente IAM prima di un orario specificato, usa la seguente policy in linea ed esegui questo comando: aws iam put-user-policy

    Questa policy in linea nega tutte le autorizzazioni e include la chiave di condizione aws:TokenIssueTime. Revoca le sessioni di console attive dell'utente prima del tempo specificato nell'elemento Condition della policy in linea. Sostituire il valore della chiave di condizione aws:TokenIssueTime con il proprio valore.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Facoltativo) Per elencare i nomi delle policy in linea incorporate nell'utente IAM, esegui questo comando: aws iam list-user-policies

  3. (Facoltativo) Per visualizzare la policy in linea specificata incorporata nell'utente IAM, esegui questo comando: aws iam list-user-policies

Creazione, modifica o eliminazione di una password utente IAM (API AWS)

Puoi utilizzare l'API AWS per gestire le password degli utenti IAM.

Per creare una password (API AWS)

  1. (Facoltativo) Per determinare se un utente dispone di una password, richiamare questa operazione: GetLoginProfile

  2. Per creare una password, richiamare questa operazione: CreateLoginProfile

Per modificare la password di un utente (API AWS)

  1. (Facoltativo) Per determinare se un utente dispone di una password, richiamare questa operazione: GetLoginProfile

  2. Per modificare una password, richiamare questa operazione: UpdateLoginProfile

Per eliminare (disabilitare) una password utente (API AWS)

  1. (Facoltativo) Per determinare se un utente dispone di una password, eseguire questo comando: GetLoginProfile

  2. (Facoltativo) Per determinare quando una password è stata utilizzata per l'ultima volta, eseguire questo comando: GetUser

  3. Per eliminare una password, eseguire questo comando: DeleteLoginProfile

Importante

Quando elimini una password dell'utente, l'utente non può più accedere alla AWS Management Console. Se l'utente dispone di chiavi di accesso attive, esse continueranno a funzionare e a permettere l'accesso tramite la AWS CLI, Tools for Windows PowerShell o le chiamate di funzione all'API AWS. Se utilizzi la AWS CLI, Tools for Windows PowerShell o l'API AWS per eliminare un utente dall'Account AWS, occorre prima eliminare la password utilizzando questa operazione. Per ulteriori informazioni, consulta Eliminazione di un utente IAM (AWS CLI).

Per revocare le sessioni di console attive di un utente prima di un orario specificato (API AWS)

  1. Per incorporare una policy in linea che revochi le sessioni di console attive di un utente IAM prima di un orario specificato, usa la seguente policy in linea ed esegui questo comando: PutUserPolicy

    Questa policy in linea nega tutte le autorizzazioni e include la chiave di condizione aws:TokenIssueTime. Revoca le sessioni di console attive dell'utente prima del tempo specificato nell'elemento Condition della policy in linea. Sostituire il valore della chiave di condizione aws:TokenIssueTime con il proprio valore.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Facoltativo) Per visualizzare i nomi delle policy in linea incorporate nell'utente IAM, eseguire questo comando: ListUserPolicies

  3. (Facoltativo) Per visualizzare la policy in linea specificata incorporata nell'utente IAM, esegui questo comando: GetUserPolicy