Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Puoi utilizzare AWS Security Token Service (AWS STS) per creare e fornire agli utenti attendibili le credenziali di sicurezza provvisorie per controllare l'accesso alle risorse AWS. Le credenziali di sicurezza temporanee funzionano quasi esattamente come le credenziali delle chiavi di accesso a lungo termine, con le seguenti differenze:
-
Le credenziali di sicurezza provvisorie sono a breve termine, come implica il nome. Possono essere configurate per durare ovunque per pochi minuti o diverse ore. Dopo che le credenziali scadono, AWS non le riconosce più o consente qualsiasi tipo di accesso da parte delle richieste API effettuate.
-
Le credenziali di sicurezza temporanee non sono archiviate con l'utente, ma vengono generate dinamicamente e fornite all'utente quando richiesto. Quando (o anche prima) le credenziali di sicurezza temporanee scadono, l'utente può richiedere nuove credenziali, purché l'utente che le richiede abbia ancora le autorizzazioni per farlo.
Di conseguenza, le credenziali temporanee presentano i seguenti vantaggi rispetto alle credenziali a lungo termine:
-
Non è necessario distribuire o incorporare credenziali di sicurezza AWS a lungo termine con un'applicazione.
-
Puoi fornire agli utenti l'accesso alle risorse AWS senza dover definire un identità AWS per questi ultimi. Le credenziali provvisorie sono la base dei ruoli e della federazione delle identità.
-
Le credenziali di sicurezza temporanee hanno una durata limitata, perciò non è necessario aggiornarle o revocarle in modo esplicito quando non sono più necessarie. Dopo che le credenziali di sicurezza temporanee scadono, non possono essere riutilizzate. È possibile specificare quando scadono le credenziali, fino a un limite massimo.
AWS STS e regioni AWS
Le credenziali di sicurezza temporanee sono generate da AWS STS. Per impostazione predefinita, AWS STS è un servizio globale con un singolo endpoint all'indirizzo https://sts.amazonaws.com
. Tuttavia, è anche possibile scegliere di effettuare chiamate API AWS STS agli endpoint in qualsiasi altra regione supportata. Ciò può ridurre la latenza (server lag) effettuando le richieste a server in una regione geograficamente più vicina a te. Indipendentemente dalla regione dalla quale provengono, le credenziali funzionano a livello globale. Per ulteriori informazioni, consulta Gestire AWS STS in un Regione AWS.
Scenari comuni per le credenziali temporanee
Le credenziali temporanee sono utili in scenari che interessano la federazione delle identità, la delega, l'accesso tra account e i ruoli IAM.
Federazione delle identità
È possibile gestire l'identità dell'utente in un sistema esterno al di fuori di AWS e concedere agli utenti che effettuano l'accesso da quei sistemi l'accesso per eseguire le attività AWS e accedere alle risorse AWS. IAM supporta due tipi di federazione delle identità. In entrambi i casi, le identità vengono archiviate al di fuori di AWS. La differenza è dove risiede il sistema esterno: nel data center o una parte terza sul Web. Per confrontare le funzionalità delle credenziali di sicurezza temporanee per la federazione delle identità, consulta Confronta le credenziali AWS STS.
Per ulteriori informazioni sui provider di identità esterni, consultare Provider di identità e federazione.
-
Federazione OpenID Connect (OIDC): puoi consentire agli utenti di effettuare l'accesso tramite un provider di identità di terze parti noto, come Login with Amazon, Facebook, Google o qualsiasi provider compatibile con OpenID Connect (OIDC) 2.0 per l'applicazione mobile o Web, non è necessario creare un codice di accesso personalizzato o gestire le proprie identità utente. L'utilizzo della federazione OIDC aiuta a mantenere protetto l'Account AWS perché non serve distribuire credenziali di sicurezza a lungo termine, come le chiavi di accesso dell'utente IAM, insieme all'applicazione. Per ulteriori informazioni, consulta Federazione OIDC.
La federazione OIDC AWS STS supporta Login with Amazon, Facebook, Google e qualsiasi provider di identità compatibile con OpenID Connect (OIDC).
Nota
Per le applicazioni mobili, consigliamo di utilizzare Amazon Cognito. È possibile utilizzare questo servizio con gli SDK AWS per lo sviluppo per dispositivi mobili per creare identità univoche per gli utenti ed eseguire l'autenticazione per l'accesso sicuro alle risorse AWS. Amazon Cognito supporta gli stessi provider di identità come AWS STS e supporta anche l'accesso non autenticato (guest), consentendo di eseguire la migrazione dei dati utente quando un utente esegue l'accesso. Amazon Cognito fornisce inoltre operazioni API per la sincronizzazione dei dati utente in modo che vengano conservati quando gli utenti passano da un dispositivo all'altro. Per ulteriori informazioni, consulta Autenticazione con Amplify
nella documentazione di Amplify. -
Federazione SAML: puoi autenticare gli utenti nella rete dell'organizzazione e fornire a questi ultimi l'accesso a AWS senza creare nuove identità AWS e richiedere loro di effettuare l'accesso con credenziali di accesso diverse. Questo approccio è noto come Single Sign-On (SSO) per l'accesso temporaneo. AWS STS supporta gli standard aperti come Security Assertion Markup Language (SAML) 2.0, con cui puoi utilizzare Microsoft AD FS per sfruttare la Microsoft Active Directory. È inoltre possibile utilizzare SAML 2.0 per gestire la soluzione per la federazione delle identità dell'utente. Per ulteriori informazioni, consulta Federazione SAML 2.0.
-
Broker di federazione personalizzato: puoi utilizzare il sistema di autenticazione dell'organizzazione per concedere l'accesso alle risorse AWS. Per uno scenario di esempio, consultare Abilita l'accesso personalizzato del broker di identità alla AWS console.
-
Federazione tramite SAML 2.0: puoi utilizzare SAML e il sistema di autenticazione dell'organizzazione per concedere l'accesso alle risorse AWS. Per ulteriori informazioni e uno scenario di esempio, consultare Federazione SAML 2.0.
-
Ruoli per l'accesso tra account
Molte organizzazioni mantengono più di un Account AWS. Utilizzando ruoli e l'accesso tra account, è possibile definire le identità degli utenti in un account e utilizzare tali identità per accedere alle risorse AWS in altri account che appartengono all'organizzazione. Questo approccio è noto come delega all'accesso temporaneo. Per ulteriori informazioni sulla creazione di ruoli tra account, consulta la sezione Crea un ruolo per concedere le autorizzazioni a un utente IAM. Per capire se i principali negli account esterni alla zona di attendibilità (organizzazione o account attendibile) dispongono dell'accesso per assumere i ruoli, consulta Cos'è IAM Access Analyzer?.
Ruoli per Amazon EC2
Se esegui applicazioni sulle istanze Amazon EC2 e tali applicazioni devono accedere alle risorse AWS, puoi fornire le credenziali di sicurezza temporanee alle istanze al momento dell'avvio. Queste credenziali di sicurezza temporanee sono disponibili a tutte le applicazioni che vengono eseguite sull'istanza, perciò non è necessario archiviare nessuna delle credenziali a lungo termine sull'istanza. Per ulteriori informazioni, consulta Utilizzare un ruolo IAM per concedere autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2.
Per ulteriori informazioni sulle credenziali del ruolo IAM di Amazon EC2, consulta Ruoli IAM per Amazon EC2 nella Guida per l'utente di Elastic Compute Cloud.
Altri servizi AWS
È possibile utilizzare le credenziali di sicurezza temporanee per accedere alla maggior parte dei servizi AWS. Per un elenco dei servizi che accettano le credenziali di sicurezza temporanee, consultare AWS servizi che funzionano con IAM.
Applicazioni di esempio che usano credenziali temporanee
Puoi utilizzare AWS Security Token Service (AWS STS) per creare e fornire agli utenti attendibili le credenziali di sicurezza provvisorie per controllare l'accesso alle risorse AWS. Per ulteriori informazioni su AWS STS, consulta Credenziali di sicurezza temporanee in IAM. Per consultare in che modo è possibile utilizzare AWS STS per gestire le credenziali di sicurezza temporanee, è possibile scaricare i seguenti esempi di applicazioni in cui vengono implementati scenari di esempio completi:
-
Attivazione della federazione con AWS tramite Windows Active Directory, ADFS e SAML 2.0
. Dimostra come delegare l'accesso utilizzando la federazione aziendale con AWSusando Windows Active Directory (AD), Active Directory Federation Services (ADFS) 2.0 e SAML (Security Assertion Markup Language) 2.0. -
Abilita l'accesso personalizzato del broker di identità alla AWS console. Dimostra come creare un proxy di federazione personalizzato che abilita l'autenticazione unica (SSO) in modo che gli utenti esistenti di Active Directory possano accedere alla AWS Management Console.
-
Come utilizzare Shibboleth per l'autenticazione unica alla AWS Management Console.
. Mostra come utilizzare Shibboleth e SAML per fornire agli utenti l'accesso Single Sign-On (SSO) alla AWS Management Console.
Esempi per la federazione OIDC
Le seguenti applicazioni di esempio illustrano come utilizzare la federazione OIDC con provider come Login with Amazon, Amazon Cognito, Facebook o Google. Puoi scambiare l'autenticazione di questi provider con le credenziali di sicurezza AWS provvisorie per accedere ai servizi AWS.
-
Tutorial di Amazon Cognito: è consigliabile utilizzare Amazon Cognito con gli SDK AWS per lo sviluppo mobile. Amazon Cognito offre il modo più semplice per gestire l'identità per le applicazioni per dispositivi mobili e offre funzionalità aggiuntive come la sincronizzazione e l'identità tra più dispositivi. Per ulteriori informazioni su Amazon Cognito, consulta Autenticazione con Amplify
nella documentazione di Amplify.
Risorse aggiuntive per le credenziali di sicurezza temporanee
I seguenti scenari e applicazioni possono essere utili per l'utilizzo di credenziali di sicurezza temporanee:
-
Come integrare AWS STS SourceIdentity con il tuo provider di identità
. Questo articolo spiega come configurare l'attributo AWS STS SourceIdentity
quando utilizzi Okta, Ping o OneLogin come IdP. -
Federazione OIDC. In questa sezione viene descritto come configurare i ruoli IAM quando si utilizza la federazione OIDC e l'API
AssumeRoleWithWebIdentity
. -
APIAccesso sicuro con MFA. In questo argomento viene descritto come utilizzare i ruoli per richiedere l'autenticazione a più fattori (MFA) per proteggere le operazioni API sensibili nel tuo account.
Per ulteriori informazioni su policy e autorizzazioni in AWS, consulta i seguenti argomenti:
-
Gestione delle autorizzazioni di accesso alle risorse di Amazon S3 in Guida per l'utente di Amazon Simple Storage Service.
-
Per capire se i principali negli account esterni alla zona di attendibilità (organizzazione o account attendibile) dispongono dell'accesso per assumere i ruoli, consulta Cos'è IAM Access Analyzer?.