Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Credenziali di sicurezza temporanee in IAM

Modalità Focus
Credenziali di sicurezza temporanee in IAM - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Puoi utilizzare AWS Security Token Service (AWS STS) per creare e fornire agli utenti attendibili le credenziali di sicurezza provvisorie per controllare l'accesso alle risorse AWS. Le credenziali di sicurezza temporanee funzionano quasi esattamente come le credenziali delle chiavi di accesso a lungo termine, con le seguenti differenze:

  • Le credenziali di sicurezza provvisorie sono a breve termine, come implica il nome. Possono essere configurate per durare ovunque per pochi minuti o diverse ore. Dopo che le credenziali scadono, AWS non le riconosce più o consente qualsiasi tipo di accesso da parte delle richieste API effettuate.

  • Le credenziali di sicurezza temporanee non sono archiviate con l'utente, ma vengono generate dinamicamente e fornite all'utente quando richiesto. Quando (o anche prima) le credenziali di sicurezza temporanee scadono, l'utente può richiedere nuove credenziali, purché l'utente che le richiede abbia ancora le autorizzazioni per farlo.

Di conseguenza, le credenziali temporanee presentano i seguenti vantaggi rispetto alle credenziali a lungo termine:

  • Non è necessario distribuire o incorporare credenziali di sicurezza AWS a lungo termine con un'applicazione.

  • Puoi fornire agli utenti l'accesso alle risorse AWS senza dover definire un identità AWS per questi ultimi. Le credenziali provvisorie sono la base dei ruoli e della federazione delle identità.

  • Le credenziali di sicurezza temporanee hanno una durata limitata, perciò non è necessario aggiornarle o revocarle in modo esplicito quando non sono più necessarie. Dopo che le credenziali di sicurezza temporanee scadono, non possono essere riutilizzate. È possibile specificare quando scadono le credenziali, fino a un limite massimo.

AWS STS e regioni AWS

Le credenziali di sicurezza temporanee sono generate da AWS STS. Per impostazione predefinita, AWS STS è un servizio globale con un singolo endpoint all'indirizzo https://sts.amazonaws.com. Tuttavia, è anche possibile scegliere di effettuare chiamate API AWS STS agli endpoint in qualsiasi altra regione supportata. Ciò può ridurre la latenza (server lag) effettuando le richieste a server in una regione geograficamente più vicina a te. Indipendentemente dalla regione dalla quale provengono, le credenziali funzionano a livello globale. Per ulteriori informazioni, consulta Gestire AWS STS in un Regione AWS.

Scenari comuni per le credenziali temporanee

Le credenziali temporanee sono utili in scenari che interessano la federazione delle identità, la delega, l'accesso tra account e i ruoli IAM.

Federazione delle identità

È possibile gestire l'identità dell'utente in un sistema esterno al di fuori di AWS e concedere agli utenti che effettuano l'accesso da quei sistemi l'accesso per eseguire le attività AWS e accedere alle risorse AWS. IAM supporta due tipi di federazione delle identità. In entrambi i casi, le identità vengono archiviate al di fuori di AWS. La differenza è dove risiede il sistema esterno: nel data center o una parte terza sul Web. Per confrontare le funzionalità delle credenziali di sicurezza temporanee per la federazione delle identità, consulta Confronta le credenziali AWS STS.

Per ulteriori informazioni sui provider di identità esterni, consultare Provider di identità e federazione.

  • Federazione OpenID Connect (OIDC): puoi consentire agli utenti di effettuare l'accesso tramite un provider di identità di terze parti noto, come Login with Amazon, Facebook, Google o qualsiasi provider compatibile con OpenID Connect (OIDC) 2.0 per l'applicazione mobile o Web, non è necessario creare un codice di accesso personalizzato o gestire le proprie identità utente. L'utilizzo della federazione OIDC aiuta a mantenere protetto l'Account AWS perché non serve distribuire credenziali di sicurezza a lungo termine, come le chiavi di accesso dell'utente IAM, insieme all'applicazione. Per ulteriori informazioni, consulta Federazione OIDC.

    La federazione OIDC AWS STS supporta Login with Amazon, Facebook, Google e qualsiasi provider di identità compatibile con OpenID Connect (OIDC).

    Nota

    Per le applicazioni mobili, consigliamo di utilizzare Amazon Cognito. È possibile utilizzare questo servizio con gli SDK AWS per lo sviluppo per dispositivi mobili per creare identità univoche per gli utenti ed eseguire l'autenticazione per l'accesso sicuro alle risorse AWS. Amazon Cognito supporta gli stessi provider di identità come AWS STS e supporta anche l'accesso non autenticato (guest), consentendo di eseguire la migrazione dei dati utente quando un utente esegue l'accesso. Amazon Cognito fornisce inoltre operazioni API per la sincronizzazione dei dati utente in modo che vengano conservati quando gli utenti passano da un dispositivo all'altro. Per ulteriori informazioni, consulta Autenticazione con Amplify nella documentazione di Amplify.

  • Federazione SAML: puoi autenticare gli utenti nella rete dell'organizzazione e fornire a questi ultimi l'accesso a AWS senza creare nuove identità AWS e richiedere loro di effettuare l'accesso con credenziali di accesso diverse. Questo approccio è noto come Single Sign-On (SSO) per l'accesso temporaneo. AWS STS supporta gli standard aperti come Security Assertion Markup Language (SAML) 2.0, con cui puoi utilizzare Microsoft AD FS per sfruttare la Microsoft Active Directory. È inoltre possibile utilizzare SAML 2.0 per gestire la soluzione per la federazione delle identità dell'utente. Per ulteriori informazioni, consulta Federazione SAML 2.0.

    • Broker di federazione personalizzato: puoi utilizzare il sistema di autenticazione dell'organizzazione per concedere l'accesso alle risorse AWS. Per uno scenario di esempio, consultare Abilita l'accesso personalizzato del broker di identità alla AWS console.

    • Federazione tramite SAML 2.0: puoi utilizzare SAML e il sistema di autenticazione dell'organizzazione per concedere l'accesso alle risorse AWS. Per ulteriori informazioni e uno scenario di esempio, consultare Federazione SAML 2.0.

Ruoli per l'accesso tra account

Molte organizzazioni mantengono più di un Account AWS. Utilizzando ruoli e l'accesso tra account, è possibile definire le identità degli utenti in un account e utilizzare tali identità per accedere alle risorse AWS in altri account che appartengono all'organizzazione. Questo approccio è noto come delega all'accesso temporaneo. Per ulteriori informazioni sulla creazione di ruoli tra account, consulta la sezione Crea un ruolo per concedere le autorizzazioni a un utente IAM. Per capire se i principali negli account esterni alla zona di attendibilità (organizzazione o account attendibile) dispongono dell'accesso per assumere i ruoli, consulta Cos'è IAM Access Analyzer?.

Ruoli per Amazon EC2

Se esegui applicazioni sulle istanze Amazon EC2 e tali applicazioni devono accedere alle risorse AWS, puoi fornire le credenziali di sicurezza temporanee alle istanze al momento dell'avvio. Queste credenziali di sicurezza temporanee sono disponibili a tutte le applicazioni che vengono eseguite sull'istanza, perciò non è necessario archiviare nessuna delle credenziali a lungo termine sull'istanza. Per ulteriori informazioni, consulta Utilizzare un ruolo IAM per concedere autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2.

Per ulteriori informazioni sulle credenziali del ruolo IAM di Amazon EC2, consulta Ruoli IAM per Amazon EC2 nella Guida per l'utente di Elastic Compute Cloud.

Altri servizi AWS

È possibile utilizzare le credenziali di sicurezza temporanee per accedere alla maggior parte dei servizi AWS. Per un elenco dei servizi che accettano le credenziali di sicurezza temporanee, consultare AWS servizi che funzionano con IAM.

Applicazioni di esempio che usano credenziali temporanee

Puoi utilizzare AWS Security Token Service (AWS STS) per creare e fornire agli utenti attendibili le credenziali di sicurezza provvisorie per controllare l'accesso alle risorse AWS. Per ulteriori informazioni su AWS STS, consulta Credenziali di sicurezza temporanee in IAM. Per consultare in che modo è possibile utilizzare AWS STS per gestire le credenziali di sicurezza temporanee, è possibile scaricare i seguenti esempi di applicazioni in cui vengono implementati scenari di esempio completi:

Esempi per la federazione OIDC

Le seguenti applicazioni di esempio illustrano come utilizzare la federazione OIDC con provider come Login with Amazon, Amazon Cognito, Facebook o Google. Puoi scambiare l'autenticazione di questi provider con le credenziali di sicurezza AWS provvisorie per accedere ai servizi AWS.

  • Tutorial di Amazon Cognito: è consigliabile utilizzare Amazon Cognito con gli SDK AWS per lo sviluppo mobile. Amazon Cognito offre il modo più semplice per gestire l'identità per le applicazioni per dispositivi mobili e offre funzionalità aggiuntive come la sincronizzazione e l'identità tra più dispositivi. Per ulteriori informazioni su Amazon Cognito, consulta Autenticazione con Amplify nella documentazione di Amplify.

I seguenti scenari e applicazioni possono essere utili per l'utilizzo di credenziali di sicurezza temporanee:

Per ulteriori informazioni su policy e autorizzazioni in AWS, consulta i seguenti argomenti:

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.