Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Centralizzare l'accesso root per gli account dei membri
Le credenziali dell'utente root sono le credenziali iniziali assegnate a chiunque Account AWS abbia accesso completo a tutti i AWS servizi e le risorse dell'account. Quando abiliti AWS Organizations, unisci tutti i tuoi AWS account in un'organizzazione per la gestione centralizzata. Ogni account membro ha il proprio utente root con autorizzazioni predefinite per eseguire qualsiasi azione nell'account membro. Ti consigliamo di proteggere centralmente le credenziali dell'utente root di Account AWS Managed Using AWS Organizations per impedire il ripristino e l'accesso delle credenziali dell'utente root su larga scala.
Dopo aver centralizzato l'accesso root, puoi scegliere di eliminare le credenziali dell'utente root dagli account membri dell'organizzazione. È possibile rimuovere la password dell'utente root, le chiavi di accesso, i certificati di firma e disattivare l'autenticazione a più fattori (MFA). Per impostazione predefinita, i nuovi account creati in Organizations non hanno credenziali dell'utente root. Gli account dei membri non possono accedere al proprio utente root o eseguirne il recupero della password.
Se è necessario recuperare le credenziali dell'utente root per un account membro, è possibile abilitare il recupero della password sull'account. Alcune attività possono essere eseguite solo quando si effettua l'accesso come utente root di un account. Alcune di queste Attività che richiedono credenziali dell'utente root possono essere eseguite dall'account di gestione o dall'amministratore delegato di IAM. Ti consigliamo di eliminare le credenziali dell'utente root una volta completata l'attività che richiede l'accesso all'utente root. Per ulteriori informazioni sulle attività con privilegi che è possibile eseguire, consulta Eseguire un'attività con privilegi.
Prerequisiti
Prima di centralizzare l'accesso root, è necessario disporre di un account configurato con le seguenti impostazioni:
-
Devi gestire il tuo account. Account AWS AWS Organizations
-
Per abilitare questa funzionalità nella tua organizzazione, devi disporre delle seguenti autorizzazioni:
-
iam:EnableOrganizationsRootCredentialsManagement -
iam:EnableOrganizationsRootSessions -
organizations:RegisterDelegatedAdministrator -
organizations:EnableAwsServiceAccess
-
Abilitazione dell'accesso root centralizzato (console)
Per abilitare questa funzione per gli account dei membri in AWS Management Console
Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione della console, scegli Gestione degli accessi root, quindi seleziona Abilita.
Nota
Se vedi che la gestione degli accessi root è disabilitata, abilita l'accesso affidabile per AWS Identity and Access Management in AWS Organizations. Per i dettagli, consulta AWS IAM e AWS Organizations nella Guida per l'utente di AWS Organizations .
-
Nella sezione Funzionalità da abilitare, scegli le funzionalità da abilitare.
-
Seleziona Gestione delle credenziali root per consentire all'account di gestione e all'amministratore delegato di IAM di eliminare le credenziali utente root per gli account membri. È necessario abilitare le azioni root con privilegi negli account membri per consentire agli account membri di recuperare le credenziali dell'utente root dopo che sono state eliminate.
-
Seleziona Azioni root con privilegi negli account membri per consentire all'account di gestione e all'amministratore delegato di IAM di eseguire determinate attività che richiedono le credenziali dell'utente root.
-
-
(Facoltativo) Inserisci l'ID account dell'amministratore delegato autorizzato a gestire l'accesso degli utenti root e ad eseguire azioni con privilegi sugli account membri. Consigliamo un account destinato a scopi di sicurezza o gestione.
-
Scegli Abilita .
Abilitazione dell'accesso root centralizzato (AWS CLI)
Per abilitare l'accesso root centralizzato da AWS Command Line Interface ()AWS CLI
-
Se non hai già abilitato l'accesso affidabile per AWS Identity and Access Management in AWS Organizations, usa il seguente comando: aws organisations enable-aws-service-access
. -
Usa il seguente comando per consentire all'account di gestione e all'amministratore delegato di eliminare le credenziali dell'utente root per gli account dei membri: aws iam enable-organizations-root-credentials
-management. -
L'esempio seguente assegna l'account 111111111111 come amministratore delegato per il servizio IAM.
aws organizations register-delegated-administrator --service-principal iam.amazonaws.com --account-id111111111111
Abilitazione dell'accesso root centralizzato (API AWS )
Per abilitare l'accesso root centralizzato dall'API AWS
-
Se non hai già abilitato l'accesso affidabile per AWS Identity and Access Management in AWS Organizations, usa il seguente comando: Enable AWSService Access.
-
Usa il comando seguente per consentire all'account di gestione e all'amministratore delegato di eliminare le credenziali dell'utente root per gli account dei membri:. EnableOrganizationsRootCredentialsManagement
-
Utilizzare il comando seguente per consentire all'account di gestione e all'amministratore delegato di eseguire determinate attività che richiedono le credenziali dell'utente root:. EnableOrganizationsRootSessions
-
(Facoltativo) Utilizzate il seguente comando per registrare un amministratore delegato:. RegisterDelegatedAdministrator
Passaggi successivi
Dopo aver protetto centralmente le credenziali con privilegi per gli account membri dell'organizzazione, consulta Eseguire un'attività con privilegi per eseguire le azioni con privilegi su un account membro.
