Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
L'account di AWS Organizations gestione o un account amministratore delegato per IAM può eseguire alcune attività degli utenti root sugli account dei membri utilizzando l'accesso root a breve termine. Queste attività possono essere eseguite solo quando si effettua l'accesso come utente root di un account. Le sessioni con privilegi a breve termine forniscono credenziali temporanee utilizzabili per intraprendere azioni con privilegi su un account membro dell'organizzazione.
Una volta avviata una sessione con privilegi, puoi eliminare una policy del bucket Amazon S3 configurata in modo errato, eliminare la policy di una coda Amazon SQS non configurata correttamente, eliminare le credenziali dell'utente root per un account membro e riabilitare le credenziali dell'utente root per un account membro.
Nota
È necessario accedere a un account di AWS Organizations gestione o a un account amministratore delegato per IAM per abilitare l'accesso root centralizzato. Non è possibile utilizzare l'utente Account AWS root.
Prerequisiti
Prima di poter avviare una sessione con privilegi, è necessario disporre delle seguenti impostazioni:
-
Devi aver abilitato l'accesso root centralizzato nella tua organizzazione. Per le operazioni per abilitare questa funzionalità, consulta Centralizzare l'accesso root per gli account dei membri.
-
Il tuo account di gestione o l'account amministratore delegato deve disporre delle seguenti autorizzazioni:
sts:AssumeRoot
Esecuzione di un'azione con privilegi su un account membro (console)
Per avviare una sessione per un'azione con privilegi in un account membro nella AWS Management Console
Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione della console, scegli Gestione dell'accesso root.
-
Seleziona un nome dall'elenco degli account membri e scegli Esegui azioni con privilegi.
-
Scegli l'azione con privilegi che desideri eseguire nell'account membro.
-
Seleziona Elimina policy del bucket Amazon S3 per rimuovere una policy del bucket mal configurata che impedisce a tutti i principali di accedere al bucket Amazon S3.
-
Scegli Sfoglia S3 per selezionare un nome dai bucket di proprietà dell'account membro e seleziona Scegli.
-
Scegli Elimina policy del bucket.
-
Utilizza la console Amazon S3 per correggere la policy del bucket dopo aver eliminato la policy configurata non correttamente. Per informazioni, consulta Aggiunta di una policy del bucket utilizzando la console Amazon S3 nella Guida per l'utente di Amazon S3.
-
-
Seleziona Elimina la policy Amazon SQS per eliminare una policy basata sulle risorse Amazon Simple Queue Service che rifiuta a tutti i principali l'accesso a una coda Amazon SQS.
-
Inserisci il nome della coda in Nome della coda SQS e seleziona Elimina la policy SQS.
-
Utilizza la console Amazon SQS per correggere la policy della coda dopo aver eliminato la policy configurata non correttamente. Per ulteriori informazioni, consulta Configurazione di una policy di accesso in Amazon SQS nella Guida per gli sviluppatori di Amazon SQS.
-
-
Seleziona Elimina le credenziali root per rimuovere l'accesso root da un account membro. L'eliminazione delle credenziali dell'utente root rimuove la password dell'utente root, le chiavi di accesso, i certificati di firma e disattiva l'autenticazione a più fattori (MFA) per l'account membro.
-
Scegli Elimina le credenziali root.
-
-
Seleziona Consenti il recupero della password per recuperare le credenziali dell'utente root per un account membro.
Questa opzione è disponibile solo quando l'account membro non ha le credenziali dell'utente root.
-
Scegli Consenti il recupero della password.
-
Dopo aver eseguito questa azione con privilegi, la persona con accesso alla casella di posta elettronica dell'utente root per l'account membro può reimpostare la password dell'utente root e accedere all'utente root dell'account membro.
-
-
Esecuzione di un'azione con privilegi su un account membro (AWS CLI)
Per avviare una sessione per un'azione con privilegi in un account membro dalla AWS Command Line Interface
-
Usa il seguente comando per assumere una sessione dell'utente root: aws sts assume-root
. Nota
L'endpoint globale non è supportato per
sts:AssumeRoot
. È necessario inviare questa richiesta a un endpoint regionale. AWS STS Per ulteriori informazioni, consulta Gestire AWS STS in un Regione AWS.Quando si avvia una sessione dell'utente root con privilegi per un account membro, è necessario definire l'
task-policy-arn
per limitare l'ambito della sessione all'azione con privilegi da eseguire durante la sessione. È possibile utilizzare una delle seguenti policy gestite da AWS per definire l'ambito delle azioni di sessione con privilegi.Nel seguente esempio, l'amministratore delegato presuppone root per eliminare le credenziali dell'utente root per l'ID dell'account membro.
111122223333
aws sts assume-root \ --target-principal
111122223333
\ --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials
\ --duration-seconds900
-
Utilizza
AccessKeyId
eSecretAccessKey
dalla risposta per eseguire azioni con privilegi nell'account membro. È possibile omettere il nome utente e la password nella richiesta per impostare come impostazione predefinita l'account utente.-
Controlla lo stato delle credenziali dell'utente root. Usa i seguenti comandi per controllare lo stato delle credenziali dell'utente root per un account membro.
-
Elimina le credenziali dell'utente root. Per eliminare l'accesso root utilizza i comandi riportati di seguito. È possibile rimuovere la password dell'utente root, le chiavi di accesso, i certificati di firma e disattivare l'autenticazione a più fattori (MFA) per rimuovere tutti gli accessi e il ripristino dell'utente root.
-
Elimina la policy del bucket Amazon S3. Utilizza i seguenti comandi per leggere, modificare ed eliminare una policy del bucket configurata in modo errato che impedisce a tutti i principali di accedere al bucket Amazon S3.
-
Elimina la policy di Amazon SQS. Utilizza i seguenti comandi per visualizzare ed eliminare una policy basata sulle risorse Amazon Simple Queue Service che nega a tutti i principali l'accesso a una coda Amazon SQS.
-
Consenti il recupero della password. Usa i seguenti comandi per visualizzare il nome utente e recuperare le credenziali dell'utente root per un account membro.
-
Esecuzione di un'azione privilegiata su un account membro (API)AWS
Per avviare una sessione per un'azione con privilegi in un account membro dall'API AWS
-
Usa il seguente comando per assumere una sessione utente root: AssumeRoot.
Nota
L'endpoint globale non è supportato per AssumeRoot. È necessario inviare questa richiesta a un AWS STS endpoint regionale. Per ulteriori informazioni, consulta Gestire AWS STS in un Regione AWS.
Quando si avvia una sessione dell'utente root con privilegi per un account membro, è necessario definire l'
TaskPolicyArn
per limitare l'ambito della sessione all'azione con privilegi da eseguire durante la sessione. È possibile utilizzare una delle seguenti politiche AWS gestite per definire l'ambito delle azioni di sessione privilegiate.Nell'esempio seguente, l'amministratore delegato presuppone che sia root a leggere, modificare ed eliminare una policy basata sulle risorse non configurata correttamente per un bucket Amazon S3 per l'ID dell'account membro.
111122223333
https://sts.us-east-2.amazonaws.com/ ?Version=2011-06-15 &Action=AssumeRoot &TargetPrincipal=
111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds900
-
Utilizza
AccessKeyId
eSecretAccessKey
dalla risposta per eseguire azioni con privilegi nell'account membro. È possibile omettere il nome utente e la password nella richiesta per impostare come impostazione predefinita l'account utente.-
Controlla lo stato delle credenziali dell'utente root. Usa i seguenti comandi per controllare lo stato delle credenziali dell'utente root per un account membro.
-
Elimina le credenziali dell'utente root. Per eliminare l'accesso root utilizza i comandi riportati di seguito. È possibile rimuovere la password dell'utente root, le chiavi di accesso, i certificati di firma e disattivare l'autenticazione a più fattori (MFA) per rimuovere tutti gli accessi e il ripristino dell'utente root.
-
Elimina la policy del bucket Amazon S3. Utilizza i seguenti comandi per leggere, modificare ed eliminare una policy del bucket configurata in modo errato che impedisce a tutti i principali di accedere al bucket Amazon S3.
-
Elimina la policy di Amazon SQS. Utilizza i seguenti comandi per visualizzare ed eliminare una policy basata sulle risorse Amazon Simple Queue Service che nega a tutti i principali l'accesso a una coda Amazon SQS.
-
Consenti il recupero della password. Usa i seguenti comandi per visualizzare il nome utente e recuperare le credenziali dell'utente root per un account membro.
-