Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utente root dell'account AWS
<a name="id_root-user"></a>

Quando crei per la prima volta un account Amazon Web Services (AWS), inizi con un'identità di accesso singolo che ha accesso completo a tutti i AWS servizi e le risorse dell'account. Questa identità è chiamata *utente root* dell' AWS account. L'indirizzo e-mail e la password che hai usato per creare il tuo Account AWS sono le credenziali che usi per accedere come utente root.
+ Ricorri all'utente root solo per eseguire le attività che richiedono le autorizzazioni a livello root. Per un elenco completo delle attività che richiedono il tuo accesso come utente root, consulta la pagina [Attività che richiedono credenziali dell'utente root](#root-user-tasks). 
+ Segui le [best practice per gli utenti root per il tuo Account AWS](root-user-best-practices.md).
+ Se riscontri problemi di accesso, consulta [Accedi alla Console di gestione AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html).

**Importante**  
Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane e di seguire le [best practice dell'utente root per il tuo Account AWS](root-user-best-practices.md). Conserva le credenziali dell’utente root e utilizzale per eseguire le operazioni che solo l’utente root può eseguire. Per un elenco completo delle attività che richiedono il tuo accesso come utente root, consulta la pagina [Attività che richiedono credenziali dell'utente root](#root-user-tasks). 

Sebbene l’MFA venga applicata per impostazione predefinita per gli utenti root, è comunque necessaria un’azione da parte del cliente per aggiungere l’MFA durante la creazione iniziale dell’account o quando viene richiesto durante l’accesso. Per ulteriori informazioni sull’utilizzo dell’MFA per proteggere l’utente root, consulta [Autenticazione a più fattori per Utente root dell'account AWS](enable-mfa-for-root.md).

## Gestire centralmente l'accesso root per gli account membri
<a name="id_root-user-access-management"></a>

Per aiutarti a gestire le credenziali su larga scala, puoi proteggere centralmente l'accesso alle credenziali degli utenti root per gli account membri in AWS Organizations. Quando abiliti AWS Organizations, unisci tutti i tuoi AWS account in un'organizzazione per la gestione centralizzata. La centralizzazione dell'accesso root consente di rimuovere le credenziali dell'utente root e completare le seguenti attività con privilegi sugli account membri.

**Rimuovere le credenziali dell'utente root per gli account membri**  
Dopo aver [centralizzato l'accesso root per gli account membri](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), puoi scegliere di eliminare le credenziali dell'utente root dagli account membri in Organizations. Puoi rimuovere la password dell’utente root, le chiavi di accesso, i certificati per la firma e disattivare l’autenticazione a più fattori (MFA). Per impostazione predefinita, i nuovi account creati in Organizations non hanno credenziali dell'utente root. Gli account membri non possono accedere al proprio utente root o eseguirne il recupero della password a meno che non sia abilitato il recupero dell'account.

**Esegui attività con privilegi che richiedono credenziali dell'utente root.**  
Alcune attività possono essere eseguite solo quando si effettua l'accesso come utente root di un account. Alcune di queste [Attività che richiedono credenziali dell'utente root](#root-user-tasks) possono essere eseguite dall'account di gestione o dall'amministratore delegato di IAM. Per ulteriori informazioni su come eseguire azioni con privilegi sugli account membri, consulta [Eseguire un'attività con privilegi](id_root-user-privileged-task.md).

**Abilitare il ripristino dell'account dell'utente root**  
Se è necessario recuperare le credenziali dell'utente root per un account membro, l'account di gestione di Organizations o l'amministratore delegato può eseguire l'attività con privilegi **Consenti il recupero della password**. La persona con accesso alla casella di posta elettronica dell'utente root per l'account membro può [reimpostare la password dell'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) per recuperare le credenziali dell'utente root. Ti consigliamo di eliminare le credenziali dell'utente root una volta completata l'attività che richiede l'accesso all'utente root.

# Centralizzare l'accesso root per gli account dei membri
<a name="id_root-enable-root-access"></a>

Le credenziali dell'utente root sono le credenziali iniziali assegnate a chiunque Account AWS abbia accesso completo a tutti i AWS servizi e le risorse dell'account. Quando abiliti AWS Organizations, unisci tutti i tuoi AWS account in un'organizzazione per la gestione centralizzata. Ogni account membro ha il proprio utente root con autorizzazioni predefinite per eseguire qualsiasi azione nell'account membro. Ti consigliamo di proteggere centralmente le credenziali dell'utente root di Account AWS Managed Using AWS Organizations per impedire il ripristino e l'accesso delle credenziali dell'utente root su larga scala.

Dopo aver centralizzato l'accesso root, puoi scegliere di eliminare le credenziali dell'utente root dagli account membri dell'organizzazione. Puoi rimuovere la password dell’utente root, le chiavi di accesso, i certificati per la firma e disattivare l’autenticazione a più fattori (MFA). Per impostazione predefinita, i nuovi account creati in AWS Organizations non hanno credenziali dell’utente root. Gli account dei membri non possono accedere al proprio utente root o eseguirne il recupero della password.

**Nota**  
Sebbene alcune [Attività che richiedono credenziali dell'utente root](id_root-user.md#root-user-tasks) possano essere eseguite dall’account di gestione o dall’amministratore delegato per IAM, alcune attività possono essere eseguite solo quando si effettua l’accesso come utente root di un account.  
Se è necessario recuperare le credenziali dell’utente root per un account membro al fine di eseguire una di queste attività, segui la procedura indicata in [Eseguire un'attività con privilegi](id_root-user-privileged-task.md) e seleziona **Consenti il recupero della password**. La persona che ha accesso alla casella di posta elettronica dell’utente root per l’account membro può quindi seguire i passaggi per [reimpostare la password dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) e accedere come utente root dell’account membro.  
 Ti consigliamo di eliminare le credenziali dell'utente root una volta completata l'attività che richiede l'accesso all'utente root.

## Prerequisiti
<a name="enable-root-access-management_prerequisite"></a>

Prima di centralizzare l'accesso root, è necessario disporre di un account configurato con le seguenti impostazioni:
+ Bisogna possedere le seguenti autorizzazioni IAM:
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountSummary`
  + `iam:GetLoginProfile`
  + `iam:GetUser`
  + `iam:ListAccessKeys`
  + `iam:ListMFADevices`
  + `iam:ListSigningCertificates`
  + `sts:AssumeRoot`
**Nota**  
Per verificare lo stato delle credenziali dell'utente root di un account membro, è possibile utilizzare la politica [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS gestita per definire l'ambito delle autorizzazioni quando si esegue un'attività privilegiata su un account AWS Organizations membro o utilizzare qualsiasi politica con accesso a. `iam:GetAccountSummary`  
Per generare il report informativo sulle credenziali dell’utente root, per le altre policy è sufficiente che l’operazione `iam:GetAccountSummary` produca lo stesso risultato. Inoltre, è possibile elencare oppure ottenere informazioni sulle credenziali dei singoli utenti root, compreso:  
Se è presente una password per l’utente root
Se è presente una chiave di accesso dell’utente root e quando è stata utilizzata l’ultima volta
Se l’utente root ha certificati di firma associati
I dispositivi MFA associati all’utente root
L’elenco dello stato delle credenziali consolidate dell’utente root
+ È necessario gestire il proprio account. Account AWS [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)
+ Per abilitare questa funzionalità nella tua organizzazione, devi disporre delle seguenti autorizzazioni:
  + `iam:EnableOrganizationsRootCredentialsManagement`
  + `iam:EnableOrganizationsRootSessions`
  + `iam:ListOrganizationsFeatures`
  + `organizations:EnableAwsServiceAccess`
  + `organizations:ListAccountsForParent`
  + `organizations:RegisterDelegatedAdministrator` 
+ Per garantire una funzionalità ottimale della console, si consiglia di abilitare le seguenti autorizzazioni aggiuntive:
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAWSServiceAccessForOrganization`
  + `organizations:ListDelegatedAdministrators`
  + `organizations:ListOrganizationalUnitsForParent`
  + `organizations:ListParents`
  + `organizations:ListTagsForResource`

## Abilitazione dell'accesso root centralizzato (console)
<a name="enable-root-access-console"></a>

**Per abilitare questa funzione per gli account dei membri in Console di gestione AWS**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione della console, scegli **Gestione degli accessi root**, quindi seleziona **Abilita**.
**Nota**  
Se vedi che la **gestione degli accessi root è disabilitata**, abilita l'accesso affidabile per AWS Identity and Access Management in AWS Organizations. Per i dettagli, consulta [AWS IAM e AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html) nella *Guida per l'utente di AWS Organizations *.

1. Nella sezione Funzionalità da abilitare, scegli le funzionalità da abilitare.
   + Seleziona **Gestione delle credenziali root** per consentire all'account di gestione e all'amministratore delegato di IAM di eliminare le credenziali utente root per gli account membri. È necessario abilitare le azioni root con privilegi negli account membri per consentire agli account membri di recuperare le credenziali dell'utente root dopo che sono state eliminate.
   + Seleziona **Azioni root con privilegi negli account membri** per consentire all'account di gestione e all'amministratore delegato di IAM di eseguire determinate attività che richiedono le credenziali dell'utente root.

1. (Facoltativo) Inserisci l'ID account dell'**amministratore delegato** autorizzato a gestire l'accesso degli utenti root e ad eseguire azioni con privilegi sugli account membri. Consigliamo un account destinato a scopi di sicurezza o gestione.

1. Scegli **Abilita **.

## Abilitazione dell'accesso root centralizzato (AWS CLI)
<a name="enable-root-access-cli"></a>

**Per abilitare l'accesso root centralizzato da AWS Command Line Interface ()AWS CLI**

1. Se non hai già abilitato l'accesso affidabile per AWS Identity and Access Management in AWS Organizations, usa il seguente comando: [aws organisations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html).

1. Usa il seguente comando per consentire all'account di gestione e all'amministratore delegato di eliminare le credenziali dell'utente root per gli account dei membri: [aws iam enable-organizations-root-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html) -management.

1. [Utilizzare il comando seguente per consentire all'account di gestione e all'amministratore delegato di eseguire determinate attività che richiedono le credenziali dell'utente root: aws iam. enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)

1. [(Facoltativo) Utilizzate il seguente comando per registrare un amministratore delegato: aws organisations. register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html)

   L'esempio seguente assegna l'account 111111111111 come amministratore delegato per il servizio IAM.

   ```
   aws organizations register-delegated-administrator 
   --service-principal iam.amazonaws.com
   --account-id 111111111111
   ```

## Abilitazione dell'accesso root centralizzato (API)AWS
<a name="enable-root-access-api"></a>

**Per abilitare l'accesso root centralizzato dall'API AWS**

1. Se non hai già abilitato l'accesso affidabile per AWS Identity and Access Management in AWS Organizations, usa il seguente comando: [Enable AWSService Access.](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

1. Usa il comando seguente per consentire all'account di gestione e all'amministratore delegato di eliminare le credenziali dell'utente root per gli account dei membri:. [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html)

1. Utilizzare il comando seguente per consentire all'account di gestione e all'amministratore delegato di eseguire determinate attività che richiedono le credenziali dell'utente root:. [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)

1. (Facoltativo) Utilizzate il seguente comando per registrare un amministratore delegato:. [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)

## Fasi successive
<a name="enable-root-access_next-steps"></a>

Dopo aver protetto centralmente le credenziali con privilegi per gli account membri dell'organizzazione, consulta [Eseguire un'attività con privilegi](id_root-user-privileged-task.md) per eseguire le azioni con privilegi su un account membro.

# Esegui un'attività privilegiata su un account AWS Organizations membro
<a name="id_root-user-privileged-task"></a>

L'account di AWS Organizations gestione o un account amministratore delegato per IAM può eseguire alcune attività privilegiate sugli account dei membri che altrimenti richiederebbero le credenziali dell'utente root. Con l'accesso root centralizzato, queste attività vengono eseguite tramite sessioni privilegiate a breve termine. Queste sessioni forniscono credenziali temporanee destinate a specifiche azioni privilegiate, senza richiedere l'accesso dell'utente root sull'account del membro.

Una volta avviata una sessione con privilegi, puoi eliminare una policy del bucket Amazon S3 configurata in modo errato, eliminare la policy di una coda Amazon SQS non configurata correttamente, eliminare le credenziali dell'utente root per un account membro e riabilitare le credenziali dell'utente root per un account membro.

**Nota**  
Per utilizzare l'accesso root centralizzato, devi accedere tramite un account di gestione o un account amministratore delegato come utente o ruolo IAM con l'autorizzazione concessa esplicitamente. `sts:AssumeRoot` Non è possibile utilizzare le credenziali dell'utente root per effettuare una chiamata. `sts:AssumeRoot`

## Prerequisiti
<a name="root-user-privileged-task_prerequisite"></a>

Prima di poter avviare una sessione con privilegi, è necessario disporre delle seguenti impostazioni:
+ Devi aver abilitato l'accesso root centralizzato nella tua organizzazione. Per le operazioni per abilitare questa funzionalità, consulta [Centralizzare l'accesso root per gli account dei membri](id_root-enable-root-access.md).
+ Il tuo account di gestione o l'account amministratore delegato deve disporre delle seguenti autorizzazioni: `sts:AssumeRoot`

## Esecuzione di un'azione con privilegi su un account membro (console)
<a name="root-user-privileged-task_action-console"></a>

**Per avviare una sessione di azione privilegiata in un account membro in Console di gestione AWS**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione della console, scegli **Gestione dell'accesso root**.

1. Seleziona un nome dall'elenco degli account membri e scegli **Esegui azioni con privilegi**.

1. Scegli l'azione con privilegi che desideri eseguire nell'account membro.
   + Seleziona **Elimina policy del bucket Amazon S3** per rimuovere una policy del bucket mal configurata che impedisce a tutti i principali di accedere al bucket Amazon S3.

     1. Scegli **Sfoglia S3** per selezionare un nome dai bucket di proprietà dell'account membro e seleziona **Scegli**.

     1. Scegli **Elimina policy del bucket**.

     1. Utilizza la console Amazon S3 per correggere la policy del bucket dopo aver eliminato la policy configurata non correttamente. Per informazioni, consulta [Aggiunta di una policy del bucket utilizzando la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) nella *Guida per l'utente di Amazon S3*.
   + Seleziona **Elimina la policy Amazon SQS** per eliminare una policy basata sulle risorse Amazon Simple Queue Service che rifiuta a tutti i principali l'accesso a una coda Amazon SQS.

     1. Inserisci il nome della coda in **Nome della coda SQS** e seleziona **Elimina la policy SQS**.

     1. Utilizza la console Amazon SQS per correggere la policy della coda dopo aver eliminato la policy configurata non correttamente. Per ulteriori informazioni, consulta [Configurazione di una policy di accesso in Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html) nella *Guida per gli sviluppatori di Amazon SQS*.
   + Seleziona **Elimina le credenziali root** per rimuovere l'accesso root da un account membro. L’eliminazione delle credenziali dell’utente root rimuove la password dell’utente root, le chiavi di accesso e i certificati di firma, e disattiva l’autenticazione a più fattori (MFA) per l’account membro.

     1. Scegli **Elimina le credenziali root**.
   + Seleziona **Consenti il recupero della password** per recuperare le credenziali dell'utente root per un account membro.

     Questa opzione è disponibile solo quando l'account membro non ha le credenziali dell'utente root.

     1. Scegli **Consenti il recupero della password**.

     1. Dopo aver eseguito questa azione con privilegi, la persona con accesso alla casella di posta elettronica dell'utente root per l'account membro può [reimpostare la password dell'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) e accedere all'utente root dell'account membro.

## Esecuzione di un'azione con privilegi su un account membro (AWS CLI)
<a name="root-user-privileged-task_action-cli"></a>

**Per avviare una sessione di azione privilegiata in un account membro dal AWS Command Line Interface**

1. Usa il seguente comando per assumere una sessione dell'utente root: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html).
**Nota**  
L'endpoint globale non è supportato per `sts:AssumeRoot`. È necessario inviare questa richiesta a un AWS STS endpoint regionale. Per ulteriori informazioni, consulta [Gestisci AWS STS in un Regione AWS](id_credentials_temp_enable-regions.md).

   Quando si avvia una sessione dell'utente root con privilegi per un account membro, è necessario definire l'`task-policy-arn` per limitare l'ambito della sessione all'azione con privilegi da eseguire durante la sessione. È possibile utilizzare una delle seguenti policy gestite da AWS per definire l'ambito delle azioni di sessione con privilegi.
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   [Per limitare le azioni che un account di gestione o un amministratore delegato possono eseguire durante una sessione utente root privilegiata, è possibile utilizzare la chiave di AWS STS condizione sts:. TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)

    Nel seguente esempio, l'amministratore delegato presuppone root per eliminare le credenziali dell'utente root per l'ID dell'account membro. *111122223333* 

   ```
   aws sts assume-root \
     --target-principal 111122223333 \
     --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
     --duration-seconds 900
   ```

1. Utilizza `SessionToken`, `AccessKeyId` e `SecretAccessKey` dalla risposta per eseguire operazioni con privilegi nell’account membro. È possibile omettere il nome utente e la password nella richiesta per impostare come impostazione predefinita l'account utente.
   + **Controlla lo stato delle credenziali dell'utente root**. Usa i seguenti comandi per controllare lo stato delle credenziali dell'utente root per un account membro.
     + [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
     + [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
     + [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
     + [get-access-key-last-usato](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
   + **Elimina le credenziali dell'utente root**. Per eliminare l'accesso root utilizza i comandi riportati di seguito. È possibile rimuovere la password dell’utente root, le chiavi di accesso, i certificati di firma e disattivare l’autenticazione a più fattori (MFA) per rimuovere l’accesso e il recupero dell’utente root.
     + [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
     + [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
     + [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
     + [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
   + **Elimina la policy del bucket Amazon S3**. Utilizza i seguenti comandi per leggere, modificare ed eliminare una policy del bucket configurata in modo errato che impedisce a tutti i principali di accedere al bucket Amazon S3.
     + [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
     + [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
     + [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
     + [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
   + **Elimina la policy di Amazon SQS**. Utilizza i seguenti comandi per visualizzare ed eliminare una policy basata sulle risorse Amazon Simple Queue Service che nega a tutti i principali l'accesso a una coda Amazon SQS.
     + [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
     + [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
     + [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
     + [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
   + **Consenti il recupero della password**. Usa i seguenti comandi per visualizzare il nome utente e recuperare le credenziali dell'utente root per un account membro.
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)

## Esecuzione di un'azione privilegiata su un account membro (API)AWS
<a name="root-user-privileged-task_action-api"></a>

**Per avviare una sessione di azione privilegiata in un account membro dall'API AWS**

1. Usa il seguente comando per assumere una sessione utente root: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html).
**Nota**  
L'endpoint globale non è supportato per AssumeRoot. È necessario inviare questa richiesta a un AWS STS endpoint regionale. Per ulteriori informazioni, consulta [Gestisci AWS STS in un Regione AWS](id_credentials_temp_enable-regions.md).

   Quando si avvia una sessione dell'utente root con privilegi per un account membro, è necessario definire l'`TaskPolicyArn` per limitare l'ambito della sessione all'azione con privilegi da eseguire durante la sessione. È possibile utilizzare una delle seguenti politiche AWS gestite per definire l'ambito delle azioni di sessione privilegiate.
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   [Per limitare le azioni che un account di gestione o un amministratore delegato possono eseguire durante una sessione di utente root privilegiato, puoi utilizzare la chiave di AWS STS condizione sts:. TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)

   Nell'esempio seguente, l'amministratore delegato presuppone che sia root a leggere, modificare ed eliminare una policy basata sulle risorse non configurata correttamente per un bucket Amazon S3 per l'ID dell'account membro. *111122223333*

   ```
   https://sts.us-east-2.amazonaws.com/
     ?Version=2011-06-15
     &Action=AssumeRoot
     &TargetPrincipal=111122223333
     &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
     &DurationSeconds 900
   ```

1. Utilizza `SessionToken`, `AccessKeyId` e `SecretAccessKey` dalla risposta per eseguire operazioni con privilegi nell’account membro. È possibile omettere il nome utente e la password nella richiesta per impostare come impostazione predefinita l'account utente.
   + **Controlla lo stato delle credenziali dell'utente root**. Usa i seguenti comandi per controllare lo stato delle credenziali dell'utente root per un account membro.
     + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
     + [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
     + [ElencoMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
     + [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
   + **Elimina le credenziali dell'utente root**. Per eliminare l'accesso root utilizza i comandi riportati di seguito. È possibile rimuovere la password dell’utente root, le chiavi di accesso, i certificati di firma e disattivare l’autenticazione a più fattori (MFA) per rimuovere l’accesso e il recupero dell’utente root.
     + [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
     + [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
     + [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
     + [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
   + **Elimina la policy del bucket Amazon S3**. Utilizza i seguenti comandi per leggere, modificare ed eliminare una policy del bucket configurata in modo errato che impedisce a tutti i principali di accedere al bucket Amazon S3.
     + [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
     + [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
     + [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
     + [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
   + **Elimina la policy di Amazon SQS**. Utilizza i seguenti comandi per visualizzare ed eliminare una policy basata sulle risorse Amazon Simple Queue Service che nega a tutti i principali l'accesso a una coda Amazon SQS.
     + [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
     + [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
     + [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
     + [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
   + **Consenti il recupero della password**. Usa i seguenti comandi per visualizzare il nome utente e recuperare le credenziali dell'utente root per un account membro.
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

# Autenticazione a più fattori per Utente root dell'account AWS
<a name="enable-mfa-for-root"></a>

**Importante**  
AWS consiglia di utilizzare una passkey o una chiave di sicurezza per l'MFA AWS, laddove possibile, poiché sono più resistenti ad attacchi come il phishing. Per ulteriori informazioni, consulta [Passkey e chiavi di sicurezza](#passkeys-security-keys-for-root).

L'autenticazione a più fattori (MFA) è un meccanismo semplice ed efficace per migliorare la sicurezza. Il primo fattore, la password, è un segreto che viene memorizzato, noto anche come fattore di conoscenza. Altri fattori possono essere fattori di possesso (qualcosa che possiedi, come una chiave di sicurezza) o fattori intrinseci (qualcosa che sei, come una scansione biometrica). Per una maggiore sicurezza, ti consigliamo vivamente di configurare l'autenticazione a più fattori (MFA) per proteggere AWS le tue risorse.

**Nota**  
Tutti i Account AWS tipi (account standalone, di gestione e account membro) richiedono la configurazione dell'MFA per l'utente root. Gli utenti devono registrare l'MFA entro 35 giorni dal primo tentativo di accesso per accedere alla MFA se la Console di gestione AWS MFA non è già abilitata.

Puoi abilitare l'MFA per gli utenti Utente root dell'account AWS e IAM. Quando abiliti MFA per l'utente root, questa impostazione influisce solo sulle credenziali dell'utente root. Per ulteriori informazioni su come abilitare l'MFA per gli utenti IAM, consulta [AWS Autenticazione a più fattori in IAM](id_credentials_mfa.md).

**Nota**  
Account AWS managed using AWS Organizations può avere la possibilità di [gestire centralmente l'accesso root](id_root-user.md#id_root-user-access-management) per gli account dei membri per impedire il recupero e l'accesso alle credenziali su larga scala. Se questa opzione è abilitata, è possibile eliminare le credenziali dell’utente root dagli account membri, incluse password e MFA, impedendo efficacemente l’accesso come utente root, il recupero della password o la configurazione dell’MFA. In alternativa, se preferisci mantenere i metodi di accesso basati su password, proteggi il tuo account registrando l’MFA per una maggiore protezione.

Prima di abilitare MFA per il tuo utente root, rivedi e [aggiorna le impostazioni dell'account e le informazioni di contatto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) per verificare di disporre dell'accesso a e-mail e numero di telefono. Se il dispositivo MFA viene smarrito, rubato o non funziona, è comunque possibile accedere come utente root verificando la propria identità utilizzando tale e-mail e il numero di telefono. Per ulteriori informazioni sull'accesso utilizzando fattori di autenticazione alternativi, consultare [Recuperare un'identità protetta da MFA in IAM](id_credentials_mfa_lost-or-broken.md). Per disabilitare questa funzionalità, contatta [Supporto AWS](https://console.aws.amazon.com/support/home#/). 

AWS supporta i seguenti tipi di MFA per l'utente root:
+ [Passkey e chiavi di sicurezza](#passkeys-security-keys-for-root)
+ [Applicazioni di autenticazione virtuale](#virtual-auth-apps-for-root)
+ [Token TOTP hardware](#hardware-totp-token-for-root)

## Passkey e chiavi di sicurezza
<a name="passkeys-security-keys-for-root"></a>

AWS Identity and Access Management supporta passkey e chiavi di sicurezza per MFA. In base agli standard FIDO, le passkey utilizzano la crittografia a chiave pubblica per fornire un'autenticazione forte e resistente al phishing, più sicura delle password. AWS supporta due tipi di passkey: passkey legate al dispositivo (chiavi di sicurezza) e passkey sincronizzate.
+ **Chiavi di sicurezza**: si tratta di dispositivi fisici, come un YubiKey, utilizzati come secondo fattore di autenticazione. Una singola chiave di sicurezza può supportare più account utente root e utenti IAM. 
+ **Passkey sincronizzate**: come secondo fattore utilizzano gestori di credenziali di provider come Google, Apple, account Microsoft e servizi di terze parti come 1Password, Dashlane e Bitwarden come secondo fattore.

Puoi utilizzare gli autenticatori biometrici integrati, come Touch ID su Apple MacBooks, per sbloccare il gestore delle credenziali e accedere a. AWS Le passkey vengono create con il provider scelto utilizzando l'impronta digitale, il viso o il PIN del dispositivo. Puoi anche utilizzare una passkey di autenticazione tra dispositivi (CDA) da un dispositivo, ad esempio un dispositivo mobile o una chiave di sicurezza hardware, per accedere su un altro dispositivo, ad esempio un laptop. Per ulteriori informazioni, consulta [Cross-device authentication (CDA)](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda).

Puoi sincronizzare le passkey tra i tuoi dispositivi per facilitare gli accessi e migliorare l'usabilità e la recuperabilità. AWS Per ulteriori informazioni sull'abilitazione delle passkey e delle chiavi di sicurezza, consulta [Abilitare una passkey o una chiave di sicurezza per l'utente root (console)](enable-fido-mfa-for-root.md).

FIDO Alliance mantiene un elenco di tutti i [prodotti certificati FIDO](https://fidoalliance.org/certification/fido-certified-products/) compatibili con le specifiche FIDO.

## Applicazioni di autenticazione virtuale
<a name="virtual-auth-apps-for-root"></a>

Un'applicazione di autenticazione virtuale che viene eseguita su un telefono o altro dispositivo e simula un dispositivo fisico. Le app di autenticazione virtuale implementano l'algoritmo TOTP ([password monouso](https://datatracker.ietf.org/doc/html/rfc6238)) e supportano più token su un singolo dispositivo. L'utente deve immettere un codice valido dal dispositivo quando richiesto durante la procedura di accesso. Ogni token assegnato a un utente deve essere univoco. Per autenticarsi, un utente non può digitare un codice dal token di un altro utente.

È consigliabile utilizzare un dispositivo MFA virtuale nell'attesa dell'approvazione di un acquisto hardware o della consegna del dispositivo hardware. Per un elenco di alcune delle app supportate che puoi utilizzare come dispositivi MFA virtuali, consulta la pagina [Autenticazione a più fattori (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Per istruzioni sulla configurazione di un dispositivo MFA virtuale con AWS, vedere. [Abilitare un dispositivo MFA virtuale per l'utente root (console)](enable-virt-mfa-for-root.md)

## Token TOTP hardware
<a name="hardware-totp-token-for-root"></a>

Un dispositivo hardware che genera un codice numerico a sei cifre basato sull'algoritmo con [password monouso](https://datatracker.ietf.org/doc/html/rfc6238). L'utente deve immettere un codice valido dal dispositivo su una seconda pagina Web durante la procedura di accesso. Ogni dispositivo MFA assegnato a un utente deve essere univoco. Per essere autenticati, gli utenti non possono digitare un codice generato dal dispositivo di un altro utente. Per informazioni sui dispositivi MFA hardware supportati, consulta [Autenticazione a più fattori (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Per le istruzioni sulla configurazione di un token TOTP hardware con AWS, consulta [Abilitazione di un token TOTP hardware per l'utente root dell' (console)](enable-hw-mfa-for-root.md).

Se desideri utilizzare un dispositivo MFA fisico, ti consigliamo di utilizzare le chiavi di sicurezza FIDO come alternativa ai dispositivi TOTP hardware. Le chiavi di sicurezza FIDO offrono i vantaggi di non richiedere alcuna batteria, resistono al phishing e supportano più utenti root e IAM su un unico dispositivo per una maggiore sicurezza.

**Topics**
+ [

## Passkey e chiavi di sicurezza
](#passkeys-security-keys-for-root)
+ [

## Applicazioni di autenticazione virtuale
](#virtual-auth-apps-for-root)
+ [

## Token TOTP hardware
](#hardware-totp-token-for-root)
+ [

# Abilitare una passkey o una chiave di sicurezza per l'utente root (console)
](enable-fido-mfa-for-root.md)
+ [

# Abilitare un dispositivo MFA virtuale per l'utente root (console)
](enable-virt-mfa-for-root.md)
+ [

# Abilitazione di un token TOTP hardware per l'utente root dell' (console)
](enable-hw-mfa-for-root.md)

# Abilitare una passkey o una chiave di sicurezza per l'utente root (console)
<a name="enable-fido-mfa-for-root"></a>

Puoi configurare e abilitare una passkey per il tuo utente root Console di gestione AWS solo dall'API, non dall' AWS API AWS CLI o. <a name="enable_fido_root"></a>

**Per abilitare una passkey o una chiave di sicurezza per l'utente root (console)**

1. Apri la [Console di gestione AWS](https://console.aws.amazon.com/) e accedi utilizzando le credenziali dell'utente root.

   Per istruzioni, consulta [Accedere Console di gestione AWS come utente root nella Guida per](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) *l'Accedi ad AWS utente*.

1. Scegli il nome dell'account sul lato destro della barra di navigazione, quindi seleziona **Credenziali di sicurezza**.  
![\[Security Credentials (Credenziali di sicurezza) nel menu di navigazione\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Nella pagina **Le mie credenziali di sicurezza** dell'utente root, in **Autenticazione a più fattori (MFA)**, scegli **Assegna dispositivo MFA**.

1. Nella pagina **Nome del dispositivo MFA**, inserisci un **nome per il dispositivo**, scegli **Passkey o chiave di sicurezza**, quindi scegli **Avanti**.

1. In **Configura dispositivo**, configura la tua passkey. Crea una passkey con dati biometrici come il viso o l'impronta digitale, con un pin del dispositivo oppure inserendo la chiave di sicurezza FIDO nella porta USB del computer e toccandola.

1. Segui le istruzioni del tuo browser per scegliere un provider di passkey o selezionare dove vuoi archiviare la passkey da utilizzare su tutti i tuoi dispositivi. 

1. Scegli **Continua**.

Ora hai registrato la tua passkey per utilizzarla con AWS. La prossima volta che utilizzi le credenziali dell'utente root per effettuare l'accesso, dovrai autenticarti con la passkey per completare la procedura di accesso.

Per assistenza con la risoluzione dei problemi della chiave di sicurezza FIDO in , consulta [Risoluzione dei problemi relativi alle passkey e alle chiavi di sicurezza FIDO](troubleshoot_mfa-fido.md).

# Abilitare un dispositivo MFA virtuale per l'utente root (console)
<a name="enable-virt-mfa-for-root"></a>

È possibile utilizzare il Console di gestione AWS per configurare e abilitare un dispositivo MFA virtuale per l'utente root. Per abilitare i dispositivi MFA per Account AWS, è necessario accedere AWS utilizzando le credenziali dell'utente root. 

**Come configurare e abilitare un dispositivo MFA virtuale da utilizzare con l'utente root (console)**

1. Apri la [console di gestione AWS](https://console.aws.amazon.com/) e accedi utilizzando le credenziali dell'utente root.

   Per istruzioni, consulta [Accedere Console di gestione AWS come utente root nella Guida per](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) l'*Accedi ad AWS utente*.

1. Selezionare il nome dell'account sul lato destro della barra di navigazione e scegliere **Security Credentials (Credenziali di sicurezza)**.  
![\[Security Credentials (Credenziali di sicurezza) nel menu di navigazione\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Nella sezione **Multi-Factor Authentication (MFA) (Autenticazione a più fattori)**, scegliere **Assign MFA device (Assegna dispositivo MFA)**.

1. Nella procedura guidata, digita un **nome per il dispositivo**, scegli l'**app Authenticator** e quindi scegli **Next** (Avanti).

   IAM genera e visualizza le informazioni di configurazione per il dispositivo MFA virtuale, tra cui il codice grafico QR. Il grafico è una rappresentazione della chiave di configurazione segreta che è disponibile per l'inserimento manuale su dispositivi che non supportano i codici QR.

1. Aprire l'app MFA virtuale sul dispositivo. 

   Se l'app MFA virtuale supporta più account o dispositivi MFA virtuali, selezionare l'opzione che consente di creare un nuovo account o dispositivo MFA virtuale.

1. Il modo più semplice per configurare l'app è di utilizzare l'app per scannerizzare il codice QR. Se non è possibile scansionare il codice, è possibile digitare le informazioni di configurazione manualmente. Il codice QR e la chiave di configurazione segreta generati da IAM sono collegati al tuo Account AWS e non possono essere utilizzati con un altro account. Possono tuttavia essere riutilizzati per configurare un nuovo dispositivo MFA per l'account nel caso in cui si perda l'accesso al dispositivo MFA originale.
   + Per utilizzare il codice QR per la configurazione del dispositivo MFA virtuale, scegliere **Show QR code (Mostra codice QR)** nella procedura guidata. Quindi, seguire le istruzioni nell'app relative alla scansione del codice. Ad esempio, potrebbe essere necessario scegliere l'icona della fotocamera o un comando come **Scan account barcode (Scannerizza codice a barre account)** e utilizzare la fotocamera del dispositivo per eseguire la scansione del codice QR.
   + Nella procedura guidata **Set up device** (Configura dispositivo), scegli **Show secret key** (Mostra chiave segreta) e digita la chiave segreta nell'app MFA.
**Importante**  
Effettuare un backup sicuro del codice QR o della chiave segreta di configurazione o assicurarsi che più dispositivi MFA virtuali siano abilitati per il proprio account. Puoi registrare fino a **otto** dispositivi MFA di qualsiasi combinazione dei [tipi di MFA attualmente supportati](https://aws.amazon.com/iam/features/mfa/) con i tuoi Utente root dell'account AWS utenti e IAM. Un dispositivo MFA virtuale potrebbe non essere più disponibili, ad esempio, se si perde lo smartphone, in cui il dispositivo MFA virtuale è ospitato. In tal caso e se non riesci ad accedere al tuo account senza dispositivi MFA aggiuntivi collegati all'utente né tramite [Ripristino di un dispositivo MFA per l'utente root](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken), non potrai accedere al tuo account e dovrai [contattare l'assistenza clienti](https://support.aws.amazon.com/#/contacts/aws-mfa-support) per rimuovere la protezione MFA per l'account. 

   Il dispositivo avvia la generazione di numeri a sei cifre.

1. Nella procedura guidata, nella casella **MFA Code 1** (Codice MFA 1), digita la password monouso visualizzata nel dispositivo MFA virtuale. Attendere fino a un massimo di 30 secondi prima che il dispositivo generi una nuova password una tantum. Quindi, digitare la seconda password monouso nella casella **Codice MFA 2**. Scegli **Aggiungi MFA**. 
**Importante**  
Inviare la richiesta immediatamente dopo la generazione dei codici. Se si generano i codici e si attende troppo a lungo per inviare la richiesta, il dispositivo MFA si associa correttamente con l'utente ma il dispositivo MFA non viene sincronizzato. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile [sincronizzare nuovamente il dispositivo](id_credentials_mfa_sync.md).

Il dispositivo è pronto per l'uso con. AWS Per ulteriori informazioni sull'utilizzo di MFA con la Console di gestione AWS, consulta [Accesso abilitato con MFA](console_sign-in-mfa.md).

# Abilitazione di un token TOTP hardware per l'utente root dell' (console)
<a name="enable-hw-mfa-for-root"></a>

Puoi configurare e abilitare un dispositivo MFA fisico per il tuo utente root Console di gestione AWS solo dall'API, non dall'API AWS CLI o AWS .

**Nota**  
È possibile che il testo visualizzato sia differente, ad esempio **Sign in using MFA (Accesso con un dispositivo MFA)** e **Troubleshoot your authentication device (Risoluzione dei problemi del dispositivo di autenticazione)**. Tuttavia, le funzionalità sono identiche. In entrambi i casi, se non fosse possibile verificare l'indirizzo e-mail e il numero di telefono dell'account utilizzando fattori alternativi dell'autenticazione, contatta [Supporto AWS](https://aws.amazon.com/forms/aws-mfa-support) per eliminare l'impostazione MFA.<a name="enable_physical_root"></a>

**Per abilitare un token TOTP hardware per l'utente root (console)**

1. Apri la [console di gestione AWS](https://console.aws.amazon.com/) e accedi utilizzando le credenziali dell'utente root.

   Per istruzioni, consulta [Accedere Console di gestione AWS come utente root nella Guida per](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) *l'Accedi ad AWS utente*.

1. Scegli il nome dell'account sul lato destro della barra di navigazione, quindi seleziona **Credenziali di sicurezza**.  
![\[Security Credentials (Credenziali di sicurezza) nel menu di navigazione\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Espandere la sezione **Multi-Factor Authentication (MFA) (Autenticazione a più fattori (MFA))**.

1. Scegli **Assegna dispositivo MFA**.

1. Nella procedura guidata, digitate il **nome del dispositivo**, scegliete il **token Hardware TOTP** e quindi scegliete **Avanti**.

1. Nella casella **Serial number (Numero di serie)** digitare il numero di serie riportato sulla parte posteriore del dispositivo MFA.

1. Nella casella **MFA code 1 (Codice MFA 1)** digitare il numero di sei cifre visualizzato nel dispositivo MFA. Per visualizzare il numero, potrebbe essere necessario premere il pulsante sul lato anteriore del dispositivo.  
![\[Pannello di controllo IAM - Dispositivo MFA\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/MFADevice.png)

1. Attendere 30 secondi per consentire al dispositivo di aggiornare il codice, quindi digitare il nuovo numero a sei cifre nella casella **MFA code 2 (Codice MFA 2)**. Per visualizzare il secondo numero, potrebbe essere necessario premere nuovamente il pulsante sul lato anteriore del dispositivo.

1. Scegli **Aggiungi MFA**. Il dispositivo MFA è ora associato all'account Account AWS.
**Importante**  
La richiesta deve essere inviata immediatamente dopo la generazione dei codici di autenticazione. Se dopo avere generato i codici attendi troppo a lungo prima di inviare la richiesta, il dispositivo MFA si associerà correttamente con l'utente, ma perderà la sincronizzazione. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile [sincronizzare nuovamente il dispositivo](id_credentials_mfa_sync.md).

   Al successivo utilizzo delle credenziali dell'utente root per effettuare l'accesso, dovrai immettere un codice dal dispositivo MFA.

# Cambiare la password per Utente root dell'account AWS
<a name="root-user-password"></a>

Puoi modificare l'indirizzo e-mail e la password in [Credenziali di sicurezza](https://console.aws.amazon.com/iam/home?#security_credential) o nella pagina **Account**. Puoi anche scegliere **Password dimenticata?** nella pagina di AWS accesso per reimpostare la password.

Per modificare la password dell'utente root, devi accedere come utente IAM Utente root dell'account AWS e non come utente. Per ulteriori informazioni su come reimpostare una password dell'utente root *dimenticata*, consulta [Reimpostare una password dell'utente root persa o dimenticata](reset-root-password.md). 

Per proteggere la password, consigliamo di seguire queste best practice:
+ Cambia periodicamente la password. 
+ Mantieni la password privata, perché chiunque la conosca può accedere al tuo account.
+ Usa una password diversa da AWS quella che usi su altri siti. 
+ Evitare password che sono facili da indovinare. Queste includono password, come `secret`, `password`, `amazon` o `123456`. Sono inclusi anche i dati come una parole comuni, il tuo nome, l'indirizzo e-mail o altre informazioni personali che possono essere ottenute facilmente.

**Importante**  
Account AWS managed using AWS Organizations può avere l'[accesso root centralizzato](id_root-user.md#id_root-user-access-management) abilitato per gli account dei membri. Questi account membri non dispongono di credenziali dell'utente root, non possono accedere come utente root e non possono recuperare la password dell'utente root. Contatta l'amministratore se devi eseguire un'operazione che richiede le credenziali dell'utente root.

------
#### [ Console di gestione AWS ]

**Come modificare la password per l'utente root**
**Autorizzazioni minime**  
Per eseguire le seguenti operazioni, devi disporre come minimo delle seguenti autorizzazioni IAM:  
È necessario accedere come utente Account AWS root, il che non richiede autorizzazioni aggiuntive AWS Identity and Access Management (IAM). Non è possibile eseguire questi passaggi come utente o ruolo IAM.

1. Apri la [Console di gestione AWS](https://console.aws.amazon.com/) e accedi utilizzando le credenziali dell'utente root.

   Per istruzioni, consulta [Accedere Console di gestione AWS come utente root nella Guida per](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) *l'Accedi ad AWS utente*.

1. Nell’angolo in alto a destra della console, scegli il nome o il numero dell’account, quindi seleziona **Credenziali di sicurezza**.

1. Nella pagina **Account**, accanto a **AImpostazioni account**, scegli **Modifica**. Ti viene richiesto di effettuare nuovamente l'autenticazione per motivi di sicurezza.
**Nota**  
Se non vedi l'opzione **Modifica**, è probabile che tu non abbia effettuato l'accesso come utente root dell'account. Non è possibile modificare le impostazioni dell'account dopo aver effettuato l'accesso come utente o ruolo IAM.

1. Nella pagina **Aggiorna le impostazioni dell'account**, in **Password**, scegli **Modifica**.

1. Nella pagina **Aggiorna la password**, compila i campi **Password corrente**, **Nuova password** e **Conferma nuova password**.
**Importante**  
Scegli una password sicura. Anche se è possibile impostare una policy per le password dell'account per gli utenti IAM, tale policy non si applica all'utente root.

   AWS richiede che la password soddisfi le seguenti condizioni:
   + Deve avere un minimo di 8 caratteri e un massimo di 128 caratteri.
   + Deve includere almeno tre dei seguenti tipi di caratteri: maiuscole, minuscole, numeri e i simboli \$1 @ \$1 \$1 % ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-=.
   + Non deve essere identica al tuo Account AWS nome o indirizzo email.

1. Scegli **Save changes** (Salva modifiche).

------
#### [ AWS CLI or AWS SDK ]

Questa attività non è supportata in AWS CLI o da un'operazione API di uno dei AWS SDKs. È possibile eseguire questa operazione solo utilizzando Console di gestione AWS.

------

# Reimpostare una password dell'utente root persa o dimenticata
<a name="reset-root-password"></a>

Quando hai creato il tuo Account AWS, hai fornito un indirizzo email e una password. Queste sono le tue Utente root dell'account AWS credenziali. Se dimentichi la password dell'utente root, puoi reimpostarla dalla Console di gestione AWS.

Account AWS managed using AWS Organizations può avere l'[accesso root centralizzato](id_root-user.md#id_root-user-access-management) abilitato per gli account dei membri. Questi account membri non dispongono di credenziali dell'utente root, non possono accedere come utente root e non possono recuperare la password dell'utente root. Contatta l'amministratore se devi eseguire un'operazione che richiede le credenziali dell'utente root.

**Importante**  
**Hai problemi ad accedere a AWS?** Assicurati di essere nella [pagina di accesso AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) corretta per il tuo tipo di utente. Se sei il Utente root dell'account AWS (proprietario dell'account), puoi accedere AWS utilizzando le credenziali che hai configurato quando hai creato il Account AWS. Se sei un utente IAM, l'amministratore dell'account può fornirti le credenziali che puoi utilizzare per accedere ad AWS. Se hai bisogno di richiedere assistenza, non utilizzare il link di feedback in questa pagina, poiché il modulo non Supporto viene ricevuto dal team addetto alla AWS documentazione. Invece, nella pagina [Contattaci](https://aws.amazon.com/contact-us/) scegli **Ancora impossibile accedere al tuo AWS account**, quindi scegli una delle opzioni di supporto disponibili.

**Per reimpostare la password dell'utente root**

1. Apri la [console di gestione AWS](https://console.aws.amazon.com/) e accedi utilizzando le credenziali dell'utente root.

   Per istruzioni, consulta [Accedere Console di gestione AWS come utente root nella](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) *Guida per l'Accedi ad AWS utente*.
**Nota**  
 Se è stato effettuato l'accesso alla [Console di gestione AWS](https://console.aws.amazon.com/) con le credenziali dell'*utente IAM*, per reimpostare la password dell'utente root è necessario prima disconnettersi. Se viene visualizzata la pagina di accesso dell'utente IAM specifica dell'account, seleziona **Accedi con le credenziali dell'account root** nella parte inferiore della pagina. Se necessario, fornisci l'indirizzo e-mail dell'account e scegli **Next (Avanti)** per accedere alla pagina **Root user sign in (Accesso utente root)**.

1. Selezionare **Forgot your password? (Password dimenticata?)**.
**Nota**  
Se sei un utente IAM, questa opzione non è disponibile. L'opzione **Password dimenticata?** è disponibile solo per l'account utente root. Gli utenti IAM devono chiedere al proprio amministratore di reimpostare una password dimenticata. Per ulteriori informazioni, consulta [Ho dimenticato la password utente IAM per il mio AWS account](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password). Se accedi tramite il portale di AWS accesso, consulta [Reimpostazione della password utente di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html).

1. Fornire l'indirizzo e-mail associato all'account. Fornire quindi il testo CAPTCHA e selezionare **Continue (Continua)**.

1. Verifica la presenza di un messaggio proveniente da Amazon Web Services nell'indirizzo e-mail associato al tuo Account AWS . L'e-mail proviene da un indirizzo che termina con `@verify.signin.aws`. Seguire le istruzioni nel messaggio. Se il messaggio e-mail non viene visualizzato nel proprio account, controllare la cartella spam. Se non hai più accesso all'e-mail, consulta [Non ho accesso all'e-mail del mio AWS account nella Guida per](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console) *l'Accedi ad AWS utente*.

# Creare chiavi di accesso per l'utente root
<a name="id_root-user_manage_add-key"></a>

**avvertimento**  
Consigliamo fortemente di **non** creare coppie di chiavi di accesso per l'utente root. Poiché [solo alcune attività richiedono l'utente root](id_root-user.md#root-user-tasks) e in genere tali attività vengono eseguite raramente, si consiglia di accedere a per eseguire le Console di gestione AWS attività dell'utente root. Prima di creare le chiavi di accesso, esamina le [alternative alle chiavi di accesso a lungo termine](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

Sebbene non sia consigliabile, è possibile creare chiavi di accesso per l'utente root in modo da poter eseguire comandi in AWS Command Line Interface (AWS CLI) o utilizzare le operazioni API da una delle credenziali dell'utente root che AWS SDKs utilizzano. Quando crei una chiave di accesso, crei l'ID chiave di accesso e la chiave di accesso segreta come set. Durante la creazione della chiave di accesso, ti AWS offre l'opportunità di visualizzare e scaricare la parte della chiave di accesso segreta della chiave di accesso. Se non la scarichi o la perdi, puoi eliminare la chiave di accesso e quindi crearne una nuova. È possibile creare chiavi di accesso per utenti root con la AWS CLI console o AWS l'API.

Lo stato di una nuova chiave di accesso è *attiva*, il che significa che puoi usarla per le chiamate API e CLI. Inoltre, è possibile assegnare fino a due chiavi di accesso all'utente root.

Le chiavi di accesso non utilizzate dovrebbero essere disattivate. Una volta che una chiave di accesso è inattiva, non è possibile utilizzarla per le chiamate API. Le chiavi inattive contano comunque per il limite. Puoi creare o eliminare una chiave di accesso in qualsiasi momento. Tuttavia, una volta eliminata, viene persa per sempre e non può essere recuperata.

------
#### [ Console di gestione AWS ]

**Per creare una chiave di accesso per Utente root dell'account AWS**
**Autorizzazioni minime**  
Per eseguire le seguenti operazioni, devi disporre come minimo delle seguenti autorizzazioni IAM:  
È necessario accedere come utente Account AWS root, che non richiede autorizzazioni aggiuntive AWS Identity and Access Management (IAM). Non è possibile eseguire questi passaggi come utente o ruolo IAM.

1. Apri la [Console di gestione AWS](https://console.aws.amazon.com/) e accedi utilizzando le credenziali dell'utente root.

   Per istruzioni, consulta [Accedere Console di gestione AWS come utente root nella Guida per](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) *l'Accedi ad AWS utente*.

1. Nell'angolo in alto a destra della console, seleziona il nome o il numero dell'account, quindi scegli **Credenziali di sicurezza**. 

1. Nella sezione **Chiavi di accesso**, scegliere **Crea chiave di accesso**. Se questa opzione non è disponibile, è già stato raggiunto il numero massimo di chiavi di accesso. È necessario eliminare una delle chiavi di accesso esistenti prima di poter creare una nuova chiave. Per ulteriori informazioni, consulta la pagina [Quote degli oggetti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities). 

1. Nella pagina **Alternative alle chiavi di accesso dell'utente root**, consulta le raccomandazioni di sicurezza. Per continuare, seleziona la casella di controllo, quindi scegli **Crea chiave di accesso**. 

1. Nella pagina **Recupera la chiave d'accesso**, viene visualizzato l'ID della **Chiave di accesso**. 

1. In **Chiave di accesso segreta**, seleziona **Mostra**, quindi copia l'ID della chiave di accesso e della chiave segreta dalla finestra del browser e incollale in un luogo sicuro. In alternativa, puoi selezionare **Scarica file .csv**: eseguirai il download di un file denominato `rootkey.csv` che contiene l'ID chiave di accesso e la chiave segreta. Salvare il file da qualche parte al sicuro.

1. Seleziona **Fatto**. Quando non hai più bisogno della chiave di accesso, [ti consigliamo di eliminarla](id_root-user_manage_delete-key.md) o almeno di valutare se disattivarla, in modo che nessuno possa usarla in modo improprio.

------
#### [ AWS CLI & SDKs ]

**Per creare una chiave di accesso per l'utente root**
**Nota**  
Per eseguire il seguente comando od operazione API come utente root, è necessario disporre già di una coppia di chiavi di accesso attive. Se non disponi delle chiavi di accesso, crea la prima chiave di accesso utilizzando la Console di gestione AWS. Quindi, puoi utilizzare le credenziali della prima chiave di accesso con la AWS CLI per creare la seconda chiave di accesso o per eliminare una chiave di accesso.
+ AWS CLI: [era io create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)  
**Example**  

  ```
  $ aws iam create-access-key
  {
      "AccessKey": {
          "UserName": "MyUserName",
          "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
          "Status": "Active",
          "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
          "CreateDate": "2021-04-08T19:30:16+00:00"
      }
  }
  ```
+ AWS API: [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)nel *riferimento all'API IAM*. 

------

# Eliminare le chiavi di accesso per l'utente root
<a name="id_root-user_manage_delete-key"></a>

È possibile utilizzare l' Console di gestione AWS, the AWS CLI o l' AWS API per eliminare le chiavi di accesso dell'utente root.

------
#### [ Console di gestione AWS ]

**Per eliminare una chiave di accesso per l'utente root**
**Autorizzazioni minime**  
Per eseguire le seguenti operazioni, devi disporre come minimo delle seguenti autorizzazioni IAM:  
È necessario accedere come utente Account AWS root, il che non richiede autorizzazioni aggiuntive AWS Identity and Access Management (IAM). Non è possibile eseguire questi passaggi come utente o ruolo IAM.

1. Apri la [Console di gestione AWS](https://console.aws.amazon.com/) e accedi utilizzando le credenziali dell'utente root.

   Per istruzioni, consulta [Accedere Console di gestione AWS come utente root nella Guida per](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) *l'Accedi ad AWS utente*.

1. Nell'angolo in alto a destra della console, seleziona il nome o il numero dell'account, quindi scegli **Credenziali di sicurezza**. 

1. Nella sezione **Chiavi di accesso**, individua la chiave di accesso che desideri eliminare, quindi scegli **Operazioni** e poi **Elimina**.
**Nota**  
In alternativa, puoi **disattivare** una chiave di accesso anziché eliminarla definitivamente. In questo modo potrai riutilizzarla in futuro senza dover modificare l'ID chiave o la chiave segreta. Sebbene la chiave sia inattiva, qualsiasi tentativo di utilizzarla nelle richieste all' AWS API fallisce e viene negato l'errore di accesso.

1. Nella finestra di dialogo **Elimina <ID chiave di accesso>**, scegli **Disattiva**, inserisci l'ID della chiave di accesso per confermare che desideri eliminarla, quindi scegli **Elimina**. 

------
#### [ AWS CLI & SDKs ]

**Per eliminare una chiave di accesso per l'utente root**
**Autorizzazioni minime**  
Per eseguire le seguenti operazioni, devi disporre come minimo delle seguenti autorizzazioni IAM:  
È necessario accedere come utente Account AWS root, operazione che non richiede autorizzazioni aggiuntive AWS Identity and Access Management (IAM). Non è possibile eseguire questi passaggi come utente o ruolo IAM.
+ AWS CLI: [era iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)  
**Example**  

  ```
  $ aws iam delete-access-key \
      --access-key-id AKIAIOSFODNN7EXAMPLE
  ```

  Questo comando non produce alcun output se ha esito positivo.
+ AWS API: [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## Attività che richiedono credenziali dell'utente root
<a name="root-user-tasks"></a>

Ti consigliamo di [configurare un utente amministrativo AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) per eseguire le attività quotidiane e accedere alle AWS risorse. Tuttavia, è possibile eseguire le attività elencate di seguito solo se si effettua l'accesso come utente root di un account.

Per semplificare la gestione delle credenziali degli utenti root privilegiati tra gli account dei membri in AWS Organizations, puoi abilitare l'accesso root centralizzato per aiutarti a proteggere centralmente l'accesso altamente privilegiato al tuo. Account AWS[Gestire centralmente l'accesso root per gli account membri](#id_root-user-access-management)consente di rimuovere e impedire centralmente il ripristino a lungo termine delle credenziali degli utenti root, migliorando la sicurezza dell'account nell'organizzazione. Dopo aver abilitato questa funzionalità, è possibile completare le seguenti attività con privilegi sugli account membri.
+ Rimuovi le credenziali dell'utente root dell'account membro per impedire il recupero dell'account dell'utente root. Puoi anche consentire il recupero della password per recuperare le credenziali dell'utente root per un account membro.
+ Rimuovi una policy del bucket configurata non correttamente che impedisce a tutti i principali di accedere al bucket Amazon S3.
+ Elimina una policy basata sulle risorse Amazon Simple Queue Service che nega a tutti i principali l'accesso a una coda Amazon SQS.

**Attività di gestione degli account**
+ [Modifica le impostazioni del tuo Account AWS .](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) Le versioni autonome Account AWS che non fanno parte di AWS Organizations richiedono le credenziali root per aggiornare l'indirizzo e-mail, la password dell'utente root e le chiavi di accesso dell'utente root. Altre impostazioni dell'account, come il nome dell'account, le informazioni di contatto, i contatti alternativi, la preferenza della valuta di pagamento e Regioni AWS, non richiedono credenziali dell'utente root.
**Nota**  
AWS Organizations, con tutte le funzionalità abilitate, può essere utilizzato per gestire centralmente le impostazioni degli account membro dall’account di gestione e dagli account amministratore delegato. Gli utenti IAM autorizzati o i ruoli IAM sia nell'account di gestione che negli account di amministrazione delegati possono chiudere gli account dei membri e aggiornare gli indirizzi e-mail principali, i nomi degli account, le informazioni di contatto, i contatti alternativi e Regioni AWS gli account dei membri. 
+ [Chiudi il tuo. Account AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) Le versioni autonome Account AWS che non fanno parte di AWS Organizations richiedono le credenziali di root per chiudere l'account. Con AWS Organizations, puoi chiudere gli account dei membri centralmente dall'account di gestione e dagli account di amministratore delegato.
+ [Ripristina le autorizzazioni dell'utente IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) Se l'unico amministratore IAM revoca accidentalmente le autorizzazioni, sarà possibile effettuare l'accesso come utente root per modificare le policy e ripristinare le autorizzazioni.

**Attività di fatturazione**
+ [Attivare l'accesso IAM alla console di gestione fatturazione e costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate).
+ Alcune attività di fatturazione sono limitate all'utente root. Per ulteriori informazioni, consulta [Managing an Account AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html) in AWS Billing User Guide.
+ Visualizzare alcune fatture fiscali. Un utente IAM con il [portale aws:](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) l'ViewBillingautorizzazione può visualizzare e scaricare le fatture IVA dall' AWS Europa, ma non da AWS Inc. o Amazon Internet Services Private Limited (AISPL).

**AWS GovCloud (US) Attività**
+ [Registrazione per AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html).
+ Richiedi le chiavi di accesso per l'utente root dell' AWS GovCloud (US) account da Supporto AWS.

**Attività di Amazon EC2**
+ [Registrati come venditore](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html) nel marketplace di istanze riservate.

**AWS KMS Attività**
+ Nel caso in cui una AWS Key Management Service chiave diventi ingestibile, un amministratore può recuperarla contattandola Supporto; tuttavia, Supporto risponde al numero di telefono principale dell'utente root per l'autorizzazione confermando l'OTP del ticket.

**Attività di Amazon Mechanical Turk**
+  [Collega Your al tuo account Requester. Account AWS MTurk ](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking)

**Attività di Amazon Simple Storage Service**
+ [Configura un bucket Amazon S3 per abilitare l'autenticazione a più fattori (MFA)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html).
+ [Modifica o elimina una policy del bucket Amazon S3 che rifiuta tutti i principali](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/).

  Puoi utilizzare azioni con privilegi per sbloccare un bucket Amazon S3 con una policy di bucket configurata non correttamente. Per informazioni dettagliate, vedi [Esegui un'attività privilegiata su un account AWS Organizations membro](id_root-user-privileged-task.md).

**Attività di Amazon Simple Queue Service**
+ [Modifica o elimina una policy basata sulle risorse Amazon SQS che rifiuta tutti i principali](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy).

  Puoi utilizzare azioni con privilegi per sbloccare una coda Amazon SQS con una policy basata sulle risorse configurata non correttamente. Per informazioni dettagliate, vedi [Esegui un'attività privilegiata su un account AWS Organizations membro](id_root-user-privileged-task.md).

## Risorse aggiuntive
<a name="id_root-user-resources"></a>

Per ulteriori informazioni sull'utente AWS root, consulta le seguenti risorse:
+ Per assistenza con i problemi relativi agli utenti root, consulta [Risoluzione dei problemi con l'utente root](troubleshooting_root-user.md).
+ Per gestire centralmente gli indirizzi e-mail degli utenti root in AWS Organizations, vedere [Aggiornamento dell'indirizzo e-mail dell'utente root per un account membro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) nella *Guida per l'AWS Organizations utente*.

I seguenti articoli forniscono ulteriori informazioni sull'utilizzo dell'utente root.
+ [Quali sono le migliori pratiche per proteggere le mie Account AWS e le relative risorse?](https://repost.aws/knowledge-center/security-best-practices)
+ [Come posso creare una regola di EventBridge evento per informarmi che è stato utilizzato il mio utente root?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule) 
+ [Monitora e invia notifiche sulle Utente root dell'account AWS attività](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [Monitoraggio dell'attività dell'utente root IAM](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)