Creare un utente IAM nel tuo Account AWS - AWS Identity and Access Management
Creazione di utenti IAM (console)Creazione di utenti IAM (AWS CLI)Creazione di utenti IAM (AWS API)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare un utente IAM nel tuo Account AWS

Importante

Le migliori pratiche IAM consigliano di richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee anziché utilizzare utenti IAM con credenziali a lungo termine.

Nota

Se hai trovato questa pagina perché stai cercando informazioni su Product Advertising API per vendere prodotti Amazon sul tuo sito Web, consulta la documentazione relativa a Product Advertising API 5.0.

Se sei arrivato a questa pagina dalla console IAM, è possibile che il tuo account non includa gli utenti IAM, anche se hai eseguito l'accesso. È possibile che tu abbia effettuato l'accesso come Utente root dell'account AWS, utilizzando un ruolo o che abbia utilizzato le credenziali provvisorie per accedere. Per ulteriori informazioni su queste identità IAM, consulta Identità IAM (utenti, gruppi di utenti e ruoli).

Il processo con cui si crea un utente e gli si consente di eseguire attività lavorative consiste nelle fasi seguenti:

  1. Crea l'utente negli AWS Management Console strumenti per Windows PowerShell o utilizzando un'operazione AWS API. AWS CLI Se crei l'utente in AWS Management Console, i passaggi da 1 a 4 vengono gestiti automaticamente, in base alle tue scelte. Se crei gli utenti in modo programmatico, allora devi eseguire ognuna di queste fasi individualmente.

  2. Creazione delle credenziali per l'utente, a seconda del tipo di accesso che l'utente richiede:

    • Abilita l'accesso alla console: facoltativo: se l'utente deve accedere a AWS Management Console, crea una password per l'utente. La disabilitazione dell'accesso alla console per un utente gli impedisce di accedere alla AWS Management Console tramite il nome utente e la password. Non modifica le autorizzazioni né impedisce l'accesso alla console utilizzando un ruolo assunto.

    Suggerimento

    Crea solo le credenziali di cui l'utente necessita. Ad esempio, per un utente che richiede l'accesso solo tramite AWS Management Console, non creare chiavi di accesso.

  3. Concedi all'utente le autorizzazioni per l'esecuzione delle attività richieste aggiungendolo a uno o più gruppi. Puoi concedere autorizzazioni anche collegando le policy di autorizzazione direttamente all'utente. Tuttavia, consigliamo invece di inserire gli utenti in gruppi e gestire le autorizzazioni tramite le policy collegate a tali gruppi. È inoltre possibile utilizzare un limite delle autorizzazioni per limitare le autorizzazioni che un utente può avere, anche se questa pratica non è comune.

  4. (Facoltativo) Aggiungere metadati all'utente collegando tag. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consultare Tagging delle risorse IAM.

  5. Fornisci all'utente le necessarie informazioni di accesso. Queste informazioni includono la password e l'URL della console per la pagina di accesso all'account in cui l'utente immette tali credenziali. Per ulteriori informazioni, consulta In che modo gli utenti IAM accedono a AWS.

  6. (Facoltativo) Configura multi-factor authentication (MFA) per l'utente. La MFA richiede all'utente di fornire un one-time-use codice ogni volta che accede a. AWS Management Console

  7. (Facoltativo) Fornisci agli utenti le autorizzazioni per gestire le proprie credenziali di sicurezza. (Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per gestire le proprie credenziali). Per ulteriori informazioni, consulta Consentire agli utenti IAM di cambiare le loro password.

Per informazioni sulle autorizzazioni di cui hai bisogno per creare un utente, consulta la pagina Autorizzazioni necessarie per accedere alle risorse IAM.

Creazione di utenti IAM (console)

Puoi utilizzare il AWS Management Console per creare utenti IAM.

Creazione di un utente IAM (console)

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel riquadro di navigazione, seleziona Utenti, quindi seleziona Crea utente.

  4. Nella pagina Specify user details (Specifica dettagli utente), in User details (Dettagli utente), in User name (Nome utente), immetti il nome del nuovo utente. Questo è il nome di accesso per AWS.

    Nota

    Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta IAM e AWS STS quote. I nomi utente possono essere una combinazione di un massimo di 64 lettere, cifre e i seguenti caratteri: più (+), uguale (=), virgola (,), punto (.), chiocciola (@), trattino basso (_) e trattino (-). I nomi devono essere univoci nell'account. Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare due utenti chiamati TESTUSER e testuser. Quando un nome utente viene utilizzato in una policy o come parte di un ARN, il nome fa distinzione tra maiuscole e minuscole. Quando un nome utente viene visualizzato ai clienti nella console, ad esempio durante il processo di accesso, il nome utente non fa distinzione tra maiuscole e minuscole.

  5. Seleziona Fornisci l'accesso utente al AWS Management Console (facoltativo) Questo produce le credenziali di AWS Management Console accesso per il nuovo utente.

    Ti verrà chiesto se stai fornendo l'accesso alla console a una persona. Ti consigliamo di creare utenti nel Centro identità IAM anziché in IAM.

    • Per passare alla creazione dell'utente nel Centro identità IAM, seleziona Specify a user in Identity Center (Specifica un utente nel Centro identità).

      Se non hai abilitato il Centro identità IAM, selezionando questa opzione verrai indirizzato alla pagina del servizio nella console in cui puoi abilitare il servizio. Per i dettagli su questa procedura, consulta la Guida introduttiva alle attività comuni in IAM Identity Center nella Guida per l'utente AWS IAM Identity Center

      Se hai abilitato il Centro identità IAM, selezionando questa opzione verrai indirizzato alla pagina Specify user details (Specifica dettagli utente) nel Centro identità IAM. Per i dettagli su questa procedura, consulta Aggiungere utenti nella Guida AWS IAM Identity Center per l'utente

    • Se non puoi usare il Centro identità IAM, seleziona I want to create an IAM user (Desidero creare un utente IAM) e continua a seguire questa procedura.

    1. Per Console password (Password console), scegli una delle opzioni seguenti:

      • Autogenerated password (Password autogenerata): l'utente ottiene una password casuale che soddisfa la policy per le password dell'account. È possibile visualizzare o scaricare le password quando si arriva alla pagina Retrieve password (Recupera password).

      • Custom password (Password personalizzata): a ogni utente viene assegnata la password da digitare nella casella.

    2. (Facoltativo) Per impostazione predefinita, l'opzione Users must create a new password at next sign-in (recommended) (Gli utenti devono creare una nuova password al prossimo accesso [consigliato]) è selezionata per essere certi che l'utente sia costretto a modificare la sua password al primo accesso.

      Nota

      Se un amministratore ha attivato l'impostazione di policy per le password dell'account Allow users to change their own password (Consenti a tutti gli utenti di cambiare la loro password), questa casella di controllo non esegue alcuna operazione. In caso contrario, viene allegata automaticamente una policy AWS gestita denominata IAMUserChangePassword ai nuovi utenti. La policy concede agli utenti l'autorizzazione a modificare le proprie password.

  6. Seleziona Avanti.

  7. Nella pagina Set permissions (Imposta autorizzazioni), specifica il modo in cui desideri assegnare le autorizzazioni a questo utente. Seleziona una delle seguenti tre opzioni:

    • Add user to group (Aggiungi utente al gruppo): seleziona questa opzione se desideri assegnare l'utente a uno o più gruppi che hanno già le policy di autorizzazione. IAM mostra un elenco dei gruppi nell'account, insieme alle loro policy collegate. Puoi selezionare uno o più gruppi esistenti oppure selezionare Create group (Crea gruppo) per creare un nuovo gruppo. Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente IAM.

    • Copy permissions (Copia autorizzazioni): seleziona questa opzione per copiare tutte le appartenenze ai gruppi, le policy gestite collegate, le policy in linea integrate e qualsiasi limite delle autorizzazioni esistente da un utente esistente al nuovo utente. IAM mostra l'elenco degli utenti nel tuo account. Seleziona quello le cui autorizzazioni corrispondono il più possibile alle esigenze del nuovo utente.

    • Allega direttamente le politiche: seleziona questa opzione per visualizzare un elenco delle politiche AWS gestite e gestite dai clienti nel tuo account. Seleziona le policy che desideri collegare all'utente oppure scegli Create policy (Crea policy) per aprire una nuova scheda del browser e creare una nuova policy. Per ulteriori informazioni, consulta la fase 4 nella procedura Creazione di policy IAM. Una volta creata la policy, chiudi la scheda e torna alla scheda originale per aggiungere la policy all'utente.

      Suggerimento

      Quando possibile, collega le policy per un gruppo, quindi rendi gli utenti membri dei gruppi appropriati.

  8. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata.

    Apri la sezione Permissions boundary (Limite delle autorizzazioni) e scegli Use a permissions boundary to control the maximum role permissions (Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni). IAM visualizza un elenco delle politiche AWS gestite e gestite dai clienti nel tuo account. Seleziona la policy da utilizzare per il limite delle autorizzazioni o scegli Create policy (Crea policy) per aprire una nuova scheda del browser e creare una nuova policy. Per ulteriori informazioni, consulta la fase 4 nella procedura Creazione di policy IAM. Una volta creata la policy, chiudi la scheda e torna alla scheda originale per selezionare la policy da utilizzare per il limite delle autorizzazioni.

  9. Seleziona Avanti.

  10. (Facoltativo) Nella pagina Review and create (Rivedi e crea), in Tags (Tag), seleziona Add new tag (Aggiungi nuovo tag) per aggiungere i metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consultare Tagging delle risorse IAM.

  11. Rivedi tutte le opzioni scelte fino a questo momento. Una volta pronto per continuare, seleziona Create user (Crea utente).

  12. Nella pagina Retrieve password (Recupera password), ottieni la password assegnata all'utente:

    • Seleziona Show (Mostra) accanto alla password per visualizzare la password dell'utente in modo da poterla registrare manualmente.

    • Seleziona Download .csv (Scarica .csv) per scaricare le credenziali di accesso dell'utente come file .csv da salvare in una posizione sicura.

  13. Seleziona Email sign-in instructions (Istruzioni di accesso via e-mail). Il client di posta elettronica locale si apre con una bozza che è possibile personalizzare e inviare all'utente. Il modello dell'e-mail include i seguenti dettagli per ciascun utente:

    • Nome utente

    • URL della pagina per l'accesso all'account. Utilizza il seguente esempio, sostituendo il numero ID dell'account corretto o l'alias dell'account:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console
    Importante

    La password dell'utente non è inclusa nel messaggio generato. È necessario fornirla all'utente rispettando le linee guida sulla sicurezza dell'organizzazione.

  14. Se l'utente richiede anche chiavi di accesso per l'accesso programmatico, consulta. Gestione delle chiavi di accesso per gli utenti IAM

Creazione di utenti IAM (AWS CLI)

Puoi utilizzare il AWS CLI per creare un utente IAM.

Come creare un utente IAM (AWS CLI)

  1. Creare un utente.

  2. (Facoltativo) Concedere all'utente l'accesso alla AWS Management Console. Ciò richiede una password. È anche necessario fornite all'utente l'URL della pagina di accesso all'account.

  3. (Facoltativo) Concedere all'utente l'accesso a livello di programmazione. Ciò richiede le chiavi di accesso.

    • era io create-access-key

    • Strumenti per Windows PowerShell: New-iam AccessKey

    • API IAM: CreateAccessKey

      Importante

      Questa è la tua unica opportunità per visualizzare o scaricare le chiavi di accesso segrete e devi fornire queste informazioni agli utenti prima che possano utilizzare l' AWS API. Salva i nuovi ID chiave di accesso e Secret Access Key dell'utente in un luogo sicuro. Successivamente a questa fase non sarà più possibile accedere alle chiavi segrete.

  4. Aggiungere l'utente a uno o più gruppi. I gruppi specificati devono avere le policy collegate che concedono le autorizzazioni appropriate per l'utente.

  5. (Facoltativo) Collegare una policy all'utente che definisca le autorizzazioni dell'utente. Nota: consigliamo di gestire le autorizzazioni dell'utente aggiungendo l'utente a un gruppo e collegando una policy al gruppo invece di collegarla direttamente all'utente.

  6. (Facoltativo) Aggiungere attributi personalizzati all'utente collegando tag. Per ulteriori informazioni, consulta Gestione dei tag sugli utenti IAM (AWS CLI o AWS API).

  7. (Facoltativo) Concedere le autorizzazioni utente per gestire le credenziali di sicurezza. Per ulteriori informazioni, consulta AWS: consente agli utenti IAM autenticati tramite MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza.

Creazione di utenti IAM (AWS API)

Puoi utilizzare l' AWS API per creare un utente IAM.

Per creare un utente IAM dalla (AWS API)

  1. Creare un utente.

  2. (Facoltativo) Concedere all'utente l'accesso alla AWS Management Console. Ciò richiede una password. È anche necessario fornite all'utente l'URL della pagina di accesso all'account.

  3. (Facoltativo) Concedere all'utente l'accesso a livello di programmazione. Ciò richiede le chiavi di accesso.

    • CreateAccessKey

      Importante

      Questa è la tua unica opportunità per visualizzare o scaricare le chiavi di accesso segrete e devi fornire queste informazioni agli utenti prima che possano utilizzare l' AWS API. Salva i nuovi ID chiave di accesso e Secret Access Key dell'utente in un luogo sicuro. Successivamente a questa fase non sarà più possibile accedere alle chiavi segrete.

  4. Aggiungere l'utente a uno o più gruppi. I gruppi specificati devono avere le policy collegate che concedono le autorizzazioni appropriate per l'utente.

  5. (Facoltativo) Collegare una policy all'utente che definisca le autorizzazioni dell'utente. Nota: consigliamo di gestire le autorizzazioni dell'utente aggiungendo l'utente a un gruppo e collegando una policy al gruppo invece di collegarla direttamente all'utente.

  6. (Facoltativo) Aggiungere attributi personalizzati all'utente collegando tag. Per ulteriori informazioni, consulta Gestione dei tag sugli utenti IAM (AWS CLI o AWS API).

  7. (Facoltativo) Concedere le autorizzazioni utente per gestire le credenziali di sicurezza. Per ulteriori informazioni, consulta AWS: consente agli utenti IAM autenticati tramite MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza.