Creare un utente IAM nel tuo Account AWS - AWS Identity and Access Management

Creare un utente IAM nel tuo Account AWS

Importante

Le best practice di IAM raccomandano di richiedere agli utenti di utilizzare la federazione con un provider di identità per accedere ad AWS tramite credenziali temporanee anziché di utilizzare gli utenti IAM con credenziali a lungo termine. Ti consigliamo di utilizzare gli utenti IAM solo per casi d'uso specifici non supportati dagli utenti federati.

Il processo con cui si crea un utente IAM e gli si consente di eseguire attività è costituito dalle fasi seguenti:

  1. Crea l'utente nella AWS Management Console, la AWS CLI, Strumenti per Windows PowerShell o utilizzando un'operazione API AWS. Se crei l'utente nella AWS Management Console, le fasi da 1 a 4 vengono gestite automaticamente, in base alle tue scelte. Se crei gli utenti IAM in modo programmatico, allora devi eseguire ognuna di queste fasi singolarmente.

  2. Creazione delle credenziali per l'utente, a seconda del tipo di accesso che l'utente richiede:

    • Enable console access – optional (Abilita accesso alla console - facoltativo): se l'utente deve accedere alla AWS Management Console, crea una password per l'utente. La disabilitazione dell'accesso alla console per un utente gli impedisce di accedere alla AWS Management Console tramite il nome utente e la password. Non modifica le autorizzazioni né impedisce l'accesso alla console utilizzando un ruolo assunto.

    Suggerimento

    Crea solo le credenziali di cui l'utente necessita. Ad esempio, per un utente che richiede l'accesso solo tramite la AWS Management Console, non creare chiavi di accesso.

  3. Concedi all'utente le autorizzazioni per eseguire le attività richieste. Consigliamo di inserire gli utenti IAM in gruppi e gestire le autorizzazioni tramite le policy collegate a tali gruppi. Tuttavia, puoi concedere autorizzazioni anche collegando le policy di autorizzazione direttamente all'utente. Se usi la console per aggiungere l'utente, puoi copiare le autorizzazioni da un utente esistente al nuovo utente.

    Puoi anche aggiungere un limite delle autorizzazioni per limitare le autorizzazioni dell'utente specificando una policy che definisce le autorizzazioni massime che l'utente può avere. I limiti delle autorizzazioni non concedono alcuna autorizzazione.

    Per istruzioni sulla creazione di una policy di autorizzazione personalizzata da utilizzare per concedere le autorizzazioni o impostare un limite delle autorizzazioni, consulta Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente.

  4. (Facoltativo) Aggiungere metadati all'utente collegando tag. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consultare Tag per risorse AWS Identity and Access Management.

  5. Fornisci all'utente le necessarie informazioni di accesso. Queste informazioni includono la password e l'URL della console per la pagina di accesso all'account in cui l'utente immette tali credenziali. Per ulteriori informazioni, consulta In che modo gli utenti IAM effettuano l'accesso a AWS.

  6. (Facoltativo) Configura multi-factor authentication (MFA) per l'utente. MFA richiede che l'utente fornisca un codice utilizzabile una sola volta, ogni volta che accede alla AWS Management Console.

  7. (Facoltativo) Fornisci agli utenti IAM le autorizzazioni per gestire le proprie credenziali di sicurezza. (Per impostazione predefinita, gli utenti IAM non dispongono delle autorizzazioni per gestire le proprie credenziali). Per ulteriori informazioni, consulta Consentire agli utenti IAM di cambiare le loro password.

    Nota

    Se si utilizza la console per creare l'utente e si seleziona L'utente deve creare una nuova password all'accesso successivo (consigliato), l'utente dispone delle autorizzazioni necessarie.

Per informazioni sulle autorizzazioni di cui hai bisogno per creare un utente, consulta la pagina Autorizzazioni necessarie per accedere alle risorse IAM.

Per istruzioni sulla creazione di utenti IAM per casi d'uso specifici, consulta i seguenti argomenti: