Rimuovere o disattivare un utente IAM - AWS Identity and Access Management
Prerequisito: visualizzazione dell'accesso dell'utente IAMRimozione di un utente IAM (console)Eliminazione di un utente IAM (AWS CLI)Disattivazione di un utente IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rimuovere o disattivare un utente IAM

Le migliori pratiche consigliano di rimuovere gli utenti IAM non utilizzati dal tuo Account AWS. Se desideri conservare le credenziali dell'utente IAM per uso futuro, invece di eliminarle dall'account è possibile disattivare l'accesso dell'utente. Per ulteriori informazioni, consulta Disattivazione di un utente IAM.

Prerequisito: visualizzazione dell'accesso dell'utente IAM

Prima di rimuovere un utente, esamina la sua attività recente a livello di servizio. Questo aiuta a prevenire la rimozione dell'accesso da parte di un principale (persona o applicazione) che lo utilizza. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere Perfezionamento delle autorizzazioni in AWS utilizzando le informazioni sull'ultimo accesso.

Rimozione di un utente IAM (console)

Quando utilizzi AWS Management Console per rimuovere un utente IAM, IAM elimina automaticamente le seguenti informazioni associate:

  • L'identificatore dell'utente IAM

  • Qualsiasi appartenenza al gruppo, ovvero, l'utente IAM viene rimosso da qualsiasi gruppo di cui l'utente IAM era membro

  • Qualsiasi password associata all'utente IAM

  • Qualsiasi chiave di accesso appartenente dell'utente IAM

  • Tutte le policy in linea integrate nell'utente IAM (le policy applicate a un utente IAM tramite le autorizzazioni del gruppo di utenti non sono interessate)

    Nota

    IAM rimuove tutte le policy gestite collegate all'utente IAM quando si elimina l'utente, ma non elimina le policy gestite.

  • Qualsiasi dispositivo MFA associato

Per rimuovere un utente IAM (console)

IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console, seleziona il servizio IAM.

  3. Nel riquadro di navigazione seleziona Utenti, quindi seleziona la casella di controllo accanto al nome dell'utente IAM da eliminare.

  4. Nella parte superiore della pagina, scegli Delete (Elimina).

  5. Nella casella di dialogo di conferma, inserisci il nome utente nel campo di inserimento testo per confermare l'eliminazione dell'utente. Scegli Elimina.

La console visualizza una notifica di stato che indica che l'utente IAM è stato eliminato.

Eliminazione di un utente IAM (AWS CLI)

A differenza di AWS Management Console, quando elimini un utente IAM con AWS CLI, devi eliminare manualmente gli elementi collegati all'utente IAM. Questa procedura illustra il processo.

Per eliminare un utente IAM dal tuo Account AWS (AWS CLI)

  1. Eliminare la password dell'utente, se l'utente ne ha una.

    aws iam delete-login-profile

  2. Eliminare le chiavi di accesso dell'utente, se disponibili.

    aws iam list-access-keys (per elencare le chiavi di accesso dell'utente) e aws iam delete-access-key

  3. Eliminare il certificato di firma dell'utente. Si noti che quando si eliminano delle credenziali di sicurezza queste vengono viene eliminate per sempre e non possono più essere recuperate.

    aws iam list-signing-certificates (per elencare i certificati di firma dell'utente) e aws iam delete-signing-certificate

  4. Eliminare la chiave pubblica SSH dell'utente, se disponibile.

    aws iam list-ssh-public-keys (per elencare le chiavi pubbliche SSH dell'utente) e aws iam delete-ssh-public-key

  5. Eliminare le credenziali Git dell'utente.

    aws iam list-service-specific-credentials (per elencare le credenziali git dell'utente) e aws iam delete-service-specific-credential

  6. Disattivare il dispositivo Multi-Factor Authentication (MFA), se uno è disponibile.

    aws iam list-mfa-devices (per elencare i dispositivi MFA dell'utente), aws iam deactivate-mfa-device (per disattivare il dispositivo) e aws iam delete-virtual-mfa-device (per eliminare definitivamente un dispositivo MFA virtuale)

  7. Eliminare le policy inline dell'utente.

    aws iam list-user-policies (per elencare le policy inline per l'utente) e aws iam delete-user-policy (per eliminare la policy)

  8. Scollegare le policy gestite collegate all'utente.

    aws iam list-attached-user-policies (per elencare le policy gestite collegate all'utente) e aws iam detach-user-policy (per scollegare la policy)

  9. Rimuovere l'utente da qualsiasi gruppo IAM.

    aws iam list-groups-for-user (per elencare i gruppi IAM a cui appartiene l'utente) e aws iam remove-user-from-group

  10. Eliminare l'utente.

    aws iam delete-user

Disattivazione di un utente IAM

Potrebbe essere necessario disattivare un utente IAM mentre è temporaneamente lontano dall'azienda. Puoi bloccare l'accesso ad AWS pur lasciando attive le sue credenziali di utente IAM.

Per disattivare un utente, crea e collega una policy per negare all'utente l'accesso a AWS. Puoi ripristinare l'accesso dell'utente in un secondo momento.

Di seguito sono riportati due esempi di policy di diniego che puoi collegare a un utente per negargli l'accesso.

La seguente policy non include un limite di tempo. È necessario rimuovere la policy per ripristinare l'accesso dell'utente.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

La seguente policy include una condizione che avvia la policy il 24 dicembre 2024 alle 23:59 (UTC) e la termina il 28 febbraio 2025 alle 23:59 (UTC).

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}