Ridenominare un utente IAM

Nota

Come best practice, richiedi agli utenti di utilizzare la federazione con un gestore di identità per accedere a AWS utilizzando credenziali temporanee. Se segui le best practice, non gestisci utenti e gruppi IAM. Gli utenti e i gruppi sono infatti gestiti all'esterno di AWS e sono in grado di accedere alle risorse AWS come identità federata. Un'identità federata è un utente della directory degli utenti aziendali, un gestore di identità Web, AWS Directory Service, la directory del Centro identità o qualsiasi utente che accede ai servizi AWS utilizzando le credenziali fornite tramite un'origine di identità. Le identità federate utilizzano i gruppi definiti dal rispettivo gestore di identità. Se stai utilizzando AWS IAM Identity Center, consulta Gestione delle identità nel Centro identità IAM nella Guida per l'utente di AWS IAM Identity Center per informazioni sulla creazione di utenti e gruppi nel Centro identità IAM.

Amazon Web Services offre vari strumenti per gestire gli utenti IAM nel proprio Account AWS. Puoi elencare gli utenti IAM nel tuo account o in un gruppo di utenti oppure elencare tutti i gruppi IAM di cui un utente è membro. È possibile rinominare o modificare il percorso di un utente IAM. Se desideri utilizzare le identità federate invece degli utenti IAM, puoi eliminare un utente IAM dall'account AWS o disattivarlo.

Per ulteriori informazioni sull'aggiunta, la modifica o la rimozione di policy gestite per un utente IAM, consulta Modificare le autorizzazioni per un utente IAM. Per informazioni sulla gestione di policy in linea per utenti IAM, consulta Aggiunta e rimozione di autorizzazioni per identità IAM, Modificare le policy IAM e Eliminare le policy IAM. Come best practice, utilizza le policy gestite anziché le policy in linea. Le policy gestite da AWS concedono autorizzazioni per numerosi casi d'uso comuni. Ricorda: le policy gestite di AWS potrebbero non concedere autorizzazioni con privilegi minimi per i tuoi casi d'uso specifici perché sono disponibili per l'uso da parte di tutti i clienti AWS. Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo Policy gestite dal cliente specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta AWS politiche gestite. Per ulteriori informazioni sulle policy gestite da AWS progettate per funzioni di lavoro specifiche, consulta AWS politiche gestite per le funzioni lavorative.

Per ulteriori informazioni sulla convalida delle policy IAM, consulta Convalida delle policy IAM.

Suggerimento

IAM Access Analyzer analizza i servizi e le azioni utilizzati dai tuoi ruoli IAM e quindi genera una policy dettagliata che puoi utilizzare. Dopo aver testato ogni policy generata, puoi distribuirla nell'ambiente di produzione. In questo modo si garantisce di concedere solo le autorizzazioni necessarie ai carichi di lavoro. Per ulteriori informazioni sulla generazione delle policy, consulta IAM Access Analyzer policy generation.

Per informazioni sulla gestione delle password utente IAM, consulta Gestione delle password per gli utenti IAM.

Ridenominazione di un utente IAM

Per modificare il nome o il percorso di un utente, devi utilizzare la AWS CLI, Tools for Windows PowerShell o l'API AWS. Non è disponibile alcuna opzione nella console per rinominare un utente. Per informazioni sulle autorizzazioni necessarie per ridenominare un utente, consulta Autorizzazioni necessarie per accedere alle risorse IAM.

Quando si modifica il nome o il percorso di un utente, si verificano i seguenti eventi:

Qualsiasi policy collegata all'utente viene mantenuta per l'utente con il nuovo nome.
L'utente rimane negli stessi gruppi IAM con il nuovo nome.
L'ID univoco dell'utente rimane invariato. Per ulteriori informazioni sugli ID univoci, consulta Identificatori univoci.
Qualsiasi policy relativa alle risorse o ai ruoli che fa riferimento all'utente come principale (l'utente a cui viene consentito l'accesso) viene automaticamente aggiornata per l'utilizzo del nuovo nome o percorso. Ad esempio, qualsiasi policy basata su code in Amazon SQS o basata sulle risorse in Amazon S3 viene aggiornata automaticamente per utilizzare il nuovo nome e percorso.

IAM non aggiorna automaticamente le policy che fanno riferimento all'utente come una risorsa per l'utilizzo del nuovo nome o percorso, è necessario un aggiornamento manuale. Ad esempio, si immagini che l'utente Richard disponga di una policy collegata che permette di gestire le credenziali di sicurezza dell'utente. Se un amministratore rinomina Richard in Rich, l'amministratore deve anche aggiornare questa policy per modificar la risorsa da:


arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard


arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

Ciò è valido anche se un amministratore cambia il percorso, l'amministratore deve aggiornare la policy in base al nuovo percorso per l'utente.

Per rinominare un utente

AWS CLI: aws iam update-user
API AWS: UpdateUser

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzare gli utenti IAM

Rimuovere un utente