Confronta IAM identità e credenziali - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Confronta IAM identità e credenziali

Le identità gestite AWS Identity and Access Management sono IAM utenti, IAM ruoli e IAM gruppi. Queste identità si aggiungono all'utente root AWS creato insieme al tuo. Account AWS

È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Invece, fornisci ulteriori utenti e concedi loro le autorizzazioni necessarie per eseguire le attività necessarie. Puoi aggiungere utenti aggiungendo persone alla directory del tuo IAM Identity Center, federando un provider di identità esterno con Identity Center IAM oppure creando utenti con IAM privilegi minimi. IAM

Per una maggiore sicurezza, ti consigliamo di centralizzare l'accesso root per aiutarti a proteggere centralmente le credenziali dell'utente root del tuo Account AWS utilizzo gestito. AWS OrganizationsGestisci centralmente l'accesso root per gli account dei membriconsente di rimuovere e prevenire centralmente il ripristino a lungo termine delle credenziali degli utenti root, prevenendo accessi root involontari su larga scala. Dopo aver abilitato l'accesso root centralizzato, è possibile ipotizzare una sessione privilegiata per eseguire azioni sugli account dei membri.

Dopo aver configurato gli utenti, puoi concedere l'accesso ai tuoi Account AWS utenti a persone specifiche e fornire loro le autorizzazioni per accedere alle risorse.

Come procedura consigliata, si AWS consiglia di richiedere agli utenti umani di assumere un IAM ruolo di accesso AWS in modo che utilizzino credenziali temporanee. Se gestisci le identità nella directory dell'IAMIdentity Center o utilizzi la federazione con un provider di identità, segui le best practice.

Termini

Questi termini sono comunemente usati quando si lavora con le IAM identità:

IAMRisorsa

Il IAM servizio memorizza queste risorse. È possibile aggiungerle, modificarle e rimuoverle dalla IAM console.

  • IAMutente

  • IAMgruppo

  • IAMruolo

  • Policy di autorizzazione

  • oggetto Identity-provider

IAMEntità

IAMrisorse che AWS utilizza per l'autenticazione. Specificare l'entità come Principal in una politica basata sulle risorse.

  • IAMutente

  • IAMruolo

IAMIdentità

La IAM risorsa autorizzata dalle politiche per eseguire azioni e accedere alle risorse. Le identità includono IAM utenti, IAM gruppi e IAM ruoli.

Questo diagramma mostra che l'IAMutente e il IAM ruolo sono principali che sono anche entità e identità, ma l'utente root è un principale che non è né un'entità né un'identità. Il diagramma indica anche che i gruppi sono identità. IAM IAMl'autenticazione controlla l'accesso alle identità utilizzando le policy, ma l'utente root ha accesso completo alle AWS risorse e non può essere limitato da policy basate sull'identità o sulle risorse. IAM
Principali

Un Utente root dell'account AWS IAM utente o un IAM ruolo che può richiedere un'azione o un'operazione su una AWS risorsa. I principali includono utenti umani, carichi di lavoro, utenti federati e ruoli assunti. Dopo l'autenticazione, IAM concede al principale credenziali permanenti o temporanee a cui effettuare richieste AWS, a seconda del tipo principale.

Gli utenti umani sono anche noti come identità umane, come le persone, gli amministratori, gli sviluppatori, gli operatori e i consumatori delle applicazioni.

I carichi di lavoro sono una raccolta di risorse e codice che forniscono valore aziendale, ad esempio un'applicazione, un processo, strumenti operativi e altri componenti.

Gli utenti federati sono utenti la cui identità e credenziali sono gestite da un altro provider di identità, come Active Directory, Okta o Microsoft Entra.

IAMi ruoli sono un'IAMidentità che puoi creare nel tuo account con autorizzazioni specifiche che determinano ciò che l'identità può e non può fare. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque.

IAMconcede IAM agli utenti e all'utente root credenziali e IAM ruoli a lungo termine credenziali temporanee. Gli utenti federati utenti in Centro identità AWS IAM assumono IAM ruoli al momento dell'accesso, il che garantisce loro credenziali AWS temporanee. Come best practice, consigliamo di richiedere agli utenti umani e ai carichi di lavoro di accedere AWS alle risorse utilizzando credenziali temporanee.

Differenza tra IAM utenti e utenti in Identity Center IAM

IAMgli utenti non sono account separati; sono singoli utenti all'interno del tuo account. Ogni utente ha la propria password per accedere a AWS Management Console. Puoi anche assegnare a ciascun utente una diversa chiave di accesso, per consentirgli di apportare richieste programmatiche e utilizzare le risorse del tuo account.

IAMgli utenti e le relative chiavi di accesso dispongono di credenziali a lungo termine per accedere alle AWS risorse dell'utente. L'utilizzo principale per IAM gli utenti consiste nel fornire ai carichi di lavoro che non possono utilizzare IAM i ruoli la possibilità di effettuare richieste programmatiche ai AWS servizi che utilizzano l'opzione o. API CLI

Nota

Per gli scenari in cui sono necessari IAM utenti con accesso programmatico e credenziali a lungo termine, si consiglia di aggiornare le chiavi di accesso quando necessario. Per ulteriori informazioni, consulta Aggiorna le chiavi di accesso.

Le identità della forza lavoro (persone) hanno esigenze di autorizzazione diverse a seconda del ruolo utenti in Centro identità AWS IAMche svolgono e possono lavorare in vari Account AWS modi all'interno dell'organizzazione. Se hai casi d'uso che richiedono chiavi di accesso, puoi supportarli con. utenti in Centro identità AWS IAM Le persone che accedono tramite il portale di AWS accesso possono ottenere le chiavi di accesso con credenziali a breve termine per le tue AWS risorse. Per la gestione centralizzata degli accessi, ti consigliamo di utilizzare AWS IAM Identity Center (IAMIdentity Center) per gestire l'accesso ai tuoi account e le autorizzazioni all'interno di tali account. IAMIdentity Center viene configurato automaticamente con una directory Identity Center come fonte di identità predefinita in cui è possibile aggiungere persone e gruppi e assegnare il loro livello di accesso alle risorse. AWS Per ulteriori informazioni, consulta Che cos'è AWS IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center .

La differenza principale tra questi due tipi di utenti è che gli utenti in IAM Identity Center assumono automaticamente un IAM ruolo al momento dell'accesso AWS prima di accedere alla console di gestione o AWS alle risorse. IAMi ruoli concedono credenziali temporanee ogni volta che l'utente accede a. AWS IAMAffinché gli utenti possano accedere utilizzando un IAM ruolo, devono disporre dell'autorizzazione ad assumere e cambiare ruolo e devono scegliere esplicitamente di passare al ruolo che desiderano assumere dopo aver effettuato l'accesso all'account. AWS

Federa gli utenti da una fonte di identità esistente

Se gli utenti dell'organizzazione sono già autenticati quando accedono alla rete aziendale, non è necessario creare IAM utenti o utenti separati in IAM Identity Center per loro. È invece possibile federare tali identità utente per AWS utilizzare una delle due o. IAM AWS IAM Identity Center Gli utenti federati assumono un IAM ruolo che concede loro le autorizzazioni per accedere a risorse specifiche. Per ulteriori informazioni sui ruoli, consulta Termini e concetti dei ruoli.

Questo diagramma mostra come un utente federato può ottenere credenziali di AWS sicurezza temporanee per accedere alle risorse del proprio. Account AWS

La federazione è utile nei seguenti casi:

  • Gli utenti esistono già in una directory aziendale.

    Se la directory aziendale è compatibile con Security Assertion Markup Language 2.0 (SAML2.0), è possibile configurare la directory aziendale per fornire l'accesso Single Sign-On (SSO) ai AWS Management Console propri utenti. Per ulteriori informazioni, consulta Scenari comuni per le credenziali temporanee.

    Se la directory aziendale non è compatibile con la SAML versione 2.0, è possibile creare un'applicazione di identity broker per fornire l'accesso Single Sign-On (SSO) ai AWS Management Console propri utenti. Per ulteriori informazioni, consulta Abilita l'accesso personalizzato del broker di identità alla AWS console.

    Se la directory aziendale è Microsoft Active Directory, è possibile utilizzare AWS IAM Identity Center per connettere una directory autogestita in Active Directory o una directory AWS Directory Serviceper stabilire un rapporto di fiducia tra la directory aziendale e la propria Account AWS.

    Se utilizzi un provider di identità (IdP) esterno come Okta o Microsoft Entra per gestire gli utenti, puoi AWS IAM Identity Center utilizzarlo per stabilire un rapporto di fiducia tra il tuo IdP e il tuo. Account AWS Per ulteriori informazioni, consulta Connessione a un provider di identità esterno nella Guida per l'utente di AWS IAM Identity Center .

  • I tuoi utenti dispongono di identità Internet.

    Se stai creando un'app per dispositivi mobili o un'app basata sul Web che può consentire agli utenti di identificarsi tramite un provider di identità Internet come Login with Amazon, Facebook, Google o qualsiasi provider di identità compatibile con OpenID OIDC Connect (), l'app può utilizzare la federazione AWS per accedere. Per ulteriori informazioni, consulta OIDCfederazione.

    Suggerimento

    Per la federazione delle identità con i provider di identità Internet, ti consigliamo di utilizzare Amazon Cognito.

Diversi metodi per fornire l'accesso agli utenti

Ecco i modi in cui puoi fornire l'accesso alle tue AWS risorse.

Tipo di accesso utente Quando viene usato? Dove sono disponibili ulteriori informazioni?

Accesso Single Sign-On per gli utenti, ad esempio gli utenti della forza lavoro, alle AWS risorse che utilizzano Identity Center IAM

IAMIdentity Center offre un luogo centrale che riunisce l'amministrazione degli utenti e il loro accesso alle applicazioni cloud Account AWS .

È possibile configurare un archivio di IAM identità all'interno di Identity Center oppure configurare la federazione con un provider di identità (IdP) esistente. Le migliori pratiche di sicurezza consigliano di concedere agli utenti umani credenziali limitate alle risorse. AWS

Le persone hanno un'esperienza di accesso più semplice e tu mantieni il controllo sul loro accesso alle risorse da un unico sistema. IAMIdentity Center supporta l'autenticazione a più fattori (MFA) per una maggiore sicurezza dell'account.

Per ulteriori informazioni sulla configurazione di IAM Identity Center, consulta la Guida introduttiva nella Guida per l'AWS IAM Identity Center utente

Per ulteriori informazioni sull'utilizzo MFA in IAM Identity Center, consulta Autenticazione a più fattori nella Guida per l'AWS IAM Identity Center utente

Accesso federato per utenti umani, come gli utenti della forza lavoro, ai AWS servizi che utilizzano provider di IAM identità () IdPs

IAM IdPs supporti compatibili con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0). Dopo aver creato un provider di IAM identità, crea uno o più IAM ruoli che possono essere assegnati dinamicamente a un utente federato.

Per ulteriori informazioni sui provider di IAM identità e sulla federazione, vedere. Provider di identità e federazione

Accesso tra più account tra Account AWS

Vuoi condividere l'accesso a determinate AWS risorse con gli utenti di altre Account AWS.

I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, alcuni AWS servizi supportano politiche basate sulle risorse che consentono di allegare una politica direttamente a una risorsa (anziché utilizzare un ruolo come proxy).

Per ulteriori informazioni sui IAM ruoli, vedere. IAMruoli

Per ulteriori informazioni sui ruoli collegati al servizio, consulta Creazione di un ruolo collegato ai servizi.

Per ulteriori informazioni sui servizi che supportano l'utilizzo di ruoli collegati ai servizi, consulta AWS servizi che funzionano con IAM. Trova i servizi con Sì nella colonna Service-Linked Role. Per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio, seleziona il link associato a Yes (Sì) nella colonna.

Credenziali a lungo termine per gli utenti designati IAM nel tuo Account AWS

Potresti avere casi d'uso specifici che richiedono credenziali a lungo termine con IAM utenti registrati. AWS Puoi utilizzarli IAM per creare questi IAM utenti nel tuo Account AWS e utilizzarli IAM per gestirne le autorizzazioni. Alcuni casi d'uso includono quanto segue:

  • Carichi di lavoro che non possono utilizzare ruoli IAM

  • AWS Client di terze parti che richiedono l'accesso programmatico tramite chiavi di accesso

  • Credenziali specifiche del servizio per Amazon Keyspaces AWS CodeCommit

  • AWS IAM Identity Center non è disponibile per il tuo account e non hai nessun altro provider di identità

Come best practice negli scenari in cui sono necessari IAM utenti con accesso programmatico e credenziali a lungo termine, consigliamo di aggiornare le chiavi di accesso quando necessario. Per ulteriori informazioni, consulta Aggiorna le chiavi di accesso.

Per ulteriori informazioni sulla configurazione di un IAM utente, vedere. Crea un IAM utente nel tuo Account AWS

Per ulteriori informazioni sulle chiavi di accesso IAM utente, vedereGestisci le chiavi di accesso per IAM gli utenti.

Per ulteriori informazioni sulle credenziali specifiche del servizio per AWS CodeCommit Amazon Keyspaces, consulta e. IAMcredenziali per CodeCommit: credenziali Git, SSH chiavi e AWS chiavi di accesso Utilizzo IAM con Amazon Keyspaces (per Apache Cassandra)

Supporta l'accesso programmatico degli utenti

Gli utenti necessitano di un accesso programmatico se desiderano interagire con l' AWS esterno di. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede a: AWS

  • Se gestisci le IAM identità in Identity Center, è AWS APIs necessario un profilo e AWS Command Line Interface richiede un profilo o una variabile di ambiente.

  • Se si dispone di IAM utenti, è AWS Command Line Interface necessario AWS APIs utilizzare le chiavi di accesso. Quando possibile, creare credenziali temporanee formate da un ID della chiave di accesso, una chiave di accesso segreta e un token di sicurezza che ne indica la scadenza.

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico? Opzione Ulteriori informazioni

Identità della forza lavoro

(Persone e utenti gestiti in IAM Identity Center)

Utilizza credenziali a breve termine per firmare le richieste programmatiche al AWS CLI sistema AWS APIs operativo (direttamente o utilizzando il AWS SDKs).

Per farlo AWS CLI, segui le istruzioni in Ottenere le credenziali di IAM ruolo per CLI l'accesso nella Guida per l'utente.AWS IAM Identity Center

Per farlo AWS APIs, segui le istruzioni riportate nelle SSOcredenziali nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.

IAMutenti Utilizza credenziali a breve termine per firmare le richieste programmatiche in AWS CLI sala AWS APIs operatoria (direttamente o utilizzando). AWS SDKs Segui le istruzioni riportate in Utilizzo delle credenziali temporanee con le risorse. AWS
IAMutenti Utilizza credenziali a lungo termine per firmare le richieste programmatiche in AWS CLI sala AWS APIs operatoria (direttamente o utilizzando). AWS SDKs

(Non consigliato)

Segui le istruzioni in Gestione delle chiavi di accesso per gli IAM utenti.
Utenti federati Utilizza un' AWS STSAPIoperazione per creare una nuova sessione con credenziali di sicurezza temporanee che includono una coppia di chiavi di accesso e un token di sessione. Per spiegazioni sulle API operazioni, vedere Richiedi credenziali di sicurezza temporanee