AWS: consente agli utenti IAM di gestire le proprie credenziali nella pagina Credenziali di sicurezza - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS: consente agli utenti IAM di gestire le proprie credenziali nella pagina Credenziali di sicurezza

Questo esempio mostra come è possibile creare una policy basata sull'identità che consenta agli utenti IAM di gestire tutte le proprie credenziali nella pagina Credenziali di sicurezza. Questa AWS Management Console pagina mostra informazioni sull'account come l'ID dell'account e l'ID utente canonico. Gli utenti possono anche visualizzare e modificare le password, le chiavi di accesso, i certificati X.509, le chiavi SSH e le credenziali Git. Questa policy di esempio include le autorizzazioni necessarie per visualizzare e modificare le informazioni sulla pagina eccetto il dispositivo MFA dell'utente. Per consentire agli utenti di gestire le proprie credenziali con MFA, consulta AWS: consente agli utenti IAM autenticati tramite MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza.

Per informazioni su come gli utenti possono accedere alla pagina delle credenziali di sicurezza, consulta. Come gli utenti IAM possono cambiare le proprie password (console)

Che cosa fa questa policy?

  • L'istruzione AllowViewAccountInfo consente all'utente di visualizzare le informazioni a livello di account. Queste autorizzazioni devono essere nella propria istruzione perché non supportano o non devono specificare l'ARN di una risorsa. Le autorizzazioni specificano invece "Resource" : "*". Questa istruzione include le seguenti operazioni che consentono all'utente di visualizzare informazioni specifiche:

    • GetAccountPasswordPolicy: visualizza i requisiti della password dell'account cambiando la propria password utente IAM.

    • GetAccountSummary: visualizza l'ID account e l'ID utente canonico dell'account.

  • L'istruzione AllowManageOwnPasswords consente all'utente di modificare la propria password. Questa istruzione include anche l'operazione GetUser, obbligatoria per visualizzare la maggior parte delle informazioni nella pagina My security credentials (Le mie credenziali di sicurezza).

  • L'istruzione AllowManageOwnAccessKeys consente all'utente di creare, aggiornare ed eliminare le proprie chiavi di accesso. L'utente può anche ottenere informazioni su quando è stata utilizzata l'ultima volta la chiave di accesso specificata.

  • L'istruzione AllowManageOwnSigningCertificates consente all'utente di caricare, aggiornare ed eliminare i propri certificati di firma.

  • L'AllowManageOwnSSHPublicKeysistruzione consente all'utente di caricare, aggiornare ed eliminare le proprie chiavi pubbliche SSH per. CodeCommit

  • L'AllowManageOwnGitCredentialsistruzione consente all'utente di creare, aggiornare ed eliminare le proprie credenziali Git per CodeCommit.

Questa policy non consente agli utenti di visualizzare o gestire i propri dispositivi MFA. Inoltre, non sono in grado di visualizzare la pagina Utenti nella console IAM o utilizzare questa pagina per accedere alle proprie informazioni utente. Per consentire questa operazione, aggiungere l'operazione iam:ListUsers all'istruzione AllowViewAccountInfo. Inoltre, non consente agli utenti di cambiare la password sulla proprio pagina utente. Per consentire questa operazione, aggiungere le operazioni iam:CreateLoginProfile, iam:DeleteLoginProfile, iam:GetLoginProfile e iam:UpdateLoginProfile all'istruzione AllowManageOwnPasswords. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"       
            ],
            "Resource": "*"
        },       
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}