Proteggere le chiavi di accesso - AWS Identity and Access Management
Utilizzo di chiavi di accesso e credenziali di chiave segreta per l'accesso alla consoleAudit delle chiavi di accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Proteggere le chiavi di accesso

Chiunque disponga delle tue chiavi di accesso ha lo stesso livello di accesso alle tue AWS risorse che hai tu. Di conseguenza, AWS fa di tutto per proteggere le vostre chiavi di accesso e, in linea con il nostro modello di responsabilità condivisa, dovreste farlo anche voi.

Espandi le seguenti sezioni per ulteriori informazioni su come proteggere le chiavi di accesso.

Nota

La tua organizzazione può avere policy e requisiti di sicurezza differenti rispetto a quelli descritti in questo argomento. I suggerimenti qui forniti sono destinati a essere linee guida generali.

Uno dei modi migliori per proteggere il tuo account è non disporre di chiavi di accesso dell' Utente root dell'account AWS. A meno che non necessiti di disporre delle chiavi di accesso dell'utente root (il che è raro), è consigliabile non generarle. Crea invece un utente amministrativo AWS IAM Identity Center per le attività amministrative quotidiane. Per informazioni su come creare un utente amministrativo in IAM Identity Center, consulta la Guida introduttiva alla IAM Identity Center User Guide.

Se già disponi di chiavi di accesso dell'utente root per il tuo account, ti consigliamo di attenerti alle seguenti indicazioni: trova i punti nelle applicazioni in cui stai attualmente utilizzando le chiavi di accesso (se presenti) e sostituisci le chiavi di accesso dell'utente root con le chiavi di accesso dell'utente IAM. Quindi disabilita e rimuovi le chiavi di accesso dell'utente root. Per ulteriori informazioni sull'aggiornamento delle chiavi di accesso, consulta la pagina Aggiornare le chiavi di accesso

In molti scenari, non è necessaria una chiave di accesso a lungo termine a validità illimitata (come accade invece per gli utenti IAM). Al contrario, è possibile creare ruoli IAM e generare credenziali di sicurezza temporanee. Tali credenziali sono composte dall'ID della chiave di accesso e dalla chiave di accesso segreta, ma includono anche un token di sicurezza che ne indica la scadenza.

Le chiavi di accesso a lungo termine, ad esempio quelle associate a utenti IAM ed all'utente root, rimangono valide finché non vengono revocate manualmente. Tuttavia, le credenziali di sicurezza temporanee ottenute tramite i ruoli IAM e altre funzionalità di IAM AWS Security Token Service scadono dopo un breve periodo di tempo. Utilizza le credenziali di sicurezza temporanee per ridurre i rischi in caso di esposizione accidentale delle credenziali.

Utilizzare un ruolo IAM e le credenziali di sicurezza temporanee in questi scenari:

  • Hai un'applicazione o AWS CLI degli script in esecuzione su un' EC2 istanza Amazon. Non utilizzare le chiavi di accesso direttamente nell'applicazione. Non passare le chiavi di accesso all'applicazione, incorporarle nell'applicazione o lasciare che l'applicazione legga una chiave da qualsiasi origine. Definisci invece un ruolo IAM con le autorizzazioni appropriate per la tua applicazione e avvia l'istanza Amazon Elastic Compute Cloud EC2 (Amazon) con ruoli per. EC2 In questo modo si associa un ruolo IAM all' EC2 istanza Amazon. Questa pratica, inoltre, consente all'applicazione di ottenere credenziali di sicurezza temporanee, che a sua volta può utilizzare per effettuare chiamate a livello di programmazione ad AWS. The AWS SDKs and the AWS Command Line Interface (AWS CLI) può ottenere automaticamente credenziali temporanee dal ruolo.

  • Devi concedere l'accesso tra account. Utilizzare un ruolo IAM per stabilire l'attendibilità tra gli account, quindi concedere agli utenti di un account autorizzazioni limitate per accedere all'account attendibile. Per ulteriori informazioni, consulta IAMtutorial: delega l'accesso tra AWS account utilizzando i ruoli IAM.

  • Hai a disposizione un'app mobile. Non integrare le chiavi di accesso con l'app, anche nell'archiviazione crittografata. Al contrario, utilizzare Amazon Cognito per la gestione dell'identità degli utenti nell'applicazione. Questo servizio consente di autenticare gli utenti utilizzando Login with Amazon, Facebook, Google o qualsiasi provider di identità compatibile con OpenID Connect (OIDC). È quindi possibile utilizzare il provider di credenziali Amazon Cognito per gestire le credenziali che l'app usa per le richieste ad AWS.

  • Vuoi unirti a SAML 2.0 AWS e la tua organizzazione supporta SAML 2.0. Se si lavora per un'organizzazione che dispone di un provider di identità che supporta SAML 2.0, configurare il provider per l'utilizzo di SAML. Puoi utilizzare SAML per scambiare informazioni di autenticazione AWS e recuperare un set di credenziali di sicurezza temporanee. Per ulteriori informazioni, consulta Federazione SAML 2.0.

  • Vuoi eseguire la federazione AWS e la tua organizzazione dispone di un archivio di identità locale. Se gli utenti possono autenticarsi all'interno dell'organizzazione, è possibile scrivere un'applicazione in grado di emettere loro credenziali di sicurezza temporanee per l'accesso alle risorse. AWS Per ulteriori informazioni, consulta Abilita l'accesso personalizzato del broker di identità alla AWS console.

  • Utilizza le condizioni nelle policy IAM per consentire l'accesso solo dalle reti previste. Puoi limitare dove e come vengono utilizzate le tue chiavi di accesso implementando le policy IAM con condizioni che specificano e consentano solo le reti previste, come gli indirizzi IP pubblici o i Virtual Private Clouds (VPCs). In questo modo sai che le chiavi di accesso possono essere utilizzate solo da reti previste e accettabili.

Nota

Stai utilizzando un' EC2 istanza Amazon con un'applicazione che richiede l'accesso programmatico alle AWS risorse? In tal caso, utilizza i ruoli IAM per EC2.

Se devi creare chiavi di accesso per l'accesso programmatico a AWS, creale per gli utenti IAM, concedendo agli utenti solo le autorizzazioni di cui hanno bisogno.

Osserva queste precauzioni per proteggere le chiavi di accesso degli utenti IAM:

  • Non incorporare le chiavi di accesso direttamente nel codice. Gli strumenti da riga di AWS comando AWS SDKse gli strumenti a riga di comando ti consentono di inserire le chiavi di accesso in posizioni note in modo da non doverle conservare nel codice.

    Colloca le chiavi di accesso in una delle posizioni seguenti:

    • Il file AWS delle credenziali. L' AWS SDKs e utilizza AWS CLI automaticamente le credenziali archiviate nel file delle AWS credenziali.

      Per informazioni sull'utilizzo del file delle AWS credenziali, consulta la documentazione del tuo SDK. Gli esempi includono Set AWS Credentials and Region nella AWS SDK for Java Developer Guide e i file di configurazione e credenziali nella Guida per l'utente.AWS Command Line Interface

      Per memorizzare le credenziali per AWS SDK for .NET and the AWS Tools for Windows PowerShell, ti consigliamo di utilizzare SDK Store. Per ulteriori informazioni, consulta Utilizzo dell'SDK Store nella Guida per gli sviluppatori di AWS SDK for .NET .

    • Variabili di ambiente. In un sistema multi-tenant, scegli le variabili di ambiente dell'utente e non le variabili di ambiente del sistema.

      Per ulteriori informazioni sull'utilizzo di variabili di ambiente per archiviare le credenziali, consultare la sezione Variabili di ambiente nella Guida per l'utente di AWS Command Line Interface .

  • Utilizza chiavi di accesso diverse per applicazioni differenti. Esegui questa operazione in modo da isolare le autorizzazioni e revocare le chiavi di accesso per le singole applicazioni in caso una di esse venga esposta. Avere chiavi di accesso separate per applicazioni diverse genera anche voci distinte nei file di log AWS CloudTrail. Questa configurazione consente di determinare più facilmente quale applicazione ha eseguito azioni specifiche.

  • Aggiorna le chiavi di accesso all'occorrenza. Se esiste il rischio che la chiave di accesso possa essere compromessa, aggiorna la chiave di accesso ed elimina quella precedente. Per maggiori dettagli, consulta Aggiornare le chiavi di accesso.

  • Rimuovi le chiavi di accesso inutilizzate. Se un utente lascia l'organizzazione, rimuovere l'utente IAM corrispondente in modo che non possa più accedere alle risorse. Per scoprire quando è stata utilizzata l'ultima volta una chiave di accesso, utilizza l'GetAccessKeyLastUsedAPI (AWS CLI comando: aws iam get-access-key-last-used).

  • Utilizza le credenziali temporanee e configura l'autenticazione a più fattori (MFA) per le operazioni API più sensibili. Con le policy IAM, è possibile specificare le operazioni API che un utente è autorizzato a chiamare. In alcuni casi, potresti richiedere la sicurezza aggiuntiva di richiedere l'autenticazione degli utenti con AWS MFA prima di consentire loro di eseguire azioni particolarmente sensibili. Ad esempio, potresti avere una politica che consenta a un utente di eseguire StopInstances azioni Amazon EC2 RunInstances e. DescribeInstances Ma potresti voler limitare un'azione distruttiva come TerminateInstances e assicurarti che gli utenti possano eseguire tale azione solo se si autenticano con un dispositivo AWS MFA. Per ulteriori informazioni, consulta APIAccesso sicuro con MFA.

Puoi accedere a un set limitato di AWS servizi e funzionalità utilizzando l'app AWS mobile. L'app mobile ti aiuta a supportare la risposta agli incidenti mentre sei in viaggio. Per ulteriori informazioni e per scaricare l'app, consulta AWS Console Mobile Application.

È possibile accedere all'app per dispositivi mobili utilizzando la password della console o le chiavi di accesso. Come best practice, non utilizzare le chiavi di accesso dell'utente root. Ti consigliamo invece vivamente, oltre a utilizzare una password o un blocco biometrico sul tuo dispositivo mobile, di creare un utente IAM specifico per la gestione AWS delle risorse tramite l'app mobile. Se si perde il dispositivo mobile, è possibile rimuovere l'accesso dell'utente IAM.

Accesso mediante le chiavi di accesso (app per dispositivi mobili)

  1. Apri l'app sul tuo dispositivo mobile.

  2. Se questa è la prima volta che aggiungi un'identità al dispositivo, scegli Add an identity (Aggiungi un'identità) e scegli Access keys (Chiavi di accesso).

    Se hai già effettuato l'accesso utilizzando un'altra identità, scegli l'icona del menu e scegli Switch identity (Cambia identità). Quindi scegli Sign in as a different identity (Accedi come identità diversa) e quindi Access keys (Chiavi di accesso).

  3. Nella pagina Access keys (Chiavi di accesso) immetti le informazioni nei campi.

    • ID chiave di accesso: immettere l'ID chiave di accesso.

    • Chiave di accesso segreta: inserire la chiave di accesso segreta.

    • Nome dell'identità: immettere il nome dell'identità che verrà visualizzata nell'applicazione per dispositivi mobili. Non è necessario che corrisponda al nome utente IAM.

    • PIN identità: creare un PIN (Personal Identification Number) da utilizzare per gli accessi futuri.

      Nota

      Se abiliti la biometria per l'app AWS mobile, ti verrà richiesto di utilizzare l'impronta digitale o il riconoscimento facciale per la verifica anziché il PIN. Se la biometria restituisce un errore, potrebbe venire richiesto il PIN.

  4. Scegliere Verify and add keys (Verifica e aggiungi chiavi).

    È ora possibile accedere a un set selezionato di risorse mediante l'app per dispositivi mobili.

I seguenti argomenti forniscono indicazioni per la configurazione AWS SDKs e l'utilizzo dei tasti AWS CLI di accesso:

Utilizzo di chiavi di accesso e credenziali di chiave segreta per l'accesso alla console

È possibile utilizzare la chiave di accesso e le credenziali della chiave segreta per AWS Management Console l'accesso diretto, non solo il. AWS CLI Ciò può essere ottenuto utilizzando la chiamata AWS STS GetFederationTokenAPI. Creando un URL della console utilizzando le credenziali e il token temporanei forniti daGetFederationToken, i responsabili IAM possono accedere alla console. Per ulteriori informazioni, consulta Abilita l'accesso personalizzato del broker di identità alla AWS console.

Vale la pena chiarire che quando si accede alla console direttamente utilizzando credenziali utente IAM o root con MFA abilitata, sarà richiesta l'MFA. Tuttavia, se si utilizza il metodo sopra descritto (utilizzando credenziali temporanee conGetFederationToken), l'MFA NON sarà richiesta.

Audit delle chiavi di accesso

Puoi esaminare le chiavi di AWS accesso contenute nel codice per determinare se provengono da un account di tua proprietà. Puoi passare l'ID di una chiave di accesso utilizzando il aws sts get-access-key-info AWS CLI comando o l'operazione GetAccessKeyInfo AWS API.

Le operazioni AWS CLI and AWS API restituiscono l'ID Account AWS a cui appartiene la chiave di accesso. Le chiavi di accesso che IDs iniziano con AKIA sono credenziali a lungo termine per un utente IAM o un Utente root dell'account AWS. Le chiavi di accesso che IDs iniziano con ASIA sono credenziali temporanee create utilizzando AWS STS le operazioni. Se l'account nella risposta appartiene a te, puoi effettuare l'accesso come utente root e rivedere le chiavi di accesso dell'utente root. Quindi, puoi estrarre un report delle credenziali per scoprire quale utente IAM possiede le chiavi. Per sapere chi ha richiesto le credenziali temporanee per una chiave di ASIA accesso, visualizza gli AWS STS eventi nei tuoi CloudTrail registri.

Per motivi di sicurezza, puoi esaminare AWS CloudTrail i log per scoprire chi ha eseguito un'azione in. AWSÈ possibile utilizzare la chiave di condizione sts:SourceIdentity nella policy di attendibilità del ruolo per richiedere agli utenti di specificare un'identità quando assumono un ruolo. Ad esempio, è possibile richiedere che gli utenti IAM specifichino il proprio nome utente come identità di origine. In questo modo è possibile determinare quale utente ha eseguito un'operazione specifica in AWS. Per ulteriori informazioni, consulta sts:SourceIdentity.

Questa operazione non indica lo stato della chiave di accesso. La chiave potrebbe essere attiva, inattiva o eliminata. Le chiavi attive potrebbero non disporre delle autorizzazioni per eseguire un'operazione. Fornire una chiave di accesso eliminata potrebbe restituire un errore indicante che la chiave non esiste.