Accesso programmatico con AWS credenziali di sicurezza - AWS Identity and Access Management
Alternative alle chiavi di accesso a lungo termine

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso programmatico con AWS credenziali di sicurezza

Se possibile, si consiglia di utilizzare chiavi di accesso a breve termine per effettuare chiamate programmatiche AWS o utilizzare la sala operatoria. AWS Command Line Interface AWS Tools for PowerShell Tuttavia, è possibile utilizzare anche chiavi di AWS accesso a lungo termine per questi scopi.

Quando crei una chiavi di accesso a lungo termine, crei anche l'ID chiave di accesso (ad esempio, AKIAIOSFODNN7EXAMPLE) e la chiave di accesso segreta (ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). La chiave di accesso segreta può essere scaricata solo nel momento in cui viene creata. Se non si scarica la chiave di accesso segreta o se viene smarrita, è necessario crearne una nuova.

In molti scenari, non sono necessarie chiavi di accesso a lungo termine che non scadono mai (come accade quando si creano chiavi di accesso per un IAM utente). È invece possibile creare IAM ruoli e generare credenziali di sicurezza temporanee. Tali credenziali di sicurezza temporanee includono un ID chiave di accesso e una chiave di accesso segreta, ma includono anche un token di sicurezza che ne indica la scadenza. Dopo che scadono, non sono più valide. Per ulteriori informazioni, consulta Alternative alle chiavi di accesso a lungo termine

Le chiavi di accesso che IDs iniziano con AKIA sono chiavi di accesso a lungo termine per un IAM utente o un utente Account AWS root. Le chiavi di accesso che IDs iniziano con ASIA sono credenziali temporanee, chiavi di accesso create utilizzando AWS STS le operazioni.

Gli utenti necessitano dell'accesso programmatico se desiderano interagire con l' AWS esterno di. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico? Per Come

Identità della forza lavoro

(Utenti gestiti in IAM Identity Center)

 Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.
IAM Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.
IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Alternative alle chiavi di accesso a lungo termine

Per numerosi casi d'uso comuni, esistono delle alternative alle chiavi di accesso a lungo termine. Per migliorare la sicurezza del tuo account, considera quanto segue.

  • Non incorporate chiavi di accesso a lungo termine e chiavi di accesso segrete nel codice dell'applicazione o in un repository di codice: utilizzate invece altre soluzioni di gestione dei segreti AWS Secrets Manager, in modo da non dover codificare le chiavi in testo non crittografato. L'applicazione o il client possono quindi recuperare i segreti quando necessario. Per ulteriori informazioni, consulta Cos'è? AWS Secrets Manager nella Guida AWS Secrets Manager per l'utente.

  • Usa IAM i ruoli per generare credenziali di sicurezza temporanee quando possibile: utilizza sempre meccanismi per emettere credenziali di sicurezza temporanee quando possibile, anziché chiavi di accesso a lungo termine. Le credenziali di sicurezza temporanee sono più sicure perché non sono archiviate con l'utente ma vengono generate dinamicamente e fornite all'utente quando richiesto. Le credenziali di sicurezza temporanee hanno una durata limitata, quindi non è necessario gestirle o aggiornarle. I meccanismi che forniscono chiavi di accesso temporanee includono IAM i ruoli o l'autenticazione di un utente dell'IAMIdentity Center. Per i computer che funzionano all'esterno dell' AWS utente, è possibile utilizzare AWS Identity and Access Management Roles Anywhere.

  • Utilizza alternative alle chiavi di accesso a lungo termine per AWS Command Line Interface (AWS CLI) o la aws-shell: le alternative includono quanto segue.

    • AWS CloudShellè una shell preautenticata basata su browser che è possibile avviare direttamente da. AWS Management ConsoleÈ possibile eseguire AWS CLI comandi Servizi AWS tramite la shell preferita (Bash, Powershell o Z shell). Quando esegui questa operazione, non devi scaricare o installare strumenti a riga di comando. Per ulteriori informazioni, consulta Che cos'è AWS CloudShell? nella Guida per l'utente di AWS CloudShell .

    • AWS CLI Integrazione della versione 2 con AWS IAM Identity Center (IAMIdentity Center). È possibile autenticare gli utenti e fornire credenziali a breve termine per eseguire AWS CLI i comandi. Per ulteriori informazioni, consulta Integrazione AWS CLI con IAM Identity Center nella Guida per l'AWS IAM Identity Center utente e Configurazione dell'utilizzo di IAM Identity Center nella Guida AWS CLI per l'utente.AWS Command Line Interface

  • Non creare chiavi di accesso a lungo termine per utenti umani che devono accedere alle applicazioni; in alternativa Servizi AWS , IAM Identity Center può generare credenziali di accesso temporanee a cui possono accedere gli utenti IdP esterni. Servizi AWS Ciò elimina la necessità di creare e gestire credenziali a lungo termine in. IAM In IAM Identity Center, crea un set di autorizzazioni di IAM Identity Center che conceda l'accesso agli utenti IdP esterni. Quindi assegna un gruppo da IAM Identity Center al set di autorizzazioni selezionato. Account AWS Per ulteriori informazioni, consulta What is AWS IAM Identity Center, Connect to your identity provider esterno e Set di autorizzazioni nella Guida per l'AWS IAM Identity Center utente.

  • Non archiviate le chiavi di accesso a lungo termine all'interno di un servizio di AWS elaborazione, ma assegnate piuttosto un IAM ruolo alle risorse di elaborazione. Ciò fornisce automaticamente le credenziali temporanee per concedere l'accesso. Ad esempio, quando crei un profilo di istanza collegato a un'EC2istanza Amazon, puoi assegnare un AWS ruolo all'istanza e renderla disponibile per tutte le sue applicazioni. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull'EC2istanza Amazon di ottenere credenziali temporanee. Per ulteriori informazioni, consulta Usare un IAM ruolo per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon.