AWS credenziali di sicurezza - AWS Identity and Access Management
Considerazioni relative alla sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS credenziali di sicurezza

Quando interagisci con AWS, specifichi le tue credenziali di AWS sicurezza per verificare chi sei e se disponi dell'autorizzazione ad accedere alle risorse che stai richiedendo. AWS utilizza le credenziali di sicurezza per autenticare e autorizzare le richieste.

Ad esempio, se si desidera scaricare un file protetto da un bucket Amazon Simple Storage Service (Amazon S3), è necessario che le credenziali consentano tale accesso. Se le tue credenziali non mostrano che sei autorizzato a scaricare il file, AWS respinge la tua richiesta. Tuttavia, le tue credenziali di AWS sicurezza non sono necessarie per scaricare un file in un bucket Amazon S3 condiviso pubblicamente.

Esistono diversi tipi di utenti AWS, ognuno con le proprie credenziali di sicurezza:

  • Proprietario dell'account (utente root): l'utente che ha creato l' Account AWS e ha accesso completo.

  • AWS IAM Identity Center utenti: utenti gestiti in AWS IAM Identity Center.

  • Utenti federati: utenti di provider di identità esterni a cui è concesso l'accesso temporaneo AWS tramite la federazione. Per ulteriori informazioni sulle identità federate, consulta la pagina Provider di identità e federazione.

  • IAMutenti: singoli utenti creati all'interno del servizio AWS Identity and Access Management (IAM).

Gli utenti dispongono di credenziali di sicurezza a lungo termine o temporanee. L'utente root, IAM l'utente e le chiavi di accesso dispongono di credenziali di sicurezza a lungo termine che non scadono. Per proteggere le credenziali a lungo termine, sono in atto processi per gestire le chiavi di accesso, modificare le password e abilitare. MFA

Per semplificare la gestione delle credenziali degli utenti root tra gli account dei membri in AWS Organizations, è possibile proteggere centralmente le credenziali utente root dell'utente gestito. Account AWS AWS OrganizationsGestisci centralmente l'accesso root per gli account dei membriconsente di rimuovere e impedire centralmente il ripristino a lungo termine delle credenziali degli utenti root, prevenendo accessi root involontari su larga scala.

IAMruoli e gli utenti federati dispongono di credenziali di sicurezza temporanee. utenti in Centro identità AWS IAM Le credenziali di sicurezza temporanee scadono dopo un periodo di tempo definito o quando l'utente termina la sessione. Le credenziali temporanee funzionano quasi esattamente come le credenziali a lungo termine, con le seguenti differenze:

  • Le credenziali di sicurezza provvisorie sono a breve termine, come implica il nome. Possono essere configurate per durare ovunque per pochi minuti o diverse ore. Una volta scadute, le credenziali AWS non le riconosce più né consente alcun tipo di accesso alle API richieste effettuate con esse.

  • Le credenziali di sicurezza temporanee non sono archiviate con l'utente, ma vengono generate dinamicamente e fornite all'utente quando richiesto. Quando (o anche prima) le credenziali di sicurezza temporanee scadono, l'utente può richiedere nuove credenziali, purché l'utente che le richiede abbia ancora le autorizzazioni per farlo.

Di conseguenza, le credenziali temporanee presentano i seguenti vantaggi rispetto alle credenziali a lungo termine:

  • Non è necessario distribuire o incorporare credenziali di AWS sicurezza a lungo termine in un'applicazione.

  • È possibile fornire l'accesso alle AWS risorse agli utenti senza dover definire un' AWS identità per loro. Le credenziali provvisorie sono la base dei ruoli e della federazione delle identità.

  • Le credenziali di sicurezza temporanee hanno una durata limitata, perciò non è necessario aggiornarle o revocarle in modo esplicito quando non sono più necessarie. Dopo che le credenziali di sicurezza temporanee scadono, non possono essere riutilizzate. È possibile specificare quando scadono le credenziali, fino a un limite massimo.

Considerazioni relative alla sicurezza

Ti consigliamo di prendere in considerazione le informazioni seguenti nel momento in cui stabilisci le disposizioni di sicurezza per il tuo Account AWS:

  • Quando crei un account Account AWS, creiamo l'utente root dell'account. Le credenziali dell'utente root (proprietario dell'account) consentono il pieno accesso a tutte le risorse nell'account. La prima operazione da eseguire con l'utente root è concedere a un altro utente le autorizzazioni amministrative Account AWS in modo da ridurre al minimo l'utilizzo dell'utente root.

  • L'autenticazione a più fattori (MFA) offre un ulteriore livello di sicurezza per gli utenti che possono accedere a. Account AWS Per una maggiore sicurezza, ti consigliamo di richiedere MFA Utente root dell'account AWS le credenziali e tutti gli IAM utenti. Per ulteriori informazioni, consulta AWS Autenticazione a più fattori in IAM.

  • AWS richiede diversi tipi di credenziali di sicurezza, a seconda della modalità di accesso AWS e del tipo di AWS utente. Ad esempio, si utilizzano le credenziali di accesso AWS Management Console mentre si utilizzano i tasti di accesso per effettuare chiamate programmatiche a. AWSPer informazioni su come determinare il tipo di utente e la pagina di accesso, consulta Cos'è l' AWS accesso nella Guida per l'utente.Accedi ad AWS

  • Non è possibile utilizzare IAM le policy per negare esplicitamente all'utente root l'accesso alle risorse. È possibile utilizzare solo una policy AWS Organizations di controllo del servizio (SCP) per limitare le autorizzazioni dell'utente root.

  • Se dimentichi o perdi la password dell'utente root, dovrai accedere all'indirizzo e-mail associato al tuo account per reimpostarla.

  • Se perdi le chiavi di accesso dell'utente root, devi essere in grado di accedere al tuo account come utente root per crearne di nuove.

  • Non utilizzare l'utente root per le attività quotidiane. Utilizzalo per eseguire le attività che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono il tuo accesso come utente root, consulta la pagina Attività che richiedono credenziali dell'utente root.

  • Le credenziali di sicurezza sono specifiche dell'account. Se hai accesso a più Account AWS, avrai credenziali separate per ogni account.

  • Le politiche determinano le azioni che un utente, un ruolo o un membro di un gruppo di utenti può eseguire, su quali AWS risorse e in quali condizioni. Utilizzando le policy è possibile controllare in modo sicuro l'accesso Servizi AWS e le risorse presenti in. Account AWS Se devi modificare o revocare le autorizzazioni in risposta a un evento di sicurezza, puoi eliminare o modificare le policy anziché modificare direttamente l'identità.

  • Assicurati di salvare le credenziali di accesso per il tuo IAM utente di accesso di emergenza e tutte le chiavi di accesso che hai creato per l'accesso programmatico in un luogo sicuro. Se perdi le chiavi di accesso, dovrai accedere al tuo account e crearne di nuove.

  • Ti consigliamo vivamente di utilizzare le credenziali temporanee fornite dai IAM ruoli e dagli utenti federati anziché le credenziali a lungo termine fornite dagli utenti e dalle chiavi di accesso. IAM