Credenziali di sicurezza di AWS - AWS Identity and Access Management
Considerazioni relative alla sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Credenziali di sicurezza di AWS

Quando si interagisce con AWS, vengono specificate le tue credenziali di sicurezza AWS per verificare l'identità e se si dispone dell'autorizzazione per accedere alle risorse richieste. AWS utilizza le credenziali di sicurezza per autenticare ed autorizzare le richieste.

Ad esempio, se si desidera scaricare un file protetto da un bucket Amazon Simple Storage Service (Amazon S3), è necessario che le credenziali consentano tale accesso. Se le credenziali non mostrano che sei autorizzato a scaricare il file, AWS nega la tua richiesta. Tuttavia, le credenziali di sicurezza AWS non sono necessarie per scaricare un file in un bucket Amazon S3 condiviso pubblicamente.

Esistono diversi tipi di utenti in AWS, ognuno con le proprie credenziali di sicurezza:

  • Proprietario dell'account (utente root): l'utente che ha creato l'Account AWS e ha accesso completo.

  • Utenti AWS IAM Identity Center: utenti gestiti in AWS IAM Identity Center.

  • Utenti federati: utenti di provider di identità esterni a cui è concesso l'accesso temporaneo ad AWS tramite la federazione. Per ulteriori informazioni sulle identità federate, consulta la pagina Provider di identità e federazione.

  • Utenti IAM: singoli utenti creati all'interno del servizio AWS Identity and Access Management (IAM).

Gli utenti dispongono di credenziali di sicurezza a lungo termine o temporanee. L'utente root, l'utente IAM e le chiavi di accesso dispongono di credenziali di sicurezza a lungo termine che non scadono. Per proteggere le credenziali a lungo termine, è consigliabile disporre di procedure per gestire le chiavi di accesso, modificare le password e abilitare l'MFA.

Per semplificare la gestione delle credenziali degli utenti root tra gli account membri in AWS Organizations, è possibile proteggere centralmente le credenziali dell'utente root degli Account AWS gestiti tramite AWS Organizations. Gestire centralmente l'accesso root per gli account membri consente di rimuovere e impedire centralmente il ripristino delle credenziali degli utenti root a lungo termine, prevenendo accessi root involontari su larga scala.

I ruoli IAM, gli utenti in Centro identità AWS IAM e gli utenti federati dispongono di credenziali di sicurezza. Le credenziali di sicurezza temporanee scadono dopo un periodo di tempo definito o quando l'utente termina la sessione. Le credenziali temporanee funzionano quasi esattamente come le credenziali a lungo termine, con le seguenti differenze:

  • Le credenziali di sicurezza provvisorie sono a breve termine, come implica il nome. Possono essere configurate per durare ovunque per pochi minuti o diverse ore. Dopo che le credenziali scadono, AWS non le riconosce più o consente qualsiasi tipo di accesso da parte delle richieste API effettuate.

  • Le credenziali di sicurezza temporanee non sono archiviate con l'utente, ma vengono generate dinamicamente e fornite all'utente quando richiesto. Quando (o anche prima) le credenziali di sicurezza temporanee scadono, l'utente può richiedere nuove credenziali, purché l'utente che le richiede abbia ancora le autorizzazioni per farlo.

Di conseguenza, le credenziali temporanee presentano i seguenti vantaggi rispetto alle credenziali a lungo termine:

  • Non è necessario distribuire o incorporare credenziali di sicurezza AWS a lungo termine con un'applicazione.

  • Puoi fornire agli utenti l'accesso alle risorse AWS senza dover definire un identità AWS per questi ultimi. Le credenziali provvisorie sono la base dei ruoli e della federazione delle identità.

  • Le credenziali di sicurezza temporanee hanno una durata limitata, perciò non è necessario aggiornarle o revocarle in modo esplicito quando non sono più necessarie. Dopo che le credenziali di sicurezza temporanee scadono, non possono essere riutilizzate. È possibile specificare quando scadono le credenziali, fino a un limite massimo.

Considerazioni relative alla sicurezza

Ti consigliamo di prendere in considerazione le informazioni seguenti nel momento in cui stabilisci le disposizioni di sicurezza per il tuo Account AWS:

  • Quando crei un Account AWS, creiamo l'utente root dell'account. Le credenziali dell'utente root (proprietario dell'account) consentono il pieno accesso a tutte le risorse nell'account. La prima operazione che esegui con l'utente root consiste nel concedere le autorizzazioni amministrative di un altro utente al tuo Account AWS per ridurre al minimo l'utilizzo dell'utente root.

  • L'autenticazione a più fattori (MFA) offre un ulteriore livello di sicurezza per gli utenti che possono accedere al tuo Account AWS. Per una maggiore sicurezza, consigliamo di richiedere l'MFA sulle credenziali di Utente root dell'account AWS e di tutti gli utenti IAM. Per ulteriori informazioni, consultare AWS Autenticazione a più fattori in IAM.

  • AWS richiede diversi tipi di credenziali di sicurezza in base alla modalità di accesso a AWS e al tipo di utente AWS. Ad esempio, puoi usare credenziali di accesso per la AWS Management Console mentre utilizzi le chiavi di accesso per fare chiamate programmatiche ad AWS. Per determinare il tipo di utente e la pagina di accesso, consulta Che cos'è Accedi ad AWS nella Guida per l'utente di Accedi ad AWS.

  • Non puoi utilizzare policy IAM per negare esplicitamente all'utente root l'accesso alle risorse. Per limitare le autorizzazioni dell'utente root, è possibile utilizzare solo una policy di controllo dei servizi (SCP) AWS Organizations.

  • Se dimentichi o perdi la password dell'utente root, dovrai accedere all'indirizzo e-mail associato al tuo account per reimpostarla.

  • Se perdi le chiavi di accesso dell'utente root, devi essere in grado di accedere al tuo account come utente root per crearne di nuove.

  • Non utilizzare l'utente root per le attività quotidiane. Utilizzalo per eseguire le attività che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono il tuo accesso come utente root, consulta la pagina Attività che richiedono credenziali dell'utente root.

  • Le credenziali di sicurezza sono specifiche dell'account. Se hai accesso a più Account AWS, avrai credenziali separate per ogni account.

  • Le policy determinano le operazioni che un utente, un ruolo o un membro di un gruppo di utenti può eseguire, su quali risorse AWS e in quali condizioni. Utilizzando le policy, puoi controllare in modo sicuro l'accesso alle risorse e ai Servizi AWS nel tuo Account AWS. Se devi modificare o revocare le autorizzazioni in risposta a un evento di sicurezza, puoi eliminare o modificare le policy anziché modificare direttamente l'identità.

  • Assicurati di salvare in un luogo sicuro le credenziali di accesso per il tuo utente IAM per l'accesso di emergenza e tutte le chiavi di accesso che hai creato per l'accesso programmatico. Se perdi le chiavi di accesso, dovrai accedere al tuo account e crearne di nuove.

  • Ti consigliamo vivamente di utilizzare le credenziali temporanee fornite dai ruoli IAM e dagli utenti federati anziché quelle a lungo termine fornite dagli utenti IAM e dalle chiavi di accesso.