Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS credenziali di sicurezza
Quando interagisci con AWS, specifichi le tue *credenziali di AWS sicurezza* per verificare chi sei e se disponi dell'autorizzazione ad accedere alle risorse che stai richiedendo. AWS utilizza le credenziali di sicurezza per autenticare e autorizzare le richieste.
Ad esempio, se si desidera scaricare un file protetto da un bucket Amazon Simple Storage Service (Amazon S3), è necessario che le credenziali consentano tale accesso. Se le tue credenziali non mostrano che sei autorizzato a scaricare il file, AWS respinge la tua richiesta. Tuttavia, le tue credenziali di AWS sicurezza non sono necessarie per scaricare un file in un bucket Amazon S3 condiviso pubblicamente.
Esistono diversi tipi di utenti AWS, ognuno con le proprie credenziali di sicurezza:
+ **Proprietario dell'account (utente root)**: l'utente che ha creato l' Account AWS e ha accesso completo.
+ **AWS IAM Identity Center utenti**: utenti gestiti in AWS IAM Identity Center.
+ Responsabili **federati**: utenti di provider di identità esterni a cui è concesso l'accesso temporaneo AWS tramite la federazione. Per ulteriori informazioni sulle identità federate, consulta la pagina [Provider di identità e federazione in AWS](id_roles_providers.md).
+ **Utenti IAM**: singoli utenti creati all'interno del servizio AWS Identity and Access Management (IAM).
Gli utenti dispongono di credenziali di sicurezza a lungo termine o temporanee. L'utente root, l'utente IAM e le chiavi di accesso dispongono di credenziali di sicurezza a lungo termine che non scadono. Per proteggere le credenziali a lungo termine, è consigliabile disporre di procedure per [gestire le chiavi di accesso](id_credentials_access-keys.md), [modificare le password](id_credentials_passwords.md) e [abilitare l'MFA](id_credentials_mfa.md).
Per semplificare la gestione delle credenziali degli utenti root tra gli account dei membri in AWS Organizations, è possibile proteggere centralmente le credenziali utente root dell'utilizzo Account AWS gestito. AWS Organizations[Gestire centralmente l'accesso root per gli account membri](id_root-user.md#id_root-user-access-management)consente di rimuovere e impedire centralmente il ripristino a lungo termine delle credenziali degli utenti root, prevenendo accessi root involontari su larga scala.
I ruoli IAM e utenti in Centro identità AWS IAM gli user principal AWS STS federati dispongono di credenziali di sicurezza temporanee. Le credenziali di sicurezza temporanee scadono dopo un periodo di tempo definito o quando l'utente termina la sessione. Le credenziali temporanee funzionano quasi esattamente come le credenziali a lungo termine, con le seguenti differenze:
+ Le credenziali di sicurezza provvisorie sono *a breve termine*, come implica il nome. Possono essere configurate per durare ovunque per pochi minuti o diverse ore. Una volta scadute, le credenziali AWS non le riconosce più né consente alcun tipo di accesso alle richieste API effettuate con esse.
+ Le credenziali di sicurezza temporanee non sono archiviate con l'utente, ma vengono generate dinamicamente e fornite all'utente quando richiesto. Quando (o anche prima) le credenziali di sicurezza temporanee scadono, l'utente può richiedere nuove credenziali, purché l'utente che le richiede abbia ancora le autorizzazioni per farlo.
Di conseguenza, le credenziali temporanee presentano i seguenti vantaggi rispetto alle credenziali a lungo termine:
+ Non è necessario distribuire o incorporare credenziali di AWS sicurezza a lungo termine in un'applicazione.
+ È possibile fornire l'accesso alle AWS risorse agli utenti senza dover definire un' AWS identità per loro. Le credenziali provvisorie sono la base dei ruoli [e della federazione delle identità](id_roles.md).
+ Le credenziali di sicurezza temporanee hanno una durata limitata, perciò non è necessario aggiornarle o revocarle in modo esplicito quando non sono più necessarie. Dopo che le credenziali di sicurezza temporanee scadono, non possono essere riutilizzate. È possibile specificare quando scadono le credenziali, fino a un limite massimo.
## Considerazioni relative alla sicurezza
Ti consigliamo di prendere in considerazione le informazioni seguenti nel momento in cui stabilisci le disposizioni di sicurezza per il tuo Account AWS:
+ Quando crei un account Account AWS, creiamo l'utente root dell'account. Le credenziali dell'utente root (proprietario dell'account) consentono il pieno accesso a tutte le risorse nell'account. La prima operazione da eseguire con l'utente root è concedere a un altro utente le autorizzazioni amministrative Account AWS in modo da ridurre al minimo l'utilizzo dell'utente root.
+ L'autenticazione a più fattori (MFA) offre un ulteriore livello di sicurezza per gli utenti che possono accedere al tuo Account AWS. Per una maggiore sicurezza, ti consigliamo di richiedere l'autenticazione MFA sulle Utente root dell'account AWS credenziali e su tutti gli utenti IAM. Per ulteriori informazioni, consulta [AWS Autenticazione a più fattori in IAM](id_credentials_mfa.md).
+ AWS richiede diversi tipi di credenziali di sicurezza, a seconda di come accedi AWS e del tipo di AWS utente che sei. Ad esempio, si utilizzano le credenziali di accesso Console di gestione AWS mentre si utilizzano i tasti di accesso per effettuare chiamate programmatiche a. AWS*Per informazioni su come determinare il tipo di utente e la pagina di accesso, consulta [Cos'è l' AWS accesso nella Guida per l'](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html)utente.Accedi ad AWS *
+ Non puoi utilizzare policy IAM per negare esplicitamente all'utente root l'accesso alle risorse. È possibile utilizzare solo una [policy AWS Organizations di controllo del servizio (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) per limitare le autorizzazioni dell'utente root.
+ Se dimentichi o perdi la password dell'utente root, dovrai accedere all'indirizzo e-mail associato al tuo account per reimpostarla.
+ Se perdi le chiavi di accesso dell'utente root, devi essere in grado di accedere al tuo account come utente root per crearne di nuove.
+ Non utilizzare l'utente root per le attività quotidiane. Utilizzalo per eseguire le attività che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono il tuo accesso come utente root, consulta la pagina [Attività che richiedono credenziali dell'utente root](id_root-user.md#root-user-tasks).
+ Le credenziali di sicurezza sono specifiche dell'account. Se hai accesso a più Account AWS, avrai credenziali separate per ogni account.
+ Le [politiche](access_policies.md) determinano le azioni che un utente, un ruolo o un membro di un gruppo di utenti può eseguire, su quali AWS risorse e in quali condizioni. Utilizzando le policy è possibile controllare in modo sicuro l'accesso Servizi AWS e le risorse presenti in. Account AWS Se devi modificare o revocare le autorizzazioni in risposta a un evento di sicurezza, puoi eliminare o modificare le policy anziché modificare direttamente l'identità.
+ Assicurati di salvare in un luogo sicuro le credenziali di accesso per il tuo utente IAM per l'*accesso di emergenza* e tutte le chiavi di accesso che hai creato per l'accesso programmatico. Se perdi le chiavi di accesso, dovrai accedere al tuo account e crearne di nuove.
+ Ti consigliamo vivamente di utilizzare le credenziali temporanee fornite dai ruoli IAM e dai principali federati anziché quelle a lungo termine fornite dagli utenti IAM e dalle chiavi di accesso.
# Accesso programmatico con AWS credenziali di sicurezza
Se possibile, si consiglia di utilizzare chiavi di accesso a breve termine per effettuare chiamate programmatiche AWS o utilizzare la sala operatoria. AWS Command Line Interface AWS Strumenti per PowerShell Tuttavia, è possibile utilizzare anche chiavi di AWS accesso a lungo termine per questi scopi.
Quando crei una chiavi di accesso a lungo termine, crei anche l'ID chiave di accesso (ad esempio, `AKIAIOSFODNN7EXAMPLE`) e la chiave di accesso segreta (ad esempio, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). La chiave di accesso segreta può essere scaricata solo nel momento in cui viene creata. Se non si scarica la chiave di accesso segreta o se viene smarrita, è necessario crearne una nuova.
In molti scenari, non è necessaria una chiave di accesso a lungo termine a validità illimitata (come accade invece quando si creano le chiavi di accesso per un utente IAM). Al contrario, è possibile creare ruoli IAM e generare credenziali di sicurezza temporanee. Tali credenziali di sicurezza temporanee includono un ID chiave di accesso e una chiave di accesso segreta, ma includono anche un token di sicurezza che ne indica la scadenza. Dopo che scadono, non sono più valide. Per ulteriori informazioni, consulta [Alternative alle chiavi di accesso a lungo termine](#security-creds-alternatives-to-long-term-access-keys)
Le chiavi di accesso che IDs iniziano con `AKIA` sono chiavi di accesso a lungo termine per un utente IAM o un utente Account AWS root. Le chiavi di accesso che IDs iniziano con `ASIA` sono credenziali temporanee, chiavi di accesso create utilizzando AWS STS le operazioni.
Gli utenti necessitano dell'accesso programmatico se desiderano interagire con l' AWS esterno di. Console di gestione AWS Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS
Per fornire agli utenti l’accesso programmatico, scegli una delle seguenti opzioni.
****
| Quale utente necessita dell’accesso programmatico? | Per | Come |
| --- | --- | --- |
| IAM | (Consigliato) Utilizza le credenziali della console come credenziali temporanee per firmare le richieste programmatiche a,, o. AWS CLI AWS SDKs AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/security-creds-programmatic-access.html) |
| Identità della forza lavoro (Utenti gestiti nel centro identità IAM) | Utilizza credenziali temporanee per firmare richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/security-creds-programmatic-access.html) |
| IAM | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Seguendo le istruzioni riportate in [Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) l'utente IAM. |
| IAM | (Non consigliato)Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/security-creds-programmatic-access.html) |
## Alternative alle chiavi di accesso a lungo termine
Per numerosi casi d'uso comuni, esistono delle alternative alle chiavi di accesso a lungo termine. Per migliorare la sicurezza del tuo account, considera quanto segue.
+ **Non incorporate chiavi di accesso a lungo termine e chiavi di accesso segrete nel codice dell'applicazione o in un repository di codice:** utilizzate invece altre soluzioni di gestione dei segreti Gestione dei segreti AWS, in modo da non dover codificare le chiavi in testo non crittografato. L'applicazione o il client possono quindi recuperare i segreti quando necessario. [Per ulteriori informazioni, consulta Cos'è? Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) nella *Guida Gestione dei segreti AWS per l'utente*.
+ **Quando possibile, utilizza ruoli IAM per generare credenziali di sicurezza temporanee:** usa sempre dei meccanismi per emettere credenziali di sicurezza temporanee anziché chiavi di accesso a lungo termine. Le credenziali di sicurezza temporanee sono più sicure perché non sono archiviate con l'utente ma vengono generate dinamicamente e fornite all'utente quando richiesto. Le credenziali di sicurezza temporanee hanno una durata limitata, quindi non è necessario gestirle o aggiornarle. I meccanismi che forniscono chiavi di accesso temporanee includono i ruoli IAM o l'autenticazione di un utente IAM Identity Center. Per le macchine che funzionano all'esterno dell' AWS utente, è possibile utilizzare [AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html).
+ **Utilizza alternative alle chiavi di accesso a lungo termine per AWS Command Line Interface (AWS CLI) o la `aws-shell`:** le alternative includono quanto segue.
+ **Accedi per lo sviluppo AWS locale con le credenziali della console**. È possibile utilizzare la AWS CLI versione 2 e il `aws login` comando per generare credenziali a breve termine per eseguire AWS CLI comandi utilizzando le credenziali della console. Per ulteriori informazioni, consulta [Login for AWS local development nella Guida](https://docs.aws.amazon.com//cli/latest/userguide/cli-authentication-user.html) per l'*AWS Command Line Interface utente*.
+ **AWS CloudShell**è una shell preautenticata basata su browser che puoi avviare direttamente da. Console di gestione AWSÈ possibile eseguire AWS CLI comandi Servizi AWS tramite la shell preferita (Bash, Powershell o Z shell). Quando esegui questa operazione, non devi scaricare o installare strumenti a riga di comando. Per ulteriori informazioni, consulta [Che cos’è AWS CloudShell?](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) nella *Guida per l’utente di AWS CloudShell *.
+ **Non creare chiavi di accesso a lungo termine per utenti umani che devono accedere alle applicazioni, altrimenti Servizi AWS ** IAM Identity Center può generare credenziali di accesso temporanee a cui possono accedere gli utenti IdP esterni. Servizi AWS In questo modo si elimina la necessità di creare e gestire credenziali a lungo termine in IAM. In IAM Identity Center, crea un set di autorizzazioni di IAM Identity Center che conceda l'accesso agli utenti IdP esterni. Quindi assegna un gruppo da IAM Identity Center al set di autorizzazioni selezionato. Account AWS Per ulteriori informazioni, consulta [What is AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html), [Connect to your identity provider esterno](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) e [Permission sets](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) nella *Guida per l'AWS IAM Identity Center utente*.
+ **Non archiviate le chiavi di accesso a lungo termine all'interno di un servizio di AWS elaborazione**, ma assegnate invece un ruolo IAM alle risorse di calcolo. Ciò fornisce automaticamente le credenziali temporanee per concedere l'accesso. Ad esempio, quando crei un profilo di istanza collegato a un'istanza Amazon EC2, puoi assegnare un AWS ruolo all'istanza e renderla disponibile per tutte le sue applicazioni. Un profilo dell'istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza Amazon EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta [Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).