Identity and Access Management nella Amazon Cloud Directory - Amazon Cloud Directory
AuthenticationControllo degli accessi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Identity and Access Management nella Amazon Cloud Directory

L'accesso ad Amazon Cloud Directory richiede credenziali che AWS può utilizzare per autenticare le richieste. Tali credenziali devono disporre delle autorizzazioni per accedere alle risorse AWS. Le sezioni seguenti forniscono informazioni su come utilizzareAWS Identity and Access Management (IAM)e Cloud Directory per proteggere le risorse attraverso il controllo degli accessi:

Authentication

Puoi accedere ad AWS utilizzando uno dei seguenti tipi di identità.

  • AWS account root user (Utente root dell'account AWS) - Quando crei un account AWS per la prima volta, inizi con una singola identità di accesso che ha accesso completo a tutti i servizi e le risorse AWS nell'account. Tale identità è detta utente root dell'account AWS e puoi accedervi con l'indirizzo e-mail e la password utilizzati per creare l'account. È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle amministrative. Rispetta piuttosto la best practice di utilizzare l'utente root soltanto per creare il tuo primo utente &IAM;. Quindi conserva al sicuro le credenziali dell'utente root e utilizzale per eseguire solo alcune attività di gestione dell'account e del servizio.

  • Utente IAM— UnUtente IAMè un'identità nell'account AWS che dispone di autorizzazioni personalizzate specifiche (ad esempio, autorizzazioni per creare una directory nella Cloud Directory). Puoi usare un nome utente e una password IAM per accedere a pagine Web AWS sicure, ad esempio alla Console di gestione AWS, ai forum di discussione AWS o al Centro AWS Support.

     

    Oltre a un nome utente e una password, puoi anche generare chiavi di accesso per ciascun utente. Puoi utilizzare queste chiavi per accedere sistematicamente ai servizi AWS, tramite uno dei molti SDK o utilizzando l'interfaccia a riga di comando (CLI) di AWS. L'SDK e gli strumenti dell'interfaccia a riga di comando utilizzano le chiavi di accesso per firmare crittograficamente la tua richiesta. Se non utilizzi gli strumenti di AWS, devi firmare la richiesta personalmente. Cloud DirectorySignature Version 4, un protocollo per l'autenticazione di richieste API in entrata. Per ulteriori informazioni sull'autenticazione delle richieste API, consulta la sezione relativa al processo di firma Signature Version 4 nel Riferimento generale AWS.

     

  • IAM role (Ruolo IAM) - Un ruolo IAM) è un'identità IAM che è possibile creare nell'account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a un utente IAM, in quanto è un'identità AWS con policy di autorizzazioni che determinano ciò che l'identità può e non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo. I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:

     

    • Accesso utente federato - Invece di creare un utente IAM, è possibile utilizzare identità preesistenti da AWS Directory Service, dalla directory di utenti aziendali o da un provider di identità Web (IdP). Questi sono noti come utenti federati. AWS assegna un ruolo a un utente federato quando è richiesto l'accesso tramite un provider di identità. Per ulteriori informazioni sugli utenti federati, consultare la sezione relativa a Utenti e ruoli federati nella Guida per l'utente di IAM.

       

    • Accesso al servizio AWS - Un ruolo di servizio è un ruolo IAM assunto da un servizio per eseguire operazioni per conto dell'utente. I ruoli del servizio forniscono l'accesso all'interno del tuo account e non possono essere utilizzati per concedere l'accesso ai servizi in altri account. Un amministratore di IAM può creare, modificare ed eliminare un ruolo di servizio da IAM. Per ulteriori informazioni, consultare la sezione Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS nella Guida per l'utente di IAM.

       

    • Applicazioni in esecuzione su Amazon EC2: è possibile utilizzare un ruolo IAM per gestire credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 che eseguono richieste AWS CLI o AWS API. Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare un ruolo AWS a un'istanza EC2, affinché sia disponibile per tutte le relative applicazioni, puoi creare un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consultare Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2 nella Guida per l'utente di IAM.

Controllo degli accessi

Per autenticare le richieste, è necessario disporre di credenziali valide, ma a meno che non si disponga delle autorizzazioni non è possibile creare o accedere a risorse Cloud Directory. Ad esempio, devi disporre delle autorizzazioni per creare una Amazon Cloud Directory.

Le sezioni che seguono descrivono come gestire le autorizzazioni per Cloud Directory. Consigliamo di leggere prima la panoramica.