Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Monitoraggio dell'attività dell'utente root IAM
<a name="monitor-iam-root-user-activity"></a>

*JJ Sung e Mostefa Brougui, Amazon Web Services*

## Riepilogo
<a name="monitor-iam-root-user-activity-summary"></a>

Ogni account Amazon Web Services (AWS) ha un utente root. Come [best practice di sicurezza](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) per AWS Identity and Access Management (IAM), consigliamo di utilizzare l'utente root per completare le attività che solo l'utente root può eseguire. Per l'elenco completo, consulta [Attività che richiedono credenziali utente root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html) nella *AWS Account Management Reference Guide*. Poiché l'utente root ha pieno accesso a tutte le tue risorse AWS e ai dati di fatturazione, ti consigliamo di non utilizzare questo account e di monitorarlo per eventuali attività, che potrebbero indicare che le credenziali dell'utente root sono state compromesse.

Utilizzando questo modello, configuri un'[architettura basata sugli eventi che monitora l'utente root](https://aws.amazon.com/event-driven-architecture/) IAM. *Questo modello imposta una hub-and-spoke soluzione che monitora più account AWS, gli account *spoke*, e centralizza la gestione e il reporting in un unico account, l'account hub.*

Quando vengono utilizzate le credenziali utente root IAM, Amazon CloudWatch e AWS CloudTrail registrano l'attività rispettivamente nel log e nel trail. Nell'account spoke, una EventBridge regola Amazon invia l'evento al [bus degli eventi](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) centrale nell'account hub. Nell'account hub, una EventBridge regola invia l'evento a una funzione AWS Lambda. La funzione utilizza un argomento Amazon Simple Notification Service (Amazon SNS) che notifica l'attività dell'utente root.

In questo modello, utilizzi un CloudFormation modello AWS per distribuire i servizi di monitoraggio e gestione degli eventi negli account spoke. Si utilizza un modello HashiCorp Terraform per distribuire i servizi di gestione degli eventi e di notifica nell'account dell'hub.

## Prerequisiti e limitazioni
<a name="monitor-iam-root-user-activity-prereqs"></a>

**Prerequisiti**

1. Autorizzazioni per distribuire risorse AWS nel tuo ambiente AWS.

1. Autorizzazioni per distribuire set di stack CloudFormation . Per ulteriori informazioni, consulta [Prerequisiti per le operazioni relative agli stack set](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs.html) (documentazione). CloudFormation 

1. Terraform installato e pronto all'uso. Per ulteriori informazioni, consulta [Get Started — AWS](https://learn.hashicorp.com/collections/terraform/aws-get-started) (documentazione Terraform).

1. Una traccia esistente in ogni account spoke. Per ulteriori informazioni, consulta [Getting started with AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) (CloudTrail documentazione).

1. Il percorso è configurato per inviare eventi a CloudWatch Logs. Per ulteriori informazioni, vedere [Invio di eventi ai CloudWatch registri (CloudTrail documentazione).](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html)

1. I tuoi account hub and spoke devono essere gestiti da AWS Organizations.

## Architecture
<a name="monitor-iam-root-user-activity-architecture"></a>

Il diagramma seguente illustra gli elementi costitutivi dell'implementazione.

![\[Un evento in un account spoke che crea una notifica e-mail in un account hub\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/175f356b-f9df-4d33-82fc-fe33b2c88b05/images/6147e5b5-616e-49a4-b330-dbb7e3381fe7.png)


1. Quando vengono utilizzate le credenziali dell'utente root IAM, CloudWatch CloudTrail registrate l'attività rispettivamente nel log e nel trail.

1. Nell'account spoke, una EventBridge regola invia l'evento al [bus degli eventi](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) centrale nell'account hub.

1. Nell'account hub, una EventBridge regola invia l'evento a una funzione Lambda.

1. La funzione Lambda utilizza un argomento di Amazon SNS che notifica l'attività dell'utente root.

## Tools (Strumenti)
<a name="monitor-iam-root-user-activity-tools"></a>

**Servizi AWS**
+ [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) ti CloudFormation aiuta a configurare le risorse AWS, effettuarne il provisioning in modo rapido e coerente e gestirle durante tutto il loro ciclo di vita su account e regioni AWS.
+ [AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) ti CloudTrail aiuta a controllare la governance, la conformità e il rischio operativo del tuo account AWS.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) ti aiuta a centralizzare i log di tutti i tuoi sistemi, applicazioni e servizi AWS in modo da poterli monitorare e archiviare in modo sicuro.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) è un servizio di bus eventi senza server che ti aiuta a connettere le tue applicazioni con dati in tempo reale provenienti da una varietà di fonti. Ad esempio, funzioni AWS Lambda, endpoint di invocazione HTTP che utilizzano destinazioni API o bus di eventi in altri account AWS.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ti aiuta a gestire in modo sicuro l'accesso alle tue risorse AWS controllando chi è autenticato e autorizzato a utilizzarle.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) è un servizio di elaborazione che ti aiuta a eseguire codice senza dover fornire o gestire server. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di calcolo che utilizzi.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) ti aiuta a coordinare e gestire lo scambio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail.

**Altri strumenti e servizi**
+ [Terraform](https://www.terraform.io/docs) è un'applicazione CLI per il provisioning e la gestione dell'infrastruttura e delle risorse cloud utilizzando il codice, sotto forma di file di configurazione.

**Archivio di codice**

Il codice sorgente e i modelli di questo pattern sono disponibili in un [GitHub repository](https://github.com/aws-samples/aws-iam-root-user-activity-monitor). Questo modello fornisce due modelli:
+ Un modello Terraform contenente le risorse distribuite nell'account hub
+ Un CloudFormation modello che distribuisci come istanza stack set negli account spoke

Il repository ha la seguente struttura generale.

```
.
 |__README.md
 |__spoke-stackset.yaml
 |__hub.tf
 |__root-activity-monitor-module
     |__main.tf  # contains Terraform code to deploy resources in the Hub account
     |__iam      # contains IAM policies JSON files
         |__ lambda-assume-policy.json          # contains trust policy of the IAM role used by the Lambda function
         |__ lambda-policy.json                 # contains the IAM policy attached to the IAM role used by the Lambda function
     |__outputs  # contains Lambda function zip code
```

La sezione *Epics* fornisce step-by-step istruzioni per la distribuzione dei modelli.

## Epiche
<a name="monitor-iam-root-user-activity-epics"></a>

### Distribuisci le risorse sull'account hub
<a name="deploy-resources-to-the-hub-account"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Clona il repository di codice di esempio. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | Informazioni generali su AWS | 
| Aggiorna il modello Terraform. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | Informazioni generali su AWS | 
| Distribuisci le risorse nell'account dell'hub AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | Informazioni generali su AWS | 

### Distribuisci le risorse sui tuoi account Spoke
<a name="deploy-resources-to-your-spoke-accounts"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Implementa il CloudFormation modello. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)Per ulteriori informazioni e istruzioni, consulta [Creare un set di stack (documentazione](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html))CloudFormation . | Informazioni generali su AWS | 

### (Facoltativo) Prova le notifiche
<a name="optional-test-the-notifications"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Usa le credenziali dell'utente root. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | Informazioni generali su AWS | 

## Risorse correlate
<a name="monitor-iam-root-user-activity-resources"></a>
+ [Best practice di sicurezza](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (documentazione IAM)
+ [Lavorare con StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) (CloudFormation documentazione)
+ [Inizia](https://learn.hashicorp.com/collections/terraform/aws-get-started) (documentazione Terraform)

## Informazioni aggiuntive
<a name="monitor-iam-root-user-activity-additional"></a>

[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) è un servizio di monitoraggio continuo della sicurezza che analizza ed elabora i log per identificare attività impreviste e potenzialmente non autorizzate nel tuo ambiente AWS. In alternativa a questa soluzione, se l'hai abilitata GuardDuty, può avvisarti quando sono state utilizzate le credenziali dell'utente root. Il GuardDuty risultato è`Policy:IAMUser/RootCredentialUsage`, e la gravità predefinita è **Bassa**. Per ulteriori informazioni, consulta la sezione [Gestione dei GuardDuty risultati di Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/findings_management.html).