Gestione dell'identità e degli accessi

La gestione delle identità e degli accessi è una parte principale di un programma di sicurezza delle informazioni e garantisce che solo gli utenti e i componenti autorizzati e autenticati possano accedere alle tue risorse e solo nella modalità che hai stabilito. Ad esempio, è necessario definire i principali (ovvero account, utenti, ruoli e servizi che possono eseguire operazioni nel tuo account), creare policy allineate a tali principali e implementare una forte gestione delle credenziali. Questi elementi a gestione privilegiata formano i concetti chiave dell'autenticazione e dell'autorizzazione.

Nel AWS, la gestione dei privilegi è supportata principalmente dal servizio AWS Identity and Access Management (IAM), che consente di controllare l'accesso utente e programmatico a AWS servizi e risorse. È necessario applicare criteri granulari che assegnano autorizzazioni a un utente, gruppo, ruolo o risorsa. È inoltre possibile richiedere procedure complesse in materia di password, ad esempio il livello di complessità, l'evitamento del riutilizzo e l'applicazione dell'autenticazione a più fattori (). MFA È possibile utilizzare la federazione con il servizio di directory esistente. Per i carichi di lavoro che richiedono l'accesso ai sistemi AWS, IAM consente un accesso sicuro tramite ruoli, profili di istanza, federazione delle identità e credenziali temporanee.

Le seguenti domande si concentrano su queste considerazioni relative alla sicurezza.

SEC2: Come si gestiscono le identità di persone e macchine?
Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate. Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando. Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come EC2 istanze o AWS Lambda funzioni Amazon. Puoi gestire le identità di macchine anche per soggetti esterni che necessitano dell'accesso. Inoltre, potresti avere anche macchine esterne AWS che richiedono l'accesso al tuo AWS ambiente.

SEC2: Come si gestiscono le identità di persone e macchine?

Esistono due tipi di identità da gestire quando si tratta di gestire carichi di lavoro sicuri. AWS Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a verificare che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate.

Identità umane: gli amministratori, gli sviluppatori, gli operatori e gli utenti finali richiedono un'identità per accedere agli ambienti e alle applicazioni. AWS Si tratta di membri dell'organizzazione o utenti esterni con cui collabora e che interagiscono con AWS le risorse dell'utente tramite un browser Web, un'applicazione client o strumenti interattivi da riga di comando.

Identità delle macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro richiedono un'identità per effettuare richieste ai AWS servizi, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nel tuo AWS ambiente, come EC2 istanze o AWS Lambda funzioni Amazon. Puoi gestire le identità di macchine anche per soggetti esterni che necessitano dell'accesso. Inoltre, potresti avere anche macchine esterne AWS che richiedono l'accesso al tuo AWS ambiente.

SEC3: Come si gestiscono le autorizzazioni per persone e macchine?
Gestisci le autorizzazioni per controllare l'accesso alle identità di persone e macchine che richiedono l'accesso AWS e il tuo carico di lavoro. Le autorizzazioni controllano chi può accedere a cosa e a quali condizioni.

Le credenziali non devono essere condivise tra nessun utente o sistema. L'accesso degli utenti deve essere concesso utilizzando un approccio basato su privilegi minimi, basato sulle migliori pratiche, tra cui i requisiti in materia di password, e deve essere applicato. MFA L'accesso programmatico, comprese API le chiamate ai AWS servizi, deve essere eseguito utilizzando credenziali temporanee e con privilegi limitati, come quelle emesse da. AWS Security Token Service

Gli utenti necessitano di un accesso programmatico se desiderano interagire con l'esterno di. AWS AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti in IAM Identity Center)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Quale utente necessita dell'accesso programmatico?

Per

Come

Identità della forza lavoro

(Utenti gestiti in IAM Identity Center)

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.

IAM

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.

IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti.
Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

AWS fornisce risorse che possono aiutarti nella gestione delle identità e degli accessi. Per imparare le best practice, scopri i nostri laboratori pratici sulla gestione delle credenziali e dell'autenticazione, sul controllo dell'accesso umano e sul controllo dell'accesso programmatico.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza

Rilevamento