Richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporaneeRichiedi ai carichi di lavoro di utilizzare credenziali temporanee con ruoli a cui accedere IAM AWSRichiedi l'autenticazione a più fattori () MFAAggiornamento delle chiavi di accesso quando necessario per i casi d'uso che richiedono credenziali a lungo termineSegui le best practice per proteggere le credenziali di utente rootAssegna le autorizzazioni con privilegi minimiInizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimiUtilizza IAM Access Analyzer per generare politiche con privilegi minimi basate sull'attività di accessoEsaminare e rimuovere regolarmente utenti, ruoli, autorizzazioni, criteri e credenziali inutilizzatiUtilizza le condizioni nelle politiche per limitare ulteriormente l'accesso IAMVerifica l'accesso pubblico e interaccount alle risorse con IAM Access AnalyzerUsa IAM Access Analyzer per convalidare IAM le tue politiche e garantire autorizzazioni sicure e funzionaliStabilisci guardrail delle autorizzazioni su più accountUtilizzare i limiti delle autorizzazioni per delegare la gestione delle autorizzazioni all'interno di un account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice per la sicurezza in IAM

Importante

AWS Identity and Access Management le migliori pratiche sono state aggiornate il 14 luglio 2022.

Per proteggere AWS le tue risorse, segui queste best practice per AWS Identity and Access Management (IAM).

Richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee

Utenti umani, noti anche come identità umane, sono le persone, gli amministratori, gli sviluppatori, gli operatori e i consumatori delle tue applicazioni. Devono avere un'identità per accedere agli AWS ambienti e alle applicazioni dell'utente. Gli utenti umani membri dell'organizzazione sono noti anche come identità della forza lavoro. Gli utenti umani possono anche essere utenti esterni con cui collabori e che interagiscono con le tue risorse AWS . Possono farlo tramite un browser Web, un'applicazione client, un'app mobile o strumenti interattivi della riga di comando.

Richiedi ai tuoi utenti umani di utilizzare credenziali temporanee per l'accesso AWS. Puoi utilizzare un provider di identità per consentire agli utenti umani di fornire un accesso federato Account AWS assumendo ruoli che forniscono credenziali temporanee. Per la gestione centralizzata degli accessi, ti consigliamo di utilizzare AWS IAM Identity Center (IAMIdentity Center) per gestire l'accesso ai tuoi account e le autorizzazioni all'interno di tali account. È possibile gestire le identità degli utenti con IAM Identity Center o gestire le autorizzazioni di accesso per le identità degli utenti in IAM Identity Center da un provider di identità esterno. Per ulteriori informazioni, consulta Che cos'è AWS IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center .

Per ulteriori informazioni sui ruoli, consulta Termini e concetti dei ruoli.

Richiedi ai carichi di lavoro di utilizzare credenziali temporanee con ruoli a cui accedere IAM AWS

Un carico di lavoro è una raccolta di risorse e codice che fornisce valore aziendale, ad esempio un'applicazione o un processo back-end. Il carico di lavoro può avere applicazioni, strumenti operativi e componenti che richiedono un'identità per effettuare richieste a Servizi AWS, ad esempio richieste di lettura dei dati. Queste identità includono macchine in esecuzione nei tuoi AWS ambienti, come EC2 istanze o AWS Lambda funzioni Amazon.

Puoi anche gestire identità computer per soggetti esterni che necessitano di accesso. Per consentire l'accesso alle identità delle macchine, puoi utilizzare i ruoli. IAM IAMi ruoli dispongono di autorizzazioni specifiche e forniscono un modo per accedervi AWS affidandosi a credenziali di sicurezza temporanee con una sessione di ruolo. Inoltre, potresti avere macchine esterne AWS che richiedono l'accesso ai tuoi ambienti. AWS Per i computer che funzionano all'esterno dell' AWS utente, è possibile utilizzare AWS Identity and Access Management Roles Anywhere. Per ulteriori informazioni sui ruoli, consulta Ruoli IAM. Per informazioni dettagliate su come utilizzare i ruoli per delegare l'accesso da una parte all'altra Account AWS, consultaIAMtutorial: delega l'accesso tra AWS account utilizzando i ruoli IAM.

Richiedi l'autenticazione a più fattori () MFA

Ti consigliamo di utilizzare IAM ruoli per utenti umani e carichi di lavoro che accedono alle tue AWS risorse in modo che utilizzino credenziali temporanee. Tuttavia, per gli scenari in cui è necessario un IAM utente o un utente root nel proprio account, è necessaria una maggiore MFA sicurezza. ConMFA, gli utenti dispongono di un dispositivo che genera una risposta a un problema di autenticazione. Per completare la procedura di accesso, sono necessarie le credenziali dell'utente e la risposta generata dal dispositivo. Per ulteriori informazioni, consulta Utilizzo dell'autenticazione a più fattori (MFA) in AWS.

Se utilizzi IAM Identity Center per la gestione centralizzata degli accessi per utenti umani, puoi utilizzare MFA le funzionalità di IAM Identity Center quando la tua origine di identità è configurata con IAM Identity Center Identity Store, AWS Managed Microsoft AD o AD Connector. Per ulteriori informazioni su IAM Identity Center, consulta l'autenticazione MFA a più fattori nella Guida per l'AWS IAM Identity Center utente.

Aggiornamento delle chiavi di accesso quando necessario per i casi d'uso che richiedono credenziali a lungo termine

Ove possibile, consigliamo di fare affidamento a credenziali temporanee invece di creare credenziali a lungo termine come le chiavi di accesso. Tuttavia, per gli scenari in cui sono necessari IAM utenti con accesso programmatico e credenziali a lungo termine, si consiglia di aggiornare le chiavi di accesso quando necessario, ad esempio quando un dipendente lascia l'azienda. Si consiglia di utilizzare le ultime informazioni di IAM accesso utilizzate per aggiornare e rimuovere le chiavi di accesso in modo sicuro. Per ulteriori informazioni, consulta Aggiornamento delle chiavi di accesso.

Esistono casi d'uso specifici che richiedono credenziali a lungo termine con IAM utenti registrati. AWS Alcuni dei casi d'uso sono i seguenti:

  • Carichi di lavoro che non possono utilizzare IAM ruoli: potresti eseguire un carico di lavoro da una posizione a cui è necessario accedere. AWS In alcune situazioni, non è possibile utilizzare IAM i ruoli per fornire credenziali temporanee, ad esempio per i plug-in. WordPress In queste situazioni, utilizza le chiavi di accesso a lungo termine IAM dell'utente per il carico di lavoro su cui effettuare l'autenticazione. AWS

  • AWS Client di terze parti: se utilizzi strumenti che non supportano l'accesso con IAM Identity Center, ad esempio AWS client o fornitori di terze parti che non sono ospitati su AWS, utilizza le chiavi di accesso IAM utente a lungo termine.

  • AWS CodeCommit accesso: se lo utilizzi CodeCommit per archiviare il codice, puoi utilizzare un IAM utente con SSH chiavi o credenziali specifiche del servizio CodeCommit per l'autenticazione nei tuoi repository. Ti consigliamo di eseguire questa operazione oltre a utilizzare un utente in IAM Identity Center per la normale autenticazione. Gli utenti di IAM Identity Center sono le persone della tua forza lavoro che hanno bisogno di accedere alle tue applicazioni Account AWS o alle tue applicazioni cloud. Per consentire agli utenti di accedere ai tuoi CodeCommit repository senza configurare IAM gli utenti, puoi configurare l'utilità. git-remote-codecommit Per ulteriori informazioni su IAM and CodeCommit, consulta. Usare IAM con CodeCommit: credenziali Git, chiavi SSH e AWS chiavi di accesso Per ulteriori informazioni sulla configurazione dell'git-remote-codecommitutilità, vedere Connessione ai AWS CodeCommit repository con credenziali rotanti nella Guida per l'utente.AWS CodeCommit

  • Accesso ad Amazon Keyspaces (per Apache Cassandra): in una situazione in cui non è possibile utilizzare gli utenti in IAM Identity Center, ad esempio per testare la compatibilità con Cassandra, è possibile utilizzare un IAM utente con credenziali specifiche del servizio per l'autenticazione con Amazon Keyspaces. Gli utenti di IAM Identity Center sono le persone della tua forza lavoro che hanno bisogno di accedere alle tue o alle tue applicazioni cloud. Account AWS Puoi anche connetterti ad Amazon Keyspaces utilizzando credenziali temporanee. Per ulteriori informazioni, consulta Using temporary credenziali per connettersi ad Amazon Keyspaces utilizzando IAM un ruolo e il plug-in SigV4 nella Amazon Keyspaces (for Apache Cassandra) Developer Guide.

Segui le best practice per proteggere le credenziali di utente root

Quando crei un Account AWS, stabilisci le credenziali dell'utente root per accedere a. AWS Management Console Proteggi le tue credenziali utente root nello stesso modo in cui proteggeresti altre informazioni personali sensibili. Per comprendere meglio come proteggere e dimensionare i processi degli utenti root, consulta Best practice per gli utenti root per Account AWS.

Assegna le autorizzazioni con privilegi minimi

Quando imposti le autorizzazioni con IAM le politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Potresti iniziare con autorizzazioni generiche mentre esplori le autorizzazioni necessarie per il tuo carico di lavoro o il caso d'uso. Man mano che il tuo caso d'uso matura, puoi lavorare per ridurre le autorizzazioni concesse per lavorare con il privilegio minimo. Per ulteriori informazioni sull'utilizzo per IAM applicare le autorizzazioni, vedere. Policy e autorizzazioni in IAM

Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi

Per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le policy gestite di AWS che concedono autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per l'uso da parte di tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo Policy gestite dal cliente specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta AWS politiche gestite. Per ulteriori informazioni sulle politiche AWS gestite progettate per funzioni lavorative specifiche, consulta. AWS politiche gestite per le funzioni lavorative

Utilizza IAM Access Analyzer per generare politiche con privilegi minimi basate sull'attività di accesso

Per concedere solo le autorizzazioni richieste per eseguire un'attività, puoi generare policy in funzione dell'attività di accesso che hai effettuato l'accesso in AWS CloudTrail. IAMAccess Analyzer analizza i servizi e le azioni utilizzati dai IAM ruoli, quindi genera una policy dettagliata che puoi utilizzare. Dopo aver testato ogni policy generata, puoi distribuirla nell'ambiente di produzione. In questo modo si garantisce di concedere solo le autorizzazioni necessarie ai carichi di lavoro. Per ulteriori informazioni sulla generazione di policy, vedere Generazione di policy di Access AnalyzerIAM.

Esaminare e rimuovere regolarmente utenti, ruoli, autorizzazioni, criteri e credenziali inutilizzati

Potresti avere IAM utenti, ruoli, autorizzazioni, politiche o credenziali che non ti servono più. Account AWS IAMfornisce le ultime informazioni a cui si accede per aiutarti a identificare gli utenti, i ruoli, le autorizzazioni, i criteri e le credenziali che non ti servono più in modo da poterli rimuovere. In questo modo puoi ridurre il numero di utenti, ruoli, autorizzazioni, criteri e credenziali da monitorare. È inoltre possibile utilizzare queste informazioni per perfezionare le IAM politiche in modo da rispettare meglio le autorizzazioni con privilegi minimi. Per ulteriori informazioni, consulta Perfezionamento delle autorizzazioni per AWS l'utilizzo delle informazioni dell'ultimo accesso.

Utilizza le condizioni nelle politiche per limitare ulteriormente l'accesso IAM

È possibile specificare le condizioni che stabiliscono che una dichiarazione di policy è attiva. In questo modo, è possibile concedere l'accesso ad azioni e risorse, ma solo se la richiesta di accesso soddisfa condizioni specifiche. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare le condizioni per concedere l'accesso alle azioni di servizio, ma solo se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta IAMJSONelementi politici: Condition.

Verifica l'accesso pubblico e interaccount alle risorse con IAM Access Analyzer

Prima di concedere le autorizzazioni per l'accesso pubblico o tra account diversi AWS, ti consigliamo di verificare se tale accesso è richiesto. Puoi utilizzare IAM Access Analyzer per visualizzare in anteprima e analizzare l'accesso pubblico e tra account per i tipi di risorse supportati. A tale scopo, è necessario esaminare i risultati generati da IAM Access Analyzer. Questi risultati consentono di verificare che i controlli di accesso alle risorse garantiscano l'accesso previsto. Inoltre, quando aggiorni le autorizzazioni pubbliche e multi-account, puoi verificare l'effetto delle modifiche prima di distribuire nuovi controlli di accesso alle tue risorse. IAMAccess Analyzer monitora inoltre continuamente i tipi di risorse supportati e genera una ricerca di risorse che consentono l'accesso pubblico o tra account. Per ulteriori informazioni, vedere Anteprima dell'accesso con Access Analyzer. IAM APIs

Usa IAM Access Analyzer per convalidare IAM le tue politiche e garantire autorizzazioni sicure e funzionali

Convalida le politiche che crei per assicurarti che rispettino il linguaggio delle IAM politiche () JSON e le migliori pratiche. IAM È possibile convalidare le politiche utilizzando la convalida delle politiche di IAM Access Analyzer. IAMAccess Analyzer fornisce più di 100 controlli delle policy e consigli pratici per aiutarti a creare policy sicure e funzionali. Quando crei nuove politiche o modifichi le politiche esistenti nella console, IAM Access Analyzer fornisce consigli per aiutarti a perfezionare e convalidare le politiche prima di salvarle. Inoltre, consigliamo di rivedere e convalidare tutte le policy esistenti. Per ulteriori informazioni, vedere Convalida delle policy di IAMAccess Analyzer. Per ulteriori informazioni sui controlli delle politiche forniti da IAM Access Analyzer, vedere il riferimento per il controllo delle politiche di IAMAccess Analyzer.

Stabilisci guardrail delle autorizzazioni su più account

Man mano che ridimensioni i carichi di lavoro, separali utilizzando più account gestiti con. AWS Organizations Ti consigliamo di utilizzare le politiche di controllo del servizio Organizations (SCPs) per stabilire barriere di autorizzazioni per controllare l'accesso di tutti IAM gli utenti e i ruoli nei tuoi account. SCPssono un tipo di politica organizzativa che puoi utilizzare per gestire le autorizzazioni all'interno della tua organizzazione a livello di AWS organizzazione, unità organizzativa o account. I guardrail delle autorizzazioni stabilite dall'utente si applicano a tutti gli utenti e ai ruoli degli account coperti. Tuttavia, SCPs da sole non sono sufficienti a concedere le autorizzazioni agli account dell'organizzazione. A tale scopo, l'amministratore deve associare politiche basate sull'identità o sulle risorse IAM agli utenti, ai IAM ruoli o alle risorse dei tuoi account. Per ulteriori informazioni, consulta Account e guardrails AWS Organizations. IAM

Utilizzare i limiti delle autorizzazioni per delegare la gestione delle autorizzazioni all'interno di un account

In alcuni scenari, è possibile che tu intenda delegare la gestione delle autorizzazioni all'interno di un account ad altri. Ad esempio, potresti consentire agli sviluppatori di creare e gestire ruoli per i loro carichi di lavoro. Quando deleghi le autorizzazioni ad altri, usa Limiti delle autorizzazioni per impostare le autorizzazioni massime delegate. Un limite di autorizzazioni è una funzionalità avanzata che consente di utilizzare una policy gestita per impostare le autorizzazioni massime che una politica basata sull'identità può concedere a un ruolo. IAM Il limite delle autorizzazioni non concedere l'accesso di per sé. Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM.