Modulo 2: Protezione dell'account AWS

1. Accedi alla Console di gestione AWS.

2. Seleziona Utente root e inserisci l'indirizzo email che hai specificato quando hai creato l'account, quindi scegli Avanti.

3. È possibile che ti venga richiesto di completare un controllo di sicurezza. Digita i caratteri dell'immagine nell'apposito spazio e scegli Invia. È necessario completare questo controllo per passare alla fase successiva.

Suggerimento: seleziona il pulsante Audio per ascoltare una serie di numeri e lettere da digitare. Seleziona il pulsante Aggiorna per cambiare l'immagine se non riesci a distinguere i caratteri nell'immagine originale.

4. Nella pagina di accesso, inserisci la password e scegli Accedi.

Congratulazioni, hai appena effettuato l'accesso alla Console di gestione AWS come utente root. Ma non vuoi usare il tuo utente root per le attività quotidiane. L'utente root deve essere utilizzato solo per attività specifiche di gestione degli account, due delle quali verranno eseguite nella prossima parte di questo tutorial. 

• Abilitazione dell'MFA per l'utente root
• Creazione di un utente amministrativo nel Centro identità IAM

Per l'elenco completo delle attività che richiedono l'accesso come utente root, consulta Attività che richiedono le credenziali dell'utente root.

1. Accedi al tuo account AWS appena creato utilizzando le credenziali dell'utente root.

3. In Suggerimenti per la sicurezza, c'è un avviso per aggiungere MFA per l'utente root.
4. Scegli Aggiungi regola. 

Viene visualizzata la pagina Configura dispositivo. Questa pagina contiene tre passaggi che devono essere completati.

9. Configura l'app di autenticazione sul tuo dispositivo mobile. Sono supportate diverse app di autenticazione per dispositivi Android e iOS. Consulta la sezione App di autenticazione virtuale nella pagina Autenticazione a più fattori (MFA) per IAM per un elenco delle app supportate e i collegamenti alle relative posizioni di download.

10. Apri l'app di autenticazione sul tuo dispositivo mobile.

11. Seleziona il link Mostra codice QR per mostrare un codice QR univoco per il tuo account. Se non riesci a scansionare il codice QR, seleziona il link Mostra chiave segreta per visualizzare una chiave di testo che puoi inserire nell'app di autenticazione per identificare il tuo account.

12. Scansiona il codice QR con la tua app di autenticazione o inserisci il codice nella tua app di autenticazione per collegare il dispositivo di autenticazione al tuo account.

13. Dopo che l'app di autenticazione avrà stabilito il collegamento al tuo account, inizierà a generare codici segreti validi per un numero limitato di secondi. Nel codice MFA 1, digita il codice che vedi nell'app. Attendi che il codice passi al codice successivo, quindi digita il codice in MFA 2 e seleziona Aggiungi MFA prima che il secondo codice sia scaduto.

Verrà visualizzata di nuovo la pagina Le mie credenziali di sicurezza (utente root). Nella parte superiore della finestra sarà visualizzato un messaggio di notifica che indica che il dispositivo MFA è stato assegnato.

Le credenziali dell'utente root sono ora più sicure. 

14. Esci dalla console. La prossima volta che accederai utilizzando le credenziali dell'utente root, fornirai le credenziali del tuo dispositivo MFA, oltre al tuo indirizzo e-mail e alla password.

1. Accedi al tuo account AWS utilizzando le credenziali dell'utente root.

La tua origine di identità è dove vengono gestiti gli utenti e i gruppi. Dopo aver configurato l'origine dell'identità, puoi cercare utenti o gruppi per concedere loro l'accesso Single Sign-On agli account AWS, alle applicazioni cloud o a entrambi.

Puoi avere una sola origine identità per organizzazione. Puoi usare:

• Directory del Centro identità: quando abiliti il Centro identità IAM per la prima volta, viene automaticamente configurato con una directory del Centro identità come origine di identità predefinita in cui gestire utenti e gruppi.
• Active Directory: utenti e gruppi vengono gestiti nella directory AWS Managed Microsoft AD utilizzando Servizio di directory AWS o nella directory autogestita in Active Directory (AD).
• Provider di identità esterno: utenti e gruppi sono gestiti in un gestore dell'identità digitale (IdP) come Okta o Azure Active Directory.

In questo tutorial, useremo la directory del Centro identità.

1. Accedi alla console del Centro identità IAM e scegli Utenti. Successivamente, seleziona Aggiungi utente.

• Nome utente: il nome utente viene utilizzato per accedere al portale di accesso AWS e non può essere modificato in seguito. Scegli un nome facile da ricordare. Per questo tutorial, aggiungeremo l'utente John.
• Password: scegli Invia un'e-mail a questo utente con le istruzioni per l'impostazione della password (consigliato). Questa opzione invia all'utente un'e-mail indirizzata da Amazon Web Services, con l'oggetto Invito a partecipare al Centro identità IAM (successore di AWS Single Sign-On). L'e-mail verrà inviata dall'indirizzo no-reply@signin.aws o no-reply@login.awsapps.com. Aggiungi questi indirizzi e-mail all'elenco dei mittenti approvati in modo che non vengano trattati come posta indesiderata o spam.

3. Nella sezione Informazioni principali, immetti i dettagli utente richiesti:  

• Indirizzo e-mail: inserisci un indirizzo e-mail per l'utente che può ricevere l'e-mail. Quindi, inseriscilo nuovamente per confermarlo. Ogni utente deve avere un indirizzo e-mail univoco.
  

Suggerimento: durante il test, potresti essere in grado di utilizzare il sottoindirizzamento e-mail per creare indirizzi e-mail validi per più utenti fittizi. Se il tuo provider di posta elettronica lo supporta, puoi creare un nuovo indirizzo e-mail aggiungendo il segno più (+) e quindi numeri o caratteri all'indirizzo e-mail corrente, ad esempio someone@example.com, someone+1@example.com e someone+test@example.com. Tutti questi indirizzi e-mail comporterebbero la ricezione di un'e-mail allo stesso indirizzo e-mail. 

• Nome: immettere il nome dell'utente.
• Cognome: inserisci il cognome dell'utente.
• Nome visualizzato: viene compilato automaticamente con il nome e il cognome dell'utente. Se desideri modificare il nome visualizzato, puoi inserire qualcosa di diverso. Il nome visualizzato è visibile nel portale di accesso e nell'elenco degli utenti. 
• Se lo desideri, immetti anche le informazioni facoltative. Non vengono utilizzate durante questo tutorial e possono essere aggiunte in seguito.

4. Seleziona Avanti.

I gruppi permettono di assegnare autorizzazioni a una serie di utenti, semplificandone la gestione.

1. Seleziona Crea gruppo.

2. Si apre una nuova scheda del browser per visualizzare la pagina Crea gruppo.

3. In Dettagli del gruppo, in Nome gruppo, inserisci Amministratori.

4. Seleziona Crea gruppo.

Il nuovo utente esiste ma non ha accesso a risorse, servizi o applicazioni, quindi l'utente non può ancora sostituire l'utente root per le attività amministrative quotidiane. Concediamo al nuovo utente l'accesso al tuo account AWS. Poiché inseriamo l'utente in un gruppo, assegneremo il gruppo a un account e quindi aggiungeremo un set di autorizzazioni che definisce a cosa possono accedere i membri del gruppo.

Per questa procedura, continueremo a utilizzare le credenziali dell'utente root.

Accedi al tuo account AWS utilizzando le credenziali dell'utente root.

Nella pagina Account AWS, sotto Struttura organizzativa, la root viene visualizzata con l'account di test sottostante nella gerarchia. Seleziona la casella di controllo per il tuo account di prova, quindi seleziona Assegna utenti o gruppi.

Viene visualizzato il flusso di lavoro Assegna utenti e gruppi. Consiste nei seguenti passaggi: 

Per Fase 1: Selezione di utenti e gruppi seleziona il gruppo di amministratori creato in precedenza in questo tutorial. Quindi, scegli Avanti.

Per Fase 2: Selezione dei set di autorizzazioni, seleziona Crea set di autorizzazioni per aprire una nuova scheda che illustra i tre passaggi secondari necessari per creare il set di autorizzazioni.

Si apre una nuova scheda del browser che mostra Fase 1: Selezione del tipo di set di autorizzazioni. Effettua le seguenti selezioni:

1. Per Tipo di set di autorizzazioni, seleziona Set di autorizzazioni predefinito
2. Per Policy per il set di autorizzazioni predefinito, seleziona AdministratorAccess.
3. Quindi, scegli Avanti per continuare.

Per Fase 2: Specifica dei dettagli del set di autorizzazioni, mantieni le impostazioni predefinite e scegli Avanti. Le impostazioni predefinite creano un set di autorizzazioni denominato AdministratorAccess con la durata della sessione impostata su un'ora. 

Per Fase 3: Revisione e creazione, verifica che il tipo di set di autorizzazioni utilizzi la policy gestita da AWS AdministratorAccess. Scegli Crea.

Verrà visualizzata di nuovo la pagina Set di autorizzazioni. Nella parte superiore della pagina viene visualizzata una notifica che informa che il set di autorizzazioni è stato creato correttamente. Seleziona X per chiudere la scheda.

Nella scheda Assegna utenti e gruppi del browser, per Fase 2: Selezione dei set di autorizzazioni, nella sezione Set di autorizzazioni, seleziona Aggiorna. Il set di autorizzazioni AdministratorAccess creato viene visualizzato nell'elenco. Seleziona la casella di controllo per quel set di autorizzazioni, quindi scegli Avanti. 

Per Fase 3: Revisione e invio, esamina gli utenti e i gruppi selezionati e il set di autorizzazioni, quindi scegli Invia.

La pagina viene aggiornata con un messaggio che indica che il tuo account AWS è in fase di configurazione. Attendi il completamento del processo.

Verrai reindirizzato alla pagina degli account AWS nel Centro identità IAM. Un messaggio di notifica ti informa che è stato effettuato il re-provisioning del tuo account AWS e il set di autorizzazioni aggiornato è stato applicato. 

Nella sezione Struttura organizzativa puoi vedere che il tuo account AWS è ora l'account di gestione sotto la root dell'organizzazione AWS. In questo tutorial, utilizziamo un nome account AWS segnaposto Test-acct. Vedrai invece il nome del tuo account AWS.  

Congratulazioni, il tuo utente può ora accedere al tuo portale di accesso AWS e accedere alle risorse nel tuo account AWS. 

Ora sei pronto per accedere utilizzando il tuo nuovo utente amministrativo. Se avessi provato ad accedere in precedenza, avresti potuto solo stabilire la tua password e abilitare l'autenticazione a più fattori (MFA), poiché all'utente non erano state concesse altre autorizzazioni. Ora, l'utente disporrà delle autorizzazioni complete per le tue risorse AWS, ma dovrà comunque configurare una password e configurare l'MFA, quindi esaminiamo queste procedure.

Una nuova e-mail utente è stata inviata all'indirizzo e-mail specificato al momento della creazione dell'utente. L'e-mail contiene tre elementi importanti:

1. Un link per accettare l'invito a partecipare
2. L'URL del tuo portale di accesso AWS
3. Il nome utente che utilizzerai per accedere

Apri l'e-mail e salva l'URL del portale di accesso AWS e il nome utente per un utilizzo futuro. Quindi seleziona il link Accetta invito. 

Suggerimento: se non vedi l'e-mail dell'invito a partecipare al Centro identità IAM nella cartella della posta in arrivo, controlla le cartelle di spam, posta indesiderata ed elementi eliminati (o cestino). Tutte le e-mail inviate dal servizio Centro identità IAM arriveranno dall'indirizzo no-reply@signin.aws o no-reply@login.awsapps.com. Se non riesci a trovare l'e-mail, accedi come utente root e reimposta la password dell'utente del Centro identità. Per istruzioni, consulta Reimpostazione di una password utente del Centro identità IAM. Se continui a non ricevere l'e-mail, reimposta nuovamente la password e scegli l'opzione Genera una password monouso da condividere con l'utente.

Il collegamento apre una finestra del browser e visualizza la pagina di registrazione di un nuovo utente.

Nella pagina di registrazione di un nuovo utente, specifica una nuova password.

Le password devono:

• Contenere un numero di caratteri compreso tra 8 e 64
• Contenere lettere maiuscole e minuscole, numeri e caratteri non alfanumerici.

Dopo aver confermato la password, seleziona Imposta nuova password.

Si verifica un breve ritardo durante il provisioning dell'utente. 

Si apre la console AWS.

Nella barra in alto, accanto al nome utente, seleziona Dispositivi MFA per configurare l'autenticazione a più fattori.

Viene visualizzata la pagina dei dispositivi di autenticazione a più fattori (MFA). Scegli Registra dispositivo.

Nella pagina Registra dispositivo MFA, seleziona il dispositivo MFA da utilizzare con l'account. Le opzioni non supportate dal browser o dalla piattaforma sono disattivate e non possono essere selezionate.

Adesso passeremo in rassegna le schermate relative all'opzione dell'app di autenticazione. Questa procedura è simile a quella seguita quando hai configurato il dispositivo MFA per il tuo utente root nella prima parte del tutorial. La differenza è che questo dispositivo MFA viene registrato con il Centro identità IAM anziché con IAM. Se selezioni un dispositivo MFA diverso, segui le istruzioni relative al dispositivo selezionato. 

Seleziona il link Mostra codice QR per mostrare un codice QR univoco per la tua organizzazione AWS. Se non riesci a scansionare il codice QR, scegli il link Mostra chiave segreta per visualizzare una chiave di testo che puoi inserire nell'app di autenticazione per identificare la tua organizzazione. Scansiona il codice QR con l'app di autenticazione o inserisci il codice nell'app per collegare il dispositivo di autenticazione alla tua organizzazione. 

Una volta che l'autenticazione ha stabilito il collegamento alla tua organizzazione, inizierà a generare codici segreti validi per un numero limitato di secondi. In Codice autenticazione, digita il codice che vedi nell'app, quindi scegli Assegna MFA. 

Nota: quando registri un dispositivo MFA con il Centro identità IAM, è richiesto un solo codice di autenticazione.

Il dispositivo viene registrato correttamente, quindi puoi selezionare Fine. 

Dal portale di accesso seleziona l'account AWS da gestire. Ti saranno mostrate le autorizzazioni configurate per il tuo account con due opzioni di connessione.

• Seleziona Console di gestione per aprire la Console di gestione AWS e gestire le risorse AWS utilizzando i pannelli di controllo della console di servizio.
• Seleziona Accesso alla riga di comando o programmatico per ottenere le credenziali per accedere alle risorse AWS in modo programmatico o da AWS CLI. Per ulteriori informazioni su come ottenere queste credenziali, consulta Ottenimento delle credenziali utente del Centro identità IAM per AWS CLI o gli SDK AWS. 
  

Per questo tutorial, seleziona Console di gestione.

Viene visualizzata la Console di gestione AWS. In qualità di utente con accesso amministrativo puoi aggiungere servizi, aggiungere altri utenti e configurare policy e autorizzazioni. Non è più necessario utilizzare l'utente root per eseguire queste attività.