Configurazione dell'ambiente AWS

GUIDA ALLE OPERAZIONI DI BASE

Modulo 2: Protezione dell'account AWS

In questo modulo imparerai le best practice per proteggere il tuo account AWS.

Introduzione

Quando configuri un nuovo account AWS, devi proteggere l'utente root e creare utenti AWS IAM aggiuntivi per accedere all'account. L'utente root è un account speciale che ha completo accesso all'account e può eseguire qualsiasi operazione, compresa la modifica dei metodi di pagamento o la chiusura dell'account. Per questo motivo, si consiglia di proteggerlo con l'autenticazione a 2 fattori e di aggiungere utenti IAM aggiuntivi con cui accedere. Questo modulo tratterà della protezione dell'utente root e di come configurare utenti IAM.

Avrai modo di approfondire i seguenti aspetti

  • Come proteggere l'account utente root
  • Configurare utenti IAM aggiuntivi

 Tempo richiesto per il completamento

5 minuti

 Requisiti del modulo

  • Un browser internet

Implementazione

Proteggere l'utente root

Dopo aver eseguito l'accesso nel nuovo account AWS creato, digita IAM nella casella di ricerca in alto al centro della pagina, quindi fai clic su IAM. Apparirà un "Avviso di sicurezza" per proteggere l'utente root con l'autenticazione a più fattori (MFA). Fai clic su Abilita MFA, quindi su Attiva MFA nella schermata successiva.

gsg_secure_step_1

Adesso dovrai scegliere tra le opzioni di MFA disponibili. Per visualizzare una panoramica delle opzioni, leggi la guida sull'autenticazione a più fattori. Se hai dei dubbi sull'opzione da scegliere, seleziona dispositivo di MFA virtuale e installa una delle app disponibili per il tuo telefono. Prendi nota di come l'app che scegli per l'autenticazione gestisce il backup e il ripristino, per essere capace in futuro di configurarla su un altro telefono. La registrazione del tuo utente root adesso è protetta.

gsg_secure_step_2

Impostare ruoli e utenti aggiuntivi

Tra le best practice per la sicurezza c'è anche quella di non utilizzare il tuo account root per le operazioni quotidiane, ma creare invece utenti separati per determinati ruoli e funzioni. Per configurarne uno, devi prima creare un gruppo utente IAM: questo avrà una serie di autorizzazioni attive per tutti gli utenti che fanno parte del gruppo. Fai clic su Gruppi utente nella parte sinistra della barra di navigazione, quindi su Crea gruppo. Inserisci il nome del gruppo ad es. "amministratori", quindi scorri in basso fino a Allega policy di autorizzazione. Cerca "AdministratorAccess", quindi spunta la casella vicino alla policy chiamata "AdministratorAccess", scorri in basso e fai clic su Crea gruppo.

gsg_secure_step_3

Di seguito, creeremo un utente IAM facendo clic su Utenti nella parte sinistra della barra di navigazione e facendo clic su Aggiungi utente. Dopo aver inserito un nome utente, devi selezionare il tipo di accesso AWS. All'interno di questa guida ci occuperemo della configurazione e dell'impostazione del Cloud Development Kit (CDK) di AWS nella tua workstation e di prepararti alla creazione delle tue prime risorse AWS con Infrastructure as Code. Per questa guida, seleziona entrambe le opzioni.

gsg_secure_step_4

Fai clic su Successivo per aggiungere l'utente al gruppo che abbiamo creato, selezionalo dalla lista, quindi fai clic su Successivo:Tag.

gsg_secure_step_4-1

I tag sono utili per cercare le risorse nei vari servizi, o per aggiungere metadati come i dipartimenti. Per il nostro caso d'uso, fai clic su Successivo: controllo senza aggiungere alcun tag. Adesso puoi controllare i valori impostati per l'utente che stai creando prima di crearlo. Noterai che c'è un'ulteriore policy gestita chiamata "IAMUserChangePassword" aggiunta sotto quella degli "amministratori" che abbiamo creato - questa viene aggiunta a ogni utente per il quale è stata selezionata l'opzione di forzarli a cambiare la loro password poiché non tutte le policy IAM possono avere i permessi richiesti.

gsg_secure_step_5

Fai clic su Crea utente per creare l'utente. Adesso vedrai la schermata di conferma dell'utente, ma NON fare ancora clic sul pulsante Chiudi. È possibile accedere alla password generata automaticamente e alla chiave di accesso segreta per l'accesso API solo una volta da questa schermata. Scrivi l'ID chiave di accesso, la chiave di accesso segreta e la password: le useremo nel modulo successivo di questa guida. Dopodiché, fai clic su Chiudi.

gsg_secure_step_6

Fasi finali

Prima di effettuare la disconnessione e iniziare a utilizzare il nostro nuovo utente IAM, dobbiamo completare ancora due passaggi. Il primo è quello di configurare un alias per il nostro account per renderlo più facile da ricordare rispetto all'ID account da 12 cifre. Per configurarlo, fai clic su Pannello di controllo nella barra di navigazione a sinistra, quindi fai clic su Crea nella sezione "AWS Account" del pannello di destra. Adesso puoi configurare un alias per il tuo account: questo dev'essere unico globalmente per tutti i tuoi account AWS, quindi la tua prima scelta potrebbe non essere disponibile.

gsg_secure_step_8

Fai clic su Salva per impostare il valore, quindi copia l'URL generata per utilizzarla in seguito in questa guida. Dovrà avere il formato https://<your-text>.signin.aws.amazon.com/console.

gsg_secure_step_7

L'ultima fase che dev'essere completata è l'abilitazione di tutte le Regioni che potresti voler usare. Questo è valido solo per le Regioni avviate dopo il 20 marzo 2019. Questo al momento comprende:

  • Africa (Città del Capo)
  • Asia Pacifico (Hong Kong)
  • Europa (Milano)
  • Medio Oriente (Bahrein)
 
Segui le seguenti istruzioni per abilitare una di queste Regioni.

Conclusione

Congratulazioni, hai imparato come proteggere il tuo account. Ricordati di effettuare la disconnessione e di effettuare nuovamente l'accesso con il nuovo account utente che hai creato sopra.

A seguire: Configurare AWS CLI

Facci sapere com'è andata.

Grazie per il tuo feedback
Siamo contenti che questa pagina ti sia stata d’aiuto. Vuoi condividere ulteriori dettagli per aiutarci a continuare a migliorare?
Chiudi
Grazie per il tuo feedback
Ci dispiace che questa pagina non ti sia stata d'aiuto. Vuoi condividere ulteriori dettagli per aiutarci a continuare a migliorare?
Chiudi