Inizia a usare AWS gratis

Crea un account gratuito
Oppure accedi alla console

Ricevi dodici mesi di accesso al piano di utilizzo gratuito di AWS e sfrutta le funzionalità di supporto di base di AWS, inclusi l'assistenza al cliente 24x7x365, i forum di supporto e molto altro.


D: Cos'è AWS Identity and Access Management (IAM)?
Puoi utilizzare AWS IAM per controllare in modalità sicura l'accesso di singoli utenti o gruppi alle risorse AWS. Puoi creare e gestire le identità degli utenti ("utenti IAM") e concedere a tali utenti i permessi per accedere alle risorse. Puoi inoltre concedere permessi a utenti che non sono (utenti federati) AWS.

D: Come si inizia a usare IAM?
Per iniziare a usare IAM, devi effettuare la sottoscrizione ad almeno uno dei servizi AWS integrati con IAM. Puoi quindi creare e gestire utenti, gruppi e permessi mediante le API di IAM, l'interfaccia a riga di comando AWS oppure la console IAM, che è caratterizzata da un'interfaccia basata sul Web semplice e di approccio immediato. Puoi inoltre utilizzare l'editor visivo per creare le policy.

D: Quali problemi è in grado di risolvere IAM?
IAM consente di garantire un accesso rapido e sicuro alle risorse AWS da parte di più utenti. IAM consente infatti di eseguire le seguenti operazioni:

  • Gestione degli utenti IAM e dei loro accessi: puoi creare utenti in un sistema di gestione delle identità IAM, assegnare loro credenziali di sicurezza individuali (ovvero chiavi di accesso, password e dispositivi Multi-Factor Authentication oppure richiedere credenziali di sicurezza provvisorie) per fornire agli utenti l'accesso a servizi e risorse AWS. Puoi specificare permessi specifici per controllare le operazioni che un utente può eseguire.
  • Gestione dell'accesso per gli utenti federati: puoi richiedere credenziali di sicurezza con date di scadenza configurabili per gli utenti che gestisci nella directory aziendale. In questo modo sarai in grado di fornire ai dipendenti e alle applicazioni un accesso sicuro alle risorse nel tuo account AWS senza dover creare un account utente IAM corrispondente. Puoi specificare i permessi per tali credenziali di sicurezza per controllare le operazioni che un utente può eseguire.

D: Chi può utilizzare IAM?
Qualsiasi cliente AWS può utilizzare IAM. Il servizio è disponibile senza costi aggiuntivi. Verrà addebitato soltanto l'utilizzo di altri servizi AWS da parte degli utenti.

D: Cos'è un utente?
Un utente è un'identità univoca riconosciuta dai servizi e dalle applicazioni AWS. In modo analogo a un utente di accesso in un sistema operativo quale, ad esempio, Windows o UNIX, un utente è associato a un nome univoco e può identificarsi utilizzando credenziali di sicurezza note (password o chiave di accesso). Un utente può essere una persona, un sistema o un'applicazione che richiede l'accesso ai servizi AWS. IAM supporta gli utenti (definiti "utenti IAM") gestiti nel sistema di gestione delle identità di AWS, nonché consente di concedere l'accesso alle risorse AWS per gli utenti gestiti esternamente ad AWS in una directory aziendale (definiti "utenti federati").

D: Cosa può fare un utente?
Un utente può inviare richieste ai servizi Web, ad esempio Amazon S3 e Amazon EC2. La capacità di un utente di accedere alle API dei servizi Web viene definita e gestita mediante l'account AWS. Puoi autorizzare un utente ad accedere a uno qualsiasi o a tutti i servizi AWS integrati con IAM e per i quali l'account AWS ha effettuato la sottoscrizione. Se dispone dei permessi appropriati, un utente può accedere a tutte le risorse associate all'account AWS. Inoltre, se l'account AWS può accedere alle risorse da un account AWS diverso, i relativi utenti possono essere in grado di accedere ai dati utilizzando tali account AWS. Qualsiasi risorsa AWS creata da un utente viene gestita, anche a livello di pagamento, dal relativo account AWS. Un utente non può effettuare in modo indipendente la sottoscrizione a servizi o risorse di controllo AWS.

D: Come fanno gli utenti a chiamare i servizi AWS?
Gli utenti possono effettuare richieste ai servizi AWS utilizzando le credenziali di sicurezza. I permessi espliciti definiscono la capacità di un utente di effettuare chiamate ai servizi AWS. Per default, gli utenti non sono in grado di effettuare chiamate alle API dei servizi per conto dell'account.

D: Come si inizia a usare IAM?
Per iniziare a usare IAM, devi effettuare la sottoscrizione ad almeno uno dei servizi AWS integrati con IAM. Puoi quindi creare e gestire utenti, gruppi e permessi mediante le API di IAM, l'interfaccia a riga di comando AWS oppure la console IAM, che è caratterizzata da un'interfaccia basata sul Web semplice e di approccio immediato. Puoi inoltre utilizzare il generatore di policy AWS per creare le policy.


D: Come vengono gestiti gli utenti IAM?
In IAM sono disponibili numerosi metodi per eseguire le operazioni seguenti:

  • Creazione e gestione di utenti IAM.
  • Creazione e gestione di gruppi IAM.
  • Gestione delle credenziali di sicurezza degli utenti.
  • Creazione e gestione di policy per dare accesso ai servizi e alle risorse AWS.

Puoi creare e gestire utenti, gruppi e policy mediante le API di IAM, l'interfaccia a riga di comando AWS oppure la console IAM. Puoi inoltre utilizzare l'editor visivo e il simulatore di policy AWS per creare e testare le policy.

D: Che cos'è un gruppo?
Un gruppo è un insieme di utenti IAM. È possibile gestire l'iscrizione al gruppo come l'iscrizione a un normale elenco:

  • È possibile aggiungere utenti a un gruppo oppure rimuoverli da un gruppo.
  • Un utente può appartenere a più gruppi.
  • I gruppi non possono appartenere ad altri gruppi.
  • Ai gruppi è possibile concedere i permessi mediante le policy di controllo accessi. Ciò consente di semplificare la gestione dei permessi per un insieme di utenti in quanto si evita di gestire i permessi per i singoli utenti.
  • I gruppi non dispongono di credenziali di sicurezza e non possono accedere direttamente ai servizi Web. La loro funzione si limita a semplificare la gestione dei permessi degli utenti. Per ulteriori informazioni, consulta Working with Groups and Users.

D: Di quali tipi di credenziali di sicurezza possono disporre gli utenti IAM?
Gli utenti IAM possono utilizzare una combinazione di credenziali supportate da AWS, ad esempio una chiave di accesso AWS, un certificato X.509, una chiave SSH, una password per gli accessi alle applicazioni Web oppure un dispositivo MFA (Multi-Factor Authentication). Ciò consente agli utenti di interagire con AWS nel modo ritenuto più idoneo e appropriato. Un dipendente può avere sia una chiave di accesso AWS che una password, un sistema software può disporre solo di una chiave di accesso AWS per effettuare chiamate a livello di codice, gli utenti IAM possono avere una chiave SSH privata per accedere ai repository AWS CodeCommit, mentre un utente esterno può disporre solo di un certificato X.509 per utilizzare l'interfaccia a riga di comando EC2. Per ulteriori informazioni, consulta Credenziali di sicurezza provvisorie nella documentazione di IAM.

D: Quali servizi AWS supportano gli utenti IAM?
Per un elenco completo dei servizi AWS che supportano gli utenti IAM, consulta la sezione Servizi AWS supportati da IAM nella documentazione di IAM. In futuro è prevista l'aggiunta del supporto di altri servizi in AWS.

D: Posso abilitare e disabilitare l'accesso degli utenti?
Sì. Puoi abilitare e disabilitare le chiavi di accesso di un utente IAM mediante le API di IAM, l'interfaccia a riga di comando AWS oppure la console IAM. Se disabiliti le chiavi di accesso, l'utente non sarà in grado di accedere a livello di codice ai servizi AWS.

D: Chi è in grado di gestire gli utenti per un account AWS?
Il titolare dell'account AWS può gestire utenti, gruppi, credenziali di sicurezza e permessi. Puoi anche concedere permessi a singoli utenti per consentire loro di effettuare chiamate alle API di IAM per la gestione di altri utenti. Ad esempio, è possibile creare un amministratore per la gestione degli utenti per una società. Si tratta di una procedura consigliata. Quando a un utente concedi il permesso di gestire altri utenti, la gestione potrà essere eseguita mediante le API di IAM, l'interfaccia a riga di comando AWS oppure la console IAM.

D: Posso strutturare un insieme di utenti in modo gerarchico, ad esempio in LDAP?
Sì. Puoi organizzare utenti e gruppi in percorsi specifici, simili ai percorsi degli oggetti in Amazon S3, ad esempio /mycompany/division/project/joe.

D: Posso definire gli utenti regionalmente?
Non all'inizio. Gli utenti sono entità globali, proprio come un account AWS. Non è necessario specificare alcuna regione durante la definizione dei permessi degli utenti. Gli utenti possono utilizzare i servizi AWS in qualsiasi regione geografica.

D: Come vengono configurati i dispositivi MFA per gli utenti IAM?
Il titolare dell'account AWS può ordinare più dispositivi MFA. Sarà quindi possibile assegnare questi dispositivi a singoli utenti IAM mediante le API di IAM, l'interfaccia a riga di comando AWS oppure la console IAM.

D: Che tipo di rotazione di chiavi è supportato per gli utenti IAM?
Le chiavi di accesso utente e i certificati X.509 possono essere ruotati in base agli stessi criteri utilizzati per gli identificatori di accesso root di un account AWS. Puoi gestire e ruotare a livello di codice le chiavi di accesso e i certificati X.509 di un utente mediante le API di IAM, l'interfaccia a riga di comando AWS oppure la console IAM.

D: Gli utenti IAM possono avere singole chiavi SSH EC2?
Non nella versione iniziale. IAM non ha alcuna influenza sulle chiavi SSH EC2 o sui certificati RDP di Windows. Ciò significa che anche se ogni utente dispone di credenziali distinte per accedere alle API dei servizi Web, dovrà condividere le chiavi SSH comuni a livello dell'account AWS in base al quale gli utenti sono stati definiti.

D: Dove posso utilizzare le chiavi SSH?

Attualmente gli utenti IAM possono utilizzare le proprie chiavi SSH solo con AWS CodeCommit per accedere ai propri repository.

D: I nomi degli utenti IAM devono essere indirizzi e-mail?
No, anche se possono esserlo. I nomi utente sono stringhe ASCII univoche all'interno di un account AWS specifico. Puoi assegnare i nomi utilizzando qualsiasi convenzione di denominazione desiderata, tra cui gli indirizzi e-mail.

D: Quali set di caratteri posso utilizzare per i nomi utente IAM?
Per le entità IAM puoi utilizzare solo i caratteri ASCII.

D: Sono supportati attributi utente diversi dal nome utente?
No, non al momento.

D: Come vengono impostate le password utente?
Puoi impostare una password iniziale per un utente IAM mediante la console IAM, l'interfaccia a riga di comando AWS oppure le API di IAM. Le password utente non vengono mai visualizzate in modalità non crittografata dopo il provisioning iniziale, né vengono visualizzate o restituite mediante una chiamata all'API. Gli utenti IAM possono gestire le proprie password mediante la pagina My Password (Password personale) nella console IAM. Per accedere a questa pagina, seleziona l'opzione Security Credentials (Credenziali di sicurezza) nell'elenco a discesa nell'angolo superiore destro della console di gestione AWS.

D: Posso definire una policy specifica per le password degli utenti?
Sì, puoi implementare password complesse impostando una lunghezza minima o l'inserimento di almeno un carattere numerico nella password. Puoi inoltre impostare una scadenza automatica delle password, impedire il riutilizzo delle vecchie password e richiedere il ripristino della password al successivo accesso ad AWS. Per ulteriori informazioni, consulta Setting an Account Policy Password for IAM Users.

D: Posso impostare quote di utilizzo per gli utenti IAM?
No. Tutti i limiti vengono definiti complessivamente a livello di account AWS. Ad esempio, se l'account AWS ha un limite di 20 istanze di Amazon EC2, gli utenti IAM con i permessi EC2 possono avviare un numero di istanze pari a questo limite. Non puoi limitare le operazioni che un singolo utente può eseguire.


D: Cos'è un ruolo IAM?
Un ruolo IAM è un'entità IAM che definisce un set di permessi per eseguire richieste di servizi AWS. I ruoli IAM non sono associati a un utente o gruppo specifico. Le entità trusted assegnano ruoli, ad esempio utenti IAM, applicazioni, oppure servizi AWS, ad esempio EC2.

D: Quali problemi possono risolvere i ruoli IAM?
I ruoli IAM consentono di delegare l'accesso con permessi definiti a entità trusted senza la necessità di condividere chiavi di accesso a lungo termine. Puoi utilizzare i ruoli IAM per delegare l'accesso agli utenti IAM gestiti all'interno dell'account, agli utenti IAM gestiti mediante un account AWS diverso oppure a un servizio AWS, ad esempio EC2.

D: Come si inizia a usare i ruoli IAM?
La creazione di un ruolo è simile alla creazione di un utente, ovvero devi assegnare un nome al ruolo e associarvi una policy. Per ulteriori informazioni, consulta Creating IAM Roles.

D: Come si fa ad assegnare un ruolo IAM?
Per assegnare un ruolo IAM, effettua una chiamata alle API AssumeRole di AWS Security Token Service (STS), ovvero AssumeRole, AssumeRoleWithWebIdentity e AssumeRoleWithSAML. Queste API restituiscono un set di credenziali di sicurezza provvisorie che le applicazioni possono utilizzare per firmare le richieste alle API del servizio AWS.

D: Quanti ruoli IAM posso assegnare a me stesso?
Non esiste alcun limite al numero di ruoli IAM che puoi assumere. Durante le richieste di servizi AWS potrai tuttavia operare solo in base a un unico ruolo IAM.

D: Chi può utilizzare i ruoli IAM?
Qualsiasi cliente AWS può utilizzare i ruoli IAM.

D: Quanto costano i ruoli IAM?
I ruoli IAM sono disponibili gratuitamente. Continuerai tuttavia a pagare le risorse consumate da un ruolo all'interno dell'account AWS.

D: Come vengono gestiti i ruoli IAM?
Puoi creare e gestire i ruoli IAM mediante le API di IAM, l'interfaccia a riga di comando AWS oppure la console IAM, che è caratterizzata da un'interfaccia basata sul Web semplice e di approccio immediato.

D: Qual è la differenza tra un ruolo IAM e un utente IAM?
Un utente IAM dispone di credenziali a lungo termine permanenti e viene utilizzato per interagire con i servizi AWS. Un ruolo IAM non dispone di credenziali e non è in grado di inviare richieste dirette ai servizi AWS. I ruoli IAM vengono assegnati a entità autorizzate, ad esempio utenti IAM, applicazioni, oppure a un servizio AWS, ad esempio EC2.

D: Quando devo utilizzare un utente IAM, un gruppo IAM oppure un ruolo IAM?

Un utente IAM dispone di credenziali a lungo termine permanenti e viene utilizzato per interagire con i servizi AWS. Un gruppo IAM rappresenta principalmente uno strumento di gestione che consente di gestire lo stesso set di permessi per una serie di utenti IAM. Un ruolo IAM è un'entità AWS Identity and Access Management (IAM) che dispone dei permessi necessari per effettuare richieste di servizi AWS. I ruoli IAM possono effettuare richieste dirette ai servizi AWS e possono essere assegnati a entità autorizzate, ad esempio utenti IAM, applicazioni, oppure a servizi AWS, ad esempio EC2. Utilizza i ruoli IAM per delegare l'accesso all'interno degli account AWS oppure tra account AWS diversi.

D: Posso aggiungere un ruolo IAM a un gruppo IAM?
No, non al momento.

D: Quante policy posso associare a un ruolo IAM?

Policy incorporate: puoi aggiungere il numero desiderato di policy incorporate a un utente, un ruolo o un gruppo. Tuttavia, la dimensione totale aggregata delle policy (somma delle dimensioni di tutte le policy incorporate) per entità non può superare i seguenti limiti:

  • La dimensione della policy dell'utente non può essere maggiore di 2.048 caratteri.
  • La dimensione della policy del ruolo non può essere maggiore di 10.240 caratteri.
  • La dimensione della policy del gruppo non può essere maggiore di 5.120 caratteri.

Utenti gestiti: puoi aggiungere fino a 10 policy gestite a un utente, ruolo o gruppo. La dimensione di ogni policy gestita non può essere maggiore di 6.144 caratteri.

D: Quanti ruoli IAM è possibile creare?
Un account AWS può disporre di un massimo di 1.000 ruoli IAM. Se dovesse essere necessario un numero maggiore di ruoli, compila il modulo di richiesta di aumento dei limiti di IAM specificando il caso d'uso. Provvederemo quanto prima a valutare la richiesta.

D: Verso quali servizi può inviare richieste un'applicazione?
L'applicazione può effettuare richieste a tutti i servizi AWS che supportano le sessioni dei ruoli.

D: A cosa servono i ruoli IAM per le istanze EC2?
I ruoli IAM per le istanze EC2 consentono alle applicazioni in esecuzione in EC2 di effettuare richieste ai servizi AWS, ad esempio Amazon S3, Amazon SQS e Amazon SNS, senza dover copiare le chiavi di accesso AWS in ogni istanza. Per ulteriori informazioni, consulta IAM Roles for Amazon EC2.

D: Quali sono le caratteristiche dei ruoli IAM per le istanze EC2?

I ruoli IAM per le istanze EC2 forniscono le seguenti caratteristiche:

  • Credenziali di sicurezza AWS provvisorie da utilizzare quando vengono effettuate richieste dalle istanze EC2 in esecuzione ai servizi AWS.
  • Rotazione automatica delle credenziali di sicurezza AWS provvisorie.
  • Permessi granulari dei servizi AWS per le applicazioni in esecuzione nelle istanze EC2.

D: Quali problemi vengono risolti dai ruoli IAM per le istanze EC2?
I ruoli IAM per le istanze EC2 semplificano la gestione e la distribuzione delle chiavi di accesso AWS alle istanze EC2. Grazie a questa caratteristica sarai in grado di associare un ruolo IAM a un'istanza. L'istanza EC2 fornirà quindi le credenziali di sicurezza provvisorie all'applicazione in esecuzione su tale istanza e le applicazioni potranno utilizzare queste credenziali per effettuare in modo sicuro richieste alle risorse del servizio AWS definite nel ruolo.

D: Come inizio a utilizzare i ruoli IAM per le istanze EC2?
Per familiarizzare con il funzionamento dei ruoli nelle istanze EC2, devi utilizzare la console IAM per creare un ruolo, avviare un'istanza EC2 che utilizza tale ruolo, quindi analizzare l'istanza in esecuzione. Puoi analizzare i metadati dell'istanza per verificare in che modo le credenziali del ruolo vengono rese disponibili a un'istanza. Puoi inoltre verificare in che modo il ruolo può essere utilizzato da un'applicazione eseguita in un'istanza. Per ulteriori informazioni, consulta Come si inizia a usarlo?

D: Posso utilizzare lo stesso ruolo IAM in più istanze EC2?
Sì.

D: Posso modificare il ruolo IAM in un'istanza EC2 in esecuzione?
Sì. Anche se il ruolo in genere viene assegnato a un'istanza EC2 all'avvio, può essere assegnato anche a un'istanza EC2 già in esecuzione. Per ulteriori informazioni su come assegnare un ruolo a un'istanza in esecuzione, consulta la pagina IAM Roles for Amazon EC2. Le autorizzazioni possono anche essere modificate nel ruolo IAM associato a un'istanza in esecuzione; i permessi aggiornati avranno validità quasi immediata. 

D: È possibile associare un ruolo IAM a un'istanza EC2 già in esecuzione?
Sì. Puoi assegnare un ruolo IAM a un'istanza EC2 già in esecuzione. Per ulteriori informazioni su come assegnare un ruolo a un'istanza già in esecuzione, consulta la pagina IAM Roles for Amazon EC2.

D: Posso associare un ruolo IAM a un gruppo Auto Scaling?

Sì. Puoi aggiungere un ruolo IAM come parametro aggiuntivo in una configurazione di avvio Auto Scaling e quindi creare un gruppo Auto Scaling con tale configurazione di avvio. Tutte le istanze EC2 avviate in un gruppo Auto Scaling associato a un ruolo IAM vengono avviate con tale ruolo come parametro di input. Per ulteriori informazioni, consulta What Is Auto Scaling? nella Auto Scaling Developer Guide.

D: Posso associare più di un ruolo IAM a un'istanza EC2?
No. Attualmente puoi associare solo un ruolo IAM a un'istanza EC2. Tale limite non può essere superato.

D: Cosa succede se elimino un ruolo IAM associato a un'istanza EC2 in esecuzione?
Verrà immediatamente negato l'accesso a qualsiasi applicazione in esecuzione nell'istanza che utilizza tale ruolo.

D: Posso controllare quali ruoli IAM un utente IAM può associare a un'istanza EC2?
Sì. Per ulteriori informazioni, consulta Permissions Required for Using Roles with Amazon EC2.

D: Quali permessi sono richiesti per avviare istanze EC2 con un ruolo IAM?
A un utente IAM devi assegnare due permessi distinti affinché possa avviare correttamente le istanze EC2 con i ruoli:

  • Permesso per avviare le istanze EC2.
  • Permesso per associare un ruolo IAM alle istanze EC2.

Per ulteriori informazioni, consulta Permissions Required for Using Roles with Amazon EC2.

D: Chi può accedere alle chiavi di accesso in un'istanza EC2?
Qualsiasi utente locale nell'istanza può accedere alle chiavi di accesso associate al ruolo IAM.

D: Come uso il ruolo IAM con la mia applicazione nell'istanza EC2?
Se hai sviluppato l'applicazione utilizzando l'SDK AWS, quest'ultimo utilizzerà automaticamente le chiavi di accesso AWS rese disponibili nell'istanza EC2. Se non è stato utilizzato l'SDK AWS, puoi recuperare le chiavi di accesso dal servizio metadati dell'istanza EC2. Per ulteriori informazioni, consulta Using an IAM Role to Grant Permissions to Applications Running on Amazon EC2 Instances.

D: Come posso ruotare le credenziali di sicurezza provvisorie nell'istanza EC2?
Le credenziali di sicurezza AWS provvisorie associate a un ruolo IAM vengono ruotate automaticamente più volte al giorno. Nuove credenziali di sicurezza provvisorie vengono rese disponibili non più di cinque minuti prima della scadenza delle credenziali di sicurezza provvisorie esistenti.

D: Posso utilizzare i ruoli IAM per le istanze EC2 con qualsiasi tipo di istanza o Amazon Machine Image?
Sì. I ruoli IAM per le istanze EC2 funzionano anche in Amazon Virtual Private Cloud (VPC), con istanze Spot e riservate.

D: Cos'è un ruolo collegato a servizi?
Un ruolo collegato a servizi è un tipo di ruolo che si collega a un servizio AWS (il servizio collegato); in tal modo un servizio può assumere ruoli specifici per un altro servizio. Tramite questi elementi, è possibile delegare autorizzazioni alla creazione e alla gestione di risorse AWS in tua vece.

D: È possibile assumere personalmente un ruolo collegato a servizi?
No. Un ruolo collegato a servizi può essere assegnato esclusivamente al servizio collegato. Pertanto, la policy di affidabilità di un ruolo collegato a servizi non può essere modificata.

D: È possibile eliminare un ruolo collegato a servizi?
Sì. Se non desideri più che un determinato servizio AWS esegua azioni a tuo nome, puoi eliminare il ruolo collegato a servizi. Prima di eliminare il ruolo, però, è necessario eliminare tutte le risorse AWS che dipendono da esso. In questo modo è possibile evitare di eliminare involontariamente un ruolo necessario per il corretto funzionamento delle risorse AWS.

D: In che modo è possibile eliminare un ruolo collegato a servizi?
Un ruolo collegato a servizi può essere eliminato dalla console di IAM. Seleziona Roles nel riquadro di navigazione, scegli il ruolo collegato a servizi che desideri eliminare, quindi seleziona Delete roleNota: per eliminare un ruolo collegato a servizi relativo a Amazon Lex, è necessario utilizzare la console di Amazon Lex.


D: Come funzionano i permessi?

Le policy di controllo accessi vengono associate a utenti, gruppi e ruoli per assegnare i permessi alle risorse AWS. Per default, gli utenti, i gruppi e i ruoli IAM non dispongono di permessi. Gli utenti con permessi sufficienti devono utilizzare una policy per concedere i permessi desiderati.

D: Come assegno i permessi utilizzando una policy?

Per impostare i permessi, puoi creare e associare le policy utilizzando la Console di gestione AWS, l'API di IAM oppure l'interfaccia a riga di comando AWS. Gli utenti a cui sono stati concessi i permessi necessari possono creare le policy e assegnarle a utenti, gruppi e ruoli IAM.

D: Cosa sono le policy gestite?

Le policy gestite sono risorse IAM che definiscono premessi utilizzando il linguaggio delle policy IAM. Puoi eseguire operazioni di creazione, modifica e gestione separatamente dagli utenti, gruppi e ruoli IAM a cui sono associate. Dopo aver associato una policy gestita a più utenti, gruppi o ruoli IAM, puoi aggiornare tale policy per far sì che i permessi vengano automaticamente estesi a tutte le entità associate. Le policy gestite vengono gestite direttamente da te (in questo caso sono definite policy gestite dal cliente) oppure da AWS (in questo caso sono definite policy gestite da AWS). Per ulteriori informazioni sulle policy gestite, consulta Managed Policies and Inline Policies.

D: Come si crea una policy gestita dal cliente?

Si può usare l'editor visivo o l'editor JSON nella console IAM. L'editor visivo è un editor semplice e intuitivo che ti guida nel processo di concessione delle autorizzazioni in una policy senza dover redigere la policy in JSON. Si possono creare policy in JSON utilizzando l'interfaccia a riga di comanda e l'SDK.

D: Come assegno i permessi utilizzati più di frequente?

AWS fornisce un set di permessi utilizzati più di frequente che puoi associare a utenti, gruppi e ruoli IAM nel tuo account. Vengono definiti policy gestite da AWS. Un esempio è rappresentato dall'accesso in sola lettura per Amazon S3. Quando AWS aggiorna tali policy, i permessi vengono applicati automaticamente agli utenti, ai gruppi e ai ruoli a cui la policy è associata. Le policy gestite da AWS vengono visualizzate automaticamente nella sezione Policies (Policy) della console IAM. Quando assegni i permessi, puoi utilizzare una policy gestita da AWS oppure puoi creare una policy gestita dal cliente personalizzata. Crea una nuova policy in base a una policy gestita da AWS esistente oppure definisci una policy personalizzata.

D: Come funzionano i permessi basati sul gruppo?

Utilizza i gruppi IAM per assegnare lo stesso set di permessi a più utenti IAM. A un utente è inoltre possibile assegnare singoli permessi. Esistono due modi per associare permessi agli utenti e in questo modo impostare i permessi a livello globale.

D: Qual è la differenza tra assegnare permessi utilizzando i gruppi IAM e assegnare permessi utilizzando policy gestite?

Utilizza i gruppi IAM per raggruppare gli utenti IAM e definire permessi comuni per tali utenti. Utilizza le policy gestite per condividere le autorizzazioni tra utenti, gruppi e ruoli IAM. Ad esempio, se desideri che un gruppo di utenti sia in grado di avviare un'istanza Amazon EC2 e che il ruolo in tale istanza abbia gli stessi permessi degli utenti inclusi nel gruppo, puoi creare una policy gestita e assegnarla al gruppo di utenti e al ruolo nell'istanza Amazon EC2.

D: In che modo le policy IAM vengono valutate assieme alle policy basate sulle risorse Amazon S3, Amazon SQS, Amazon SNS e AWS KMS?

Le policy IAM vengono valutate assieme alle policy basate sulle risorse del servizio. Quando una policy di qualsiasi tipo concede l'accesso (senza negarlo in modo esplicito), l'operazione è consentita. Per ulteriori informazioni sulla logica di valutazione delle policy, consulta IAM Policy Evaluation Logic

D: Posso utilizzare una policy gestita come policy basata sulle risorse?

Le policy gestite possono essere associate solo a utenti, gruppi o ruoli IAM. Non puoi utilizzarle come policy basate sulle risorse.

D: Come imposto i permessi granulari utilizzando le policy?

Mediante le policy puoi specificare svariati layer di granularità dei permessi. Puoi innanzitutto definire le operazioni specifiche per il servizio AWS a cui desideri consentire o negare in modo esplicito l'accesso. In base all'operazione puoi quindi definire risorse AWS specifiche su cui è possibile eseguire tali operazioni. Puoi infine definire le condizioni per specificare quando la policy è valida, ad esempio se la funzionalità Multi-Factor Authentication (MFA) è abilitata o meno.

D: In che modo posso rimuovere rapidamente i permessi non necessari?

Per semplificare l'individuazione dei permessi necessari, nella console IAM vengono visualizzati i dati a cui il servizio ha effettuato l'ultimo accesso. Ciò consente di evidenziare l'ora in cui un'entità IAM (utente, gruppo o ruolo) ha effettuato l'ultimo accesso a un servizio AWS. L'individuazione di quando e se un'entità IAM ha utilizzato un permesso ti consente di rimuovere i permessi non necessari e perfezionare le policy IAM in modo semplice e rapido.

D: Posso concedere i permessi per accedere e modificare le informazioni a livello di account, ad esempio lo strumento di pagamento, l'indirizzo e-mail di contatto e lo storico della fatturazione?

Sì. Puoi delegare a un utente IAM o a un utente federato la possibilità di visualizzare i dati di fatturazione AWS e modificare le informazioni relative all'account AWS. Per ulteriori informazioni sul controllo dell'accesso alle informazioni di fatturazione, consulta Controlling Access.

D: Chi può creare e gestire le chiavi di accesso in un account AWS?

Solo il proprietario dell'account AWS può gestire le chiavi di accesso per l'account root. Il proprietario dell'account e gli utenti o ruoli IAM a cui sono stati concessi i permessi necessari possono gestire le chiavi di accesso per gli utenti IAM.

D: Posso concedere i permessi per accedere alle risorse AWS di proprietà di un altro account AWS?
Sì. Grazie ai ruoli IAM, gli utenti IAM e gli utenti federati possono accedere alle risorse di un altro account AWS mediante la Console di gestione AWS, l'interfaccia a riga di comando AWS oppure le API. Per ulteriori informazioni, consulta Manage IAM Roles.

D: Qual è l'aspetto di una policy?

La policy seguente consente di concedere l'accesso per l'aggiunta, l'aggiornamento e l'eliminazione di oggetti da una cartella specifica, ovvero example_folder, nel bucket specificato, ovvero example_bucket.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect": "Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

D: Cos'è il riepilogo di una policy?

Se utilizzi la console IAM e scegli una policy, visualizzerai un riepilogo della policy. Nel riepilogo della policy è riportato il livello di accesso, le risorse e le condizioni di ciascun servizio definito in una policy (guarda la seguente schermata a titolo di esempio). Il livello di accesso (Visualizza, Leggi, Scrivi o gestione delle Autorizzazioni) è definito da azioni concesse per ogni servizio nella policy. Puoi visualizzare la policy in JSON premendo il pulsante JSON.

Schermata del riepilogo di una policy

D: Cos'è il simulatore di policy IAM?
Il simulatore di policy IAM è uno strumento che consente di analizzare, verificare e convalidare gli effetti delle policy di controllo accessi.

D: Per cosa è possibile utilizzare il simulatore di policy?  
Il simulatore di policy può essere utilizzato in numerosi modi. Puoi verificare le modifiche apportate alle policy per assicurarti di ottenere i risultati desiderati prima di implementarle nell'ambiente di produzione. Puoi inoltre convalidare le policy esistenti associate a utenti, gruppi e ruoli per verificare i permessi e risolvere gli eventuali problemi riscontrati. Puoi infine utilizzare il simulatore di policy per analizzare il funzionamento congiunto delle policy IAM e delle policy basate sulle risorse nei processi di concessione o negazione dell'accesso alle risorse AWS.

D: Chi può utilizzare il simulatore di policy?
Il simulatore di policy è disponibile a tutti i clienti AWS.

D: Quanto costa il simulatore di policy?
Il simulatore di policy è disponibile senza alcun costo aggiuntivo.

D: Come si inizia a usarlo?
Visita il sito https://policysim.aws.amazon.com oppure fai clic sul collegamento nel riquadro "Additional Information" (Informazioni aggiuntive) della console IAM. Specifica una nuova policy oppure scegli un set esistente di policy da un utente, un gruppo o un ruolo che desideri valutare. Seleziona quindi un set di operazioni nell'elenco di servizi AWS, fornisci le informazioni richieste per simulare la richiesta di accesso e quindi esegui la simulazione per determinare se la policy consente o nega i permessi associati alle operazioni e alle risorse selezionate. Per ulteriori informazioni relative al simulatore di policy IAM, guarda il video Getting Started oppure consulta la documentazione.

D: Che tipo di policy supporta il simulatore di policy IAM?
Il simulatore di policy supporta il processo di test delle nuove policy inserite e delle policy esistenti associate a utenti, gruppi o ruoli. Puoi inoltre simulare se le policy a livello di risorse concedono l'accesso a una risorsa specifica per i bucket di Amazon S3, i vault di Amazon Glacier, gli argomenti di Amazon SNS e le code di Amazon SQS. Queste informazioni sono incluse nella simulazione quando viene specificato un ARN (Amazon Resource Name) nel campo Resource (Risorsa) nell'area Simulation Settings (Impostazioni di simulazione) relativa a un servizio che supporta le policy delle risorse.

D: Se modifico una policy nel simulatore delle policy, tali modifiche sono persistenti anche nell'ambiente di produzione?
No. Per applicare le modifiche anche all'ambiente di produzione, copia la policy modificata nel simulatore di policy e quindi associalo all'utente, gruppo o ruolo IAM desiderato.

D: Posso utilizzare il simulatore di policy a livello di codice?
Sì. Puoi utilizzare il simulatore di policy utilizzando gli SDK AWS oppure l'interfaccia a riga di comando AWS assieme alla console del simulatore stesso. Utilizza l'API iam:SimulatePrincipalPolicy per testare a livello di codice le policy IAM esistenti. Per testare gli effetti delle nuove policy o delle policy aggiornate non ancora associate a un utente, gruppo o ruolo, effettua una chiamata all'API iam:SimulateCustomPolicy.  


D: In che modo un utente IAM effettua l'accesso?

Per effettuare l'accesso alla Console di gestione AWS come utente IAM, è necessario indicare il proprio ID account o alias account, oltre a nome utente e password. Una volta che l'amministratore ha creato il tuo utente IAM nella console, ti fornirà il nome utente e l'URL per la pagina di accesso al tuo account. Tale URL include il tuo ID account o alias account.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

Puoi anche effettuare l'accesso al seguente endpoint di accesso generale e digitare manualmente il tuo ID account o alias account:

https://console.aws.amazon.com/

Per comodità, la pagina di accesso AWS utilizza un cookie del browser per ricordare nome utente IAM e informazioni dell'account. La volta successiva in cui l'utente navigherà a qualsiasi pagina della Console di gestione AWS, la console utilizzerà il cookie per reindirizzare l'utente alla pagina di accesso all'account.

Nota: gli utenti IAM possono ancora utilizzare il link dell'URL fornito loro dall'amministratore per effettuare l'accesso alla Console di gestione AWS.

D: Cos'è un alias dell'account AWS?

L'alias dell'account è un nome definito per semplificare e velocizzare l'identificazione dell'account. È possibile creare un alias utilizzando le API di IAM, gli strumenti a riga di comando AWS oppure la console IAM. Un account AWS può avere solo un alias.

D: A quali siti AWS possono accedere gli utenti IAM?

Gli utenti IAM possono accedere ai seguenti siti AWS:

D: Gli utenti IAM possono accedere ad altre proprietà di Amazon.com mediante le proprie credenziali?
No. Gli utenti creati con IAM vengono riconosciuti solo dai servizi e dalle applicazioni AWS.

D: È disponibile un'API di autenticazione per verificare gli accessi degli utenti IAM?
No. A livello di codice non esiste alcun modo per verificare gli accessi degli utenti.

D: Gli utenti possono effettuare l'autenticazione SSH per le istanze EC2 utilizzando il proprio nome utente AWS e la propria password AWS?
No. Le credenziali di sicurezza degli utenti create con IAM non sono supportate per l'autenticazione diretta delle istanze EC2 dei clienti. La gestione delle credenziali SSH EC2 è di responsabilità del cliente mediante la console EC2.


D: Cosa sono le credenziali di sicurezza provvisorie?
Le credenziali di sicurezza provvisorie sono composte dall'ID della chiave di accesso AWSID, dalla Secret Access Key e dal token di sicurezza. Le credenziali di sicurezza provvisorie sono valide per una durata specificata e per uno specifico set di permessi. Le credenziali di sicurezza provvisorie vengono talvolta definite token. È possibile richiedere i token per gli utenti IAM o per gli utenti federati gestiti nella propria directory aziendale. Per ulteriori informazioni, consulta Common Scenarios for Temporary Credentials.

D: Quali sono i vantaggi delle credenziali di sicurezza provvisorie?
Le credenziali di sicurezza provvisorie consentono di:

  • Estendere le directory interne degli utenti per abilitare la federazione con AWS e consentire a dipendenti e applicazioni di accedere in modalità sicura alle API del servizio AWS senza la necessità di creare un'identità AWS specifica per tali elementi.
  • Richiedere credenziali di sicurezza provvisorie per un numero illimitato di utenti federati.
  • Configurare il periodo di tempo trascorso il quale le credenziali di sicurezza provvisorie scadono, garantendo in questo modo livelli avanzati di sicurezza durante l'accesso alle API dei servizi AWS mediante dispositivi mobili (che possono essere soggetti a un elevato rischio di perdita).

D: Com'è possibile richiedere le credenziali di sicurezza provvisorie per gli utenti federati?
Puoi effettuare una chiamata alle API STS GetFederationToken, AssumeRole, AssumeRoleWithSAML o AssumeRoleWithWebIdentity.

D: In che modo gli utenti IAM possono richiedere le credenziali di sicurezza provvisorie a uso personale?
Gli utenti IAM possono richiedere le credenziali di sicurezza provvisorie a uso personale effettuando una chiamata all'API AWS STS GetSessionToken. La scadenza di default delle credenziali provvisorie è pari a 12 ore. La scadenza minima è pari a 15 minuti, mentre la scadenza massima è pari a 36 ore.

Puoi inoltre utilizzare le credenziali provvisorie con l'accesso all'API protetto mediante Multi-Factor Authentication (MFA).

D: Com'è possibile utilizzare le credenziali di sicurezza provvisorie per chiamare le API del servizio AWS?
Se stai effettuando richieste API HTTPS dirette ad AWS, puoi firmare tali richieste mediante credenziali di sicurezza provvisorie recuperabili da AWS Security Token Service (AWS STS). A tale scopo, procedi nel seguente modo:

  • Utilizza l'ID chiave di accesso e la Secret Access Key forniti assieme alle credenziali di sicurezza provvisorie nello stesso modo valido per le credenziali a lungo termine usate per firmare una richiesta. Per ulteriori informazioni sulla firma delle richieste API HTTPS, consulta Signing AWS API Requests nella documentazione generale di riferimento di AWS.
  • Utilizza il token della sessione fornito assieme alle credenziali di sicurezza provvisorie. Includi il token della sessione nell'intestazione "x-amz-security-token". Fai riferimento alla seguente richiesta di esempio.
    • Per Amazon S3, mediante l'intestazione HTTP "x-amz- security-token". 
    • Per gli altri servizi AWS, mediante il parametro SecurityToken.

D: Quali servizi AWS accettano le credenziali di sicurezza provvisorie?
Per un elenco completo dei servizi supportati, consulta Servizi AWS supportati da IAM.

D: Qual è la dimensione massima della policy di accesso che posso specificare quando richiedo le credenziali di sicurezza provvisorie (GetFederationToken o AssumeRole)?
Il testo non crittografato della policy deve avere una dimensione minore o uguale a 2048 byte. Tuttavia, la conversione interna comprime la policy in un formato binario compresso con un limite distinto.

D: Una credenziale di sicurezza provvisoria può essere revocata prima della sua scadenza?
No. Quando vengono richieste le credenziali provvisorie, consigliamo di attenersi alle seguenti indicazioni:

  • Durante la creazione delle credenziali di sicurezza provvisorie imposta la scadenza su un valore adatto all'applicazione specifica.
  • Dal momento che i permessi dell'account root non possono essere limitati, utilizza un utente IAM e non l'account root per la creazione delle credenziali di sicurezza provvisorie. Puoi revocare i permessi dell'utente IAM che ha emesso la chiamata originale della richiesta corrispondente. Questa operazione revoca immediatamente i privilegi relativi a tutte le credenziali di sicurezza provvisorie emesse da tale utente IAM

D: Posso riattivare o estendere la scadenza delle credenziali di sicurezza provvisorie?
No. È buona norma verificare realmente la scadenza e richiedere una nuova credenziale di sicurezza provvisoria prima della scadenza di quella precedente. Questo processo di rotazione viene gestito automaticamente quando vengono utilizzate le credenziali di sicurezza provvisorie nei ruoli per le istanze EC2.

D: Le credenziali di sicurezza provvisorie sono supportate in tutte le regioni?
I clienti possono richiedere i token dagli endpoint di AWS STS in tutte le regioni, comprese le regioni AWS GovCloud (Stati Uniti) e Cina (Pechino). Le credenziali provvisorie dalle regioni AWS GovCloud (Stati Uniti) e Cina (Pechino) possono essere utilizzate nella regione da cui hanno avuto origine. Le credenziali provvisorie richieste da qualsiasi altra regione, ad esempio Stati Uniti orientali (Virginia settentrionale) o UE (Irlanda), possono essere utilizzate in tutte le regioni, escluse le regioni AWS GovCloud (Stati Uniti) e Cina (Pechino).

D: Posso limitare l'utilizzo delle credenziali di sicurezza provvisorie a una regione o a un sottoinsieme di regioni?

No. Non è possibile limitare le credenziali di sicurezza provvisorie a una regione o a un sottoinsieme di regioni, tranne le credenziali di sicurezza provvisorie della regione AWS GovCloud (Stati Uniti) e Cina (Pechino), che possono essere utilizzate solo nelle regioni da cui hanno avuto origine.

D: Cosa devo fare prima di iniziare a utilizzare un endpoint di AWS STS?

Gli endpoint di AWS STS sono attivi per default in tutte le regioni e pertanto puoi iniziare a utilizzarli senza ulteriori interventi.

D: Cosa succede se provo a utilizzare un endpoint regionale di AWS STS disattivato per il mio account AWS?

Se tenti di utilizzare un endpoint regionale di AWS STS disattivato per il tuo account AWS, verrà visualizzata un'eccezione AccessDenied da AWS STS con il seguente messaggio: "AWS STS is not activated in this region for account: AccountID. Your account administrator can activate AWS STS in this region using the IAM console." (AWS STS non è attivato in questa regione per l'account: ID_account. L'amministratore degli account può attivare AWS STS in questa regione utilizzando la console IAM).

D: Quali permessi sono richiesti per attivare o disattivare le regioni AWS STS nella pagina Account Settings (Impostazioni account)?

Solo gli utenti con almeno i permessi iam:* possono attivare o disattivare le regioni di AWS STS nella pagina Account Settings (Impostazioni account) della console IAM. Gli endpoint di AWS STS nelle regioni Stati Uniti orientali (Virginia settentrionale), AWS GovCloud (Stati Uniti) e Cina (Pechino) sono sempre attivi e non possono essere disattivati.

D: Posso utilizzare l'API o l'interfaccia a riga di comando per attivare o disattivare le regioni di AWS STS?

No. Attualmente non è disponibile alcun supporto per API o interfacce a riga di comando per attivare o disattivare le regioni di AWS STS. Prevediamo di fornire il supporto alle API e alle interfacce a riga di comando in una versione futura.


D: Cos'è la federazione delle identità?
AWS Identity and Access Management (IAM) supporta la federazione delle identità per l'accesso delegato alla Console di gestione AWS o alle API di AWS. Grazie alla federazione delle identità, le identità esterne riescono ad accedere in modalità sicura alle risorse nell'account AWS senza la necessità di creare utenti IAM. Queste identità esterne possono provenire da un fornitore di identità aziendali (ad esempio Microsoft Active Directory o AWS Directory Service) oppure da un provider di identità Web (ad esempio Amazon Cognito, Login with Amazon, Facebook, Google o qualsiasi altro provider compatibile con OpenID Connect).

D: Cosa sono gli utenti federati?
Gli utenti federati (identità esterne) sono utenti gestiti al di fuori di AWS nella directory aziendale, ma a cui viene concesso l'accesso al tuo account AWS utilizzando le credenziali di sicurezza provvisorie. Sono diversi dagli utenti IAM, che vengono creati e gestiti nel tuo account AWS.

D: È supportato lo standard SAML?
Sì. AWS supporta lo standard Security Assertion Markup Language (SAML) 2.0.

D: Quali profili SAML sono supportati da AWS?
L'endpoint SSO (Single Sign-On) di AWS supporta il profilo SAML WebSSO di associazione HTTP-POST avviato dal provider di identità. Ciò consente a un utente federato di accedere alla Console di gestione AWS utilizzando un'asserzione SAML. Un'asserzione SAML può essere utilizzata anche per richiedere le credenziali di sicurezza provvisorie utilizzando l'API AssumeRoleWithSAML. Per ulteriori informazioni, consulta About SAML 2.0-Based Federation.

D: Gli utenti federati possono accedere alle API di AWS?
Sì. Puoi richiedere a livello di codice le credenziali di sicurezza provvisorie per gli utenti federati per fornire loro l'accesso diretto e sicuro alle API di AWS. È disponibile un'applicazione di esempio che dimostra come puoi abilitare la federazione delle identità in modo da fornire agli utenti gestiti da Microsoft Active Directory l'accesso alle API del servizio AWS. Per ulteriori informazioni, consulta Using Temporary Security Credentials to Request Access to AWS Resources.

D: Gli utenti federati possono accedere alla Console di gestione AWS?
Sì. A tale scopo sono disponibili due modi. Puoi richiedere a livello di codice le credenziali di sicurezza provvisorie (ad esempio GetFederationToken o AssumeRole) per gli utenti federati e includere tali credenziali nella richiesta di accesso alla Console di gestione AWS. Dopo aver autenticato un utente e avergli concesso le credenziali di sicurezza provvisorie, puoi generare un token di accesso che verrà utilizzato dall'endpoint SSO (Single Sign-On) di AWS. Le operazioni consentite all'utente nella console sono limitate dalla policy di controllo accessi associata alle credenziali di sicurezza provvisorie. Per ulteriori informazioni, consulta Creating a URL that Enables Federated Users to Access the AWS Management Console (Custom Federation Broker).

In alternativa, puoi pubblicare un'asserzione SAML direttamente nella pagina di accesso ad AWS (https://signin.aws.amazon.com/saml). Le operazioni consentite all'utente nella console sono limitate dalla policy di controllo accessi associata al ruolo IAM assegnato utilizzando l'asserzione SAML. Per ulteriori informazioni, consulta Enabling SAML 2.0 Federated Users to Access the AWS Management Console.

L'utilizzo di uno dei questi due approcci consente a un utente federato di accedere alla console senza la necessità di accedere mediante un nome utente e una password. È disponibile un'applicazione di esempio che dimostra come puoi abilitare la federazione delle identità in modo da fornire agli utenti gestiti da Microsoft Active Directory l'accesso alla Console di gestione AWS. 

D: Come controllo cosa può fare un utente federato dopo il suo accesso alla console?
Quando richiedi le credenziali di sicurezza provvisorie per un utente federato mediante l'API AssumeRole, puoi facoltativamente includere una policy di accesso alla richiesta. I privilegi dell'utente federato sono costituiti dalla combinazione dei permessi concessi dalla policy di accesso passata con la richiesta con la policy di accesso associata al ruolo IAM assegnato. La policy di accesso passata con la richiesta non può innalzare di livello i privilegi associati al ruolo IAM assegnato. Quando richiedi le credenziali di sicurezza provvisorie per un utente federato mediante l'API GetFederationToken, devi includere una policy di controllo accessi nella richiesta. I privilegi dell'utente federato sono costituiti dalla combinazione dei permessi concessi dalla policy di accesso passata con la richiesta con la policy di accesso associata all'utente IAM utilizzato per effettuare la richiesta. La policy di accesso passata con la richiesta non può innalzare di livello i privilegi associati all'utente IAM utilizzato per effettuare la richiesta. Questi permessi dell'utente federato si applicano sia all'accesso all'API che alle operazioni eseguite all'interno della Console di gestione AWS.

D: Quali permessi deve avere un utente federato per poter utilizzare la console?
Un utente necessita dei permessi per le API del servizio AWS chiamate dalla Console di gestione AWS. I permessi comuni richiesti per accedere ai servizi AWS sono documentati nella sezione Using Temporary Security Credentials to Request Access to AWS Resources.

D: Come è possibile controllare quanto a lungo un utente federato può accedere alla console di gestione AWS?
A seconda dell'API utilizzata per creare le credenziali di sicurezza provvisorie, puoi specificare un limite per la sessione compreso tra 15 minuti e 36 ore (per le API GetFederationToken e GetSessionToken) e tra 15 minuti e 12 ore (per le API AssumeRole*). Durante tale intervallo l'utente federato potrà accedere alla console. Quando la sessione scade, l'utente deve richiedere una nuova sessione tornando al tuo provider di identità, dove potrai concedere di nuovo l'accesso. Per ulteriori informazioni sulla configurazione della durata di una sessione, consulta questa pagina

D: Cosa succede in caso di timeout della sessione della console della federazione delle identità?
All'utente viene visualizzato un messaggio indicante che si è verificato il timeout della sessione della console e che pertanto è necessario richiedere una nuova richiesta. Puoi specificare un URL per indirizzare l'utente alla pagina Web della intranet locale dove sarà possibile richiedere una nuova sessione. Aggiungi questo URL quando specifichi un parametro Issuer nella richiesta di accesso. Per ulteriori informazioni, consulta Enabling SAML 2.0 Federated Users to Access the AWS Management Console.

D: A quanti utenti federati posso concedere l'accesso alla Console di gestione AWS?
Non esiste alcun limite al numero di utenti federati a cui è possibile concedere l'accesso alla console.

D: Cos'è la federazione delle identità Web?

La federazione delle identità Web consente di creare applicazioni mobili con tecnologia AWS che utilizzano provider di identità pubbliche (ad esempio Amazon Cognito, Login with Amazon, Facebook, Google o qualsiasi provider compatibile con OpenID Connect) per l'autenticazione. La federazione di identità Web ti consente di semplificare l'integrazione dell'accesso dai provider di identità pubbliche nelle applicazioni senza dover scrivere codice sul lato server e senza dover distribuire credenziali di sicurezza AWS a lungo termine assieme all'applicazione.

Per ulteriori informazioni sulla federazione delle identità Web e su come iniziare, consulta About Web Identity Federation.

 

D: Come faccio ad abilitare la federazione delle identità Web con account provenienti da provider di identità pubbliche?

Per ottimizzare i risultati, utilizza Amazon Cognito come gestore identità per quasi tutti gli scenari di federazione delle identità Web. Amazon Cognito è semplice da utilizzare e fornisce funzionalità aggiuntive quali, ad esempio, l'accesso anonimo (non autenticato) e la sincronizzazione dei dati utente tra dispositivi e provider. Tuttavia, se hai già creato un'applicazione che utilizza la federazione delle identità Web mediante una chiamata manuale all'API AssumeRoleWithWebIdentity, puoi continuare a utilizzarla perché le applicazioni continueranno a funzionare correttamente.

Di seguito sono descritti i passaggi di base per abilitare la federazione delle identità utilizzando uno dei provider di identità Web supportati:

  1. Effettua la registrazione come sviluppatore al provider di identità Web e quindi configura l'applicazione con tale provider, che provvederà a fornire un ID univoco per l'applicazione.
  2. Se utilizzi un provider di identità compatibile con OIDC, crea un'entità provider di identità in IAM.
  3. In AWS, crea uno o più ruoli IAM. 
  4. Nella tua applicazione effettua l'autenticazione degli utenti con il provider di identità pubbliche.
  5. Nella tua applicazione effettua una chiamata non firmata all'API AssumeRoleWithWebidentity per richiedere le credenziali di sicurezza provvisorie. 
  6. Mediante le credenziali di sicurezza provvisorie accedi alla risposta AssumeRoleWithWebidentity. L'applicazione effettuerà richieste firmate alle API di AWS.
  7. L'applicazione memorizza le credenziali di sicurezza provvisorie nella cache in modo che tu non debba richiederne di nuove ogni volta che l'applicazione deve effettuare una richieda ad AWS.

Per ulteriori informazioni, consulta Using Web Identity Federation APIs for Mobile Apps.

D: In che modo la federazione delle identità che utilizza AWS Directory Service è diversa dall'utilizzo di una soluzione di gestione delle identità di terze parti?

Se vuoi che gli utenti federati siano in grado di accedere solo alla Console di gestione AWS, l'utilizzo di AWS Directory Service fornisce funzionalità simili all'uso di una soluzione di gestione delle identità di terze parti. Gli utenti finali sono in grado di effettuare l'accesso alla Console di gestione AWS utilizzando le credenziali aziendali esistenti. Dal momento che AWS Directory Service è un servizio gestito, i clienti non devono impostare e gestire l'infrastruttura della federazione, ma dovranno creare una directory del connettore di Active Directory da integrare con la directory locale. Se intendi concedere agli utenti federati l'accesso alle API di AWS, utilizza un prodotto di terze parti oppure implementa un server proxy personalizzato.


D: La fatturazione di AWS fornisce analisi dettagliate relative all'utilizzo e ai costi aggregati per utente?
No. Questo tipo di analisi non è supportato.

D: Il servizio IAM prevede costi?
No. Questa è una funzionalità dell'account AWS offerta senza costi aggiuntivi.

D: Chi paga l'utilizzo da parte degli utenti in un account AWS?
Il proprietario dell'account AWS controlla ed è responsabile dell'utilizzo, dei dati e delle risorse associati all'account.

D: L'attività fatturabile di un utente viene registrata nei dati relativi all'utilizzo di AWS?
Al momento non ancora. Prevediamo di implementare questa funzionalità in una versione futura.

D: In che modo IAM esegue il confronto con la fatturazione consolidata?
IAM e la fatturazione consolidata sono due caratteristiche diverse. La fatturazione consolidata consente di designare un unico account di pagamento per consolidare i pagamenti di più account AWS all'interno della società. L'ambito di IAM non è correlato alla fatturazione consolidata. Esiste un utente nell'ambito di un account AWS, ma non ha permessi a livello di account collegati. Per ulteriori informazioni, consulta Paying Bills for Multiple Accounts Using Consolidated Billing.

D: Un utente può accedere alle informazioni di fatturazione relative agli account AWS?
Sì, ma solo se lo autorizzi a farlo. Affinché gli utenti IAM possano accedere alle informazioni sulla fatturazione, devi innanzitutto concedere l'accesso all'opzione "Account Activity" (Attività account) oppure "Usage Reports" (Report sull'utilizzo). Consulta Controlling Access.


D: Cosa succede se un utente cerca di accedere a un servizio non ancora integrato mediante IAM?
Il servizio restituisce un errore di tipo "Access denied" (Accesso negato).

D: Le operazioni IAM vengono registrate per finalità di controllo?
Sì. Puoi registrare le operazioni IAM, le operazioni STS e gli accessi alla Console di gestione AWS attivando AWS CloudTrail. Per ulteriori informazione sulla registrazione AWS, consulta AWS CloudTrail.

D: C'è differenza tra persone e agenti software per quanto riguarda le entità AWS?
No. Queste entità vengono entrambe considerate utenti con credenziali e permessi di sicurezza. Tuttavia, le persone sono le uniche a utilizzare una password nella Console di gestione AWS.

D: Gli utenti utilizzano il Centro di Sicurezza AWS e AWS Trusted Advisor?
Sì. Gli utenti hanno la possibilità di creare e modificare i casi di supporto, nonché di utilizzare Trusted Advisor.

D: Esistono limiti di quota di default associati a IAM?
Sì. Per default, l'account AWS è caratterizzato da quote iniziali impostate per tutte le entità correlate a IAM. Per ulteriori informazioni, consulta Limitations on IAM Entities and Objects.

Queste quote sono soggette a modifiche. Se hai bisogno di aumentare tale limite, puoi accedere al modulo di richiesta di aumento del limite di servizio mediante la pagina Contattaci e quindi scegliere IAM Groups and Users (Gruppi e utenti IAM) nell'elenco a discesa Limit Type (Tipo di limite).


D: Cos'è AWS MFA?
AWS Multi-Factor Authentication (AWS MFA) garantisce un ulteriore livello di sicurezza applicabile all'ambiente AWS. Puoi abilitare AWS MFA per il tuo account AWS e per utenti di AWS Identity and Access Management (IAM) specifici creati utilizzando il tuo account.

D: Come funziona AWS MFA?
AWS MFA utilizza un dispositivo di autenticazione che genera continuamente codici di autenticazione monouso a sei cifre casuali. Sono disponibili due metodi principali per eseguire l'autenticazione utilizzando un dispositivo AWS MFA:

  • Utenti della Console di gestione AWS: quando un utente con la funzionalità MFA abilitata esegue l'accesso ad un sito Web AWS, gli verrà richiesto di immettere il proprio nome utente e la propria password (primo fattore di autenticazione, ovvero le informazioni note all'utente) e quindi un codice di autenticazione generato dal dispositivo AWS MFA (secondo fattore di autenticazione, le informazioni inviate loro). Tutti i siti Web AWS che richiedono l'accesso, ad esempio la Console di gestione AWS, supportano completamente AWS MFA. Puoi anche utilizzare AWS MFA assieme all'eliminazione sicura di Amazon S3 per ottenere un ulteriore livello di protezione delle versioni archiviate in S3.
  • Utenti delle API di AWS: puoi implementare l'autenticazione MFA aggiungendo limitazioni MFA alle policy IAM. Per accedere alle API e alle risorse protette in questo modo, gli sviluppatori devono richiedere le credenziali di sicurezza provvisorie e passare i parametri MFA facoltativi nelle relative richieste di API di AWS Security Token Service (STS) (il servizio che emette le credenziali di sicurezza provvisorie). Le credenziali di sicurezza provvisorie convalidate da MFA possono essere utilizzate per effettuare chiamate a risorse e API protette mediante MFA.

D: In che modo è possibile proteggere le risorse AWS con MFA?
La procedura si articola in due passaggi:

1. Ottenere un dispositivo di autenticazione. Le opzioni disponibili sono due:

  • Acquistare un dispositivo hardware da Gemalto, un provider di terze parti.
  • Installare un'applicazione compatibile con MFA su un dispositivo, ad esempio uno smartphone.

Consulta la pagina AWS MFA per informazioni su come acquistare un dispositivo MFA hardware o virtuale.

2: Una volta ottenuto un dispositivo di autenticazione, è necessario autenticarlo nella console di IAM. Il dispositivo può anche essere attivato per un utente IAM tramite l'interfaccia a riga di comando di IAM.

D: L'utilizzo di AWS MFA prevede il pagamento di una tariffa?
AWS non prevede il pagamento di costi aggiuntivi per l'utilizzo di AWS MFA con il tuo account AWS. Tuttavia, se vuoi utilizzare un dispositivo di autenticazione vero e proprio, dovrai acquistare un dispositivo di autenticazione compatibile con AWS MFA da Gemalto, un provider di terze parti. Per ulteriori informazioni, visita il sito Web di Gemalto.

D: Posso avere più dispositivi di autenticazione attivi per il mio account AWS?
Sì. Ogni utente IAM può avere il proprio dispositivo di autenticazione. Tuttavia, ogni identità (utente IAM o account root) può essere associata solo a un dispositivo di autenticazione.

D: Posso utilizzare il mio dispositivo di autenticazione con più account AWS?
No. Il dispositivo di autenticazione o il numero di cellulare è associato a una specifica identità AWS (utente IAM o account root). Se disponi di un'applicazione compatibile con TOTP installata nello smartphone, puoi creare più dispositivi MFA virtuali nello stesso smartphone. Ogni dispositivo MFA virtuale è associato a un'entità specifica, in modo analogo a quanto avviene per un dispositivo hardware. Se annulli l'associazione del dispositivo di autenticazione (disattivazione), potrai riutilizzare il dispositivo con un'identità AWS diversa. Il dispositivo di autenticazione non può essere utilizzato da più identità contemporaneamente.

D: Dispongo già di un dispositivo di autenticazione hardware in ufficio o di un altro servizio che in genere uso. Posso riutilizzare questo dispositivo con AWS MFA?
No. Per supportare l'utilizzo di un dispositivo di questo genere, AWS MFA si avvale di un unico segreto associato al dispositivo di autenticazione. Dal momento che i vincoli di sicurezza che disciplinano questi segreti non possono essere condivisi da più parti, AWS MFA non può supportare l'utilizzo di un dispositivo di autenticazione hardware esistente. Con AWS MFA è possibile utilizzare solo un dispositivo di autenticazione hardware compatibile acquistato presso Gemalto.

D: Ho riscontrato problemi con l'ordine di un dispositivo di autenticazione inoltrato tramite il sito Web di Gemalto, un provider di terze parti. Dove posso trovare informazioni al riguardo?
Il servizio di supporto clienti di Gemalto è in grado di fornirti tutto il supporto necessario.

D: Ho ricevuto un dispositivo di autenticazione difettoso o danneggiato da Gemalto, un provider di terze parti. Dove posso trovare informazioni al riguardo?
Il servizio di supporto clienti di Gemalto è in grado di fornirti tutto il supporto necessario.

D: Ho appena ricevuto un dispositivo di autenticazione dal provider di terze parti Gemalto. Quale procedura devo seguire?
Devi semplicemente attivare il dispositivo di autenticazione per abilitare AWS MFA per il tuo account AWS. Consulta la console IAM per completare questa attività.

D: Cos'è un dispositivo MFA virtuale?
Un dispositivo MFA virtuale è una voce creata in un'applicazione software compatibile con TOTP in grado di generare codici di autenticazione a sei cifre. L'applicazione software può essere eseguita su qualsiasi dispositivo di elaborazione compatibile, ad esempio uno smartphone.

D: Quali sono le differenze tra un dispositivo MFA virtuale e i dispositivi MFA fisici?
I dispositivi MFA virtuali utilizzano lo stesso protocollo dei dispositivi MFA fisici. I dispositivi MFA virtuali si basano sul software e possono essere eseguiti su dispositivi esistenti, ad esempio smartphone. La maggior parte delle applicazioni MFA virtuali consente inoltre di abilitare più dispositivi MFA virtuali. Ciò rende i dispositivi MFA virtuali molto più convenienti rispetto a quelli fisici.

D: Quali applicazioni MFA virtuali posso utilizzare con AWS MFA?
Puoi utilizzare le applicazioni che generano codici di autenticazione conformi con TOTP, ad esempio l'applicazione Google Authenticator, assieme ad AWS MFA. Puoi effettuare automaticamente il provisioning dei dispositivi MFA virtuali eseguendo la scansione di un codice QR con la fotocamera del dispositivo oppure immettendo i seed manualmente nell'applicazione MFA virtuale.

Visita la pagina MFA per un elenco di applicazioni MFA virtuali supportate.

D: Cos'è il codice QR?
Il codice QR è un codice a barre bidimensionale che può essere letto mediante un lettore di codici a barre QR dedicato e la maggior parte degli smartphone. Il codice è composto da quadratini neri disposti all'interno di schemi a forma quadrata più grandi su uno sfondo bianco. Il codice QR contiene le informazioni sulla configurazione della sicurezza richieste per effettuare il provisioning di un dispositivo MFA virtuale nell'applicazione MFA virtuale.

D: Come effettuo il provisioning di un nuovo dispositivo MFA virtuale?
Puoi configurare un nuovo dispositivo MFA virtuale nella console IAM per gli utenti IAM, nonché per l'account root AWS. Puoi anche utilizzare il comando "aws iam create-virtual-mfa-device" nell'interfaccia a riga di comando AWS oppure l'API CreateVirtualMFADevice per effettuare il provisioning di nuovi dispositivi MFA virtuali con il tuo account. Il comando "aws iam create-virtual-mfa-device" e l'API CreateVirtualMFADevice restituiscono le informazioni richieste sulla configurazione, denominate seed, per configurare il dispositivo MFA virtuale nell'applicazione compatibile con AWS MFA. Puoi concedere agli utenti IAM i permessi per chiamare questa API direttamente oppure effettuare automaticamente il provisioning iniziale.

 

D: Come dovrei gestire e distribuire il materiale relativo ai seed per i dispositivi MFA virtuali?
Devi considerare il materiale relativo ai seed in modo analogo a qualsiasi altro segreto, ad esempio le chiavi segrete e le password AWS.

D: Come posso abilitare un utente IAM affinché gestisca i dispositivi MFA virtuali utilizzando il mio account?
Concedi all'utente IAM il permesso di chiamare l'API CreateVirtualMFADevice. Puoi utilizzare questa API per effettuare il provisioning dei nuovi dispositivi MFA virtuali.

D: È ancora possibile richiedere l'accesso in anteprima a SMS MFA?

Non saranno più accettati nuovi partecipanti all'anteprima di SMS MFA. Per utilizzare MFA sul proprio account AWS, consigliamo di utilizzare un dispositivo MFA hardware o virtuale.

D: In che modo è possibile utilizzare l'opzione SMS durante l'anteprima?

Per i partecipanti all'anteprima, è possibile aprire la console di IAM e abilitare SMS MFA per gli utenti IAM. Il processo richiede l'inserimento di un numero di telefono per ogni utente IAM. Quando poi l'utente IAM effettua l'accesso alla Console di gestione AWS, riceverà un SMS standard contenente il codice di sicurezza a sei cifre che dovrà immettere durante la procedura di accesso.

D: Dove posso abilitare AWS MFA?
Puoi abilitare AWS MFA per un account AWS e per gli utenti IAM nella console IAM, nell'interfaccia a riga di comando AWS oppure effettuando una chiamata all'API di AWS.

D: Quali sono le informazioni necessarie per attivare un dispositivo di autenticazione hardware o virtuale?
Se attivi il dispositivo MFA con la console IAM, è sufficiente disporre solo del dispositivo. Se utilizzi l'interfaccia a riga di comando AWS oppure l'API di IAM, avrai bisogno delle seguente informazioni:

1. Numero di serie del dispositivo di autenticazione. Il formato del numero di serie dipende dal dispositivo hardware o virtuale in uso:

- Dispositivo MFA hardware: il numero di serie si trova sull'etichetta con codice a barre sulla parte posteriore del dispositivo.
- Dispositivo MFA virtuale: il numero di serie è il valore ARN (Amazon Resource Name) restituito quando esegui il comando "iam-virtualmfadevicecreate" nell'interfaccia a riga di comando AWS oppure quando effettui una chiamata all'API CreateVirtualMFADevice.

2. Due codici di autenticazione consecutivi visualizzati dal dispositivo di autenticazione.

D: Il dispositivo di autenticazione sembra funzionare correttamente, ma non riesco ad attivarlo. Quale procedura devo seguire?
Per informazioni, contattaci.

D: Attivando AWS MFA per l'account root di AWS o per gli utenti IAM, sarà sempre necessario utilizzare un codice di autenticazione per accedere alla Console di gestione AWS?
Sì. L'utente con le credenziali dell'account root di AWS e gli utenti IAM dovranno sempre utilizzare il proprio dispositivo MFA per accedere a qualsiasi sito di AWS.

Se il dispositivo viene smarrito, danneggiato, rubato oppure non funziona, è possibile accedere utilizzando un fattore di autenticazione alternativo, disattivando il dispositivo MFA e attivando un nuovo dispositivo MFA. La best practice di sicurezza consigliata è di modificare la password dell'account root.

In caso di utilizzo di dispositivi MFA virtuali e hardware, se gli utenti IAM smarriscono o danneggiano il proprio dispositivo di autenticazione, oppure se tale dispositivo viene rubato o non funziona correttamente, è possibile disabilitare AWS MFA manualmente tramite la console IAM oppure l'interfaccia a riga di comando di AWS.

D: Se abilito AWS MFA per l'account root AWS o per gli utenti IAM, sarà sempre necessario immettere un codice MFA per chiamare direttamente le API di AWS?
No, è facoltativo. Tuttavia, dovrai immettere un codice MFA se prevedi di chiamare le API protette mediante l'accesso protetto con MFA.

Se effettui chiamate alle API di AWS utilizzando le chiavi di accesso per l'account root AWS o per l'utente IAM, non dovrai immettere alcun codice MFA. Per motivi di sicurezza, consigliamo di rimuovere tutte le chiavi di accesso dall'account root AWS ed effettuare invece una chiamata alle API di AWS con le chiavi di accesso per un utente IAM associato ai permessi richiesti.

D: Qual è la procedura per accedere al portale AWS e alla Console di gestione AWS utilizzando un dispositivo di autenticazione?
La procedura si articola in due fasi:

Se accedi come account root AWS, puoi utilizzare nome utente e password. Per accedere come utente IAM, usa l'URL specifico dell'account e digita nome utente e password.

Nella pagina successiva immetti il codice di autenticazione a sei cifre visualizzato sul tuo dispositivo di autenticazione.

D: AWS MFA influenza in qualche modo la modalità di accesso alle API del servizio AWS?
AWS MFA modifica la modalità di accesso degli utenti IAM alle API del servizio AWS solo se gli amministratori degli account scelgono di abilitare l'accesso alle API protetto mediante MFA. Gli amministratori possono abilitare questa funzionalità per aggiungere un layer di sicurezza aggiuntivo all'accesso ad API sensibili richiedendo agli intermediari di eseguire l'autenticazione con un dispositivo AWS MFA. Per ulteriori informazioni, consulta la documentazione relativa all'accesso alle API protetto mediante MFA.

Altre eccezioni includono il controllo delle versioni dei bucket S3 PUT, il controllo delle versioni dei bucket GET e le API dell'oggetto DELETE, che consentono di impostare l'autenticazione MFA in modo che elimini o modifichi lo stato del controllo delle versioni del bucket. Per ulteriori informazioni, consulta la sezione Configuring a Bucket with MFA Delete nella documentazione di S3.

Per tutti gli altri casi, attualmente AWS MFA non modifica le modalità di accesso alle API del servizio AWS.

D: Posso utilizzare un codice di autenticazione specifico più di una volta?
No. Per motivi di sicurezza puoi utilizzare ciascun codice di autenticazione solo una volta.

D: Di recente ho richiesto la risincronizzazione del mio dispositivo di autenticazione perché i codici di autenticazione venivano rifiutati. Devo preoccuparmi?
No, si tratta di una situazione che si verifica di tanto in tanto. AWS MFA dipende dalla sincronizzazione dell'orologio del tuo dispositivo di autenticazione con l'orologio dei nostri server. A volte, questi orologi non sono sincronizzati. In questo caso, quando utilizzi il dispositivo di autenticazione per effettuare l'accesso alle pagine sicure nel sito Web di AWS oppure alla Console di gestione AWS, AWS cerca automaticamente di risincronizzare il dispositivo di autenticazione richiedendoti di immettere due codici di autenticazione consecutivi (analogamente a quanto avviene durante l'attivazione).

D: Il mio dispositivo di autenticazione sembra funzionare correttamente, ma non sono in grado di utilizzarlo per accedere alla Console di gestione AWS. Quale procedura devo seguire?
Consigliamo di sincronizzare nuovamente i dispositivi MFA per le tue credenziali utente di IAM. Se dopo la sincronizzazione si verificano ancora problemi con l'accesso, è possibile accedere utilizzando fattori alternativi e reimpostare il dispositivo MFA. Se ancora si verificano problemi, contattaci.

D: Il dispositivo di autenticazione è stato perso, danneggiato, rubato oppure non funziona e non è più possibile accedere alla Console di gestione AWS. Quale procedura occorre seguire?
Se il dispositivo di autenticazione è associato a un account root AWS:

D: Come faccio a disabilitare AWS MFA?

Per disabilitare AWS MFA per l'account AWS, puoi disattivare il dispositivo di autenticazione utilizzando la pagina Security Credentials (Credenziali di sicurezza). Per disabilitare AWS MFA per gli utenti IAM, devi utilizzare la console IAM oppure l'interfaccia a riga di comando AWS.

D: Posso utilizzare AWS MFA in GovCloud?
Sì, puoi utilizzare dispositivi MFA virtuali e hardware in GovCloud.

D: Cos'è l'accesso alle API protetto mediante MFA?
L'accesso alle API protetto mediante MFA è una funzionalità facoltativa che consente agli amministratori di account di implementare un ulteriore livello di autenticazione per le API specifiche dei clienti richiedendo agli utenti di immettere, oltre alla password, un secondo fattore di autenticazione. Nello specifico, consente agli amministratori di includere condizioni nelle policy IAM per controllare e richiedere l'autenticazione MFA per l'accesso alle API selezionate. L'utente che effettua chiamate a queste API deve prima ottenere le credenziali provvisorie che indicano che ha immesso un codice MFA valido.

D: Quale problema viene risolto dall'accesso alle API protetto mediante MFA?
In passato i clienti richiedevano la funzionalità MFA per accedere alla Console di gestione AWS, ma non erano in grado di implementare i requisiti MFA per sviluppatori e applicazioni che interagivano direttamente con le API del servizio AWS. L'accesso alle API protetto mediante MFA garantisce l'implementazione universale delle policy IAM indipendentemente dal percorso di accesso. Ne consegue che ora puoi sviluppare un'applicazione che utilizza AWS e che richiede all'utente di effettuare l'autenticazione MFA prima delle chiamate alle API o dell'accesso a risorse sensibili.

D: Come si inizia a usare l'accesso alle API protetto mediante MFA?
Per iniziare a utilizzare questa funzionalità, procedi nel seguente modo:

  1. Assegna un dispositivo MFA agli utenti IAM. È possibile acquistare un dispositivo key fob hardware oppure scaricare un'applicazione compatibile con il protocollo TOTP per smartphone, tablet o computer. Per ulteriori informazioni sui dispositivi AWS MFA, consulta la pagina dei dettagli relativi a MFA.
  2. Per abilitare l'accesso alle API protetto mediante MFA, crea le policy relative ai permessi per gli utenti IAM e/o per i gruppi IAM a cui desideri richiedere l'autenticazione MFA. Per ulteriori informazioni sulla sintassi delle policy di accesso, consulta la documentazione relativa al linguaggio delle policy di accesso.

D: Come fanno gli sviluppatori e gli utenti ad accedere alle API e alle risorse protette mediante la funzionalità di accesso alle API protetto mediante MFA?
Gli sviluppatori e gli utenti interagiscono con la funzionalità di accesso alle API protetto mediante MFA nella Console di gestione AWS e nelle API.

Nella Console di gestione AWS qualsiasi utente IAM abilitato per MFA deve eseguire l'autenticazione con il proprio dispositivo per poter accedere. Gli utenti che non dispongono di MFA non potranno accedere ad API e risorse protette mediante MFA.

A livello di API, gli sviluppatori possono integrare AWS MFA nelle applicazioni in modo che agli utenti venga richiesto di effettuare l'autenticazione mediante i propri dispositivi MFA assegnati prima di chiamare API o accedere a risorse sensibili. Gli sviluppatori abilitano questa funzionalità aggiungendo parametri MFA facoltativi (numero di serie e codice MFA) alle richieste delle credenziali di sicurezza provvisorie (tali richieste vengono anche definite "richieste di sessione"). Se i parametri sono validi, vengono restituite le credenziali di sicurezza provvisorie che indicano lo stato della funzionalità MFA. Per ulteriori informazioni, consulta la documentazione relativa alle credenziali di sicurezza provvisorie.

D: Chi può utilizzare l'accesso alle API protetto mediante MFA?
L'accesso alle API protetto mediante MFA è disponibile gratuitamente a tutti i clienti AWS.

D: Con quali servizi funziona l'accesso alle API protetto mediante MFA?
L'accesso alle API protetto mediante MFA è supportato da tutti i servizi AWS che supportano le credenziali di sicurezza provvisorie. Per un elenco dei servizi supportati, consulta Servizi AWS supportati da IAM e fai riferimento alla colonna Supporto di credenziali di sicurezza provvisorie.

D: Cosa succede se un utente fornisce informazioni errate sul dispositivo MFA quando richiede le credenziali di sicurezza provvisorie?
La richiesta di emissione delle credenziali di sicurezza provvisorie ha esito negativo. Le richieste di credenziali di sicurezza provvisorie contenenti parametri MFA devono specificare il numero di serie del dispositivo collegato all'utente IAM, nonché un codice MFA valido.

D: L'accesso alle API protetto mediante MFA controlla l'accesso alle API per gli account root AWS?
No. L'accesso alle API protetto mediante MFA controlla solo l'accesso per gli utenti IAM. Gli account root non sono vincolati dalle policy IAM. Pertanto consigliamo di creare utenti IAM per l'interazione con le API del servizio AWS anziché utilizzare le credenziali dell'account root AWS.

D: Per poter utilizzare la funzionalità di accesso alle API protetto mediante MFA gli utenti devono disporre di un dispositivo MFA assegnato?
Sì. A ogni utente deve essere assegnato un dispositivo virtuale o hardware MFA univoco.

D: La funzionalità di accesso alle API protetto mediante MFA è compatibile con gli oggetti S3, le code SQS e gli argomenti SNS?
Sì.

D: In che modo la funzionalità di accesso alle API protetto mediante MFA interagisce con i casi d'uso MFA esistenti, ad esempio con S3 MFA Delete?
La funzionalità di accesso alle API protetto mediante MFA non interagisce con S3 MFA Delete. S3 MFA Delete attualmente non supporta le credenziali di sicurezza provvisorie. Le chiamate all'API S3 MFA Delete devono essere effettuate utilizzando chiavi di accesso a lungo termine.

D: La funzionalità di accesso alle API protetto mediante MFA funziona nella regione GovCloud (Stati Uniti)?
Sì.

D: La funzionalità di accesso alle API protetto mediante MFA funziona per gli utenti federati?
I clienti non possono utilizzare la funzionalità di accesso alle API protetto mediante MFA per controllare l'accesso degli utenti federati. L'API GetFederatedSession non accetta i parametri MFA. Poiché gli utenti federati non possono effettuare l'autenticazione con i dispositivi AWS MFA, non saranno in grado di accedere alle risorse definite utilizzando la funzionalità di accesso alle API protetto mediante MFA.

D: Quali sono i costi di utilizzo di AWS IAM?

IAM è una funzionalità dell'account AWS offerta senza costi aggiuntivi. Verrà addebitato soltanto l'utilizzo di altri servizi AWS da parte degli utenti.