Domande frequenti su AWS Identity and Access Management (IAM)

Domande generali

IAM fornisce un controllo granulare degli accessi in tutto AWS. Con IAM puoi controllare l'accesso a servizi e risorse in condizioni specifiche. Utilizza le policy IAM per gestire le autorizzazioni per la forza lavoro e i sistemi e garantire il privilegio minimo. IAM è disponibile senza costi aggiuntivi. Per ulteriori informazioni, consulta la sezione Cos'è IAM?.

IAM fornisce autenticazione e autorizzazione per i servizi AWS. Un servizio valuta se una richiesta AWS è consentita o negata. L'accesso viene negato per impostazione predefinita ed è consentito solo quando una policy lo concede esplicitamente. Per controllare l'accesso in AWS, puoi allegare policy a ruoli e risorse. Per ulteriori informazioni, consulta Informazioni su come funziona IAM.

Quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni necessarie per eseguire un'attività. Questa pratica è nota come concessione del privilegio minimo. Puoi applicare autorizzazioni con privilegi minimi in IAM definendo le operazioni che possono essere intraprese su risorse specifiche in condizioni specifiche. Per ulteriori informazioni, consulta Gestione degli accessi per le risorse AWS.

Per iniziare a utilizzare IAM per gestire le autorizzazioni per i servizi e le risorse AWS, crea un ruolo IAM e concedigli le autorizzazioni. Per gli utenti della forza lavoro, crea un ruolo che possa essere assunto dal provider di identità. Per i sistemi, crea un ruolo che possa essere assunto dal servizio che stai utilizzando, come Amazon EC2 o AWS Lambda. Dopo aver creato un ruolo, puoi allegare una policy al ruolo per concedere le autorizzazioni che soddisfano le tue esigenze. Appena iniziato, potresti non conoscere le autorizzazioni specifiche di cui hai bisogno, quindi puoi iniziare con autorizzazioni più ampie. Le policy gestite da AWS forniscono le autorizzazioni per aiutarti a iniziare e sono disponibili in tutti gli account AWS. Quindi, riduci man mano le autorizzazioni definendo le policy gestite dal cliente specifiche per i tuoi casi d'uso. Puoi creare e gestire policy e ruoli nella console IAM o tramite API AWS o AWS CLI. Per ulteriori informazioni, consulta Nozioni di base su IAM.

Risorse IAM

I ruoli AWS Identity and Access Management (IAM) forniscono un modo per accedere ad AWS facendo affidamento su credenziali di sicurezza temporanee. Ogni ruolo ha una serie di autorizzazioni per effettuare richieste di servizio AWS e un ruolo non è associato a un utente o gruppo specifico. Invece, entità attendibili come i provider di identità o i servizi AWS assumono i ruoli. Per ulteriori informazioni, consulta la sezione Ruoli IAM.

Dovresti utilizzare i ruoli IAM per concedere l'accesso ai tuoi account AWS facendo affidamento su credenziali a breve termine, una best practice di sicurezza. Le identità autorizzate, che possono essere servizi AWS o utenti del tuo provider di identità, possono assumere ruoli per effettuare richieste AWS. Per concedere autorizzazioni a un ruolo, allega ad esso una policy IAM. Per ulteriori informazioni, consulta Scenari comuni per i ruoli.

Gli utenti IAM sono identità con credenziali a lungo termine. Potresti utilizzare gli utenti IAM per gli utenti della forza lavoro. In questo caso, AWS consiglia di utilizzare un provider di identità e di federarsi in AWS assumendo ruoli. Puoi anche utilizzare i ruoli per concedere l'accesso tra account a servizi e funzionalità come le funzioni AWS Lambda. In alcuni casi, potresti richiedere gli utenti IAM con chiavi di accesso che hanno credenziali a lungo termine con accesso all'account AWS. For questi casi, AWS consiglia di utilizzare le informazioni sull'ultimo accesso a IAM per ruotare spesso le credenziali e rimuovere quelle non utilizzate. Per ulteriori informazioni, consulta Panoramica della gestione delle identità AWS: Utenti.

Le policy IAM definiscono le autorizzazioni per le entità che vengono allegate. Ad esempio, per concedere l'accesso a un ruolo IAM, allegare una policy al ruolo. Le autorizzazioni definite nella policy determinano se le richieste sono consentite o negate. Puoi anche collegare policy ad alcune risorse, come i bucket Amazon S3, per garantire l'accesso diretto tra account. E puoi allegare policy a un'organizzazione o unità organizzativa AWS per limitare l'accesso a più account. AWS valuta queste policy quando un ruolo IAM effettua una richiesta. Per ulteriori informazioni, consulta Policy basate su identità.

Concessione dell'accesso

Per concedere l'accesso a servizi e risorse utilizzando AWS Identity and Access Management (IAM), allega le policy IAM a ruoli o risorse. Puoi iniziare allegando le policy gestite da AWS, di proprietà e aggiornate da AWS, disponibili in tutti gli account AWS. Se conosci le autorizzazioni specifiche richieste per i tuoi casi d'uso, puoi creare policy gestite dal cliente e collegarle ai ruoli. Alcune risorse AWS forniscono un modo per concedere l'accesso definendo una policy collegata alle risorse, come i bucket Amazon S3. Queste policy basate sulle risorse consentono di concedere l'accesso diretto e multi-account alle risorse a cui sono collegati. Per ulteriori informazioni, consulta Gestione degli accessi per le risorse AWS.

Per assegnare le autorizzazioni a un ruolo o a una risorsa, creare una policy, ovvero un documento JavaScript Object Notation (JSON) che definisce le autorizzazioni. Questo documento include dichiarazioni di autorizzazione che concedono o negano l'accesso a specifiche azioni, risorse e condizioni del servizio. Dopo aver creato una policy, puoi allegarla a uno o più ruoli AWS per concedere autorizzazioni al tuo account AWS. Per concedere l'accesso diretto e su più account alle risorse, come i bucket Simple Storage Service (Amazon S3), utilizza le policy basate sulle risorse. Crea le policy nella console IAM o tramite le API AWS o AWS CLI. Per ulteriori informazioni, consulta Creazione di policy IAM.

Le policy gestite da AWS vengono create e amministrate da AWS e coprono i casi d'uso comuni. Per iniziare, puoi concedere autorizzazioni più ampie utilizzando le policy gestite da AWS disponibili nel tuo account AWS e comuni a tutti gli account AWS. Quindi, mentre perfezioni i tuoi requisiti, puoi ridurre le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso con l'obiettivo di ottenere autorizzazioni con privilegi minimi. Per ulteriori informazioni, consulta Policy gestite da AWS.

Per concedere solo le autorizzazioni necessarie per eseguire attività, puoi creare policy gestite dal cliente specifiche per i tuoi casi d'uso e le tue risorse. Utilizza le policy gestite dal cliente per continuare a perfezionare le autorizzazioni per i tuoi requisiti specifici. Per ulteriori informazioni, consulta Policy gestite dal cliente.

Le policy in linea sono integrate e inerenti a ruoli IAM specifici. Utilizza le policy in linea se desideri mantenere una stretta relazione uno-a-uno tra una policy e l'identità a cui è applicata. Ad esempio, puoi concedere autorizzazioni amministrative per assicurarti che non siano associate ad altri ruoli. Per ulteriori informazioni, consulta Policy in linea.

Le policy basate sulle risorse sono policy di autorizzazione allegate alle risorse. Ad esempio, puoi collegare policy basate sulle risorse ai bucket Amazon S3, alle code Amazon SQS, agli endpoint VPC e alle chiavi di crittografia di AWS Key Management Service. Per un elenco dei servizi che supportano le policy basate sulle risorse, consulta Servizi AWS che funzionano con IAM. Utilizza le policy basate sulle risorse per concedere l'accesso diretto tra account. Con le policy basate sulle risorse, puoi definire chi ha accesso a una risorsa e quali operazioni possono essere eseguite con essa. Per ulteriori informazioni, consulta Policy basate su identità e policy basate sulle risorse.

RBAC fornisce un modo per assegnare autorizzazioni in base alla funzione lavorativa di una persona, nota al di fuori di AWS come ruolo. IAM fornisce RBAC definendo i ruoli IAM con roles con autorizzazioni in linea con le funzioni di lavoro. È quindi possibile concedere alle persone l'accesso per assumere questi ruoli per svolgere funzioni lavorative specifiche. Con RBAC, puoi controllare l'accesso esaminando ogni ruolo IAM e le relative autorizzazioni. Per ulteriori informazioni, consulta Confronto di ABAC con il modello RBAC tradizionale.

Come best practice, concedi l'accesso solo alle operazioni e alle risorse di servizio specifiche necessarie per eseguire ciascuna attività. Questa pratica è nota come concessione del privilegio minimo. Quando i dipendenti aggiungono nuove risorse, è necessario aggiornare le policy per consentire l'accesso a tali risorse.

ABAC è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, questi attributi sono detti tag e possono essere definiti su risorse AWS, ruoli IAM e sessioni di ruolo. Con ABAC, si definisce un insieme di autorizzazioni in base al valore di un tag. Puoi concedere autorizzazioni dettagliate a risorse specifiche richiedendo che i tag sul ruolo o sulla sessione corrispondano ai tag sulla risorsa. Ad esempio, puoi creare una policy che concede agli sviluppatori l'accesso alle risorse contrassegnate con il titolo di lavoro "sviluppatori". ABAC è utile in ambienti in rapida crescita concedendo autorizzazioni alle risorse quando vengono create con tag specifici. Per ulteriori informazioni, consulta Controllo degli accessi basato sugli attributi per AWS.

Per concedere l'accesso tramite ABAC, definire innanzitutto le chiavi e i valori dei tag che si desidera utilizzare per il controllo dell'accesso. Quindi, assicurati che il tuo ruolo IAM disponga delle chiavi e dei valori di tag appropriati. Se più identità utilizzano questo ruolo, puoi anche definire chiavi e valori dei tag di sessione. Quindi, assicurati che le tue risorse dispongano delle chiavi e dei valori di tag appropriati. Puoi anche richiedere agli utenti di creare risorse con tag appropriati e limitare l'accesso per modificarle. Dopo aver posizionato i tag, definisci una policy che conceda l'accesso ad operazioni e tipi di risorse specifici, ma solo se il ruolo o i tag di sessione corrispondono ai tag di risorsa. Per un tutorial dettagliato che dimostra come utilizzare ABAC in AWS, consulta Tutorial IAM: Definizione delle autorizzazioni per accedere alle risorse AWS in base ai tag.

Limitazione dell'accesso

Con AWS Identity and Access Management (IAM), tutti gli accessi vengono negati per impostazione predefinita e richiedono una policy che conceda l'accesso. Man mano che gestisci le autorizzazioni su larga scala, potresti voler implementare guardrail di autorizzazioni e limitare l'accesso ai tuoi account. Per limitare l'accesso, specifica un'istruzione Deny in qualsiasi policy. Se un'istruzione Deny si applica a una richiesta di accesso, prevale sempre su un'istruzione Allow. Ad esempio, se consenti l'accesso a tutte le operazioni in AWS ma neghi l'accesso a IAM, qualsiasi richiesta a IAM viene negata. Puoi includere un'istruzione Deny in qualsiasi tipo di policy, comprese le policy di controllo dell'identità, delle risorse e dei servizi con AWS Organizations. Per ulteriori informazioni, consulta Controllo dell'accesso con AWS Identity and Access Management.

Le SCP sono simili alle policy IAM e utilizzano quasi la stessa sintassi. Tuttavia, le SCP non concedono autorizzazioni. Al contrario, le SCP consentono o negano l'accesso ai servizi AWS per singoli account AWS con account membri di Organizations o per gruppi di account all'interno di un'unità organizzativa. Le operazioni specificate da una SCP influiscono su tutti gli utenti e sui ruoli IAM, incluso l'utente root dell'account membro. Per ulteriori informazioni, consulta Logica di valutazione delle policy

Analisi dell'accesso

Quando inizi a concedere autorizzazioni, puoi iniziare con autorizzazioni più ampie mentre esplori e sperimenti. Man mano che i casi d'uso maturano, AWS consiglia di rifinire le autorizzazioni per concedere solo le autorizzazioni necessarie con l'obiettivo di ottenere quelle con privilegi minimi. AWS fornisce strumenti per aiutarti a perfezionare le tue autorizzazioni. Puoi iniziare con policy gestite da AWS, create e gestite da AWS e includere le autorizzazioni per i casi d'uso comuni. Man mano che rifinisci le autorizzazioni, definisci autorizzazioni specifiche nelle policy gestite dal cliente. Per determinare le autorizzazioni specifiche di cui hai bisogno, utilizza AWS Identity and Access Management (IAM) Access Analyzer, rivedi i registri di AWS CloudTrail e analizza le informazioni sull'ultimo accesso. Puoi utilizzare anche il simulatore di policy IAM per testare e risolvere i problemi legati alle policy.

Raggiungere il privilegio minimo è un ciclo continuo per concedere le giuste autorizzazioni granulari man mano che le tue esigenze evolvono. IAM Access Analyzer ti aiuta a semplificare la gestione delle autorizzazioni in ogni fase di questo ciclo. La generazione di policy con IAM Access Analyzer genera una policy granulare basata sull'attività di accesso acquisita nei tuoi log. Ciò significa che dopo aver costruito ed eseguito un'applicazione, è possibile generare policy che concedono solo le autorizzazioni necessarie per far funzionare l'applicazione. La convalida della policy con IAM Access Analyzer utilizza più di 100 controlli delle policy e ti guida nella creazione e nella convalida di policy sicure e funzionali. È possibile utilizzare questi controlli durante la creazione di nuove policy o per convalidare le policy esistenti. I risultati pubblici e tra più account con IAM Access Analyzer ti aiutano a verificare e migliorare l'accesso consentito dalle tue policy di risorse al di fuori della tua organizzazione o del tuo account AWS. Per ulteriori informazioni, consulta Utilizzo di IAM Access Analyzer.

È possibile che nel tuo account AWS ci siano utenti, ruoli e autorizzazioni IAM di cui non hai più bisogno. Ti consigliamo di rimuoverli con l'obiettivo di ottenere l'accesso con privilegi minimi. Per gli utenti IAM, puoi rivedere le informazioni sull'ultimo accesso con password e chiavi di accesso. Per i ruoli, puoi rivedere le informazioni sull'ultimo accesso del ruolo. Queste informazioni sono disponibili tramite la console IAM, le API e gli SDK. Le informazioni sull'ultimo accesso consentono di identificare utenti e ruoli che non sono più in uso e che possono essere rimossi in modo sicuro. Puoi anche rifinire le autorizzazioni esaminando il servizio e le ultime informazioni a cui è stato effettuato l'accesso per identificare le autorizzazioni non utilizzate. Per ulteriori informazioni, consulta Perfezionamento delle autorizzazioni in AWS utilizzando le informazioni sull'ultimo accesso.

Il simulatore di policy IAM valuta le policy scelte e determina le autorizzazioni effettive per ciascuna delle azioni specificate. Utilizza il simulatore di policy per testare e risolvere i problemi relativi a policy basate su identità e policy basate sulle risorse, limiti delle autorizzazioni IAM ed SCP. Per ulteriori informazioni, consulta Test delle policy IAM con il simulatore di policy IAM.

I controlli personalizzati delle policy del Sistema di analisi degli accessi IAM convalidano che le policy IAM siano conformi ai tuoi standard di sicurezza prima delle implementazioni. I controlli su misura delle policy utilizzano la potenza del ragionamento automatico, una garanzia di sicurezza dimostrabile supportata da prove matematiche, per consentire ai team di sicurezza di rilevare in modo proattivo gli aggiornamenti non conformi alle policy. Questo è il caso, ad esempio, di modifiche alle policy IAM che sono più permissive rispetto alla versione precedente. I team di sicurezza possono utilizzare questi controlli per semplificare le revisioni, approvare automaticamente le policy conformi ai loro standard di sicurezza e ispezionare più a fondo quando non esse non lo sono. Questo nuovo tipo di convalida offre una maggiore garanzia di sicurezza nel cloud. I team di sicurezza e sviluppo possono automatizzare le revisioni delle policy su larga scala integrando questi controlli personalizzati delle policy negli strumenti e negli ambienti in cui gli sviluppatori creano le proprie policy, come le pipeline CI/CD.

Il Sistema di analisi degli accessi IAM semplifica l'ispezione degli accessi inutilizzati per guidarti verso i privilegi minimi. I team di sicurezza possono utilizzare il Sistema di analisi degli accessi IAM per ottenere visibilità sugli accessi inutilizzati nell'organizzazione AWS e automatizzare il modo in cui ridimensionano le autorizzazioni. Quando l'analizzatore di accessi inutilizzati è abilitato, il Sistema di analisi degli accessi IAM analizza continuamente i tuoi account per identificare gli accessi non utilizzati e crea una dashboard centralizzata con gli esiti. Il pannello di controllo aiuta i team di sicurezza a esaminare gli esiti in modo centralizzato e a dare priorità agli account in base al volume di questi ultimi. I team di sicurezza possono utilizzare la dashboard per esaminare gli esiti a livello centrale e dare priorità agli account da esaminare in base al volume degli esiti. Gli esiti evidenziano ruoli, chiavi di accesso per gli utenti IAM e password per gli utenti IAM inutilizzati. Per i ruoli e gli utenti IAM attivi, gli esiti forniscono visibilità su servizi e operazioni inutilizzati.

Scopri come iniziare a usare IAM

Visita la pagina delle nozioni di base
Sei pronto per cominciare?
Nozioni di base per IAM
Hai altre domande?
Contattaci