Controllo dell'uso delle chiavi di accesso collegando una policy inline a un utente IAM - AWS Identity and Access Management

Controllo dell'uso delle chiavi di accesso collegando una policy inline a un utente IAM

Come best practice, consigliamo di far utilizzare ai carichi di lavoro credenziali temporanee con ruoli IAM per l'accesso ad AWS. Agli utenti IAM con chiavi di accesso deve essere assegnato l'accesso con privilegio minimo e deve essere abilitata l'autenticazione a più fattori (MFA). Per ulteriori informazioni sull'assunzione dei ruoli IAM, consulta Metodi per assumere un ruolo.

Tuttavia, se stai creando un test proof of concept di un'automazione di servizio o un altro caso d'uso a breve termine e scegli di eseguire carichi di lavoro utilizzando un utente IAM con chiavi di accesso, ti consigliamo di utilizzare le condizioni di policy per limitare ulteriormente l'accesso alle sue credenziali utente IAM.

In questa situazione puoi creare una policy a tempo limitato che faccia scadere le credenziali dopo il tempo specificato oppure, se stai eseguendo un carico di lavoro da una rete sicura, puoi utilizzare una policy di limitazione dell'IP.

Per entrambi questi casi d'uso, puoi utilizzare una policy inline collegata all'utente IAM che dispone delle chiavi di accesso.

Per configurare una policy a tempo limitato per un'utente IAM

  1. Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, scegli Utenti, quindi seleziona l'utente per il caso d'uso a breve termine. Se non hai ancora creato l'utente, puoi crearlo ora.

  3. Nella pagina Dettagli, scegli la scheda Autorizzazioni.

  4. Scegli Aggiungi autorizzazioni, quindi scegli Crea policy inline.

  5. Nella sezione Editor di policy, seleziona JSON per visualizzare l'editor JSON.

  6. Nell'editor JSON, immetti la seguente policy, sostituendo il valore del timestamp aws:CurrentTime con la data e l'ora di scadenza desiderate:

    JSON
    {
"Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
      "DateGreaterThan": {
      "aws:CurrentTime": "2025-03-01T00:12:00Z"
        }
      }
    }
  ]
}

    Questa policy utilizza l'effetto Deny per limitare tutte le operazioni su tutte le risorse dopo la data specificata. La condizione DateGreaterThan confronta l'ora corrente con il timestamp impostato.

  7. Seleziona Next (Successivo) per passare alla pagina Review and create (Rivedi e crea). Nei dettagli della Policy, in Nome della policy inserisci un nome per la policy, quindi scegli Crea policy.

Una volta creata, la policy viene visualizzata nella scheda Autorizzazioni per l'utente. Quando l'ora corrente è maggiore o uguale all'ora specificata nella policy, l'utente non avrà più accesso alle risorse AWS. Assicurati di informare gli sviluppatori dei carichi di lavoro della data di scadenza specificata per queste chiavi di accesso.

Per configurare una policy di limitazione dell'IP per un utente IAM

  1. Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, scegli Utenti, quindi seleziona l'utente che eseguirà il carico di lavoro dalla rete sicura. Se non hai ancora creato l'utente, puoi crearlo ora.

  3. Nella pagina Dettagli, scegli la scheda Autorizzazioni.

  4. Scegli Aggiungi autorizzazioni, quindi scegli Crea policy inline.

  5. Nella sezione Editor di policy, seleziona JSON per visualizzare l'editor JSON.

  6. Copia la seguente policy IAM nell'editor JSON e modifica gli intervalli o gli indirizzi pubblici IPv4 o IPv6 in base alle tue esigenze. Puoi utilizzare https://checkip.amazonaws.com per determinare l'attuale indirizzo IP pubblico. Puoi specificare singoli indirizzi IP o intervalli di indirizzi IP utilizzando la notazione slash. Per ulteriori informazioni, consulta aws:SourceIp.

    Nota

    Gli indirizzi IP non devono essere offuscati da una VPN o da un server proxy.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"IpRestrictionIAMPolicyForIAMUser",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        }
      }
    }
  ]
}

    Questo esempio di policy nega l'uso delle chiavi di accesso di un utente IAM con questa policy applicata, a meno che la richiesta non provenga dalle reti (specificate nella notazione CIDR) “203.0.113.0/24”, “2001:DB8:1234:5678::/64”, o dall'indirizzo IP specifico “203.0.114.1”

  7. Seleziona Next (Successivo) per passare alla pagina Review and create (Rivedi e crea). Nei dettagli della Policy, in Nome della policy inserisci un nome per la policy, quindi scegli Crea policy.

Una volta creata, la policy viene visualizzata nella scheda Autorizzazioni per l'utente.

Puoi anche applicare questa policy come policy di controllo dei servizi (SCP) su più account AWS in AWS Organizations; in tal caso, ti consigliamo di utilizzare una condizione aggiuntiva, aws:PrincipalArn, in modo che questa istruzione di policy si applichi solo agli utenti IAM all'interno degli account AWS soggetti a questa SCP. La seguente policy include tale aggiornamento:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::*:user/*"
        }
      }
    }
  ]
}