Creare un utente IAM per l'accesso di emergenza - AWS Identity and Access Management
Per creare un utente IAM per l'accesso di emergenza

Creare un utente IAM per l'accesso di emergenza

Un utente IAM è una identità all'interno del tuo Account AWSche dispone di autorizzazioni specifiche per una singola persona o applicazione.

Avere un utente IAM per l'accesso di emergenza è uno dei motivi per cui si consiglia di creare un utente IAM in modo da poter accedere al tuo provider di identità Account AWS se il tuo provider di identità non è accessibile.

Nota

Come best practice di sicurezza, consigliamo di fornire l'accesso alle risorse tramite la federazione delle identità invece di creare utenti IAM. Per informazioni su situazioni specifiche in cui è richiesto un utente IAM, consulta la sezione Quando creare un utente IAM invece di un ruolo.

Per creare un utente IAM per l'accesso di emergenza

Autorizzazioni minime

Per eseguire le seguenti operazioni, devi disporre come minimo delle seguenti autorizzazioni IAM:

  • access-analyzer:ValidatePolicy

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateGroup

  • iam:CreateLoginProfile

  • iam:CreateUser

  • iam:GetAccountPasswordPolicy

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Mostra piùMostra meno
Console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console IAM, nel pannello di navigazione a sinistra, immetti la query nella casella di testo Cerca IAM.

  3. Nel riquadro di navigazione seleziona Utenti, quindi seleziona Crea utente.

    Nota

    Se hai abilitato il Centro identità IAM, nella Console di gestione AWS viene visualizzato un promemoria che indica che è preferibile gestire l'accesso degli utenti nel Centro identità IAM. In questa procedura, l'utente IAM che viene creato è destinato specificamente all'uso solo se non è disponibile il provider di identità.

  4. Nella pagina Specify user details (Specifica dettagli utente), in User details (Dettagli utente), in User name (Nome utente), immetti il nome del nuovo utente. Questo è il nome di accesso per AWS. In questo esempio, inserisci EmergencyAccess.

    Nota

    I nomi utente possono essere una combinazione di un massimo di 64 lettere, cifre e i seguenti caratteri: più (+), uguale (=), virgola (,), punto (.), chiocciola (@), trattino basso (_) e trattino (-). I nomi devono essere univoci nell'account. Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare due utenti chiamati TESTUSER e testuser. Quando un nome utente viene utilizzato in una policy o come parte di un ARN, il nome fa distinzione tra maiuscole e minuscole. Quando un nome utente viene visualizzato ai clienti nella console, ad esempio durante il processo di accesso, il nome utente non fa distinzione tra maiuscole e minuscole.

  5. Seleziona la casella di controllo accanto a Fornisci l'accesso utente alla Console di gestione AWS - facoltativo, quindi scegli Desidero creare un utente IAM.

  6. Per Console password (Password della console), seleziona Autogenerated password (Password generata automaticamente).

  7. Seleziona la casella di controllo accanto a L'utente deve creare una nuova password all'accesso successivo (consigliato). Poiché questo utente IAM è destinato all'accesso di emergenza, un amministratore attendibile ne conserverà la password e la fornirà solo quando necessario.

  8. Nella pagina Set permissions (Imposta autorizzazioni), in Permissions options (Opzioni di autorizzazione), seleziona Add user to group (Aggiungi utente al gruppo). Quindi, in User groups (Gruppi di utenti), seleziona Create group (Crea gruppo).

  9. Nella pagina Create user group (Crea gruppo di utenti), in User group name (Nome gruppo di utenti), inserisci EmergencyAccessGroup. Quindi, in Permissions policies (Policy di autorizzazione), seleziona AdministratorAccess.

  10. Scegli Crea gruppo di utenti per tornare alla pagina Imposta autorizzazioni.

  11. In User groups (Gruppi di utenti), seleziona il nome del EmergencyAccessGroup creato in precedenza.

  12. Seleziona Successivo per passare alla pagina Rivedi e crea.

  13. Nella pagina Review and create (Rivedi e crea), consulta l'elenco dei membri del gruppo di utenti da aggiungere al nuovo utente. Una volta pronto per continuare, seleziona Create user (Crea utente).

  14. Nella pagina Recupera password, seleziona Scarica il file .csv per salvare un file .csv con le informazioni sulle credenziali dell'utente (URL di connessione, nome utente e password).

  15. Salva questo file per utilizzarlo se devi accedere a IAM e non hai accesso al tuo provider di identità.

Il nuovo utente IAM viene visualizzato nell'elenco Users (Utenti). Seleziona il link User name (Nome utente) per visualizzare i dettagli dell'utente.

AWS CLI

  1. Crea un utente denominato EmergencyAccess.

    
aws iam create-user \
   --user-name EmergencyAccess

  2. (Facoltativo) Concedere all'utente l'accesso alla Console di gestione AWS. Ciò richiede una password. Per creare una password per un utente IAM puoi utilizzare il parametro --cli-input-json per passare un file JSON contenente la password. Devi inoltre fornire all'utente l'URL della pagina di accesso del tuo account.

    • aws iam create-login-profile

       
aws iam create-login-profile \
   --generate-cli-skeleton > create-login-profile.json

    • Apri il file create-login-profile.json in un editor di testo e inserisci una password conforme alla tua policy delle password, quindi salva il file. Ad esempio: 

      
{
 "UserName": "EmergencyAccess",
 "Password": "Ex@3dRA0djs",
 "PasswordResetRequired": false
}

    • Usa nuovamente il comando aws iam create-login-profile, passando il parametro --cli-input-json per specificare il tuo file JSON.

      
aws iam create-login-profile \
   --cli-input-json file://create-login-profile.json
    Nota

    Se la password che hai fornito nel file JSON viola la policy delle password del tuo account, riceverai un errore PassworPolicyViolation. In tal caso, rivedi la policy delle password per il tuo account e aggiorna la password nel file JSON per soddisfare i requisiti.

  3. Crea EmergencyAccessGroup, collega la policy gestita da AWS AdministratorAccess al gruppo e aggiungi l'utente EmergencyAccess al gruppo.

    Nota

    Una policy gestita da AWS è una policy autonoma che viene creata e amministrata da AWS. Ogni policy ha il proprio nome della risorsa Amazon (ARN) che include il nome della policy. Ad esempio, arn:aws:iam::aws:policy/IAMReadOnlyAccess è una policy gestita da AWS. Per ulteriori informazioni sugli ARN di , consulta ARN IAM. Per un elenco delle policy gestite da AWS per Servizi AWS, consulta Policy gestite da AWS.

    • aws iam create-group 

      
aws iam create-group \
   --group-name EmergencyAccessGroup

    • aws iam attach-group-policy

      
aws iam attach-group-policy \
   --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
   --group-name >EmergencyAccessGroup

    • aws iam add-user-to-group 

      
aws iam add-user-to-group \
   --user-name EmergencyAccess \
   --group-name EmergencyAccessGroup

    • Esegui il comando aws iam get-group per elencare EmergencyAccessGroup e i relativi membri.

      
aws iam get-group \
   --group-name EmergencyAccessGroup