Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Creare un utente IAM per l'accesso di emergenza
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è un'identità interna Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione.
Avere un utente IAM per l'accesso di emergenza è uno dei motivi consigliati per creare un utente IAM in modo da poter accedere al proprio provider di identità Account AWS se il proprio provider di identità non è accessibile.
**Nota**
Come [best practice](best-practices.md) di sicurezza, consigliamo di fornire l'accesso alle risorse tramite la federazione delle identità invece di creare utenti IAM. Per informazioni su situazioni specifiche in cui è richiesto un utente IAM, consulta la sezione [Quando creare un utente IAM invece di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose).
## Per creare un utente IAM per l'accesso di emergenza
**Autorizzazioni minime**
Per eseguire le seguenti operazioni, devi disporre come minimo delle seguenti autorizzazioni IAM:
`access-analyzer:ValidatePolicy`
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateGroup`
`iam:CreateLoginProfile`
`iam:CreateUser`
`iam:GetAccountPasswordPolicy`
`iam:GetLoginProfile`
`iam:GetUser`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListPolicies`
`iam:ListUserPolicies`
`iam:ListUsers`
------
#### [ Console ]
1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento [Come accedere ad AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l'utente di AWS Sign-In*.
1. Nella **home page della console IAM**, nel pannello di navigazione a sinistra, immetti la query nella casella di testo **Cerca IAM**.
1. Nel riquadro di navigazione, seleziona **Utenti**, quindi seleziona **Crea utente**.
**Nota**
Se hai abilitato IAM Identity Center, Console di gestione AWS viene visualizzato un promemoria che ti ricorda che è meglio gestire l'accesso degli utenti in IAM Identity Center. In questa procedura, l'utente IAM che viene creato è destinato specificamente all'uso solo se non è disponibile il provider di identità.
1. Nella pagina **Specify user details** (Specifica dettagli utente), in **User details** (Dettagli utente), in **User name** (Nome utente), immetti il nome del nuovo utente. Questo è il nome di accesso per AWS. In questo esempio, inserisci **EmergencyAccess**.
**Nota**
I nomi utente possono essere una combinazione di un massimo di 64 lettere, cifre e i seguenti caratteri: più (\$1), uguale (=), virgola (,), punto (.), chiocciola (@), trattino basso (\$1) e trattino (-). I nomi devono essere univoci all'interno di un account. Non si distinguono per caso. Ad esempio, non è possibile creare due utenti chiamati TESTUSER e testuser. Quando un nome utente viene utilizzato in una policy o come parte di un ARN, il nome fa distinzione tra maiuscole e minuscole. Quando un nome utente viene visualizzato ai clienti nella console, ad esempio durante il processo di accesso, il nome utente non fa distinzione tra maiuscole e minuscole.
1. Seleziona la casella di controllo accanto a **Fornisci l'accesso utente alla Console di gestione AWS- *facoltativo***, quindi scegli **Desidero creare un utente IAM**.
1. Per **Console password** (Password della console), seleziona **Autogenerated password** (Password generata automaticamente).
1. Seleziona la casella di controllo accanto a **L'utente deve creare una nuova password all'accesso successivo (consigliato)**. Poiché questo utente IAM è destinato all'accesso di emergenza, un amministratore attendibile ne conserverà la password e la fornirà solo quando necessario.
1. Nella pagina **Set permissions** (Imposta autorizzazioni), in **Permissions options** (Opzioni di autorizzazione), seleziona **Add user to group** (Aggiungi utente al gruppo). Quindi, in **User groups** (Gruppi di utenti), seleziona **Create group** (Crea gruppo).
1. Nella pagina **Create user group** (Crea gruppo di utenti), in **User group name** (Nome gruppo di utenti), inserisci **EmergencyAccessGroup**. Quindi, in **Politiche di autorizzazione**, seleziona **AdministratorAccess**.
1. Scegli **Crea gruppo di utenti** per tornare alla pagina **Imposta autorizzazioni**.
1. In **User groups** (Gruppi di utenti), seleziona il nome del **EmergencyAccessGroup** creato in precedenza.
1. Seleziona **Successivo** per passare alla pagina **Rivedi e crea**.
1. Nella pagina **Review and create** (Rivedi e crea), consulta l'elenco dei membri del gruppo di utenti da aggiungere al nuovo utente. Una volta pronto per continuare, seleziona **Create user** (Crea utente).
1. Nella pagina **Recupera password**, seleziona **Scarica il file .csv** per salvare un file .csv con le informazioni sulle credenziali dell'utente (URL di connessione, nome utente e password).
1. Salva questo file per utilizzarlo se devi accedere a IAM e non hai accesso al tuo provider di identità.
Il nuovo utente IAM viene visualizzato nell'elenco **Users** (Utenti). Seleziona il link **User name** (Nome utente) per visualizzare i dettagli dell'utente.
------
#### [ AWS CLI ]
1. Crea un utente denominato **EmergencyAccess**.
+ [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)
```
aws iam create-user \
--user-name EmergencyAccess
```
1. (Facoltativo) Concedere all'utente l'accesso alla Console di gestione AWS. Ciò richiede una password. Per creare una password per un utente IAM puoi utilizzare il parametro `--cli-input-json` per passare un file JSON contenente la password. Devi inoltre fornire all'utente l'[URL della pagina di accesso del tuo account](id_users_sign-in.md).
+ [come sono create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)
```
aws iam create-login-profile \
--generate-cli-skeleton > create-login-profile.json
```
+ Apri il file `create-login-profile.json` in un editor di testo e inserisci una password conforme alla tua policy delle password, quindi salva il file. Esempio:
```
{
"UserName": "EmergencyAccess",
"Password": "Ex@3dRA0djs",
"PasswordResetRequired": false
}
```
+ Usa nuovamente il comando `aws iam create-login-profile`, passando il parametro `--cli-input-json` per specificare il tuo file JSON.
```
aws iam create-login-profile \
--cli-input-json file://create-login-profile.json
```
**Nota**
Se la password che hai fornito nel file JSON viola la policy delle password del tuo account, riceverai un errore `PassworPolicyViolation`. In tal caso, rivedi la [policy delle password](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html#default-policy-details) per il tuo account e aggiorna la password nel file JSON per soddisfare i requisiti.
1. Crea**EmergencyAccessGroup**, allega la policy AWS gestita `AdministratorAccess` al gruppo e aggiungi l'**EmergencyAccess**utente al gruppo.
**Nota**
Una *policy gestita da AWS * è una policy autonoma che viene creata e amministrata da AWS. Ogni policy ha il proprio nome della risorsa Amazon (ARN) che include il nome della policy. Ad esempio, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` è una politica AWS gestita. Per ulteriori informazioni su ARNs, vedere[IAM ARNs](reference_identifiers.md#identifiers-arns). Per un elenco delle politiche AWS gestite per Servizi AWS, consulta [le politiche AWS gestite](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)
```
aws iam create-group \
--group-name EmergencyAccessGroup
```
+ [era io attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
--group-name >EmergencyAccessGroup
```
+ [era io add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)
```
aws iam add-user-to-group \
--user-name EmergencyAccess \
--group-name EmergencyAccessGroup
```
+ Esegui il comando [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) per elencare **EmergencyAccessGroup** e i relativi membri.
```
aws iam get-group \
--group-name EmergencyAccessGroup
```
------