Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Preparazione per le autorizzazioni con privilegi minimi
L'utilizzo delle autorizzazioni con privilegi minimi è uno dei suggerimenti di best practice di IAM. Lo scopo delle autorizzazioni con privilegi minimi è concedere agli utenti solo le autorizzazioni richieste per eseguire una determinata attività. Durante la configurazione, considera come intendi supportare le autorizzazioni con privilegi minimi. L'utente root, l'utente amministratore e l'utente IAM con accesso di emergenza dispongono di autorizzazioni avanzate che non sono necessarie per le attività quotidiane. Mentre impari a conoscere AWS e testare diversi servizi, ti consigliamo di creare almeno un utente aggiuntivo in IAM Identity Center con autorizzazioni inferiori da utilizzare in diversi scenari. È possibile utilizzare le policy IAM per definire le operazioni che possono essere eseguite su risorse specifiche in determinate condizioni e connettersi quindi a tali risorse con l'account con meno privilegi.
Se utilizzi il Centro identità IAM, per iniziare considera l'uso dei set di autorizzazioni del Centro identità IAM stesso. Per ulteriori informazioni, consulta la pagina Creazione di un set di autorizzazioni nella Guida per l'utente di Centro identità IAM.
Se non utilizzi Centro identità IAM, utilizza i ruoli IAM per definire le autorizzazioni per diverse entità IAM. Per ulteriori informazioni, consulta Creazione di ruoli IAM.
Sia i ruoli IAM che i set di autorizzazioni IAM Identity Center possono utilizzare policy AWS gestite basate sulle funzioni lavorative. Per i dettagli sulle autorizzazioni concesse da queste policy, consulta AWS politiche gestite per le funzioni lavorative.
Importante
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con privilegi minimi per i tuoi casi d'uso specifici, poiché sono disponibili per l'uso da parte di tutti i clienti. AWS Dopo la configurazione, consigliamo di utilizzare il Sistema di analisi degli accessi IAM per generare policy con privilegi minimi in funzione dell'attività di accesso collegata in AWS CloudTrail. Per ulteriori informazioni sulla generazione delle policy, consulta IAM Access Analyzer policy generation.
All'inizio, ti consigliamo di utilizzare le politiche AWS gestite per concedere le autorizzazioni. Dopo un periodo predefinito di inattività (ad esempio 90 giorni), è possibile esaminare i servizi a cui le persone e i carichi di lavoro hanno effettuato l'accesso. Quindi puoi creare una nuova politica gestita dai clienti con autorizzazioni ridotte per sostituire la politica AWS gestita. La nuova policy dovrebbe includere solo i servizi a cui è stato effettuato l'accesso durante il periodo di campionamento. Aggiorna le autorizzazioni per rimuovere la politica AWS gestita e allegare la nuova politica gestita dai clienti che hai creato.
