Credenziali specifiche del servizio per gli utenti IAM - AWS Identity and Access Management
Rotazione delle credenziali specifiche del servizioMonitoraggio delle credenziali specifiche del servizio

Credenziali specifiche del servizio per gli utenti IAM

Le credenziali specifiche del servizio sono meccanismi di autenticazione specializzati progettati per servizi AWS specifici. Queste credenziali forniscono un'autenticazione semplificata rispetto alle credenziali AWS standard e sono personalizzate in base ai requisiti di autenticazione dei singoli servizi AWS. A differenza delle chiavi di accesso, che possono essere utilizzate su più servizi AWS, le credenziali specifiche del servizio sono progettate per essere utilizzate solo con il servizio per il quale sono state create. Questo approccio mirato migliora la sicurezza limitando l'ambito delle credenziali.

Generalmente, le credenziali specifiche del servizio sono costituite da una coppia di nome utente e password o da chiavi API specializzate formattate in base ai requisiti del servizio specifico. Quando si creano credenziali specifiche per un servizio, queste sono attive per impostazione predefinita e possono essere utilizzate immediatamente. Puoi avere un massimo di due set di credenziali specifiche del servizio per ogni servizio supportato per utente IAM. Questo limite consente di mantenere un set attivo mentre si esegue la rotazione a un nuovo set quando necessario. Attualmente, AWS supporta credenziali specifiche del servizio per i seguenti servizi:

Rotazione delle credenziali specifiche del servizio

Come best practice di sicurezza, si consiglia di ruotare regolarmente le credenziali specifiche del servizio. Per ruotare le credenziali senza interrompere le applicazioni:

  1. Creare un secondo set di credenziali specifiche del servizio per lo stesso servizio e lo stesso utente IAM

  2. Aggiornare tutte le applicazioni per fare in modo che utilizzino le nuove credenziali e verificare che funzionino correttamente

  3. Cambiare lo stato delle credenziali originali in “Inattiva”

  4. Verificare che tutte le applicazioni funzionino ancora correttamente

  5. Eliminare le credenziali specifiche del servizio inattive quando si ha la certezza che non siano più necessarie

Monitoraggio delle credenziali specifiche del servizio

Puoi utilizzare AWS CloudTrail per monitorare l'uso di credenziali specifiche del servizio nel tuo account AWS. Per visualizzare gli eventi CloudTrail relativi all'utilizzo di credenziali specifiche del servizio, esamina i log di CloudTrail per gli eventi del servizio in cui vengono utilizzate le credenziali. Per ulteriori informazioni, consulta Registrazione di chiamate API IAM e AWS STS con AWS CloudTrail.

Per una maggiore sicurezza, valuta la possibilità di configurare allarmi CloudWatch in grado di informarti di specifici modelli di utilizzo delle credenziali che potrebbero indicare accessi non autorizzati o altri problemi di sicurezza. Per maggiori informazioni, consulta Monitoring CloudTrail Log Files with Amazon CloudWatch Logs nella Guida per l'utente di AWS CloudTrail.

I seguenti argomenti forniscono informazioni sulle credenziali specifiche del servizio.

Argomenti