Sicurezza dell'infrastruttura in AWS Identity and Access Management - AWS Identity and Access Management

Sicurezza dell'infrastruttura in AWS Identity and Access Management

Come servizio gestito, AWS Identity and Access Management è protetto dalla sicurezza di rete globale di AWS. Per informazioni sui servizi di sicurezza AWS e su come AWS protegge l'infrastruttura, consulta la pagina Sicurezza del cloud AWS. Per progettare l'ambiente AWS utilizzando le best practice per la sicurezza dell'infrastruttura, consulta la pagina Protezione dell'infrastruttura nel Pilastro della sicurezza di AWS Well‐Architected Framework.

Utilizza le chiamate API pubblicate di AWS per accedere ad IAM tramite la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

IAM è accessibile a livello di programmazione utilizzando le API HTTPS che consentono di inviare richieste HTTPS direttamente al servizio. L'API Query restituisce informazioni riservate, incluse le credenziali di sicurezza. Pertanto, è necessario utilizzare HTTPS con tutte le richieste API. Quando utilizzi le API HTTPS, devi includere il codice per firmare in modo digitale le richieste utilizzando le tue credenziali.

È possibile richiamare queste operazioni API da qualsiasi posizione di rete, ma IAM non supporta le policy di accesso basate sulle risorse che possono includere limitazioni sull'indirizzo IP di origine. È inoltre possibile utilizzare le policy IAM per controllare l'accesso da endpoint Amazon Virtual Private Cloud (Amazon VPC) o VPC specifici. Di fatto, ciò isola l'accesso di rete a una risorsa IAM specificata solo dal VPC specifico all'interno della rete AWS.