Proteggi le credenziali di utente root per impedirne l'uso non autorizzato Utilizza una password dell'utente root sicura per proteggere l'accesso Abilita l'autenticazione a più fattori (MFA) per la sicurezza dell'utente root Non creare chiavi di accesso per l'utente root Utilizza l'approvazione di più persone per l'accesso come utente root laddove possibile Usa un indirizzo email di gruppo per le credenziali dell'utente root Limita l'accesso ai meccanismi di recupero dell'account Protezione delle credenziali dell'utente root per l'account AWS Organizations Monitora l'accesso e l'utilizzo

Best practice per gli utenti root per Account AWS

La prima volta che crei un Account AWS, inizi con un set di credenziali predefinito con accesso completo a tutte le AWS risorse del tuo account. Questa identità è chiamata utente root di Account AWS. Ti consigliamo vivamente di non accedere all'utente root di Account AWS a meno che tu non abbia un'attività che richiede le credenziali dell'utente root. È necessario proteggere le credenziali dell'utente root e i meccanismi di ripristino dell'account per evitare di esporre le proprie credenziali altamente privilegiate per usi non autorizzati.

Per più Account AWS gestiti tramite AWS Organizations, consigliamo di rimuovere le credenziali dell'utente root dagli account membri per evitare un uso non autorizzato. Puoi rimuovere la password dell'utente root, le chiavi di accesso, i certificati per la firma e disattivare ed eliminare l'autenticazione a più fattori (MFA). Gli account dei membri non possono accedere al proprio utente root o eseguirne il recupero della password. Per ulteriori informazioni, consulta Gestire centralmente l'accesso root per gli account membri.

Invece di accedere all'utente root, crea un utente amministrativo per le attività quotidiane.

Se hai un nuovo Account AWS, consulta Configurazione di Account AWS.
Per più Account AWS gestiti tramite AWS Organizations, consulta Configurare l'accesso a Account AWS per un utente amministrativo di IAM Identity Center.

Con il tuo utente amministrativo, puoi quindi creare identità aggiuntive per gli utenti che necessitano di accedere alle risorse del tuo Account AWS. Ti consigliamo vivamente di richiedere agli utenti di autenticarsi con credenziali temporanee al momento dell'accesso a AWS.

Per un Account AWS singolo e standalone, utilizza Ruoli IAM per creare identità nell'account con autorizzazioni specifiche. I ruoli sono destinai a essere assunti da chiunque ne abbia bisogno. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo. A differenza dei ruoli IAM, Utenti IAM dispongono di credenziali a lungo termine come password e chiavi di accesso. Ove possibile, le best practice raccomandano di fare affidamento a credenziali temporanee invece di creare utenti IAM con credenziali a lungo termine come le password e le chiavi di accesso.
Per più Account AWS gestiti tramite AWS Organizations, utilizza gli utenti della forza lavoro del Centro identità IAM. Con IAM Identity Center, puoi gestire centralmente gli utenti in Account AWS e le autorizzazioni relative a tali account. Gestisci le identità degli utenti con IAM Identity Center o con un provider di identità esterno. Per ulteriori informazioni, consulta Che cos'è AWS IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center.

Argomenti

Proteggi le credenziali di utente root per impedirne l'uso non autorizzato
Utilizza una password dell'utente root sicura per proteggere l'accesso
Abilita l'autenticazione a più fattori (MFA) per la sicurezza dell'utente root
Non creare chiavi di accesso per l'utente root
Utilizza l'approvazione di più persone per l'accesso come utente root laddove possibile
Usa un indirizzo email di gruppo per le credenziali dell'utente root
Limita l'accesso ai meccanismi di recupero dell'account
Protezione delle credenziali dell'utente root per l'account AWS Organizations
Monitora l'accesso e l'utilizzo

Proteggi le credenziali di utente root per impedirne l'uso non autorizzato

Proteggi le credenziali dell'utente root e usale solo per le attività che le richiedono. Per prevenire l'uso non autorizzato, non condividere la password dell'utente root, l'MFA, le chiavi di accesso, le coppie di chiavi CloudFront o i certificati di firma con nessuno, ad eccezione di coloro che hanno esigenze aziendali rigorose per accedere all'utente root.

Non memorizzate la password dell'utente root con strumenti che dipendono da un account Servizi AWS a cui si accede con la stessa password. Se perdi o dimentichi la password dell'utente root, non potrai accedere a questi strumenti. Si consiglia di dare priorità alla resilienza e di richiedere a due o più persone di autorizzare l'accesso alla posizione di archiviazione. L'accesso alla password o alla sua posizione di archiviazione deve essere registrato e monitorato.

Utilizza una password dell'utente root sicura per proteggere l'accesso

Consigliamo di utilizzare una password complessa e univoca. Strumenti come i gestori di password con potenti algoritmi di generazione di password possono aiutarti a raggiungere questi obiettivi. AWS richiede che la password soddisfi le seguenti condizioni:

Deve avere un minimo di 8 caratteri e un massimo di 128 caratteri.
Deve includere almeno tre dei seguenti tipi di caratteri: maiuscole, minuscole, numeri e i simboli ! @ # $ % ^ & * () <> [] {} | _+-=.
Non può coincidere con il nome o l'indirizzo e-mail dell'Account AWS.

Per ulteriori informazioni, consulta Modifica della password per Utente root dell'account AWS.

Abilita l'autenticazione a più fattori (MFA) per la sicurezza dell'utente root

Poiché un utente root può eseguire azioni privilegiate, è fondamentale aggiungere MFA per l'utente root come secondo fattore di autenticazione oltre all'indirizzo e-mail e alla password come credenziali di accesso. È possibile registrare fino a otto dispositivi MFA di qualsiasi combinazione dei tipi di MFA attualmente supportati con l'utente root Account AWS.

Ti consigliamo vivamente di abilitare più dispositivi MFA per le credenziali dell'utente root per fornire maggiore flessibilità e resilienza nella tua strategia di sicurezza. Tutti i tipi di Account AWS (account standalone, di gestione e account membro) richiedono la configurazione dell'MFA per l'utente root. Se l'MFA non è ancora abilitata, gli utenti devono registrare l'MFA entro 35 giorni dal primo tentativo di accesso per accedere alla Console di gestione AWS.

Le chiavi di sicurezza hardware certificate FIDO sono fornite da fornitori terzi. Per ulteriori informazioni, vedere Abilitare una chiave di sicurezza FIDO per l'utente Account AWS root.
Token TOTP hardware: un dispositivo hardware che genera un codice numerico a sei cifre basato sull'algoritmo TOTP (password monouso). Per ulteriori informazioni, vedere Abilitare un token TOTP hardware per l'utente root di Account AWS.
Un'applicazione di autenticazione virtuale che viene eseguita su un telefono o altro dispositivo e simula un dispositivo fisico. Per ulteriori informazioni, consulta Abilitare un dispositivo MFA virtuale per l'utente root Account AWS.

Non creare chiavi di accesso per l'utente root

Le chiavi di accesso consentono di eseguire comandi nell'interfaccia a riga di AWS comando (AWS CLI) o utilizzare le operazioni API da uno degli AWS SDK. Ti consigliamo vivamente di non creare coppie di chiavi di accesso per l'utente root, poiché l'utente root ha pieno accesso a tutte Servizi AWS le risorse dell'account, incluse le informazioni di fatturazione.

Poiché solo alcune attività richiedono l'utilizzo dell'utente root e solitamente vengono eseguite di rado, consigliamo di accedere alla Console di gestione AWS per eseguire le attività dell'utente root. Prima di creare le chiavi di accesso, esamina la Alternative alle chiavi di accesso a lungo termine.

Utilizza l'approvazione di più persone per l'accesso come utente root laddove possibile

Valuta la possibilità di utilizzare l'approvazione di più persone per garantire che nessuna persona possa accedere sia all'MFA che alla password per l'utente root. Alcune aziende aggiungono un ulteriore livello di sicurezza configurando un gruppo di amministratori con accesso alla password e un altro gruppo di amministratori con accesso alla MFA. Per eseguire l'accesso utilizzando le credenziali dell'utente root è necessario che si riuniscano due membri, uno di ciascun gruppo.

Usa un indirizzo email di gruppo per le credenziali dell'utente root

Utilizza un indirizzo e-mail gestito dalla tua azienda e inoltra i messaggi ricevuti direttamente a un gruppo di utenti. Se AWS deve contattare il proprietario dell'account, questo approccio aiuta a ridurre il rischio di ritardi nella risposta anche se i destinatari sono in vacanza, in malattia o hanno lasciato l'azienda. L'indirizzo e-mail utilizzato per l'utente root non deve essere utilizzato per altri scopi.

Limita l'accesso ai meccanismi di recupero dell'account

Assicurati di sviluppare un processo per gestire i meccanismi di recupero delle credenziali degli utenti root nel caso in cui sia necessario accedervi in caso di emergenza, come l'acquisizione del tuo account amministrativo.

Assicurati di avere accesso alla casella di posta elettronica dell'utente root in modo da poter reimpostare una password utente root persa o dimenticata.
Se il tuo dispositivo di autenticazione a più fattori (MFA) dell'utente root di Account AWS viene perso, danneggiato o non funziona, potrai accedere utilizzando un altro dispositivo MFA registrato dello stesso utente root. Se hai perso l'accesso a tutte le MFA, hai bisogno che sia il numero di telefono che l'e-mail siano aggiornati e accessibili per ripristinare l'MFA. Per i dettagli, consulta Recupero di un dispositivo MFA per utenti root.
Se scegli di non memorizzare la password dell'utente root e l'MFA, il numero di telefono registrato nell'account può essere utilizzato come metodo alternativo per recuperare le credenziali dell'utente root. Assicurati di avere accesso al numero di telefono di contatto, mantieni aggiornato il numero di telefono e limita l'accesso alla gestione del numero di telefono.

Nessuno dovrebbe avere accesso sia alla casella di posta elettronica che al numero di telefono, poiché entrambi sono canali di verifica per recuperare la password dell'utente root. È importante che due gruppi di persone gestiscano questi canali. Un gruppo ha accesso al tuo indirizzo email principale e un altro gruppo che ha accesso al numero di telefono principale per recuperare l'accesso al tuo account come utente root.

Protezione delle credenziali dell'utente root per l'account AWS Organizations

Quando si passa a una strategia multi-account con AWS Organizations, ognuno degli Account AWS dispone delle proprie credenziali dell'utente root che bisogna proteggere. L'account che usi per creare la tua organizzazione è l'account di gestione e gli altri account dell'organizzazione sono account membro.

Protezione delle credenziali dell'utente root per l'account di gestione

AWS richiede la registrazione della MFA per l'utente root dell'account di gestione dell'organizzazione. La registrazione MFA deve essere completata durante il primo tentativo di accesso o entro il periodo di prova di 35 giorni. Se la MFA non è abilitata entro questo periodo, sarà richiesta la registrazione prima di poter accedere alla Console di gestione AWS. Per ulteriori informazioni, consulta Autenticazione a più fattori per Utente root dell'account AWS.

Proteggi le credenziali utente root per gli account dei membri

Se utilizzi AWS Organizations per gestire più account, puoi adottare due strategie per proteggere l'accesso degli utenti root nelle tue AWS Organizations.

Centralizza l'accesso root e rimuovi le credenziali dell'utente root dagli account membro. Rimuovi le credenziali dell'utente root, le chiavi di accesso, i certificati per la firma e disattiva ed elimina l'autenticazione a più fattori (MFA). Quando si impiega questa strategia, gli account dei membri non possono accedere al proprio utente root o eseguirne il recupero della password. Per ulteriori informazioni, consulta Gestire centralmente l'accesso root per gli account membri.
Proteggi le credenziali dell'utente root degli account AWS Organizations avvalendoti dell'MFA per migliorare la sicurezza dell'account. Per ulteriori informazioni, consulta Autenticazione a più fattori per Utente root dell'account AWS.

Per i dettagli, consulta Accessing member accounts in your organization nella Guida per l'utente di AWS Organizations.

Impostazione di controlli di sicurezza preventivi in AWS Organizations utilizzando una policy di controllo dei servizi (SCP)

Se gli account membro della tua organizzazione hanno le credenziali utente root abilitate, puoi applicare una SCP per limitare l'accesso all'utente root dell'account membro. Negare tutte le azioni degli utenti root negli account dei membri, ad eccezione di alcune azioni di tipo root, aiuta a prevenire l'accesso non autorizzato. Per i dettagli, consulta utilizza una SCP per limitare ciò che le operazioni che un utente root nei tuoi account membri può eseguire.

Monitora l'accesso e l'utilizzo

Ti consigliamo di utilizzare gli attuali meccanismi di tracciamento per monitorare, avvisare e segnalare l'accesso e l'uso delle credenziali dell'utente root, compresi gli avvisi che annunciano l'accesso e l'utilizzo dell'utente root. I seguenti servizi possono contribuire a garantire che l'utilizzo delle credenziali dell'utente root sia monitorato ed eseguire controlli di sicurezza che possono aiutare a prevenire l'uso non autorizzato.

Nota

CloudTrail registra diversi eventi di accesso per l'utente root e le sessioni utente root con privilegi. Queste sessioni con privilegi consentono di eseguire attività che richiedono credenziali dell'utente root negli account dei membri dell'organizzazione. È possibile utilizzare l'evento di accesso per identificare le azioni intraprese dall'account di gestione o da un amministratore delegato utilizzando sts:AssumeRoot. Per ulteriori informazioni, consulta Tenere traccia delle attività con privilegi in CloudTrail.

Se desideri ricevere notifiche sull'attività di accesso degli utenti root nel tuo account, puoi sfruttare Amazon CloudWatch per creare una regola Events che rileva quando vengono utilizzate le credenziali dell'utente root e attiva una notifica all'amministratore della sicurezza. Per i dettagli, consulta Monitoraggio e notifiche sull'attività dell'utente root Account AWS.
Se desideri configurare notifiche per avvisarti delle azioni approvate degli utenti root, puoi sfruttare Amazon EventBridge insieme ad Amazon SNS per scrivere una regola EventBridge per tenere traccia dell'utilizzo dell'utente root per l'azione specifica e inviarti notifiche utilizzando un argomento Amazon SNS. Per un esempio, consulta Inviare una notifica quando viene creato un oggetto Amazon S3.
Se utilizzi già GuardDuty come servizio di rilevamento delle minacce, puoi estenderne la capacità di avvisarti quando le credenziali dell'utente root vengono utilizzate nel tuo account.

Gli avvisi dovrebbero includere, ma non esclusivamente, l'indirizzo e-mail utilizzato per l'utente root stesso. Controlla che ci siano delle prassi attive perché il personale che riceve un avviso di questo tipo comprenda come convalidare che è previsto l'accesso utente root e come sottoporre la questione ai livelli gerarchici superiori se ritiene che sia in corso un incidente di sicurezza. Per un esempio su come configurare gli avvisi, consulta Monitoraggio e notifiche sull'attività dell'utente root Account AWS.

Valuta la conformità con l'MFA per l'utente root

I seguenti servizi consentono di valutare la conformità MFA per le credenziali dell'utente root.

Le regole relative all'MFA risultano non conformi se si segue la best pratice per la rimozione delle credenziali dell'utente root.

Consigliamo di rimuovere le credenziali dell'utente root dagli account membri dell'organizzazione per evitare un uso non autorizzato. Dopo aver rimosso le credenziali dell'utente root, inclusa la MFA, questi account membro vengono valutati come non applicabili.

AWS Config fornisce regole per monitorare la conformità con le best practice per gli utenti root. Puoi utilizzare le regole gestite da AWS Config per aiutarti ad applicare la MFA per le credenziali dell'utente root. AWS Config può anche identificare le chiavi di accesso per l'utente root.
Security Hub fornisce una visione completa dello stato di sicurezza in AWS e ti aiuta a valutare l'AWSambiente rispetto agli standard di sicurezza del settore e alle best practice, come l'MFA sull'utente root e l'assenza di chiavi di accesso per l'utente root. Per i dettagli sulle regole disponibili, consulta AWS Identity and Access Managementi controlli nella Guida per l'utente di Security Hub.
Trusted Advisorfornisce un controllo di sicurezza per sapere se l'MFA non è abilitata sull'account utente root. Per ulteriori informazioni, consulta MFA sull'account root nella Guida per l'utente di AWS.

Se devi segnalare un problema di sicurezza sul tuo account, consulta Segnalazione di e-mail sospette o Segnalazione di vulnerabilità. In alternativa, puoi contattare AWS per ricevere assistenza e indicazioni aggiuntive.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Best practice di sicurezza

Casi d'uso di business