Alternative alle chiavi di accesso a lungo termine

Accesso programmatico con AWS credenziali di sicurezza

Se possibile, si consiglia di utilizzare chiavi di accesso a breve termine per effettuare chiamate programmatiche AWS o utilizzare la sala operatoria. AWS Command Line Interface AWS Strumenti per PowerShell Tuttavia, è possibile utilizzare anche chiavi di AWS accesso a lungo termine per questi scopi.

Quando crei una chiavi di accesso a lungo termine, crei anche l'ID chiave di accesso (ad esempio, AKIAIOSFODNN7EXAMPLE) e la chiave di accesso segreta (ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). La chiave di accesso segreta può essere scaricata solo nel momento in cui viene creata. Se non si scarica la chiave di accesso segreta o se viene smarrita, è necessario crearne una nuova.

In molti scenari, non è necessaria una chiave di accesso a lungo termine a validità illimitata (come accade invece quando si creano le chiavi di accesso per un utente IAM). Al contrario, è possibile creare ruoli IAM e generare credenziali di sicurezza temporanee. Tali credenziali di sicurezza temporanee includono un ID chiave di accesso e una chiave di accesso segreta, ma includono anche un token di sicurezza che ne indica la scadenza. Dopo che scadono, non sono più valide. Per ulteriori informazioni, consulta Alternative alle chiavi di accesso a lungo termine

Le chiavi di accesso che IDs iniziano con AKIA sono chiavi di accesso a lungo termine per un utente IAM o un utente Account AWS root. Le chiavi di accesso che IDs iniziano con ASIA sono credenziali temporanee, chiavi di accesso create utilizzando AWS STS le operazioni.

Gli utenti necessitano dell'accesso programmatico se desiderano interagire con l' AWS esterno di. Console di gestione AWS Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l’accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell’accesso programmatico?	Per	Come
IAM	(Consigliato) Utilizza le credenziali della console come credenziali temporanee per firmare le richieste programmatiche a,, o. AWS CLI AWS SDKs AWS APIs	Segui le istruzioni per l’interfaccia che desideri utilizzare. Per la AWS CLI, consulta Login for AWS local development nella Guida per l'AWS Command Line Interface utente. Per AWS SDKs, consulta Login for AWS local development nella AWS SDKs and Tools Reference Guide.
Identità della forza lavoro (Utenti gestiti nel centro identità IAM)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Segui le istruzioni per l’interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento AWS SDKs and Tools.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'utente IAM.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l’interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali utente IAM nella Guida per l'utente.AWS Command Line Interface Per gli strumenti AWS SDKs e gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta la sezione Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente IAM.

Alternative alle chiavi di accesso a lungo termine

Per numerosi casi d'uso comuni, esistono delle alternative alle chiavi di accesso a lungo termine. Per migliorare la sicurezza del tuo account, considera quanto segue.

Non incorporate chiavi di accesso a lungo termine e chiavi di accesso segrete nel codice dell'applicazione o in un repository di codice: utilizzate invece altre soluzioni di gestione dei segreti AWS Secrets Manager, in modo da non dover codificare le chiavi in testo non crittografato. L'applicazione o il client possono quindi recuperare i segreti quando necessario. Per ulteriori informazioni, consulta Cos'è? AWS Secrets Manager nella Guida AWS Secrets Manager per l'utente.

Quando possibile, utilizza ruoli IAM per generare credenziali di sicurezza temporanee: usa sempre dei meccanismi per emettere credenziali di sicurezza temporanee anziché chiavi di accesso a lungo termine. Le credenziali di sicurezza temporanee sono più sicure perché non sono archiviate con l'utente ma vengono generate dinamicamente e fornite all'utente quando richiesto. Le credenziali di sicurezza temporanee hanno una durata limitata, quindi non è necessario gestirle o aggiornarle. I meccanismi che forniscono chiavi di accesso temporanee includono i ruoli IAM o l'autenticazione di un utente IAM Identity Center. Per le macchine che funzionano all'esterno dell' AWS utente, è possibile utilizzare AWS Identity and Access Management Roles Anywhere.
Utilizza alternative alle chiavi di accesso a lungo termine per AWS Command Line Interface (AWS CLI) o la aws-shell: le alternative includono quanto segue.
- Accedi per lo sviluppo AWS locale con le credenziali della console. È possibile utilizzare la AWS CLI versione 2 e il aws login comando per generare credenziali a breve termine per eseguire AWS CLI comandi utilizzando le credenziali della console. Per ulteriori informazioni, consulta Login for AWS local development nella Guida per l'AWS Command Line Interface utente.
- AWS CloudShellè una shell preautenticata basata su browser che puoi avviare direttamente da. Console di gestione AWSÈ possibile eseguire AWS CLI comandi Servizi AWS tramite la shell preferita (Bash, Powershell o Z shell). Quando esegui questa operazione, non devi scaricare o installare strumenti a riga di comando. Per ulteriori informazioni, consulta Che cos’è AWS CloudShell? nella Guida per l’utente di AWS CloudShell .
Non creare chiavi di accesso a lungo termine per utenti umani che devono accedere alle applicazioni, altrimenti Servizi AWS IAM Identity Center può generare credenziali di accesso temporanee a cui possono accedere gli utenti IdP esterni. Servizi AWS In questo modo si elimina la necessità di creare e gestire credenziali a lungo termine in IAM. In IAM Identity Center, crea un set di autorizzazioni di IAM Identity Center che conceda l'accesso agli utenti IdP esterni. Quindi assegna un gruppo da IAM Identity Center al set di autorizzazioni selezionato. Account AWS Per ulteriori informazioni, consulta What is AWS IAM Identity Center, Connect to your identity provider esterno e Set di autorizzazioni nella Guida per l'AWS IAM Identity Center utente.
Non archiviate le chiavi di accesso a lungo termine all'interno di un servizio di AWS elaborazione, ma assegnate invece un ruolo IAM alle risorse di calcolo. Ciò fornisce automaticamente le credenziali temporanee per concedere l'accesso. Ad esempio, quando crei un profilo di istanza collegato a un' EC2 istanza Amazon, puoi assegnare un AWS ruolo all'istanza e renderla disponibile per tutte le sue applicazioni. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull' EC2 istanza Amazon di ottenere credenziali temporanee. Per ulteriori informazioni, consulta Usare un ruolo IAM per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS credenziali di sicurezza

AWS linee guida per l'audit di sicurezza