Alternative alle chiavi di accesso a lungo termine

Accesso programmatico con credenziali di sicurezza AWS

Quando possibile, consigliamo di utilizzare chiavi di accesso a breve termine per effettuare chiamate programmatiche a AWS o utilizzare la AWS Command Line Interface o AWS Strumenti per PowerShell. Tuttavia, per questi scopi è possibile utilizzare anche chiavi di accesso AWS a lungo termine.

Quando crei una chiavi di accesso a lungo termine, crei anche l'ID chiave di accesso (ad esempio, AKIAIOSFODNN7EXAMPLE) e la chiave di accesso segreta (ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). La chiave di accesso segreta può essere scaricata solo nel momento in cui viene creata. Se non si scarica la chiave di accesso segreta o se viene smarrita, è necessario crearne una nuova.

In molti scenari, non è necessaria una chiave di accesso a lungo termine a validità illimitata (come accade invece quando si creano le chiavi di accesso per un utente IAM). Al contrario, è possibile creare ruoli IAM e generare credenziali di sicurezza temporanee. Tali credenziali di sicurezza temporanee includono un ID chiave di accesso e una chiave di accesso segreta, ma includono anche un token di sicurezza che ne indica la scadenza. Dopo che scadono, non sono più valide. Per ulteriori informazioni, consulta . Alternative alle chiavi di accesso a lungo termine

Gli ID chiavi di accesso che iniziano con AKIA sono chiavi di accesso a lungo termine per un utente IAM o un utente root dell'Account AWS. Gli ID chiavi di accesso che iniziano con ASIA sono chiavi di accesso temporanee create utilizzando le operazioni AWS STS.

Gli utenti hanno bisogno di un accesso programmatico se desiderano interagire con AWS esternamente a Console di gestione AWS. La modalità con cui concedere l'accesso programmatico dipende dal tipo di utente che accede ad AWS.

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti nel centro identità IAM)	Utilizza credenziali temporanee per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta la pagina Configurazione della AWS CLI per l'uso di AWS IAM Identity Center nella Guida per l'utente dell'AWS Command Line Interface. Per gli SDK AWS, gli strumenti e le API AWS, consulta la pagina Autenticazione Centro identità IAM nella Guida di riferimento per SDK e strumenti AWS.
IAM	Utilizza credenziali temporanee per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.	Segui le istruzioni in Utilizzo di credenziali temporanee con le risorse AWS nella Guida per l'utente IAM.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta la pagina Autenticazione tramite credenziali utente IAM nella Guida per l'utente dell'AWS Command Line Interface. Per gli SDK e gli strumenti AWS, consulta la pagina Autenticazione con credenziali a lungo termine nella Guida di riferimento per SDK e strumenti AWS. Per le API AWS, consulta la pagina Gestione delle chiavi di accesso per utenti IAM nella Guida per l'utente IAM.

Quale utente necessita dell'accesso programmatico?

Per

Come

Identità della forza lavoro

(Utenti gestiti nel centro identità IAM)

Utilizza credenziali temporanee per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta la pagina Configurazione della AWS CLI per l'uso di AWS IAM Identity Center nella Guida per l'utente dell'AWS Command Line Interface.
Per gli SDK AWS, gli strumenti e le API AWS, consulta la pagina Autenticazione Centro identità IAM nella Guida di riferimento per SDK e strumenti AWS.

IAM

Utilizza credenziali temporanee per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.

Segui le istruzioni in Utilizzo di credenziali temporanee con le risorse AWS nella Guida per l'utente IAM.

IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta la pagina Autenticazione tramite credenziali utente IAM nella Guida per l'utente dell'AWS Command Line Interface.
Per gli SDK e gli strumenti AWS, consulta la pagina Autenticazione con credenziali a lungo termine nella Guida di riferimento per SDK e strumenti AWS.
Per le API AWS, consulta la pagina Gestione delle chiavi di accesso per utenti IAM nella Guida per l'utente IAM.

Alternative alle chiavi di accesso a lungo termine

Per numerosi casi d'uso comuni, esistono delle alternative alle chiavi di accesso a lungo termine. Per migliorare la sicurezza del tuo account, considera quanto segue.

Non integrare chiavi di accesso a lungo termine e chiavi di accesso segrete nel codice dell'applicazione o in un repository di codice:utilizza invece Gestione dei segreti AWS o un'altra soluzione di gestione dei segreti in modo da non dover codificare le chiavi in formato testo normale. L'applicazione o il client possono quindi recuperare i segreti quando necessario. Per ulteriori informazioni, consulta Che cos'è Gestione dei segreti AWS? nella Guida per l'utente di Gestione dei segreti AWS.

Quando possibile, utilizza ruoli IAM per generare credenziali di sicurezza temporanee: usa sempre dei meccanismi per emettere credenziali di sicurezza temporanee anziché chiavi di accesso a lungo termine. Le credenziali di sicurezza temporanee sono più sicure perché non sono archiviate con l'utente ma vengono generate dinamicamente e fornite all'utente quando richiesto. Le credenziali di sicurezza temporanee hanno una durata limitata, quindi non è necessario gestirle o aggiornarle. I meccanismi che forniscono chiavi di accesso temporanee includono i ruoli IAM o l'autenticazione di un utente IAM Identity Center. Per computer che funzionano al di fuori di AWS è possibile utilizzare AWS Identity and Access Management Roles Anywhere.
Utilizza alternative alle chiavi di accesso a lungo termine per AWS Command Line Interface (AWS CLI) o la aws-shell: le alternative includono quanto segue.
- AWS CloudShell è una shell pre-autenticata basata su browser che può essere avviata direttamente dalla Console di gestione AWS. Puoi eseguire i comandi della AWS CLI per Servizi AWS tramite la tua shell preferita (Bash, PowerShell o Z shell). Quando esegui questa operazione, non devi scaricare o installare strumenti a riga di comando. Per ulteriori informazioni, consulta Che cos'è AWS CloudShell? nella Guida per l'utente di AWS CloudShell.
- Integrazione della AWS CLI versione 2 con AWS IAM Identity Center (IAM Identity Center). Puoi autenticare gli utenti e fornire credenziali a breve termine per eseguire i comandi della AWS CLI. Per ulteriori informazioni, consulta Integrazione di AWS CLI con IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center e Configurazione della AWS CLI per l'uso di IAM Identity Center nella Guida per l'utente di AWS Command Line Interface.
Non creare chiavi di accesso a lungo termine per utenti che hanno bisogno di accedere alle applicazioni o a Servizi AWS: IAM Identity Center può generare credenziali di accesso temporanee con cui gli utenti IdP esterni possano accedere a Servizi AWS. In questo modo si elimina la necessità di creare e gestire credenziali a lungo termine in IAM. In IAM Identity Center, crea un set di autorizzazioni di IAM Identity Center che conceda l'accesso agli utenti IdP esterni. Quindi assegna un gruppo da IAM Identity Center al set di autorizzazioni negli Account AWS selezionati. Per ulteriori informazioni, consulta Cos'è AWS IAM Identity Center?, Collegamento al provider di identità esterno e Set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center.
Non archiviare le chiavi di accesso a lungo termine in un servizio di calcolo AWS: assegna invece un ruolo IAM alle risorse di calcolo. Ciò fornisce automaticamente le credenziali temporanee per concedere l'accesso. Ad esempio, quando crei un profilo dell'istanza collegato a un'istanza Amazon EC2, puoi assegnare un ruolo AWS all'istanza e renderlo disponibile a tutte le sue applicazioni. Un profilo dell'istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza Amazon EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Credenziali di sicurezza di AWS

AWSLinee guida sugli audit di sicurezza