Tutorial IAM: consentire agli utenti di gestire le proprie credenziali e impostazioni MFA - AWS Identity and Access Management
PrerequisitiFase 1: creazione di una policy per applicare l'accesso MFAFase 2: Collegamento delle policy al gruppo di utenti di testFase 3: test dell'accesso dell'utenteRisorse correlate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial IAM: consentire agli utenti di gestire le proprie credenziali e impostazioni MFA

Puoi consentire agli utenti di gestire i loro dispositivi e le credenziali di autenticazione a più fattori (MFA) nella pagina Credenziali di sicurezza. Puoi utilizzarlo Console di gestione AWS per configurare le credenziali (chiavi di accesso, password, certificati di firma e chiavi pubbliche SSH), eliminare o disattivare le credenziali non necessarie e abilitare i dispositivi MFA per i tuoi utenti. Sebbene sia utile per un numero ridotto di utenti, è un'operazione che potrebbe richiedere molto tempo se il numero di utenti cresce. Mostrare come abilitare queste best practice senza sovraccaricare gli amministratori è l'obiettivo di questo tutorial.

Questo tutorial mostra come consentire agli utenti di accedere ai AWS servizi, ma solo quando accedono con MFA. Se non sono registrati con un dispositivo MFA, gli utenti non possono accedere ad altri servizi.

Questo flusso di lavoro ha tre fasi di base.

Fase 1: creazione di una policy per applicare l'accesso MFA

Crea una policy gestita dal cliente che impedisce tutte le azioni eccetto le poche operazioni IAM. Queste eccezioni consentono a un utente di modificare le sue credenziali e gestire i dispositivi MFA nella pagina Credenziali di sicurezza. Per ulteriori informazioni sull'accesso alla pagina, consulta Come gli utenti IAM possono cambiare le proprie password (console).

Fase 2: Collegamento delle policy al gruppo di utenti di test

Crea un gruppo di utenti i cui membri abbiano pieno accesso a tutte le EC2 azioni di Amazon se accedono con MFA. Per creare un gruppo di utenti di questo tipo, alleghi sia la politica AWS gestita richiamata AmazonEC2FullAccess sia la politica gestita dai clienti che hai creato nel primo passaggio.

Fase 3: test dell'accesso dell'utente

Accedi come utente di prova per verificare che l'accesso ad Amazon EC2 sia bloccato finché l'utente non crea un dispositivo MFA. L'utente può quindi accedere utilizzando tale dispositivo.

Prerequisiti

Per eseguire queste fasi in questo tutorial, è necessario quanto segue:

  • E a Account AWS cui puoi accedere come utente IAM con autorizzazioni amministrative.

  • Il numero ID dell'account, che si digita nella policy nella Fase 1.

    Per trovare il numero ID dell'account nella barra di navigazione in alto sulla pagina, selezionare Support (Supporto) e selezionare Support Center (Centro di supporto). Puoi trovare l'ID dell'account nel menu Supporto di questa pagina.

  • Un dispositivo MFA virtuale (basato su software), una chiave di sicurezza FIDO o un dispositivo MFA basato su hardware.

  • Un utente IAM di prova che è membro di un gruppo come segue:

Nome utente Istruzioni per il nome utente Nome gruppo di utenti Aggiungere utente come un membro Istruzioni per il gruppo di utenti
MFAUser Seleziona solo l'opzione per Enable console access – optional (Abilita , l'accesso alla console - facoltativo) e assegna una password. EC2MFA MFAUser NON collegare policy o concedere autorizzazioni a questo gruppo di utenti.

Fase 1: creazione di una policy per applicare l'accesso MFA

Per iniziare, crea una policy gestita dal cliente IAM che nega tutte le autorizzazioni tranne quelle richieste per gli utenti IAM per gestire le credenziali e i dispositivi MFA.

  1. Accedi alla console di AWS gestione come utente con credenziali di amministratore. Per aderire alle best practice di IAM, non accedere con le tue Utente root dell'account AWS credenziali.

    Importante

    Le migliori pratiche IAM consigliano di richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee anziché utilizzare utenti IAM con credenziali a lungo termine. Ti consigliamo di utilizzare gli utenti IAM solo per casi d'uso specifici non supportati dagli utenti federati.

  2. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  3. Nel pannello di navigazione, scegli Policy e Crea policy.

  4. Selezionare la scheda JSON e copiare il testo dal documento della seguente policy JSON: AWS: consente agli utenti IAM autenticati con MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza.

  5. Incolla il testo della policy nella casella di testo JSON. Risolvi eventuali avvisi di sicurezza, errori o avvertenze generali generati durante la convalida delle policy, quindi scegli Successivo.

    Nota

    È possibile alternare le opzioni dell'editor Visivo e JSON in qualsiasi momento. Tuttavia, la policy qui sopra include l'elemento NotAction, che non è supportato nell'editor visivo. Per questa policy, verrà visualizzata una notifica nella scheda Visual Editor (Editor visivo). Torna alla scheda JSON per continuare a lavorare con questa policy.

    Questo esempio di policy non consente agli utenti di reimpostare la password durante il primo accesso a Console di gestione AWS . Ti consigliamo di non concedere autorizzazioni ai nuovi utenti fino a quando non hanno effettuato l'accesso e reimpostato la password.

  6. Nella pagina Verifica policy, digita Force_MFA come nome della policy. Per la descrizione della policy, digita This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.. Nell'area Tag, puoi facoltativamente aggiungere coppie chiave-valore di tag alla policy gestita dal cliente. Esamina le autorizzazioni concesse dalla policy, quindi scegli Crea policy per salvare il lavoro.

    La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegare.

Fase 2: Collegamento delle policy al gruppo di utenti di test

In seguito collega le due policy al gruppo di utenti IAM di test, che verrà utilizzato per concedere le autorizzazioni protette mediante MFA.

  1. Nel pannello di navigazione seleziona Gruppi di utenti.

  2. Nella casella di ricerca digita EC2MFA e seleziona il nome del gruppo (non la casella di controllo) nell'elenco.

  3. Nella scheda Permissions (Autorizzazioni), scegli Add permissions (Aggiungi autorizzazioni), quindi Attach policies (Collega policy).

  4. Nella pagina Allega criteri di autorizzazione al gruppo EC2 MFA, nella casella di ricerca, digitare. EC2Full Quindi seleziona la casella di controllo accanto ad Amazon EC2 FullAccess nell'elenco. Non salvare ancora le modifiche.

  5. Nella casella di ricerca, digita Force e seleziona la casella di controllo accanto a Force_MFA nell'elenco.

  6. Scegli Collega policy.

Fase 3: test dell'accesso dell'utente

In questa parte del tutorial, effettuare l'accesso come utente di prova e verificare che la policy funzioni correttamente.

  1. Accedi al tuo annuncio MFAUser con Account AWS la password che hai assegnato nella sezione precedente. Utilizzare l'URL: https://<alias or account ID number>.signin.aws.amazon.com/console

  2. Scegli EC2di aprire la EC2 console Amazon e verifica che l'utente non disponga delle autorizzazioni per fare nulla.

  3. Selezionare il nome utente MFAUser in alto a destra nella barra di navigazione e scegli Security Credentials (Credenziali di sicurezza).

    AWS Link alle credenziali di sicurezza della console di gestione.

  4. Aggiungere un dispositivo MFA. Nella sezione Multi-Factor Authentication (MFA) (Autenticazione a più fattori), scegliere Assign MFA device (Assegna dispositivo MFA).

    Nota

    Potrebbe essere visualizzato un errore che indica che non si è autorizzati a eseguire iam:DeleteVirtualMFADevice. Questo può accadere se qualcuno in precedenza ha iniziato ad assegnare un dispositivo MFA virtuale a questo utente e ha annullato il processo. Per continuare, l'utente o un altro amministratore devono eliminare il dispositivo MFA virtuale esistente non assegnato dell'utente. Per ulteriori informazioni, consulta Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice.

  5. Per questo tutorial, utilizziamo un dispositivo MFA (basato su software), ad esempio Google Authenticator app su un cellulare. Scegli l'app Authenticator, quindi fai clic su Next (Successivo).

    IAM genera e visualizza le informazioni di configurazione per il dispositivo MFA virtuale, tra cui il codice grafico QR. Il grafico è una rappresentazione della chiave di configurazione segreta che è disponibile per l'inserimento manuale su dispositivi che non supportano i codici QR.

  6. Aprire l'app MFA virtuale. (Per un elenco di app che si possono utilizzare per ospitare dispositivi MFA virtuali, consulta Applicazioni MFA virtuali.) Se l'app MFA virtuale supporta più account (più dispositivi MFA virtuali), selezionare l'opzione che consente di creare un nuovo account (un nuovo dispositivo virtuale MFA).

  7. Determinare se l'app MFA supporta i codici QR e procedere in uno dei seguenti modi:

    • Nella procedura guidata, scegliere Show QR code (Mostra codice QR). Quindi utilizzare l'app per la scansione del codice QR. Ad esempio, è possibile selezionare l'icona della fotocamera o un'opzione simile a Scannerizza codice ed eseguire la scansione del codice tramite la fotocamera del dispositivo.

    • Nella procedura guidata Set up device (Configura dispositivo), scegli Show secret key (Mostra chiave segreta) e digita la chiave segreta nell'app MFA.

    Al termine, il dispositivo MFA virtuale avvia la generazione di password una tantum.

  8. Nella procedura guidata Set up device (Configura dispositivo), nella casella Enter the code from your authenticator app (Immetti il codice dall'app di autenticazione), digita la password una tantum che appare nel dispositivo MFA virtuale. Scegli Register MFA (Registra MFA).

    Importante

    Invia la richiesta immediatamente dopo la generazione del codice. Se si generano i codici e si attende troppo a lungo per inviare la richiesta, il dispositivo MFA è correttamente associato all'utente. Tuttavia, il dispositivo MFA non è sincronizzato. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.

    Il dispositivo MFA virtuale è ora pronto per l'uso con. AWS

  9. Uscire dalla console ed effettuare nuovamente l'accesso come MFAUser Questa volta AWS ti viene richiesto un codice MFA dal tuo telefono. Una volta ottenuto, digitare il codice nella casella e selezionare Submit (Invia).

  10. Scegli EC2di aprire nuovamente la EC2 console Amazon. In questo momento è possibile visualizzare tutte le informazioni ed eseguire tutte le azioni desiderate. Se si accede a qualsiasi altra console come questo utente, vengono visualizzati messaggi di accesso negato. Il motivo è che le politiche di questo tutorial garantiscono l'accesso solo ad Amazon EC2.

Per ulteriori informazioni, consulta i seguenti argomenti: