Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tutorial IAM: consentire agli utenti di gestire le proprie credenziali e impostazioni MFA
Puoi consentire agli utenti di gestire i loro dispositivi e le credenziali di autenticazione a più fattori (MFA) nella pagina **Credenziali di sicurezza**. Puoi utilizzarlo Console di gestione AWS per configurare le credenziali (chiavi di accesso, password, certificati di firma e chiavi pubbliche SSH), eliminare o disattivare le credenziali non necessarie e abilitare i dispositivi MFA per i tuoi utenti. Sebbene sia utile per un numero ridotto di utenti, è un'operazione che potrebbe richiedere molto tempo se il numero di utenti cresce. Mostrare come abilitare queste best practice senza sovraccaricare gli amministratori è l'obiettivo di questo tutorial.
Questo tutorial mostra come consentire agli utenti di accedere ai AWS servizi, ma **solo** quando accedono con MFA. Se non sono registrati con un dispositivo MFA, gli utenti non possono accedere ad altri servizi.
Questo flusso di lavoro ha tre fasi di base.
**[Fase 1: creazione di una policy per applicare l'accesso MFA](#tutorial_mfa_step1)**
Crea una policy gestita dal cliente che impedisce tutte le azioni ***eccetto*** le poche operazioni IAM. Queste eccezioni consentono a un utente di modificare le sue credenziali e gestire i dispositivi MFA nella pagina **Credenziali di sicurezza**. Per ulteriori informazioni sull'accesso alla pagina, consulta [Come gli utenti IAM possono cambiare le proprie password (console)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).
**[Fase 2: Collegamento delle policy al gruppo di utenti di test](#tutorial_mfa_step2)**
Crea un gruppo di utenti i cui membri hanno accesso completo a tutte le operazioni Amazon EC2 se effettuano l'accesso con MFA. Per creare un gruppo di utenti di questo tipo, alleghi sia la politica AWS gestita richiamata `AmazonEC2FullAccess` sia la politica gestita dai clienti che hai creato nel primo passaggio.
**[Fase 3: test dell'accesso dell'utente](#tutorial_mfa_step3)**
Accedi come utente di prova per verificare che l'accesso ad Amazon EC2 sia bloccato *fino* a quando l'utente non crea un dispositivo MFA. L'utente può quindi accedere utilizzando tale dispositivo.
## Prerequisiti
Per eseguire queste fasi in questo tutorial, è necessario quanto segue:
+ E a Account AWS cui puoi accedere come utente IAM con autorizzazioni amministrative.
+ Il numero ID dell'account, che si digita nella policy nella Fase 1.
Per trovare il numero ID dell'account nella barra di navigazione in alto sulla pagina, selezionare **Support (Supporto)** e selezionare **Support Center (Centro di supporto)**. Puoi trovare l'ID dell'account nel menu **Supporto** di questa pagina.
+ Un [dispositivo MFA virtuale (basato su software)](id_credentials_mfa_enable_virtual.md), una [chiave di sicurezza FIDO](id_credentials_mfa_enable_fido.md) o un [dispositivo MFA basato su hardware](id_credentials_mfa_enable_physical.md).
+ Un utente IAM di prova che è membro di un gruppo come segue:
| Nome utente | Istruzioni per il nome utente | Nome gruppo di utenti | Aggiungere utente come un membro | Istruzioni per il gruppo di utenti |
| --- | --- | --- | --- | --- |
| MFAUser | Seleziona solo l'opzione per Enable console access – optional (Abilita , l'accesso alla console - facoltativo) e assegna una password. | EC2MFA | MFAUser | NON collegare policy o concedere autorizzazioni a questo gruppo di utenti. |
## Fase 1: creazione di una policy per applicare l'accesso MFA
Per iniziare, crea una policy gestita dal cliente IAM che nega tutte le autorizzazioni tranne quelle richieste per gli utenti IAM per gestire le credenziali e i dispositivi MFA.
1. Accedi alla console di AWS gestione come utente con credenziali di amministratore. Per aderire alle best practice di IAM, non accedere con le tue Utente root dell'account AWS credenziali.
**Importante**
[Le migliori pratiche](best-practices.md) IAM consigliano di richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee anziché utilizzare utenti IAM con credenziali a lungo termine. Ti consigliamo di utilizzare gli utenti IAM solo per [casi d'uso specifici](gs-identities-iam-users.md) non supportati dagli utenti federati.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, scegli **Policy** e **Crea policy**.
1. Selezionare la scheda **JSON** e copiare il testo dal documento della seguente policy JSON: [AWS: consente agli utenti IAM autenticati con MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza](reference_policies_examples_aws_my-sec-creds-self-manage.md).
1. Incolla il testo della policy nella casella di testo **JSON**. Risolvi eventuali avvisi di sicurezza, errori o avvertenze generali generati durante la convalida delle policy, quindi scegli **Successivo**.
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Tuttavia, la policy qui sopra include l'elemento `NotAction`, che non è supportato nell'editor visivo. Per questa policy, verrà visualizzata una notifica nella scheda **Visual Editor (Editor visivo)**. Torna alla scheda **JSON** per continuare a lavorare con questa policy.
Questo esempio di policy non consente agli utenti di reimpostare la password durante il primo accesso a Console di gestione AWS . Ti consigliamo di non concedere autorizzazioni ai nuovi utenti fino a quando non hanno effettuato l'accesso e reimpostato la password.
1. Nella pagina **Verifica policy**, digita **Force\$1MFA** come nome della policy. Per la descrizione della policy, digita **This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.**. Nell'area **Tag**, puoi facoltativamente aggiungere coppie chiave-valore di tag alla policy gestita dal cliente. Esamina le autorizzazioni concesse dalla policy, quindi scegli **Crea policy** per salvare il lavoro.
La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegare.
## Fase 2: Collegamento delle policy al gruppo di utenti di test
In seguito collega le due policy al gruppo di utenti IAM di test, che verrà utilizzato per concedere le autorizzazioni protette mediante MFA.
1. Nel pannello di navigazione seleziona **Gruppi di utenti**.
1. Nella casella di ricerca digita **`EC2MFA`** e seleziona il nome del gruppo (non la casella di controllo) nell'elenco.
1. Nella scheda **Permissions** (Autorizzazioni), scegli **Add permissions** (Aggiungi autorizzazioni), quindi **Attach policies** (Collega policy).
1. Nella pagina **Allega criteri di autorizzazione al gruppo EC2 MFA**, nella casella di ricerca, digitare. **EC2Full** Quindi seleziona la casella di controllo accanto ad **Amazon EC2 FullAccess** nell'elenco. Non salvare ancora le modifiche.
1. Nella casella di ricerca, digita **Force** e seleziona la casella di controllo accanto a **Force\$1MFA** nell'elenco.
1. Scegli **Collega policy**.
## Fase 3: test dell'accesso dell'utente
In questa parte del tutorial, effettuare l'accesso come utente di prova e verificare che la policy funzioni correttamente.
1. Accedi al tuo annuncio **MFAUser** con Account AWS la password che hai assegnato nella sezione precedente. Utilizzare l'URL: `https://.signin.aws.amazon.com/console`
1. Seleziona **EC2** per aprire la console Amazon EC2 e verifica che l'utente non disponga di autorizzazioni per effettuare alcuna operazione.
1. Selezionare il nome utente `MFAUser` in alto a destra nella barra di navigazione e scegli **Security Credentials** (Credenziali di sicurezza).
![\[AWS Link alle credenziali di sicurezza della console di gestione.\]](http://docs.aws.amazon.com/it_it/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Aggiungere un dispositivo MFA. Nella sezione **Multi-Factor Authentication (MFA) (Autenticazione a più fattori)**, scegliere **Assign MFA device (Assegna dispositivo MFA)**.
**Nota**
Potrebbe essere visualizzato un errore che indica che non si è autorizzati a eseguire `iam:DeleteVirtualMFADevice`. Questo può accadere se qualcuno in precedenza ha iniziato ad assegnare un dispositivo MFA virtuale a questo utente e ha annullato il processo. Per continuare, l'utente o un altro amministratore devono eliminare il dispositivo MFA virtuale esistente non assegnato dell'utente. Per ulteriori informazioni, consulta [Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice](troubleshoot.md#troubleshoot_general_access-denied-delete-mfa).
1. Per questo tutorial, utilizziamo un dispositivo MFA (basato su software), ad esempio Google Authenticator app su un cellulare. Scegli **l'app Authenticator**, quindi fai clic su **Next** (Successivo).
IAM genera e visualizza le informazioni di configurazione per il dispositivo MFA virtuale, tra cui il codice grafico QR. Il grafico è una rappresentazione della chiave di configurazione segreta che è disponibile per l'inserimento manuale su dispositivi che non supportano i codici QR.
1. Aprire l'app MFA virtuale. (Per un elenco di app che si possono utilizzare per ospitare dispositivi MFA virtuali, consulta [Applicazioni MFA virtuali](https://aws.amazon.com/iam/details/mfa/#Virtual_MFA_Applications).) Se l'app MFA virtuale supporta più account (più dispositivi MFA virtuali), selezionare l'opzione che consente di creare un nuovo account (un nuovo dispositivo virtuale MFA).
1. Determinare se l'app MFA supporta i codici QR e procedere in uno dei seguenti modi:
+ Nella procedura guidata, scegliere **Show QR code (Mostra codice QR)**. Quindi utilizzare l'app per la scansione del codice QR. Ad esempio, è possibile selezionare l'icona della fotocamera o un'opzione simile a **Scannerizza codice** ed eseguire la scansione del codice tramite la fotocamera del dispositivo.
+ Nella procedura guidata **Set up device** (Configura dispositivo), scegli **Show secret key** (Mostra chiave segreta) e digita la chiave segreta nell'app MFA.
Al termine, il dispositivo MFA virtuale avvia la generazione di password una tantum.
1. Nella procedura guidata **Set up device** (Configura dispositivo), nella casella **Enter the code from your authenticator app** (Immetti il codice dall'app di autenticazione), digita la password una tantum che appare nel dispositivo MFA virtuale. Scegli **Register MFA** (Registra MFA).
**Importante**
Invia la richiesta immediatamente dopo la generazione del codice. Se si generano i codici e si attende troppo a lungo per inviare la richiesta, il dispositivo MFA è correttamente associato all'utente. Tuttavia, il dispositivo MFA non è sincronizzato. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile [sincronizzare nuovamente il dispositivo](id_credentials_mfa_sync.md).
Il dispositivo MFA virtuale è ora pronto per l'uso con. AWS
1. Uscire dalla console ed effettuare nuovamente l'accesso come **MFAUser** Questa volta AWS ti viene richiesto un codice MFA dal tuo telefono. Una volta ottenuto, digitare il codice nella casella e selezionare **Submit (Invia)**.
1. Seleziona **EC2** per aprire nuovamente la console Amazon EC2. In questo momento è possibile visualizzare tutte le informazioni ed eseguire tutte le azioni desiderate. Se si accede a qualsiasi altra console come questo utente, vengono visualizzati messaggi di accesso negato. Il motivo è che le policy in questo tutorial concedono l'accesso solo a Amazon EC2.
## Risorse correlate
Per ulteriori informazioni, consulta i seguenti argomenti:
+ [AWS Autenticazione a più fattori in IAM](id_credentials_mfa.md)
+ [Accesso abilitato con MFA](console_sign-in-mfa.md)