Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tema 4: Gestire le identità
**Le otto strategie essenziali trattate**
Limita i privilegi amministrativi, autenticazione a più fattori
Una solida gestione dell'identità e delle autorizzazioni è un aspetto fondamentale della gestione della sicurezza nel cloud. Pratiche solide in materia di identità bilanciano l'accesso necessario e il minimo privilegio. Questo aiuta i team di sviluppo a muoversi rapidamente senza compromettere la sicurezza.
Utilizza la federazione delle identità per centralizzare la gestione delle identità. In questo modo è più semplice gestire l'accesso su più applicazioni e servizi perché si gestisce l'accesso da un'unica posizione. Ciò consente inoltre di implementare autorizzazioni temporanee e autenticazione a più fattori (MFA).
Concedi agli utenti solo le autorizzazioni necessarie per svolgere le proprie attività. AWS Identity and Access Management Access Analyzer può convalidare le politiche e verificare l'accesso pubblico e tra account. Funzionalità come le policy di controllo dei AWS Organizations servizi (SCPs), le condizioni delle policy IAM, i limiti delle autorizzazioni IAM e i set di autorizzazioni possono aiutarti a configurare AWS IAM Identity Center il controllo [granulare degli accessi (FGAC](apg-gloss.md#glossary-fgac)).
Quando si esegue qualsiasi tipo di autenticazione, è preferibile utilizzare credenziali temporanee per ridurre o eliminare i rischi, come la divulgazione, la condivisione o il furto inavvertitamente delle credenziali. Utilizza i ruoli IAM anziché gli utenti IAM.
Utilizza meccanismi di accesso efficaci, come l'MFA, per mitigare il rischio che le credenziali di accesso vengano divulgate inavvertitamente o siano facilmente intuibili. Richiedi l'autenticazione MFA per l'utente root e puoi richiederla anche a livello di federazione. Se l'uso di utenti IAM è inevitabile, applica la MFA.
Per monitorare e generare report sulla conformità, è necessario lavorare continuamente per ridurre le autorizzazioni, monitorare i risultati di IAM Access Analyzer e rimuovere le risorse IAM inutilizzate. Utilizza AWS Config le regole per assicurarti che vengano applicati meccanismi di accesso efficaci, che le credenziali abbiano vita breve e che le risorse IAM vengano utilizzate.
## Best practice correlate nel AWS Well-Architected Framework
+ [SEC02- BP01 Utilizza meccanismi di accesso efficaci](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
+ [SEC02- BP02 Usa credenziali temporanee](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02- BP03 Archivia e utilizza i segreti in modo sicuro](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02- BP04 Affidati a un provider di identità centralizzato](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC02- BP05 Controlla e ruota periodicamente le credenziali](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
+ [SEC02- BP06 Utilizza gruppi e attributi di utenti](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_groups_attributes.html)
+ [SEC03- BP01 Definire i requisiti di accesso](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
+ [SEC03- BP02 Concedi l'accesso con il minimo privilegio](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [SEC03- BP03 Stabilire un processo di accesso di emergenza](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_emergency_process.html)
+ [SEC03- BP04 Riduci continuamente le autorizzazioni](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_continuous_reduction.html)
+ [SEC03- BP05 Definisci i limiti di autorizzazione per la tua organizzazione](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC03- BP06 Gestisci l'accesso in base al ciclo di vita](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
+ [SEC03- BP07 Analizza l'accesso pubblico e tra account](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC03- BP08 Condividi le risorse in modo sicuro all'interno della tua organizzazione](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)
## Implementazione di questo tema
### Implementare la federazione
+ [Richiedi agli utenti umani di effettuare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
+ [Implementa un accesso temporaneo elevato ai tuoi ambienti AWS](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
### Applica le autorizzazioni con privilegi minimi
+ [Proteggi le credenziali dell'utente root e non utilizzarle per le attività quotidiane](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
+ [Utilizza IAM Access Analyzer per generare politiche con privilegi minimi basate sull'attività di accesso](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
+ [Verifica l'accesso pubblico e tra account alle risorse con IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
+ [Utilizza IAM Access Analyzer per convalidare le tue policy IAM per autorizzazioni sicure e funzionali](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
+ [Stabilisci barriere di autorizzazione su più account](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
+ [Utilizza i limiti delle autorizzazioni per impostare le autorizzazioni massime che una politica basata sull'identità può concedere](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Utilizza le condizioni nelle policy IAM per limitare ulteriormente l'accesso](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
+ [Esamina e rimuovi regolarmente utenti, ruoli, autorizzazioni, politiche e credenziali non utilizzati](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
+ [Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [Utilizza la funzionalità dei set di autorizzazioni in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)
### Ruota le credenziali
+ [Richiedi ai carichi di lavoro di utilizzare i ruoli IAM per accedere AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [Automatizza l'eliminazione dei ruoli IAM non utilizzati](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
+ [Ruota regolarmente le chiavi di accesso per i casi d'uso che richiedono credenziali a lungo termine](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)
### Applica l'autenticazione a più fattori
+ [Richiedi MFA per l'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [Richiedi MFA tramite IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
+ [Prendi in considerazione la possibilità di richiedere l'MFA per azioni API specifiche del servizio](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)
## Monitoraggio di questo tema
### Monitora l'accesso con privilegi minimi
+ [Invia i risultati di IAM Access Analyzer a AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)
+ [Prendi in considerazione la possibilità di configurare notifiche per i risultati critici di IAM Identity Center](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-eventbridge.html)
+ [Esamina regolarmente i report sulle credenziali per i tuoi Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
### Implementa le seguenti regole AWS Config
+ `ACCESS_KEYS_ROTATED`
+ `IAM_ROOT_ACCESS_KEY_CHECK`
+ `IAM_USER_MFA_ENABLED`
+ `IAM_USER_UNUSED_CREDENTIALS_CHECK`
+ `IAM_PASSWORD_POLICY`
+ `ROOT_ACCOUNT_HARDWARE_MFA_ENABLED`