Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Accesso Single Sign-On a Account AWS
[È possibile assegnare agli utenti della directory connessa le autorizzazioni all'account di gestione o agli account dei membri dell'organizzazione in AWS Organizations base alle funzioni lavorative comuni.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) In alternativa, è possibile utilizzare autorizzazioni personalizzate per soddisfare i requisiti specifici di sicurezza. Ad esempio, puoi concedere agli amministratori di database ampie autorizzazioni ad Amazon RDS negli account di sviluppo, ma limitare le loro autorizzazioni negli account di produzione. IAM Identity Center configura automaticamente tutte le autorizzazioni utente necessarie. Account AWS
**Nota**
Potrebbe essere necessario concedere a utenti o gruppi le autorizzazioni per operare nell' AWS Organizations account di gestione. Poiché si tratta di un account con privilegi elevati, per ulteriori restrizioni di sicurezza è necessario disporre della politica di [IAMFullaccesso](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) o di autorizzazioni equivalenti prima di poterlo configurare. Queste restrizioni di sicurezza aggiuntive non sono richieste per nessuno degli account membro dell'organizzazione. AWS
**Topics**
+ [Assegna l'accesso a utenti o gruppi a Account AWS](assignusers.md)
+ [Rimuovere l'accesso di utenti e gruppi a un Account AWS](howtoremoveaccess.md)
+ [Revoca le sessioni di ruolo IAM attive create dai set di autorizzazioni](revoke-user-permissions.md)
+ [Delega chi può assegnare l'accesso Single Sign-On a utenti e gruppi nell'account di gestione](howtodelegatessoaccess.md)
# Assegna l'accesso a utenti o gruppi a Account AWS
Utilizzare la procedura seguente per assegnare l'accesso Single Sign-On a utenti e gruppi nella directory connessa e utilizzare i set di autorizzazioni per determinarne il livello di accesso.
Per verificare l'accesso esistente di utenti e gruppi, vedere. [Visualizzare e modificare un set di autorizzazioni](howtoviewandchangepermissionset.md)
**Nota**
Per semplificare l'amministrazione delle autorizzazioni di accesso, ti consigliamo di assegnare l'accesso direttamente ai gruppi anziché ai singoli utenti. I gruppi ti consentono di concedere o negare autorizzazioni a più utenti senza dover applicare tali autorizzazioni a ogni singola persona. Se un utente passa a un'altra organizzazione, devi solo spostare tale utente in un altro gruppo affinché riceva automaticamente le autorizzazioni necessarie per la nuova organizzazione.
**Per assegnare l'accesso a utenti o gruppi a Account AWS**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
**Nota**
Assicurati che la console IAM Identity Center utilizzi la regione in cui si trova la tua AWS Managed Microsoft AD directory prima di passare alla fase successiva.
1. Nel pannello di navigazione, in **Autorizzazioni multiaccount, scegli**. **Account AWS**
1. Nella **Account AWS**pagina viene visualizzato un elenco ad albero della tua organizzazione. Seleziona la casella di controllo accanto Account AWS alla quale desideri assegnare l'accesso. Se stai configurando l'accesso amministrativo per IAM Identity Center, seleziona la casella di controllo accanto all'account di gestione.
**Nota**
Puoi selezionarne fino a 10 Account AWS alla volta per set di autorizzazioni quando assegni l'accesso Single Sign-On a utenti e gruppi. Per assegnare più di 10 utenti e gruppi Account AWS allo stesso set di utenti e gruppi, ripeti questa procedura come richiesto per gli account aggiuntivi. Quando richiesto, seleziona gli stessi utenti, gruppi e set di autorizzazioni.
1. Scegli **Assegna utenti o gruppi**.
1. Per il **Passaggio 1: Seleziona utenti e gruppi**, nella pagina **Assegna utenti e gruppi a "*AWS-account-name*"**, procedi come segue:
1. Nella scheda **Utenti**, seleziona uno o più utenti a cui concedere l'accesso Single Sign-On.
Per filtrare i risultati, inizia a digitare il nome dell'utente che desideri nella casella di ricerca.
1. Nella scheda **Gruppi**, seleziona uno o più gruppi a cui concedere l'accesso Single Sign-On.
Per filtrare i risultati, inizia a digitare il nome del gruppo che desideri nella casella di ricerca.
1. Per visualizzare gli utenti e i gruppi selezionati, scegli il triangolo laterale accanto a **Utenti e gruppi selezionati**.
1. **Dopo aver confermato che sono stati selezionati gli utenti e i gruppi corretti, scegli Avanti.**
1. Per il **Passaggio 2: Seleziona i set di autorizzazioni**, nella pagina **Assegna set di autorizzazioni a *AWS-account-name* ""**, procedi come segue:
1. Seleziona uno o più set di autorizzazioni. Se necessario, è possibile creare e selezionare nuovi set di autorizzazioni.
+ Per selezionare uno o più set di autorizzazioni esistenti, in **Set** di autorizzazioni, seleziona i set di autorizzazioni che desideri applicare agli utenti e ai gruppi selezionati nel passaggio precedente.
+ Per creare uno o più nuovi set di autorizzazioni, scegli **Crea set di autorizzazioni** e segui i passaggi indicati[Creare un set di autorizzazioni](howtocreatepermissionset.md). Dopo aver creato i set di autorizzazioni che desideri applicare, nella console IAM Identity Center, torna **Account AWS**e segui le istruzioni fino a raggiungere la **Fase 2: Seleziona i set di autorizzazioni**. Una volta raggiunto questo passaggio, seleziona i nuovi set di autorizzazioni che hai creato e procedi al passaggio successivo di questa procedura.
1. Dopo aver confermato che sono stati selezionati i set di autorizzazioni corretti, scegli **Avanti**.
1. Per la **Fase 3: Revisione e invio**, nella pagina **Rivedi e invia le assegnazioni a *AWS-account-name* ""**, procedi come segue:
1. Rivedi gli utenti, i gruppi e i set di autorizzazioni selezionati.
1. Dopo aver verificato che siano selezionati gli utenti, i gruppi e i set di autorizzazioni corretti, scegli **Invia**.
**Considerazioni**
+ Il completamento del processo di assegnazione di utenti e gruppi potrebbe richiedere alcuni minuti. Lascia aperta questa pagina fino al completamento del processo.
+
**Nota**
Potrebbe essere necessario concedere a utenti o gruppi le autorizzazioni per operare nell'account di AWS Organizations gestione. Poiché si tratta di un account con privilegi elevati, per ulteriori restrizioni di sicurezza è necessario disporre della politica di [IAMFullaccesso](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) o di autorizzazioni equivalenti prima di poterlo configurare. Queste restrizioni di sicurezza aggiuntive non sono richieste per nessuno degli account membro dell'organizzazione. AWS
1. Se si verifica una delle seguenti condizioni, segui i passaggi [Richiedi agli utenti l'MFA](mfa-getting-started.md) per abilitare l'MFA per IAM Identity Center:
+ Stai utilizzando la directory predefinita di Identity Center come fonte di identità.
+ Stai utilizzando una AWS Managed Microsoft AD directory o una directory autogestita in Active Directory come origine dell'identità e non stai usando RADIUS AWS Directory Service MFA con.
**Nota**
Se utilizzi un provider di identità esterno, tieni presente che l'IdP esterno, non IAM Identity Center, gestisce le impostazioni MFA. L'MFA in IAM Identity Center non è supportata per l'uso da parte di utenti esterni. IdPs
Quando si configura l'accesso all'account per l'utente amministrativo, il Centro identità IAM crea un ruolo IAM corrispondente. Questo ruolo, controllato da IAM Identity Center, viene creato nell'area pertinente Account AWS e le politiche specificate nel set di autorizzazioni sono allegate al ruolo.
In alternativa, è possibile utilizzare [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html)per creare e assegnare set di autorizzazioni e assegnare utenti a tali set di autorizzazioni. Gli utenti possono quindi [accedere al portale di AWS accesso](howtosignin.md) o utilizzare i comandi [AWS Command Line Interface (AWS CLI).](https://docs.aws.amazon.com/singlesignon/latest/userguide/integrating-aws-cli.html)
# Rimuovere l'accesso di utenti e gruppi a un Account AWS
Utilizzare questa procedura per rimuovere l'accesso Single Sign-On a uno Account AWS o più utenti e gruppi nella directory connessa. In alternativa, è possibile utilizzare l'[delete-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/delete-account-assignment.html) AWS CLI.
**Nota**
Quando devi rimuovere il provisioning di utenti o gruppi di IAM Identity Center, devi prima [rimuovere qualsiasi assegnazione di set di autorizzazioni](howtoremovepermissionset.md) dai tuoi utenti e gruppi prima di eliminare gli utenti e i gruppi.
**Per rimuovere l'accesso di utenti e gruppi a un Account AWS**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Nel riquadro di navigazione, in **Autorizzazioni multiaccount, scegli**. **Account AWS**
1. Nella **Account AWS**pagina viene visualizzato un elenco ad albero della tua organizzazione. Seleziona il nome dell'account Account AWS che contiene gli utenti e i gruppi per i quali desideri rimuovere l'accesso Single Sign-On.
1. Nella pagina **Panoramica** relativa a Account AWS, in **Utenti e gruppi assegnati**, seleziona il nome di uno o più utenti o gruppi e scegli **Rimuovi** accesso.
1. Nella finestra di dialogo **Rimuovi accesso**, conferma che i nomi degli utenti o dei gruppi siano corretti e scegli **Rimuovi accesso**.
# Revoca le sessioni di ruolo IAM attive create dai set di autorizzazioni
Di seguito è riportata una procedura generale per revocare una sessione attiva del set di autorizzazioni per un utente IAM Identity Center. La procedura presuppone che si desideri rimuovere tutti gli accessi per un utente che ha credenziali compromesse o per un malintenzionato presente nel sistema. Il prerequisito è aver seguito le indicazioni contenute in. [Preparati a revocare una sessione di ruolo IAM attiva creata da un set di autorizzazioni](prereqs-revoking-user-permissions.md#prepare-to-revoke-session) Partiamo dal presupposto che la politica di negazione totale sia presente in una politica di controllo del servizio (SCP).
**Nota**
AWS consiglia di creare l'automazione per gestire tutti i passaggi tranne le operazioni solo su console.
1. **Ottieni l'ID utente della persona a cui devi revocare l'accesso.** Puoi utilizzare l'archivio di identità APIs per trovare l'utente in base al suo nome utente.
1. **Aggiorna la politica di rifiuto per aggiungere l'ID utente dal passaggio 1 della politica di controllo del servizio (SCP).** Dopo aver completato questo passaggio, l'utente di destinazione perde l'accesso e non è in grado di intraprendere azioni con i ruoli interessati dalla policy.
1. **Rimuove tutte le assegnazioni dei set di autorizzazioni per l'utente.** Se l'accesso viene assegnato tramite l'appartenenza ai gruppi, rimuovi l'utente da tutti i gruppi e da tutte le assegnazioni dirette dei set di autorizzazioni. Questo passaggio impedisce all'utente di assumere ruoli IAM aggiuntivi. Se un utente ha una sessione attiva del portale di AWS accesso e lo disabiliti, può continuare ad assumere nuovi ruoli fino a quando non rimuovi il suo accesso.
1. **Se utilizzi un provider di identità (IdP) o Microsoft Active Directory come origine di identità, disabilita l'utente nell'origine dell'identità.** La disabilitazione dell'utente impedisce la creazione di sessioni aggiuntive del portale di AWS accesso. Usa la documentazione dell'API IdP o Microsoft Active Directory per scoprire come automatizzare questo passaggio. Se utilizzi la directory IAM Identity Center come fonte di identità, non disabilitare ancora l'accesso degli utenti. Disabiliterai l'accesso degli utenti nel passaggio 6.
1. **Nella console IAM Identity Center, trova l'utente ed elimina la sua sessione attiva.**
1. Scegliere **Users (Utenti)**.
1. Scegli l'utente di cui desideri eliminare la sessione attiva.
1. Nella pagina dei dettagli dell'utente, scegli la scheda **Sessioni attive**.
1. Seleziona le caselle di controllo accanto alle sessioni che desideri eliminare e scegli **Elimina sessione**.
Dopo aver eliminato una sessione utente, l'utente perderà immediatamente l'accesso al portale di AWS accesso. Scopri la [durata della sessione](authconcept.md).
1. **Nella console IAM Identity Center, disabilita l'accesso degli utenti.**
1. Scegliere **Users (Utenti)**.
1. Scegli l'utente di cui desideri disabilitare l'accesso.
1. Nella pagina dei dettagli dell'utente, espandi **Informazioni generali** e scegli il pulsante **Disabilita l'accesso utente** per impedire ulteriori accessi dell'utente.
1. **Lascia in vigore la politica di rifiuto per almeno 12 ore.** In caso contrario, l'utente con una sessione attiva del ruolo IAM avrà ripristinato le azioni con il ruolo IAM. Se attendi 12 ore, le sessioni attive scadono e l'utente non potrà più accedere al ruolo IAM.
**Importante**
Se disabiliti l'accesso di un utente prima di interrompere la sessione utente (hai completato il passaggio 6 senza completare il passaggio 5), non puoi più interrompere la sessione utente tramite la console IAM Identity Center. Se disabiliti inavvertitamente l'accesso utente prima di interrompere la sessione utente, puoi riabilitare l'utente, interrompere la sua sessione e quindi disabilitare nuovamente il suo accesso.
[Ora puoi modificare le credenziali dell'utente se la sua password è stata compromessa e ripristinare le sue assegnazioni.](useraccess.md)
# Delega chi può assegnare l'accesso Single Sign-On a utenti e gruppi nell'account di gestione
L'assegnazione dell'accesso Single Sign-on all'account di gestione utilizzando la console IAM Identity Center è un'azione privilegiata. Per impostazione predefinita, solo uno Utente root dell'account AWS o un utente a cui sono associate le policy **AWSSSOMasterAccountAdministrator**e le policy **IAMFullAccess** AWS gestite possono assegnare l'accesso Single Sign-On all'account di gestione. Le **IAMFullAccess**policy **AWSSSOMasterAccountAdministrator**e gestiscono l'accesso Single Sign-On all'account di gestione all'interno di un'organizzazione. AWS Organizations
In alternativa, è possibile utilizzare AWS CLI per creare, allegare politiche e assegnare set di autorizzazioni. Di seguito sono elencati i comandi per ogni passaggio:
+ Per creare un set di autorizzazioni: [create-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-permission-set.html)
+ Per allegare AWS Managed Policy a un set di autorizzazioni: [attach-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-managed-policy-to-permission-set.html)
+ [Per allegare una politica gestita dal cliente a un set di autorizzazioni: - attach-customer-managed-policy to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-customer-managed-policy-reference-to-permission-set.html)
+ Per assegnare un set di autorizzazioni a un principale: [create-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-account-assignment.html)
Utilizza i seguenti passaggi per delegare le autorizzazioni per gestire l'accesso Single Sign-On a utenti e gruppi nella tua directory.
**Per concedere le autorizzazioni per gestire l'accesso Single Sign-On a utenti e gruppi presenti nella tua directory**
1. Accedi alla console IAM Identity Center come utente root dell'account di gestione o con un altro utente che dispone delle autorizzazioni di amministratore per l'account di gestione.
1. Segui i passaggi indicati [Creare un set di autorizzazioni](howtocreatepermissionset.md) per creare un set di autorizzazioni, quindi procedi come segue:
1. Nella pagina **Crea nuovo set di autorizzazioni**, seleziona la casella di controllo **Crea un set di autorizzazioni personalizzato**, quindi scegli **Avanti: dettagli**.
1. Nella **pagina Crea nuovo set di autorizzazioni**, specifica un nome per il set di autorizzazioni personalizzato e, facoltativamente, una descrizione. Se necessario, modificate la durata della sessione e specificate un URL dello stato di inoltro.
**Nota**
Per l'URL dello stato di inoltro, è necessario specificare un URL che si trova in. Console di gestione AWS Esempio:
**https://console.aws.amazon.com/ec2/**
Per ulteriori informazioni, consulta [Imposta lo stato di inoltro per un accesso rapido a Console di gestione AWS](howtopermrelaystate.md).
1. In **Quali politiche desideri includere nel tuo set di autorizzazioni**? , seleziona la casella **di controllo Allega politiche AWS gestite**.
1. Nell'elenco delle politiche IAM, scegli sia le **AWSSSOMasterAccountAdministrator**politiche gestite che quelle **IAMFullAccess** AWS gestite. Queste politiche concedono le autorizzazioni a tutti gli utenti e i gruppi a cui verrà assegnato l'accesso a questo set di autorizzazioni in futuro.
1. Scegli **Successivo: Tag**.
1. In **Aggiungi tag (opzionale)**, specifica i valori per **Chiave** e **Valore (opzionale)**, quindi scegli **Avanti: revisione**. Per ulteriori informazioni sui tag, consulta [Taggare le risorse AWS IAM Identity Center](tagging.md).
1. Controlla le selezioni effettuate, quindi scegli **Crea**.
1. Segui i passaggi indicati [Assegna l'accesso a utenti o gruppi a Account AWS](assignusers.md) per assegnare gli utenti e i gruppi appropriati al set di autorizzazioni appena creato.
1. Comunica quanto segue agli utenti assegnati: quando accedono al portale di AWS accesso e scelgono la scheda **Account**, devono scegliere il nome del ruolo appropriato da autenticare con le autorizzazioni che hai appena delegato.