# SEC02-BP05 Verifica e rotazione periodica delle credenziali
<a name="sec_identities_audit"></a>

 Quando non puoi fare affidamento sulle credenziali temporanee e devi richiedere credenziali a lungo termine, verificale per assicurarti che siano applicati i controlli prestabiliti (ad esempio, la MFA), siano soggette regolarmente a rotazione e dispongano di un livello di accesso appropriato. La convalida periodica, preferibilmente tramite uno strumento automatizzato, è necessaria per verificare che vengano applicati i controlli corretti. Per le identità umane, è necessario richiedere agli utenti di modificare periodicamente le password e ritirare le chiavi di accesso a favore delle credenziali temporanee. Nella fase di passaggio da utenti AWS Identity and Access Management (IAM) a identità centralizzate, puoi [generare un report sulle credenziali ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)per un audit degli utenti IAM. Ti consigliamo inoltre di monitorare le impostazioni MFA nel tuo provider di identità. È possibile configurare [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) per monitorare queste impostazioni. Per le identità di macchine, devi fare affidamento sulle credenziali temporanee utilizzando i ruoli IAM. Per situazioni in cui ciò non è possibile, è necessario eseguire audit frequenti e ruotare le chiavi di accesso. 

 **Livello di rischio associato se questa best practice non fosse adottata:** Medio 

## Guida all'implementazione
<a name="implementation-guidance"></a>
+  Esegui una verifica regolare delle credenziali: usa report di credenziali e Identify and Access Management (IAM) Access Analyzer per verificare le credenziali e le autorizzazioni IAM. 
  +  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
  +  [Come ottenere un report sulle credenziali](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 
  +  [Laboratorio: Pulizia automatica degli utenti IAM](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool) 
+  Usa i livelli di accesso per verificare le autorizzazioni IAM: per migliorare la sicurezza dell'account Account AWS, rivedi e monitora regolarmente ciascuna delle policy IAM, assicurandoti che concedano il privilegio minimo necessario per eseguire solo le operazioni indispensabili. 
  +  [Utilizzo di livelli di accesso per rivedere le autorizzazioni IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions) 
+  Prendi in considerazione l'automazione della creazione e degli aggiornamenti delle risorse IAM: AWS CloudFormation può essere utilizzato per automatizzare la distribuzione di risorse IAM, inclusi ruoli e policy, per ridurre gli errori umani, perché i modelli possono essere verificati e controllati a livello di versione. 
  +  [Laboratorio: Distribuzione automatizzata di gruppi e ruoli IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html) 

## Risorse
<a name="resources"></a>

 **Documenti correlati:** 
+  [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Soluzioni dei partner per la sicurezza: accesso e controllo degli accessi](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 

 **Video correlati:** 
+  [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestione delle autorizzazioni utente su scala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)