Modulo 2: Protezione dell'account AWS
TUTORIAL
Configurazione degli utenti
In questo modulo imparerai le best practice per proteggere il tuo account AWS.
Obiettivi
- Accedere come utente root
- Abilitare una sicurezza aggiuntiva per l'utente root
- Configurare utenti aggiuntivi del Centro identità AWS IAM (successore di AWS SSO)
- Accedere al portale di accesso AWS
- Configurare l'autenticazione a più fattori per l'utente del Centro identità
Implementazione
Quando crei un account AWS, viene creato automaticamente un utente root per il tuo account. L'utente root è un'entità speciale che ha accesso completo all'account e può eseguire qualsiasi operazione, compresa la modifica dei metodi di pagamento o la chiusura dell'account. Quando effettui l'accesso come utente root, hai accesso completo a tutti i servizi e le risorse AWS nell'account. A causa di questo livello di autorizzazioni, ti consigliamo di:
- Abilitare una sicurezza aggiuntiva per l'utente root con l'autenticazione a più fattori
- Configurare altri utenti per eseguire le attività quotidiane relative al tuo account
AWS dispone di due servizi di identità:
- AWS Identity and Access Management (IAM). Questo servizio fornisce policy di controllo degli accessi e gestisce utenti a lungo termine come l'utente root. Se crei utenti in IAM, questi utenti dispongono di credenziali di accesso a lungo termine. Come best practice di sicurezza, si consiglia di ridurre al minimo l'uso di credenziali a lungo termine in AWS. In questo tutorial non creerai un utente IAM.
- Centro identità AWS IAM (successore di AWS Single Sign-On). Questo servizio fornisce credenziali temporanee che vengono concesse ogni volta che un utente accede a una sessione. Può integrarsi con qualsiasi provider di identità esistente di cui potresti già disporre, come Microsoft Active Directory o Okta, in modo che gli utenti possano utilizzare lo stesso login per AWS utilizzato per altri servizi della tua organizzazione. Se non disponi di un altro provider di identità, puoi creare utenti nel Centro identità IAM. Questo è il metodo consigliato per creare utenti aggiuntivi per il tuo account AWS ed è il metodo che illustreremo in questo tutorial.
Tempo per il completamento
15 minuti
Requisiti del modulo
- Un browser internet
- Un account AWS
Richiedi assistenza
Accedere come utente root
È possibile accedere come utente root dell'account AWS con l'indirizzo e-mail e la password utilizzati per creare l'account.
1. Accedi alla Console di gestione AWS.
2. Seleziona Utente root e inserisci l'indirizzo email che hai specificato quando hai creato l'account, quindi scegli Avanti.
3. È possibile che ti venga richiesto di completare un controllo di sicurezza. Digita i caratteri dell'immagine nell'apposito spazio e scegli Invia. È necessario completare questo controllo per passare alla fase successiva.
Suggerimento: seleziona il pulsante Audio per ascoltare una serie di numeri e lettere da digitare. Seleziona il pulsante Aggiorna per cambiare l'immagine se non riesci a distinguere i caratteri nell'immagine originale.
4. Nella pagina di accesso, inserisci la password e scegli Accedi.
Congratulazioni, hai appena effettuato l'accesso alla Console di gestione AWS come utente root. Ma non vuoi usare il tuo utente root per le attività quotidiane. L'utente root deve essere utilizzato solo per attività specifiche di gestione degli account, due delle quali verranno eseguite nella prossima parte di questo tutorial.
- Abilitazione dell'MFA per l'utente root
- Creazione di un utente amministrativo nel Centro identità IAM
Per l'elenco completo delle attività che richiedono l'accesso come utente root, consulta Attività che richiedono le credenziali dell'utente root.
Aggiunta di maggiore sicurezza all'accesso dell'utente root
Per proteggere le credenziali dell'utente root, ti consigliamo vivamente di abilitare l'autenticazione a più fattori (MFA) per l'accesso dell'utente root. Quando abiliti l'MFA, oltre a fornire l'indirizzo e-mail e la password per l'utente root, fornirai anche le credenziali di un altro autenticatore, rendendo molto più difficile per qualcuno utilizzare le tue credenziali utente root senza la tua autorizzazione.
Aggiungiamo maggiore sicurezza all'accesso dell'utente root. A tale scopo, utilizzeremo il servizio AWS Identity and Access Management (IAM). Per ulteriori informazioni, consulta la sezione Cos'è IAM?.
1. Accedi al tuo account AWS appena creato utilizzando le credenziali dell'utente root.
2. Nella barra di ricerca della Console di gestione AWS, inserisci IAM, quindi seleziona IAM.
3. In Suggerimenti per la sicurezza, c'è un avviso per aggiungere MFA per l'utente root.
4. Scegli Aggiungi regola.
5. Verrà visualizzata la pagina Le mie credenziali di sicurezza (utente root). C'è un avviso che indica che non hai l'autenticazione a più assegnata. Seleziona Assegna MFA.
6. Viene visualizzata la pagina Seleziona dispositivo MFA. In Specifica il nome del dispositivo MFA, immetti un nome per il dispositivo MFA. Ti consigliamo di utilizzare un nome che ti aiuti a ricordare a quale dispositivo e utente è assegnata questa credenziale.
7. In questo tutorial, utilizzeremo un'app di autenticazione su un dispositivo mobile. Inserisci il nome del dispositivo phone-root.
8. In Seleziona dispositivo MFA, seleziona l'opzione dell'app di autenticazione, quindi seleziona Avanti.
Suggerimento: se non hai accesso a un dispositivo mobile o a un dispositivo hardware, non potrai abilitare l'autenticazione a più fattori. Scopri come ottenere una chiave di sicurezza MFA gratuita da AWS.
Viene visualizzata la pagina Configura dispositivo. Questa pagina contiene tre passaggi che devono essere completati.
9. Configura l'app di autenticazione sul tuo dispositivo mobile. Sono supportate diverse app di autenticazione per dispositivi Android e iOS. Consulta la sezione App di autenticazione virtuale nella pagina Autenticazione a più fattori (MFA) per IAM per un elenco delle app supportate e i collegamenti alle relative posizioni di download.
10. Apri l'app di autenticazione sul tuo dispositivo mobile.
11. Seleziona il link Mostra codice QR per mostrare un codice QR univoco per il tuo account. Se non riesci a scansionare il codice QR, seleziona il link Mostra chiave segreta per visualizzare una chiave di testo che puoi inserire nell'app di autenticazione per identificare il tuo account.
12. Scansiona il codice QR con la tua app di autenticazione o inserisci il codice nella tua app di autenticazione per collegare il dispositivo di autenticazione al tuo account.
13. Dopo che l'app di autenticazione avrà stabilito il collegamento al tuo account, inizierà a generare codici segreti validi per un numero limitato di secondi. Nel codice MFA 1, digita il codice che vedi nell'app. Attendi che il codice passi al codice successivo, quindi digita il codice in MFA 2 e seleziona Aggiungi MFA prima che il secondo codice sia scaduto.
Verrà visualizzata di nuovo la pagina Le mie credenziali di sicurezza (utente root). Nella parte superiore della finestra sarà visualizzato un messaggio di notifica che indica che il dispositivo MFA è stato assegnato.
Le credenziali dell'utente root sono ora più sicure.
14. Esci dalla console. La prossima volta che accederai utilizzando le credenziali dell'utente root, fornirai le credenziali del tuo dispositivo MFA, oltre al tuo indirizzo e-mail e alla password.
Configurazione degli utenti nel Centro identità IAM
Una best practice di sicurezza consiste nel non utilizzare l'account root per le attività quotidiane, ma al momento hai solo un utente root. In questo tutorial, utilizzeremo il Centro identità IAM per creare un utente amministrativo. Utilizziamo il Centro identità IAM perché fornisce agli utenti credenziali uniche per ogni sessione, note anche come credenziali temporanee. Fornire agli utenti queste credenziali comporta una maggiore sicurezza per il tuo account AWS, poiché vengono generate ogni volta che l'utente accede. Una volta che hai un utente amministrativo, potrai accedere con quell'utente per creare altri utenti del Centro identità e assegnarli a gruppi con autorizzazioni per eseguire funzioni lavorative specifiche. Un altro vantaggio della creazione degli utenti nel Centro identità IAM è che viene automaticamente concesso loro l'accesso alla console Gestione costi e fatturazione AWS.
Per ulteriori informazioni sulla fatturazione, consulta la guida per l'utente di AWS Billing.
Questa sezione del tutorial presenta i seguenti passaggi:
- Abilitazione del Centro identità IAM
- Aggiunta di utenti
- Aggiunta di utenti ai gruppi
- Configurazione dell'origine di identità
- Creazione di un set di autorizzazioni amministrative
- Accesso al portale di accesso AWS con le credenziali amministrative
Abilitazione del Centro identità IAM
1. Accedi al tuo account AWS utilizzando le credenziali dell'utente root.
2. Nella barra di ricerca della Console di gestione AWS, inserisci Centro identità IAM, quindi seleziona Centro identità IAM.
3. Viene visualizzata la pagina di panoramica del servizio Centro identità IAM. Consulta le informazioni per conoscere le funzionalità del servizio Centro identità IAM, quindi in Abilita Centro identità IAM, scegli Abilita.
Configurazione dell'origine di identità
La tua origine di identità è dove vengono gestiti gli utenti e i gruppi. Dopo aver configurato l'origine dell'identità, puoi cercare utenti o gruppi per concedere loro l'accesso Single Sign-On agli account AWS, alle applicazioni cloud o a entrambi.
Puoi avere una sola origine identità per organizzazione. Puoi usare:
- Directory del Centro identità: quando abiliti il Centro identità IAM per la prima volta, viene automaticamente configurato con una directory del Centro identità come origine di identità predefinita in cui gestire utenti e gruppi.
- Active Directory: utenti e gruppi vengono gestiti nella directory AWS Managed Microsoft AD utilizzando Servizio di directory AWS o nella directory autogestita in Active Directory (AD).
- Provider di identità esterno: utenti e gruppi sono gestiti in un gestore dell'identità digitale (IdP) come Okta o Azure Active Directory.
In questo tutorial, useremo la directory del Centro identità.
1. Accedi alla console del Centro identità IAM e scegli Utenti. Successivamente, seleziona Aggiungi utente.
- Nome utente: il nome utente viene utilizzato per accedere al portale di accesso AWS e non può essere modificato in seguito. Scegli un nome facile da ricordare. Per questo tutorial, aggiungeremo l'utente John.
- Password: scegli Invia un'e-mail a questo utente con le istruzioni per l'impostazione della password (consigliato). Questa opzione invia all'utente un'e-mail indirizzata da Amazon Web Services, con l'oggetto Invito a partecipare al Centro identità IAM (successore di AWS Single Sign-On). L'e-mail verrà inviata dall'indirizzo [email protected] o [email protected]. Aggiungi questi indirizzi e-mail all'elenco dei mittenti approvati in modo che non vengano trattati come posta indesiderata o spam.
3. Nella sezione Informazioni principali, immetti i dettagli utente richiesti:
- Indirizzo e-mail: inserisci un indirizzo e-mail per l'utente che può ricevere l'e-mail. Quindi, inseriscilo nuovamente per confermarlo. Ogni utente deve avere un indirizzo e-mail univoco.
Suggerimento: durante il test, potresti essere in grado di utilizzare il sottoindirizzamento e-mail per creare indirizzi e-mail validi per più utenti fittizi. Se il tuo provider di posta elettronica lo supporta, puoi creare un nuovo indirizzo e-mail aggiungendo il segno più (+) e quindi numeri o caratteri all'indirizzo e-mail corrente, ad esempio [email protected], [email protected] e [email protected]. Tutti questi indirizzi e-mail comporterebbero la ricezione di un'e-mail allo stesso indirizzo e-mail.
- Nome: immettere il nome dell'utente.
- Cognome: inserisci il cognome dell'utente.
- Nome visualizzato: viene compilato automaticamente con il nome e il cognome dell'utente. Se desideri modificare il nome visualizzato, puoi inserire qualcosa di diverso. Il nome visualizzato è visibile nel portale di accesso e nell'elenco degli utenti.
- Se lo desideri, immetti anche le informazioni facoltative. Non vengono utilizzate durante questo tutorial e possono essere aggiunte in seguito.
4. Seleziona Avanti.
Aggiunta dell'utente ai gruppi (facoltativo)
I gruppi permettono di assegnare autorizzazioni a una serie di utenti, semplificandone la gestione.
1. Seleziona Crea gruppo.
2. Si apre una nuova scheda del browser per visualizzare la pagina Crea gruppo.
3. In Dettagli del gruppo, in Nome gruppo, inserisci Amministratori.
4. Seleziona Crea gruppo.
Viene visualizzata la pagina Gruppi, che mostra il nuovo gruppo di amministratori.
5. Esci dalla finestra o chiudi la scheda del browser Gruppi e torna alla scheda Aggiungi utente del browser.
6. Nell'area Gruppi, seleziona il pulsante Aggiorna.
Il nuovo gruppo Amministratori sarà visualizzato nell'elenco.
7. Seleziona la casella di controllo accanto al gruppo Amministratori, quindi scegli Avanti.
8. Nella pagina Verifica e aggiungi utente, verifica quanto segue:
- Le informazioni principali vengono visualizzate come previsto
- La sezione Gruppi riporta l'utente aggiunto al gruppo che hai creato
Se devi apportare modifiche, scegli Modifica per apportare gli aggiornamenti.
9. Se tutto è corretto, seleziona Aggiungi utente.
Verrà visualizzata di nuovo la pagina principale Centro identità IAM > Utenti.
Un messaggio di notifica informa che l'utente è stato aggiunto con successo.
Congratulazioni, ora hai un utente nella tua organizzazione AWS. Puoi ripetere questi passaggi per aggiungere altri utenti e gruppi.
Gestione dell'accesso al tuo account AWS
Il nuovo utente esiste ma non ha accesso a risorse, servizi o applicazioni, quindi l'utente non può ancora sostituire l'utente root per le attività amministrative quotidiane. Concediamo al nuovo utente l'accesso al tuo account AWS. Poiché inseriamo l'utente in un gruppo, assegneremo il gruppo a un account e quindi aggiungeremo un set di autorizzazioni che definisce a cosa possono accedere i membri del gruppo.
Per questa procedura, continueremo a utilizzare le credenziali dell'utente root.
Accedi al tuo account AWS utilizzando le credenziali dell'utente root.
Accedi alla console del Centro identità IAM, nella sezione Passaggi di configurazione consigliati, scegli Gestisci l'accesso a più account AWS.
Nella pagina Account AWS, sotto Struttura organizzativa, la root viene visualizzata con l'account di test sottostante nella gerarchia. Seleziona la casella di controllo per il tuo account di prova, quindi seleziona Assegna utenti o gruppi.
Viene visualizzato il flusso di lavoro Assegna utenti e gruppi. Consiste nei seguenti passaggi:
Per Fase 1: Selezione di utenti e gruppi seleziona il gruppo di amministratori creato in precedenza in questo tutorial. Quindi, scegli Avanti.
Per Fase 2: Selezione dei set di autorizzazioni, seleziona Crea set di autorizzazioni per aprire una nuova scheda che illustra i tre passaggi secondari necessari per creare il set di autorizzazioni.
Si apre una nuova scheda del browser che mostra Fase 1: Selezione del tipo di set di autorizzazioni. Effettua le seguenti selezioni:
- Per Tipo di set di autorizzazioni, seleziona Set di autorizzazioni predefinito
- Per Policy per il set di autorizzazioni predefinito, seleziona AdministratorAccess.
- Quindi, scegli Avanti per continuare.
Per Fase 2: Specifica dei dettagli del set di autorizzazioni, mantieni le impostazioni predefinite e scegli Avanti. Le impostazioni predefinite creano un set di autorizzazioni denominato AdministratorAccess con la durata della sessione impostata su un'ora.
Per Fase 3: Revisione e creazione, verifica che il tipo di set di autorizzazioni utilizzi la policy gestita da AWS AdministratorAccess. Scegli Crea.
Verrà visualizzata di nuovo la pagina Set di autorizzazioni. Nella parte superiore della pagina viene visualizzata una notifica che informa che il set di autorizzazioni è stato creato correttamente. Seleziona X per chiudere la scheda.
Nella scheda Assegna utenti e gruppi del browser, per Fase 2: Selezione dei set di autorizzazioni, nella sezione Set di autorizzazioni, seleziona Aggiorna. Il set di autorizzazioni AdministratorAccess creato viene visualizzato nell'elenco. Seleziona la casella di controllo per quel set di autorizzazioni, quindi scegli Avanti.
Per Fase 3: Revisione e invio, esamina gli utenti e i gruppi selezionati e il set di autorizzazioni, quindi scegli Invia.
La pagina viene aggiornata con un messaggio che indica che il tuo account AWS è in fase di configurazione. Attendi il completamento del processo.
Verrai reindirizzato alla pagina degli account AWS nel Centro identità IAM. Un messaggio di notifica ti informa che è stato effettuato il re-provisioning del tuo account AWS e il set di autorizzazioni aggiornato è stato applicato.
Nella sezione Struttura organizzativa puoi vedere che il tuo account AWS è ora l'account di gestione sotto la root dell'organizzazione AWS. In questo tutorial, utilizziamo un nome account AWS segnaposto Test-acct. Vedrai invece il nome del tuo account AWS.
Congratulazioni, il tuo utente può ora accedere al tuo portale di accesso AWS e accedere alle risorse nel tuo account AWS.
Accesso al portale di accesso AWS con le credenziali amministrative
Ora sei pronto per accedere utilizzando il tuo nuovo utente amministrativo. Se avessi provato ad accedere in precedenza, avresti potuto solo stabilire la tua password e abilitare l'autenticazione a più fattori (MFA), poiché all'utente non erano state concesse altre autorizzazioni. Ora, l'utente disporrà delle autorizzazioni complete per le tue risorse AWS, ma dovrà comunque configurare una password e configurare l'MFA, quindi esaminiamo queste procedure.
Una nuova e-mail utente è stata inviata all'indirizzo e-mail specificato al momento della creazione dell'utente. L'e-mail contiene tre elementi importanti:
- Un link per accettare l'invito a partecipare
- L'URL del tuo portale di accesso AWS
- Il nome utente che utilizzerai per accedere
Apri l'e-mail e salva l'URL del portale di accesso AWS e il nome utente per un utilizzo futuro. Quindi seleziona il link Accetta invito.
Suggerimento: se non vedi l'e-mail dell'invito a partecipare al Centro identità IAM nella cartella della posta in arrivo, controlla le cartelle di spam, posta indesiderata ed elementi eliminati (o cestino). Tutte le e-mail inviate dal servizio Centro identità IAM arriveranno dall'indirizzo [email protected] o [email protected]. Se non riesci a trovare l'e-mail, accedi come utente root e reimposta la password dell'utente del Centro identità. Per istruzioni, consulta Reimpostazione di una password utente del Centro identità IAM. Se continui a non ricevere l'e-mail, reimposta nuovamente la password e scegli l'opzione Genera una password monouso da condividere con l'utente.
Il collegamento apre una finestra del browser e visualizza la pagina di registrazione di un nuovo utente.
Nella pagina di registrazione di un nuovo utente, specifica una nuova password.
Le password devono:
- Contenere un numero di caratteri compreso tra 8 e 64
- Contenere lettere maiuscole e minuscole, numeri e caratteri non alfanumerici.
Dopo aver confermato la password, seleziona Imposta nuova password.
Si verifica un breve ritardo durante il provisioning dell'utente.
Si apre la console AWS.
Nella barra in alto, accanto al nome utente, seleziona Dispositivi MFA per configurare l'autenticazione a più fattori.
Viene visualizzata la pagina dei dispositivi di autenticazione a più fattori (MFA). Scegli Registra dispositivo.
Nella pagina Registra dispositivo MFA, seleziona il dispositivo MFA da utilizzare con l'account. Le opzioni non supportate dal browser o dalla piattaforma sono disattivate e non possono essere selezionate.
Adesso passeremo in rassegna le schermate relative all'opzione dell'app di autenticazione. Questa procedura è simile a quella seguita quando hai configurato il dispositivo MFA per il tuo utente root nella prima parte del tutorial. La differenza è che questo dispositivo MFA viene registrato con il Centro identità IAM anziché con IAM. Se selezioni un dispositivo MFA diverso, segui le istruzioni relative al dispositivo selezionato.
Seleziona il link Mostra codice QR per mostrare un codice QR univoco per la tua organizzazione AWS. Se non riesci a scansionare il codice QR, scegli il link Mostra chiave segreta per visualizzare una chiave di testo che puoi inserire nell'app di autenticazione per identificare la tua organizzazione. Scansiona il codice QR con l'app di autenticazione o inserisci il codice nell'app per collegare il dispositivo di autenticazione alla tua organizzazione.
Una volta che l'autenticazione ha stabilito il collegamento alla tua organizzazione, inizierà a generare codici segreti validi per un numero limitato di secondi. In Codice autenticazione, digita il codice che vedi nell'app, quindi scegli Assegna MFA.
Nota: quando registri un dispositivo MFA con il Centro identità IAM, è richiesto un solo codice di autenticazione.
Il dispositivo viene registrato correttamente, quindi puoi selezionare Fine.
È possibile registrare un altro dispositivo, rinominare o eliminare il dispositivo MFA esistente o dalla pagina dei dispositivi MFA.
Seleziona Portale di accesso AWS nella barra di navigazione per tornare al portale principale e accedere a un account AWS.
Dal portale di accesso seleziona l'account AWS da gestire. Ti saranno mostrate le autorizzazioni configurate per il tuo account con due opzioni di connessione.
- Seleziona Console di gestione per aprire la Console di gestione AWS e gestire le risorse AWS utilizzando i pannelli di controllo della console di servizio.
- Seleziona Accesso alla riga di comando o programmatico per ottenere le credenziali per accedere alle risorse AWS in modo programmatico o da AWS CLI. Per ulteriori informazioni su come ottenere queste credenziali, consulta Ottenimento delle credenziali utente del Centro identità IAM per AWS CLI o gli SDK AWS.
Per questo tutorial, seleziona Console di gestione.
Viene visualizzata la Console di gestione AWS. In qualità di utente con accesso amministrativo puoi aggiungere servizi, aggiungere altri utenti e configurare policy e autorizzazioni. Non è più necessario utilizzare l'utente root per eseguire queste attività.
Conclusioni
Congratulazioni! Ora hai completato la procedura di accesso, creato un utente amministrativo nel Centro identità IAM, aggiunto una maggiore sicurezza sia per l'utente root che per l'utente amministrativo e sei pronto per iniziare a lavorare con i servizi e le applicazioni AWS. Ricorda che quando accedi utilizzando il tuo utente amministrativo del Centro identità, utilizzerai l'URL del portale di accesso che hai ricevuto nell'e-mail di invito.
Importante: ogni organizzazione AWS ha un URL del portale di accesso univoco. Assicurati di tenerne traccia con le informazioni di accesso dell'utente.