Controllo dell’uso delle chiavi di accesso collegando una policy inline a un utente IAM - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell’uso delle chiavi di accesso collegando una policy inline a un utente IAM

Come best practice, consigliamo di far utilizzare ai carichi di lavoro credenziali temporanee con ruoli IAM per l’accesso ad AWS. Agli utenti IAM con chiavi di accesso deve essere assegnato l’accesso con privilegio minimo e deve essere abilitata l’autenticazione a più fattori (MFA). Per ulteriori informazioni sull’assunzione dei ruoli IAM, consulta Metodi per assumere un ruolo.

Tuttavia, se stai creando un test proof of concept di un’automazione di servizio o un altro caso d’uso a breve termine e scegli di eseguire carichi di lavoro utilizzando un utente IAM con chiavi di accesso, ti consigliamo di utilizzare le condizioni di policy per limitare ulteriormente l’accesso alle sue credenziali utente IAM.

In questa situazione puoi creare una policy a tempo limitato che faccia scadere le credenziali dopo il tempo specificato oppure, se stai eseguendo un carico di lavoro da una rete sicura, puoi utilizzare una policy di limitazione dell’IP.

Per entrambi questi casi d’uso, puoi utilizzare una policy inline collegata all’utente IAM che dispone delle chiavi di accesso.

Per configurare una policy a tempo limitato per un’utente IAM

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, scegli Utenti, quindi seleziona l’utente per il caso d’uso a breve termine. Se non hai ancora creato l’utente, puoi crearlo ora.

  3. Nella pagina Dettagli, scegli la scheda Autorizzazioni.

  4. Scegli Aggiungi autorizzazioni, quindi scegli Crea policy inline.

  5. Nella sezione Editor di policy, seleziona JSON per visualizzare l’editor JSON.

  6. Nell’editor JSON, immetti la seguente policy, sostituendo il valore del timestamp aws:CurrentTime con la data e l’ora di scadenza desiderate:

    JSON
    {
"Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
      "DateGreaterThan": {
      "aws:CurrentTime": "2025-03-01T00:12:00Z"
        }
      }
    }
  ]
}

    Questa policy utilizza l’effetto Deny per limitare tutte le operazioni su tutte le risorse dopo la data specificata. La condizione DateGreaterThan confronta l’ora corrente con il timestamp impostato.

  7. Seleziona Next (Successivo) per passare alla pagina Review and create (Rivedi e crea). Nei dettagli della Policy, in Nome della policy inserisci un nome per la policy, quindi scegli Crea policy.

Una volta creata, la policy viene visualizzata nella scheda Autorizzazioni per l’utente. Quando l'ora corrente è maggiore o uguale all'ora specificata nella policy, l'utente non avrà più accesso alle AWS risorse. Assicurati di informare gli sviluppatori dei carichi di lavoro della data di scadenza specificata per queste chiavi di accesso.

Per configurare una policy di limitazione dell’IP per un utente IAM

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, scegli Utenti, quindi seleziona l’utente che eseguirà il carico di lavoro dalla rete sicura. Se non hai ancora creato l’utente, puoi crearlo ora.

  3. Nella pagina Dettagli, scegli la scheda Autorizzazioni.

  4. Scegli Aggiungi autorizzazioni, quindi scegli Crea policy inline.

  5. Nella sezione Editor di policy, seleziona JSON per visualizzare l’editor JSON.

  6. Copia la seguente policy IAM nell'editor JSON e modifica il pubblico, IPv6 gli indirizzi IPv4 o gli intervalli in base alle tue esigenze. Puoi usare https://checkip.amazonaws.com/per determinare il tuo attuale indirizzo IP pubblico. Puoi specificare singoli indirizzi IP o intervalli di indirizzi IP utilizzando la notazione slash. Per ulteriori informazioni, consulta aws:SourceIp.

    Nota

    Gli indirizzi IP non devono essere offuscati da una VPN o da un server proxy.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"IpRestrictionIAMPolicyForIAMUser",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        }
      }
    }
  ]
}

    Questo esempio di policy nega l'uso delle chiavi di accesso di un utente IAM con questa policy applicata, a meno che la richiesta non provenga dalle reti (specificate nella notazione CIDR) «203.0.113.0/24», «2001:: 1234:5678DB8: :/64» o dall'indirizzo IP specifico «203.0.114.1»

  7. Seleziona Next (Successivo) per passare alla pagina Review and create (Rivedi e crea). Nei dettagli della Policy, in Nome della policy inserisci un nome per la policy, quindi scegli Crea policy.

Una volta creata, la policy viene visualizzata nella scheda Autorizzazioni per l’utente.

Puoi anche applicare questa politica come policy di controllo del servizio (SCP) su più AWS account in AWS Organizations, ti consigliamo di utilizzare una condizione aggiuntiva, aws:PrincipalArn per fare in modo che questa dichiarazione di politica si applichi solo agli utenti IAM all'interno degli AWS account soggetti a questo SCP. La seguente policy include tale aggiornamento:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::*:user/*"
        }
      }
    }
  ]
}