Resilienza nell' AWS Identity and Access Management - AWS Identity and Access Management
Best practice per la resilienza di IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Resilienza nell' AWS Identity and Access Management

L'infrastruttura globale di AWS è basata su Regioni e zone di disponibilità AWS. Le Regioni AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate che sono connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Per ulteriori informazioni sulle Regioni AWS e sulle zone di disponibilità, consulta Infrastruttura globale di AWS.

AWS Identity and Access Management (IAM) e AWS Security Token Service (AWS STS) sono servizi autosufficienti e basati sulla regione disponibili a livello globale.

IAM è un Servizio AWS critico. Ogni operazione eseguita in AWS deve essere autenticata e autorizzata da IAM. IAM verifica ogni richiesta in base alle identità e alle policy archiviate in IAM per determinare se accettare o negare la richiesta. IAM è stato progettato con un piano di controllo e un piano dati separati in modo che il servizio si autentichi anche in caso di errori imprevisti. Le risorse IAM utilizzate nelle autorizzazioni, come ad esempio ruoli e policy, vengono archiviate nel piano di controllo. I clienti IAM possono modificare la configurazione di queste risorse utilizzando operazioni IAM come DeletePolicy e AttachRolePolicy. Tali richieste di modifica della configurazione pervengono al piano di controllo. Per tutte le Regioni AWS commerciali esiste un piano di controllo IAM, che si trova nella regione Stati Uniti orientali (Virginia settentrionale). Il sistema IAM propaga quindi le modifiche di configurazione ai piani dati IAM in ogni Regione AWS abilitata. Il piano dati IAM è essenzialmente una replica in sola lettura dei dati di configurazione del piano di controllo IAM. Ogni Regione AWS dispone di un'istanza completamente indipendente del piano dati IAM, che esegue l'autenticazione e l'autorizzazione per le richieste provenienti dalla stessa regione. In ogni regione, il piano dati IAM è distribuito su almeno tre zone di disponibilità e ha una capacità sufficiente per tollerare la perdita di una zona di disponibilità senza conseguenze per il cliente. Sia il piano di controllo che il piano dati di IAM sono stati progettati per l'assenza di tempi di inattività pianificati, con tutti gli aggiornamenti software e le operazioni di dimensionamento eseguite in modo impercettibile per i clienti.

Nelle Regioni abilitate per impostazione predefinita, le richieste all'endpoint globale AWS STS vengono servite automaticamente nella stessa Regione da cui proviene la richiesta. Nelle Regioni con consenso esplicito, le richieste all'endpoint globale AWS STSvengono servite da un'unica Regione Regione AWS, Stati Uniti orientali (Virginia settentrionale). Puoi scegliere di utilizzare un endpoint AWS STS regionale per ridurre la latenza o fornire ridondanza aggiuntiva alle applicazioni. Per ulteriori informazioni, consulta Gestire AWS STS in un Regione AWS.

Alcuni eventi possono interrompere la comunicazione tra Regioni AWS sulla rete. Tuttavia, anche quando non riesci a comunicare con l'endpoint IAM globale, AWS STS può comunque autenticare i principali IAM e IAM può autorizzare le tue richieste. I dettagli specifici di un evento che interrompe la comunicazione determineranno la tua capacità di accedere ai servizi AWS. Nella maggior parte dei casi, puoi continuare a usare le credenziali IAM nel tuo ambiente AWS. Le seguenti condizioni possono applicarsi a un evento che interrompe la comunicazione.

Chiavi di accesso per gli utenti IAM

Puoi autenticarti a tempo indeterminato in una regione con le chiavi di accesso per gli utenti IAM a lungo termine. Se usi la AWS Command Line Interface e le API, puoi fornire le chiavi di accesso AWS in modo che AWS possa verificare la tua identità nelle richieste programmatiche.

Importante

Come best practice, consigliamo che i tuoi utenti eseguano l'accesso con le credenziali temporanee al posto delle chiavi di accesso a lungo termine.

Credenziali temporanee

Puoi richiedere nuove credenziali temporanee con l'endpoint AWS STS del servizio regionale per almeno 24 ore. Le seguenti operazioni API generano credenziali temporanee.

  • AssumeRole

  • AssumeRoleWithWebIdentity

  • AssumeRoleWithSAML

  • GetFederationToken

  • GetSessionToken

Principali e autorizzazioni

  • Potresti non essere in grado di aggiungere, modificare o rimuovere i principali o le autorizzazioni in IAM.

  • Le tue credenziali potrebbero non riflettere le modifiche alle autorizzazioni che hai applicato in IAM di recente. Per ulteriori informazioni, consulta Le modifiche che apporto non sono sempre immediatamente visibili.

Console di gestione AWS

  • Potresti essere in grado di utilizzare un endpoint di accesso regionale per accedere alla Console di gestione AWS come utente IAM. Gli endpoint di accesso regionali hanno il seguente formato URL.

    https://{Account ID}.signin.aws.amazon.com/console?region={Region}

    Esempio: https://111122223333.signin.aws.amazon.com/console?region=us-west-2

  • Potresti non essere in grado di completare l'autenticazione a più fattori (MFA) Universal 2nd Factor (U2F).

Best practice per la resilienza di IAM

AWS ha integrato la resilienza nelle Regioni AWS e nelle zone di disponibilità. Se osservi le seguenti best practice IAM nei sistemi che interagiscono con il tuo ambiente, puoi trarre vantaggio da tale resilienza.

  1. Utilizza un endpoint AWS STS del servizio regionale invece dell'endpoint globale predefinito.

  2. Verifica la configurazione del tuo ambiente alla ricerca di risorse vitali che creano o modificano abitualmente risorse IAM e prepara una soluzione di fallback che utilizzi le risorse IAM esistenti.