Configurare una policy delle password di un account per gli utenti IAM - AWS Identity and Access Management
Impostazione di una policy delle passwordAutorizzazioni necessarie per impostare una policy delle passwordPolicy delle password predefinitaOpzioni di policy delle password personalizzataPer impostare una policy delle password (console)Per modificare una policy delle password (console)Eliminazione di una policy delle password personalizzata (console)Impostazione di una policy sulle password (AWS CLI)Impostazione di una policy sulle password (AWS API)

Configurare una policy delle password di un account per gli utenti IAM

Puoi impostare una policy delle password personalizzata sul tuo Account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per le password degli utenti IAM. Se non imposti una policy delle password personalizzata, le password dell'utente IAM devono soddisfare le policy delle password AWS predefinite. Per ulteriori informazioni, consulta Opzioni di policy delle password personalizzata.

Impostazione di una policy delle password

La policy per le password IAM non si applica alla password dell'Utente root dell'account AWS o alle chiavi di accesso dell'utente IAM. Se una password scade, l'utente IAM non potrà accedere alla Console di gestione AWS ma potrà continuare a utilizzare le proprie chiavi di accesso.

Quando si crea o si modifica una policy sulle password, la maggior parte delle impostazioni sulla policy delle password vengono applicate la prossima volta che gli utenti modificano le password. Tuttavia, alcune delle impostazioni vengono applicate immediatamente. Ad esempio:

  • Quando si impostano i requisiti minimi di lunghezza e del tipo di caratteri, le impostazioni vengono applicate la volta successiva che gli utenti cambiano le password. Gli utenti non sono costretti a modificare le proprie password esistenti, anche se le password esistenti non rispettano i criteri della policy aggiornata sulle password.

  • Quando si imposta un periodo di scadenza della password, il periodo di scadenza viene applicato immediatamente. Ad esempio, un periodo di scadenza della password viene impostato a 90 giorni. In tal caso, la password scade per tutti gli utenti IAM la cui password attuale è più vecchia di 90 giorni. Gli utenti sono tenuti a modificare la propria password all'accesso successivo.

Non è possibile creare una "policy di esclusione" per bloccare un utente fuori dall'account dopo un numero specificato di tentativi di accesso non riusciti. Per una maggiore sicurezza, si consiglia di combinare una policy delle password complessa con l'autenticazione Multi-Factor Authentication (MFA). Per ulteriori informazioni sulla funzionalità MFA, consultare Autenticazione a più fattori di AWS in IAM.

Autorizzazioni necessarie per impostare una policy delle password

È necessario configurare le autorizzazioni per consentire a un'entità IAM (utente o ruolo) di visualizzare o modificare la policy delle password dell'account. È possibile includere le seguenti operazioni di policy della password in una policy IAM:

  • iam:GetAccountPasswordPolicy: consente all'entità di visualizzare la policy delle password per il proprio account

  • iam:DeleteAccountPasswordPolicy: consente all'entità di eliminare la policy delle password personalizzata per il proprio account e ripristinare la policy delle password di default

  • iam:UpdateAccountPasswordPolicy: consente all'entità di creare o modificare la policy delle password personalizzata per il proprio account

La policy seguente consente l'accesso completo per visualizzare e modificare la policy delle password dell'account. Per ulteriori informazioni su come creare una policy IAM usando il documento di policy JSON di esempio, consulta Creazione di policy utilizzando l'editor JSON.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Per informazioni sulle autorizzazioni necessarie per modificare la password da parte di un utente IAM, consulta Consentire agli utenti IAM di cambiare le loro password.

Policy delle password predefinita

Se un amministratore non imposta una policy delle password personalizzata, le password dell'utente IAM devono soddisfare la policy delle password di AWS di default.

La policy delle password predefinita applica le seguenti condizioni:

  • Deve avere una lunghezza minima di 8 caratteri e massima di 128 caratteri

  • Deve includere almeno tre dei seguenti tipi di caratteri: lettere maiuscole, lettere minuscole, numeri e caratteri non alfanumerici (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')

  • Non può essere identica al nome dell'Account AWS o all'indirizzo e-mail

  • Password che non scadono mai

Opzioni di policy delle password personalizzata

Quando si configura una policy delle password personalizzata per l'account, è possibile specificare le seguenti condizioni:

  • Lunghezza minima della password: è possibile specificare un minimo di 6 caratteri e un massimo di 128 caratteri.

  • Complessità della password: puoi selezionare una delle seguenti caselle di controllo per definire la complessità delle password dell'utente IAM:

    • Richiedi almeno una lettera maiuscola dall'alfabeto latino (A-Z)

    • Richiedi almeno una lettera minuscola dall'alfabeto latino (a-z)

    • Richiedere almeno un numero

    • Richiedere almeno un carattere non alfanumerico ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Turn on password expiration (Abilita scadenza della password): puoi selezionare e specificare un minimo di 1 e un massimo di 1.095 giorni di validità delle password utente IAM dopo che sono state impostate. Ad esempio, se specifichi una scadenza di 90 giorni, ciò influisce immediatamente su tutti gli utenti. Dopo la modifica, gli utenti con password impostata da oltre 90 giorni dovranno impostarne una nuova quando accedono alla console. Gli utenti con password impostata da 75-89 giorni riceveranno un avviso da Console di gestione AWS come promemoria della scadenza. Gli utenti IAM possono modificare la password in qualsiasi momento se dispongono dell'autorizzazione. Quando impostano una nuova password, il periodo di scadenza per tale password ricomincia da capo. Un utente IAM può avere solo una password valida alla volta.

  • Password expiration requires administrator reset (La scadenza della password richiede la reimpostazione da parte dell'amministratore): seleziona quest'opzione per impedire agli utenti IAM di utilizzare Console di gestione AWS per aggiornare le proprie password dopo la scadenza delle stesse. Prima di selezionare questa opzione, verifica che nell'Account AWS sia presente più di un utente con le autorizzazioni amministrative per ripristinare le password degli utenti IAM. Gli amministratori che dispongono dell'autorizzazione iam:UpdateLoginProfile possono reimpostare le password degli utenti IAM. Gli utenti IAM che dispongono dell'autorizzazione iam:ChangePassword e di chiavi di accesso attive possono reimpostare autonomamente la propria password della console utente IAM a livello di programmazione. Se si deseleziona questa casella di controllo, gli utenti IAM con password scadute devono comunque impostare una nuova password prima di poter accedere alla Console di gestione AWS.

  • Allow users to change their own password (Consenti agli utenti di modificare la propria password): puoi consentire a tutti gli utenti IAM nel tuo account di modificare autonomamente le proprie password. Ciò consente agli utenti di accedere all'operazione iam:ChangePassword solo per il proprio utente e all'operazione iam:GetAccountPasswordPolicy. Questa opzione non associa una policy di autorizzazione a ciascun utente. Piuttosto, IAM applica le autorizzazioni a livello di account per tutti gli utenti. In alternativa, è possibile consentire solo ad alcuni utenti di gestire in autonomia le proprie password. A tale scopo, deseleziona questa casella di controllo. Per ulteriori informazioni sull'utilizzo di policy per limitare chi può gestire le password, consultare Consentire agli utenti IAM di cambiare le loro password.

  • Impedisci il riutilizzo di una password: puoi impedire che gli utenti IAM riutilizzino un determinato numero di password precedenti. È possibile specificare un numero minimo di 1 e un numero massimo di 24 password precedenti che non possono essere ripetute.

Per impostare una policy delle password (console)

È possibile utilizzare la Console di gestione AWS per creare, modificare o eliminare una policy delle password personalizzata. Le modifiche alla policy delle password si applicano ai nuovi utenti IAM creati dopo questa modifica della policy e agli utenti IAM esistenti quando questi modificano le proprie password.

Console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console IAM, nel pannello di navigazione a sinistra, immetti la query nella casella di testo Cerca IAM.

  3. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  4. Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).

  5. Scegli Custom (Personalizzato) per utilizzare una policy di password personalizzata.

  6. Seleziona le opzioni che desideri applicare alla policy delle password e scegli Salva modifiche.

  7. Conferma che desideri impostare la policy delle password personalizzata scegliendo Set custom (Imposta personalizzata).

La console visualizza un messaggio di stato che informa che i requisiti di password per gli utenti IAM sono stati aggiornati.

Per modificare una policy delle password (console)

È possibile utilizzare la Console di gestione AWS per creare, modificare o eliminare una policy delle password personalizzata. Le modifiche alla policy delle password si applicano ai nuovi utenti IAM creati dopo questa modifica della policy e agli utenti IAM esistenti quando questi modificano le proprie password.

Console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console IAM, nel pannello di navigazione a sinistra, immetti la query nella casella di testo Cerca IAM.

  3. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  4. Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).

  5. Seleziona le opzioni che desideri applicare alla policy delle password e scegli Salva modifiche.

  6. Conferma che desideri impostare la policy delle password personalizzata scegliendo Set custom (Imposta personalizzata).

La console visualizza un messaggio di stato che informa che i requisiti di password per gli utenti IAM sono stati aggiornati.

Eliminazione di una policy delle password personalizzata (console)

È possibile utilizzare la Console di gestione AWS per creare, modificare o eliminare una policy delle password personalizzata. Le modifiche alla policy delle password si applicano ai nuovi utenti IAM creati dopo questa modifica della policy e agli utenti IAM esistenti quando questi modificano le proprie password.

Console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console IAM, nel pannello di navigazione a sinistra, immetti la query nella casella di testo Cerca IAM.

  3. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  4. Nella sezione Password policy (Policy delle password), scegli Edit (Modifica).

  5. Scegli IAM default (Predefinito IAM) per eliminare la policy di password personalizzata, quindi scegli Save changes (Salva modifiche).

  6. Conferma che desideri impostare la policy delle password predefinita IAM scegliendo Set default (Imposta predefinita).

La console visualizza un messaggio di stato che informa che la policy delle password è impostata sul valore predefinito di IAM.

Impostazione di una policy sulle password (AWS CLI)

È possibile utilizzare AWS Command Line Interface per impostare una policy sulle password.

Per gestire la policy delle password personalizzata per l'account dalla AWS CLI

Esegui i comandi seguenti:

Impostazione di una policy sulle password (AWS API)

È possibile utilizzare le operazioni API AWS per impostare una policy delle password.

Per gestire la policy delle password personalizzata per l'account dall'API AWS

Chiamare le operazioni seguenti: