Eliminare i ruoli o i profili delle istanze - AWS Identity and Access Management
Visualizzazione dell'accesso del ruoloEliminazione del ruolo collegato ai serviziEliminazione di un ruolo IAM (console)Eliminazione di un ruolo IAM (AWS CLI)Eliminazione di un ruolo IAM (API AWS )Informazioni correlate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Eliminare i ruoli o i profili delle istanze

Se un ruolo non è più necessario, si consiglia di eliminare il ruolo e le autorizzazioni associate. In questo modo non sarà più presente un’entità non utilizzata che non viene monitorata e gestita attivamente.

Se il ruolo era associato a un' EC2 istanza, puoi anche rimuovere il ruolo dal profilo dell'istanza e quindi eliminare il profilo dell'istanza.

avvertimento

Assicurati di non avere EC2 istanze Amazon in esecuzione con il ruolo o il profilo di istanza che stai per eliminare. L'eliminazione di un ruolo o di un profilo di istanza associato a un'istanza in esecuzione interrompe tutte le applicazioni in esecuzione sull'istanza.

Se si preferisce non eliminare definitivamente un ruolo, è possibile disabilitarlo. A tale scopo, modifica le policy del ruolo e quindi revoca tutte le sessioni correnti. Ad esempio, potresti aggiungere una policy al ruolo che impedisca l'accesso a tutti. AWSÈ inoltre possibile modificare i criteri di attendibilità per negare l'accesso a tutti coloro che tentano di assumere il ruolo. Per ulteriori informazioni sull'avvio delle sessioni, consulta Revocare le credenziali di sicurezza temporanee per i ruoli IAM.

Visualizzazione dell'accesso del ruolo

Prima di eliminare un ruolo, è opportuno esaminare quando è stato utilizzato per l'ultima volta. È possibile eseguire questa operazione utilizzando l' Console di gestione AWS AWS CLI, l'o l' AWS API. È consigliabile visualizzare queste informazioni per non privare dell'accesso qualcuno che utilizza il ruolo.

La data dell'ultima attività del ruolo potrebbe non corrispondere all'ultima data riportata nella scheda Ultimo accesso. La scheda Ultimo accesso riporta l'attività solo per i servizi consentiti dalle policy di autorizzazione del ruolo. La data dell'ultima attività del ruolo include l'ultimo tentativo di accesso a qualsiasi servizio in AWS.

Nota

Il periodo di monitoraggio dei dati per l'ultima attività di un ruolo e i dati di Ultimo accesso sono per gli ultimi 400 giorni. Questo periodo può essere abbreviato se la regione ha iniziato a supportare queste funzionalità nell'ultimo anno. Il ruolo potrebbe essere stato utilizzato più di 400 giorni fa. Per ulteriori informazioni sul periodo di monitoraggio, consulta Dove AWS tiene traccia delle ultime informazioni a cui si accede.

Per visualizzare la data di ultimo utilizzo di un ruolo (console)

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Individua la riga del ruolo con l'attività che si desidera visualizzare. È possibile utilizzare il campo di ricerca per restringere i risultati. Visualizzare la colonna Last activity (Ultima attività) per visualizzare il numero di giorni trascorsi dalla data di ultimo utilizzo del ruolo. Se il ruolo non è stato utilizzato entro il periodo di monitoraggio, nella tabella viene visualizzato None (Nessuno).

  4. Scegliere il nome del ruolo per visualizzare ulteriori informazioni. La pagina Riepilogo del ruolo include anche Ultima attività, che visualizza la data dell'ultimo utilizzo del ruolo. Se il ruolo non è stato utilizzato negli ultimi 400 giorni, Last activity (Ultima attività) visualizza Not accessed in the tracking period (Nessun accesso nel periodo di monitoraggio).

Per visualizzare la data di ultimo utilizzo di un ruolo (AWS CLI)

aws iam get-role - Eseguire questo comando per restituire le informazioni su un ruolo, incluso l'oggetto RoleLastUsed. Questo oggetto contiene LastUsedDate e la Region in cui il ruolo è stato utilizzato per l'ultima volta. Se RoleLastUsed è presente ma non contiene un valore, il ruolo non è stato utilizzato entro il periodo di monitoraggio.

Per visualizzare quando un ruolo è stato utilizzato l'ultima volta (AWS API)

GetRole - Chiamare questa operazione per restituire le informazioni su un ruolo, incluso l'oggetto RoleLastUsed. Questo oggetto contiene LastUsedDate e la Region in cui il ruolo è stato utilizzato per l'ultima volta. Se RoleLastUsed è presente ma non contiene un valore, il ruolo non è stato utilizzato entro il periodo di monitoraggio.

Eliminazione del ruolo collegato ai servizi

Il metodo utilizzato per eliminare un ruolo collegato ai servizi dipende dal servizio. In alcuni casi, non devi eliminare manualmente un ruolo collegato ai servizi. Ad esempio, quando completi un'operazione specifica (come eliminare una risorsa) nel servizio, il servizio potrebbe eliminare il ruolo collegato ai servizi per te. In altri casi, il servizio può supportare l'eliminazione di un ruolo collegato ai servizi manualmente dalla console del servizio, dall'API o dalla AWS CLI.

Consulta la documentazione relativa al ruolo collegato al servizio del servizio collegato per ulteriori informazioni su come eliminare il ruolo. Puoi visualizzare i ruoli collegati ai servizi nell'account visitando la pagina Ruoli IAM nella console. I ruoli collegati al servizio vengono visualizzati con l'indicazione (Service-linked role) (Ruolo collegato al servizio) nella colonna Trusted entities (Entità attendibili) della tabella. Un banner nella pagina Riepilogo del ruolo indica anche che il ruolo è un ruolo collegato ai servizi.

Se il servizio non include la documentazione per l'eliminazione del ruolo collegato al servizio, puoi utilizzare la console IAM o l'API per eliminare il ruolo. AWS CLI

Eliminazione di un ruolo IAM (console)

Quando utilizzi il Console di gestione AWS per eliminare un ruolo, IAM scollega automaticamente le policy gestite associate al ruolo. Inoltre, elimina automaticamente tutte le policy in linea associate al ruolo e qualsiasi profilo di EC2 istanza Amazon che contiene il ruolo.

Importante

In alcuni casi, un ruolo potrebbe essere associato a un profilo di EC2 istanza Amazon e il ruolo e il profilo dell'istanza potrebbero avere lo stesso nome. In tal caso puoi utilizzare il Console di gestione AWS per eliminare il ruolo e il profilo dell'istanza. Questo collegamento avviene automaticamente per i ruoli e i profili delle istanze creati nella console. Se hai creato il ruolo da AWS CLI, Tools for Windows PowerShell o dall' AWS API, il ruolo e il profilo dell'istanza potrebbero avere nomi diversi. In questo caso non è possibile utilizzare la console per eliminarli. È invece necessario utilizzare Tools for Windows PowerShell o AWS API per rimuovere prima il ruolo dal profilo dell'istanza. AWS CLIÈ quindi necessario eseguire un passaggio distinto per eliminare il ruolo.

Per eliminare un ruolo (console)

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegliere Roles (Ruoli), quindi selezionare la casella di controllo accanto al nome del ruolo che si desidera eliminare.

  3. Nella parte superiore della pagina, scegli Elimina.

  4. Nella finestra di dialogo di conferma, esamina le informazioni relative all'ultimo accesso, che mostrano l'ultima volta che ciascuno dei ruoli selezionati ha effettuato l'ultimo accesso a un AWS servizio. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, inserisci il nome del ruolo nel campo di immissione testo e seleziona Elimina. Se sei sicuro, puoi procedere con l'eliminazione anche se l'ultimo accesso ai dati del servizio è ancora in fase di caricamento.

Nota

Non è possibile utilizzare la console per eliminare un profilo dell'istanza, a meno che non abbia lo stesso nome del ruolo. Il profilo dell'istanza viene eliminato come parte del processo di eliminazione di un ruolo descritto nella procedura precedente. Per eliminare un profilo di istanza senza eliminare anche il ruolo, è necessario utilizzare l' AWS API AWS CLI o. Per ulteriori informazioni, consultare le sezioni indicate di seguito.

Eliminazione di un ruolo IAM (AWS CLI)

Quando si utilizza il AWS CLI per eliminare un ruolo, è necessario innanzitutto eliminare le politiche in linea associate al ruolo. È inoltre necessario scollegare le policy gestite associate al ruolo. Se desideri eliminare il profilo dell'istanza associato che contiene il ruolo, devi eliminarlo separatamente.

Per eliminare un ruolo (AWS CLI)

  1. Se non conosci il nome del ruolo da eliminare, immetti il comando seguente per elencare i ruoli nell'account:

    aws iam list-roles

    L'elenco include l'Amazon Resource Name (ARN) di ogni ruolo. Per fare riferimento ai ruoli con i comandi della CLI utilizza il nome del ruolo, non l'ARN. Ad esempio, per fare riferimento a un ruolo il cui ARN è arn:aws:iam::123456789012:role/myrole, puoi usare myrole.

  2. Rimuovi il ruolo da tutti i profili delle istanze a cui è associato.

    1. Per elencare tutti i profili delle istanze cui è associato il ruolo, immetti il seguente comando:

      aws iam list-instance-profiles-for-role --role-name role-name

    2. Per rimuovere il ruolo da un profilo dell'istanza, immetti il seguente comando per ogni profilo dell'istanza:

      aws iam remove-role-from-instance-profile --instance-profile-name instance-profile-name --role-name role-name

  3. Elimina tutte le policy associate al ruolo.

    1. Per elencare tutte le policy inline presenti nel ruolo, immetti il seguente comando:

      aws iam list-role-policies --role-name role-name

    2. Per eliminare ogni policy inline dal ruolo, immetti il seguente comando per ogni policy: 

      aws iam delete-role-policy --role-name role-name --policy-name policy-name

    3. Per elencare tutte le policy gestite collegate al ruolo, immetti il seguente comando:

      aws iam list-attached-role-policies --role-name role-name

    4. Per scollegare ogni policy gestita dal ruolo, immetti il seguente comando per ogni policy: 

      aws iam detach-role-policy --role-name role-name --policy-arn policy-arn

  4. Immetti il seguente comando per eliminare il ruolo:

    aws iam delete-role --role-name role-name

  5. Se non prevedi di riutilizzare i profili delle istanze associati al ruolo, puoi immettere il seguente comando per eliminarli:

    aws iam delete-instance-profile --instance-profile-name instance-profile-name

Eliminazione di un ruolo IAM (API AWS )

Se utilizzi l'API IAM per eliminare un ruolo, devi prima eliminare le policy inline associate al ruolo. È inoltre necessario scollegare le policy gestite associate al ruolo. Se desideri eliminare il profilo dell'istanza associato che contiene il ruolo, devi eliminarlo separatamente.

Per eliminare un ruolo (AWS API)

  1. Per elencare tutti i profili di istanza a cui è associato un ruolo, chiama ListInstanceProfilesForRole.

    Per rimuovere il ruolo da un profilo di istanza, chiama RemoveRoleFromInstanceProfile. È necessario passare il nome del ruolo e il nome del profilo di istanza.

    Se non intendi riutilizzare un profilo di istanza associato al ruolo, chiama DeleteInstanceProfileper eliminarlo.

  2. Per elencare tutte le politiche in linea per un ruolo, chiama. ListRolePolicies

    Per eliminare le politiche in linea associate al ruolo, chiama. DeleteRolePolicy Devi passare il nome del ruolo e il nome della policy inline.

  3. Per elencare tutte le politiche gestite associate a un ruolo, chiama ListAttachedRolePolicies.

    Per scollegare le politiche gestite allegate al ruolo, chiama DetachRolePolicy. Devi passare il nome del ruolo e l'ARN della policy gestita.

  4. Chiama DeleteRoleper eliminare il ruolo.

Per informazioni generali sui profili delle istanze, consulta Usare profili dell'istanza.

Per informazioni generali sui ruoli collegati al servizio, consultare Creare un ruolo collegato ai servizi.