Centralizzare l'accesso root per gli account dei membri - AWS Identity and Access Management
PrerequisitiAbilitazione dell'accesso root centralizzato (console)Abilitazione dell'accesso root centralizzato (AWS CLI)Abilitazione dell'accesso root centralizzato (API AWS)Passaggi successivi

Centralizzare l'accesso root per gli account dei membri

Le credenziali dell'utente root sono le credenziali iniziali assegnate a ogni Account AWS che ha accesso completo a tutti i servizi e le risorse AWS presenti nell'account. Quando abiliti AWS Organizations, combini tutti gli AWS in un'organizzazione per la gestione centralizzata. Ogni account membro ha il proprio utente root con autorizzazioni predefinite per eseguire qualsiasi azione nell'account membro. Si consiglia di proteggere centralmente le credenziali dell'utente root degli Account AWS gestiti tramite AWS Organizations per impedire il ripristino e l'accesso delle credenziali dell'utente root su larga scala.

Dopo aver centralizzato l'accesso root, puoi scegliere di eliminare le credenziali dell'utente root dagli account membri dell'organizzazione. Puoi rimuovere la password dell'utente root, le chiavi di accesso, i certificati per la firma e disattivare l'autenticazione a più fattori (MFA). Per impostazione predefinita, i nuovi account creati in AWS Organizations non hanno credenziali dell'utente root. Gli account dei membri non possono accedere al proprio utente root o eseguirne il recupero della password.

Nota

Sebbene alcune Attività che richiedono credenziali dell'utente root possano essere eseguite dall'account di gestione o dall'amministratore delegato per IAM, alcune attività possono essere eseguite solo quando si effettua l'accesso come utente root di un account.

Se è necessario recuperare le credenziali dell'utente root per un account membro al fine di eseguire una di queste attività, segui la procedura indicata in Eseguire un'attività con privilegi e seleziona Consenti il recupero della password. La persona che ha accesso alla casella di posta elettronica dell'utente root per l'account membro può quindi seguire i passaggi per reimpostare la password dell'utente root e accedere come utente root dell'account membro.

Ti consigliamo di eliminare le credenziali dell'utente root una volta completata l'attività che richiede l'accesso all'utente root.

Prerequisiti

Prima di centralizzare l'accesso root, è necessario disporre di un account configurato con le seguenti impostazioni:

  • Bisogna possedere le seguenti autorizzazioni IAM:

    • iam:GetAccessKeyLastUsed

    • iam:GetAccountSummary

    • iam:GetLoginProfile

    • iam:GetUser

    • iam:ListAccessKeys

    • iam:ListMFADevices

    • iam:ListSigningCertificates

    • sts:AssumeRoot

    Nota

    Per eseguire un audit sullo stato delle credenziali dell'utente root di un account membro, puoi usare la policy gestita AWS IAMAuditRootUserCredentials per limitare le autorizzazioni quando esegui un'operazione con privilegi su un account membro AWS Organizations, oppure usare qualsiasi policy che abbia accesso a iam:GetAccountSummary.

    Per generare il report informativo sulle credenziali dell'utente root, per le altre policy è sufficiente che l'operazione iam:GetAccountSummary produca lo stesso risultato. Inoltre, è possibile elencare oppure ottenere informazioni sulle credenziali dei singoli utenti root, compreso:

    • Se è presente una password per l'utente root

    • Se è presente una chiave di accesso dell'utente root e quando è stata utilizzata l'ultima volta

    • Se l'utente root ha certificati di firma associati

    • I dispositivi MFA associati all'utente root

    • L'elenco dello stato delle credenziali consolidate dell'utente root

  • Devi gestire il tuo Account AWS in AWS Organizations.

  • Per abilitare questa funzionalità nella tua organizzazione, devi disporre delle seguenti autorizzazioni:

    • iam:EnableOrganizationsRootCredentialsManagement

    • iam:EnableOrganizationsRootSessions

    • iam:ListOrganizationsFeatures

    • organizations:EnableAwsServiceAccess

    • organizations:ListAccountsForParent

    • organizations:RegisterDelegatedAdministrator

  • Per garantire una funzionalità ottimale della console, si consiglia di abilitare le seguenti autorizzazioni aggiuntive:

    • organizations:DescribeAccount

    • organizations:DescribeOrganization

    • organizations:ListAWSServiceAccessForOrganization

    • organizations:ListDelegatedAdministrators

    • organizations:ListOrganizationalUnitsForParent

    • organizations:ListParents

    • organizations:ListTagsForResource

Abilitazione dell'accesso root centralizzato (console)

Per abilitare questa funzionalità per gli account membri nella Console di gestione AWS

  1. Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione della console, scegli Gestione degli accessi root, quindi seleziona Abilita.

    Nota

    Se vedi che la gestione degli accessi root è disabilitata, abilita l'accesso attendibile per AWS Identity and Access Management in AWS Organizations. Per i dettagli, consulta AWS IAM e AWS Organizations nella Guida per l'utente di AWS Organizations.

  3. Nella sezione Funzionalità da abilitare, scegli le funzionalità da abilitare.

    • Seleziona Gestione delle credenziali root per consentire all'account di gestione e all'amministratore delegato di IAM di eliminare le credenziali utente root per gli account membri. È necessario abilitare le azioni root con privilegi negli account membri per consentire agli account membri di recuperare le credenziali dell'utente root dopo che sono state eliminate.

    • Seleziona Azioni root con privilegi negli account membri per consentire all'account di gestione e all'amministratore delegato di IAM di eseguire determinate attività che richiedono le credenziali dell'utente root.

  4. (Facoltativo) Inserisci l'ID account dell'amministratore delegato autorizzato a gestire l'accesso degli utenti root e ad eseguire azioni con privilegi sugli account membri. Consigliamo un account destinato a scopi di sicurezza o gestione.

  5. Scegli Enable (Abilita).

Abilitazione dell'accesso root centralizzato (AWS CLI)

Per abilitare l'accesso root centralizzato da AWS Command Line Interface (AWS CLI)

  1. Se non hai già abilitato l'accesso attendibile per AWS Identity and Access Management in AWS Organizations, usa il comando aws organisations enable-aws-service-access.

  2. Seleziona Gestione delle credenziali root per consentire all'account di gestione e all'amministratore delegato di IAM di eliminare le credenziali utente root per gli account membri.

  3. Utilizza il seguente comando per consentire all'account di gestione e all'amministratore delegato di eseguire determinate attività che richiedono le credenziali dell'utente root: aws iam enable-organizations-root-sessions.

  4. (Facoltativo) Usa il seguente comando per registrare un amministratore delegato: aws organisations register-delegated-administrator.

    L'esempio seguente assegna l'account 111111111111 come amministratore delegato per il servizio IAM.

    aws organizations register-delegated-administrator 
--service-principal iam.amazonaws.com
--account-id 111111111111

Abilitazione dell'accesso root centralizzato (API AWS)

Per abilitare l'accesso root centralizzato dall'API AWS

  1. Se non hai già abilitato l'accesso attendibile per AWS Identity and Access Management in AWS Organizations, usa il comando EnableAWSServiceAccess.

  2. Utilizza il seguente comando per consentire all'account di gestione e all'amministratore delegato di eliminare le credenziali dell'utente root per gli account membri: EnableOrganizationsRootCredentialsManagement.

  3. Utilizza il seguente comando per consentire all'account di gestione e all'amministratore delegato di eseguire determinate attività che richiedono le credenziali dell'utente root: EnableOrganizationsRootSessions.

  4. (Facoltativo) Usa il seguente comando per registrare un amministratore delegato: RegisterDelegatedAdministrator.

Passaggi successivi

Dopo aver protetto centralmente le credenziali con privilegi per gli account membri dell'organizzazione, consulta Eseguire un'attività con privilegi per eseguire le azioni con privilegi su un account membro.