Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Credenziali di sicurezza temporanee in IAM
Puoi utilizzare il AWS Security Token Service (AWS STS) per creare e fornire a utenti affidabili credenziali di sicurezza temporanee in grado di controllare l'accesso alle tue AWS risorse. Le credenziali di sicurezza temporanee funzionano quasi esattamente come le credenziali delle chiavi di accesso a lungo termine, con le seguenti differenze:
+ Le credenziali di sicurezza provvisorie sono *a breve termine*, come implica il nome. Possono essere configurate per durare ovunque per pochi minuti o diverse ore. Una volta scadute, le credenziali AWS non le riconosce più né consente alcun tipo di accesso alle richieste API effettuate con esse.
+ Le credenziali di sicurezza temporanee non sono archiviate con l'utente, ma vengono generate dinamicamente e fornite all'utente quando richiesto. Quando (o anche prima) le credenziali di sicurezza temporanee scadono, l'utente può richiedere nuove credenziali, purché l'utente che le richiede abbia ancora le autorizzazioni per farlo.
Di conseguenza, le credenziali temporanee presentano i seguenti vantaggi rispetto alle credenziali a lungo termine:
+ Non è necessario distribuire o incorporare credenziali di AWS sicurezza a lungo termine in un'applicazione.
+ È possibile fornire l'accesso alle AWS risorse agli utenti senza dover definire un' AWS identità per loro. Le credenziali provvisorie sono la base dei [ruoli](id_roles.md) e della [federazione delle identità](id_roles_providers.md).
+ Le credenziali di sicurezza temporanee hanno una durata limitata, perciò non è necessario aggiornarle o revocarle in modo esplicito quando non sono più necessarie. Dopo che le credenziali di sicurezza temporanee scadono, non possono essere riutilizzate. È possibile specificare quando scadono le credenziali, fino a un limite massimo.
## AWS STS e AWS regioni
Le credenziali di sicurezza temporanee sono generate da AWS STS. Per impostazione predefinita, AWS STS è un servizio globale con un unico endpoint su`https://sts.amazonaws.com`. Tuttavia, puoi anche scegliere di effettuare chiamate AWS STS API verso endpoint in qualsiasi altra regione supportata. Ciò può ridurre la latenza (server lag) effettuando le richieste a server in una regione geograficamente più vicina a te. Indipendentemente dalla regione dalla quale provengono, le credenziali funzionano a livello globale. Per ulteriori informazioni, consulta [Gestisci AWS STS in un Regione AWS](id_credentials_temp_enable-regions.md).
## Scenari comuni per le credenziali temporanee
Le credenziali temporanee sono utili in scenari che interessano la federazione delle identità, la delega, l'accesso tra account e i ruoli IAM.
### Federazione delle identità
Puoi gestire le tue identità utente in un sistema esterno esterno AWS e concedere agli utenti che accedono da tali sistemi l'accesso per eseguire AWS attività e accedere alle tue AWS risorse. IAM supporta due tipi di federazione delle identità. In entrambi i casi, le identità vengono archiviate all'esterno di. AWS La differenza è dove risiede il sistema esterno: nel data center o una parte terza sul Web. Per confrontare le funzionalità delle credenziali di sicurezza temporanee per la federazione delle identità, consulta [Confronta le AWS STS credenziali](id_credentials_sts-comparison.md).
Per ulteriori informazioni sui provider di identità esterni, consultare [Provider di identità e federazione in AWS](id_roles_providers.md).
+ **Federazione OpenID Connect (OIDC)**: puoi consentire agli utenti di accedere utilizzando un provider di identità di terze parti noto come Login with Amazon, Facebook, Google o qualsiasi provider compatibile con OIDC. Per la tua applicazione mobile o web, non è necessario creare un codice di accesso personalizzato o gestire le tue identità utente. L'utilizzo della federazione OIDC ti aiuta a mantenere la tua Account AWS sicurezza, perché non devi distribuire credenziali di sicurezza a lungo termine, come le chiavi di accesso utente IAM, con la tua applicazione. Per ulteriori informazioni, consulta [Federazione OIDC](id_roles_providers_oidc.md).
AWS STS La federazione OIDC supporta Login with Amazon, Facebook, Google e qualsiasi provider di identità compatibile con OpenID Connect (OIDC).
**Nota**
Per le applicazioni mobili, consigliamo di utilizzare Amazon Cognito. Puoi utilizzare questo servizio per lo sviluppo mobile AWS SDKs per creare identità uniche per gli utenti e autenticarle per un accesso sicuro alle tue risorse. AWS Amazon Cognito supporta gli stessi provider di identità e supporta anche l'accesso non autenticato (guest) e consente di migrare i dati degli utenti quando un utente accede. AWS STS Amazon Cognito fornisce inoltre operazioni API per la sincronizzazione dei dati utente in modo che vengano conservati quando gli utenti passano da un dispositivo all'altro. Per ulteriori informazioni, consulta [Autenticazione con Amplify](https://docs.amplify.aws/lib/auth/getting-started/q/platform/js/#authentication-with-amplify) nella *documentazione di Amplify*.
+ **Federazione SAML**: puoi autenticare gli utenti nella rete della tua organizzazione e quindi fornire loro l'accesso AWS senza creare nuove AWS identità per loro e richiedere loro di accedere con credenziali di accesso diverse. Questo è noto come approccio *Single Sign-On all'accesso temporaneo*. AWS STS supporta standard aperti come Security Assertion Markup Language (SAML) 2.0, con cui è possibile utilizzare Microsoft AD FS per sfruttare Microsoft Active Directory. È inoltre possibile utilizzare SAML 2.0 per gestire la soluzione per la federazione delle identità dell'utente. Per ulteriori informazioni, consulta [Federazione SAML 2.0](id_roles_providers_saml.md).
+ **Broker federativo personalizzato**: puoi utilizzare il sistema di autenticazione della tua organizzazione per concedere l'accesso alle risorse. AWS Per uno scenario di esempio, consultare [Abilita l'accesso personalizzato del broker di identità alla AWS console](id_roles_providers_enable-console-custom-url.md).
+ **Federazione tramite SAML 2.0**: puoi utilizzare SAML e il sistema di autenticazione dell'organizzazione per concedere l'accesso alle risorse AWS . Per ulteriori informazioni e uno scenario di esempio, consultare [Federazione SAML 2.0](id_roles_providers_saml.md).
### Ruoli per l'accesso tra account
Molte organizzazioni mantengono più di un Account AWS. Utilizzando ruoli e l'accesso tra account, è possibile definire le identità degli utenti in un account e utilizzare tali identità per accedere alle risorse AWS in altri account che appartengono all'organizzazione. Questo approccio è noto come *delega* all'accesso temporaneo. Per ulteriori informazioni sulla creazione di ruoli tra account, consulta la sezione [Creazione di un ruolo per fornire le autorizzazioni a un utente IAM](id_roles_create_for-user.md). Per capire se i principali negli account esterni alla zona di attendibilità (organizzazione o account attendibile) dispongono dell'accesso per assumere i ruoli, consulta [Cos'è IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).
### Ruoli per Amazon EC2
Se esegui applicazioni sulle istanze Amazon EC2 e tali applicazioni devono accedere alle risorse AWS , puoi fornire le credenziali di sicurezza temporanee alle istanze al momento dell'avvio. Queste credenziali di sicurezza temporanee sono disponibili a tutte le applicazioni che vengono eseguite sull'istanza, perciò non è necessario archiviare nessuna delle credenziali a lungo termine sull'istanza. Per ulteriori informazioni, consulta [Utilizzare un ruolo IAM per concedere autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2](id_roles_use_switch-role-ec2.md).
Per ulteriori informazioni sulle credenziali del ruolo IAM di Amazon EC2, consulta [Ruoli IAM per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) nella *Guida per l'utente di Elastic Compute Cloud*.
### Altri AWS servizi
È possibile utilizzare credenziali di sicurezza temporanee per accedere alla maggior parte dei AWS servizi. Per un elenco dei servizi che accettano le credenziali di sicurezza temporanee, consultare [AWS servizi che funzionano con IAM](reference_aws-services-that-work-with-iam.md).
## Applicazioni di esempio che usano credenziali temporanee
Puoi usare AWS Security Token Service (AWS STS) per creare e fornire a utenti affidabili credenziali di sicurezza temporanee in grado di controllare l'accesso alle tue AWS risorse. Per ulteriori informazioni su AWS STS, vedere[Credenziali di sicurezza temporanee in IAM](#id_credentials_temp). Per scoprire come gestire le credenziali AWS STS di sicurezza temporanee, è possibile scaricare le seguenti applicazioni di esempio che implementano scenari di esempio completi:
+ [Abilitazione della federazione all' AWS utilizzo di Windows Active Directory, ADFS e SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/). Dimostra come delegare l'accesso tramite la federazione aziendale all'utilizzo di Windows Active Directory (AD), Active Directory Federation Services (ADFS) 2.0 e SAML (Security Assertion Markup Language) 2.0. AWS
+ [Abilita l'accesso personalizzato del broker di identità alla AWS console](id_roles_providers_enable-console-custom-url.md). Dimostra come creare un proxy di federazione personalizzato che abilita l'autenticazione unica (SSO) in modo che gli utenti esistenti di Active Directory possano accedere alla Console di gestione AWS.
+ [Come usare Shibboleth per il Single Sign-On su. Console di gestione AWS](https://aws.amazon.com/blogs/security/how-to-use-shibboleth-for-single-sign-on-to-the-aws-management-console/) . Mostra come utilizzare [Shibboleth](http://shibboleth.net/) e [SAML](id_roles_providers_saml.md) per fornire agli utenti l'accesso Single Sign-On (SSO) alla Console di gestione AWS.
### Esempi per la federazione OIDC
Le seguenti applicazioni di esempio illustrano come utilizzare la federazione OIDC con provider come Login with Amazon, Amazon Cognito, Facebook o Google. Puoi scambiare l'autenticazione di questi provider con credenziali di AWS sicurezza temporanee per accedere ai servizi. AWS
+ [Tutorial Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/tutorials.html): ti consigliamo di utilizzare Amazon Cognito con lo sviluppo per dispositivi mobili. AWS SDKs Amazon Cognito offre il modo più semplice per gestire l'identità per le applicazioni per dispositivi mobili e offre funzionalità aggiuntive come la sincronizzazione e l'identità tra più dispositivi. Per ulteriori informazioni su Amazon Cognito, consulta [Autenticazione con Amplify](https://docs.amplify.aws/lib/auth/getting-started/q/platform/js/#authentication-with-amplify) nella *documentazione di Amplify*.
## Risorse aggiuntive per le credenziali di sicurezza temporanee
I seguenti scenari e applicazioni possono essere utili per l'utilizzo di credenziali di sicurezza temporanee:
+ [Come effettuare l'integrazione AWS STS SourceIdentity con il tuo provider di identità](https://aws.amazon.com/blogs/security/how-to-integrate-aws-sts-sourceidentity-with-your-identity-provider/). Questo post mostra come configurare l' AWS STS `SourceIdentity`attributo quando usi Okta, Ping o OneLogin come IdP.
+ [Federazione OIDC](id_roles_providers_oidc.md). In questa sezione viene descritto come configurare i ruoli IAM quando si utilizza la federazione OIDC e l'API `AssumeRoleWithWebIdentity`.
+ [Accesso sicuro alle API con MFA](id_credentials_mfa_configure-api-require.md). In questo argomento viene descritto come utilizzare i ruoli per richiedere l'autenticazione a più fattori (MFA) per proteggere le operazioni API sensibili nel tuo account.
Per ulteriori informazioni sulle politiche e le autorizzazioni, AWS consulta i seguenti argomenti:
+ [Gestione degli accessi AWS alle risorse](access.md)
+ [Logica di valutazione delle policy](reference_policies_evaluation-logic.md).
+ [Gestione delle autorizzazioni di accesso alle risorse di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) in *Guida per l'utente di Amazon Simple Storage Service*.
+ Per capire se i principali negli account esterni alla zona di attendibilità (organizzazione o account attendibile) dispongono dell'accesso per assumere i ruoli, consulta [Cos'è IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).