# SEC 2 Come gestisci l'autenticazione per persone e macchine?
Ci sono due tipi di identità da gestire quando ci si avvicina all'utilizzo di carichi di lavoro AWS sicuri. Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a garantire che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate.
Identità umane: amministratori, sviluppatori, operatori e utenti finali necessitano di un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri dell'organizzazione o utenti esterni con cui collabori e che interagiscono con le tue risorse AWS tramite browser Web, applicazioni client o strumenti a riga di comando interattivi.
Identità di macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro necessitano di un'identità per effettuare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nell'ambiente AWS, ad esempio istanze Amazon EC2 o funzioni AWS Lambda. Puoi gestire le identità di macchine anche per soggetti esterni che necessitano dell'accesso. Inoltre, potresti disporre di macchine al di fuori di AWS che devono accedere al tuo ambiente AWS.
**Topics**
+ [SEC02-BP01 Utilizzo meccanismi di accesso efficaci](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Utilizzo di credenziali temporanee](sec_identities_unique.md)
+ [SEC02-BP03 Archiviazione e utilizzo dei segreti in modo sicuro](sec_identities_secrets.md)
+ [SEC02-BP04 Fai affidamento su un provider di identità centralizzato](sec_identities_identity_provider.md)
+ [SEC02-BP05 Verifica e rotazione periodica delle credenziali](sec_identities_audit.md)
+ [SEC02-BP06 Utilizzo dei gruppi di utenti e degli attributi](sec_identities_groups_attributes.md)
# SEC02-BP01 Utilizzo meccanismi di accesso efficaci
Imposta la lunghezza minima della password e spiega agli utenti la necessità di evitare password comuni o utilizzate in precedenza. Applica la Multi-Factor Authentication (MFA) con meccanismi software o hardware per garantire un ulteriore livello di verifica. Ad esempio, quando utilizzi Centro identità IAM come origine di identità, configura l'impostazione "Compatibile con il contesto" o "Sempre attivo" per MFA e consenti agli utenti di registrare i propri dispositivi MFA per accelerare l'adozione. Quando utilizzi un provider di identità (IdP) esterno, configura il provider di identità per MFA.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Creazione di una policy Identify and Access Management (IAM) per applicare l'accesso MFA: crea una policy IAM gestita del cliente che vieta tutte le azioni IAM eccetto quelle che consentono a un utente di assumere ruoli, cambiare le proprie credenziali e gestire i dispositivi MFA sulla pagina [Le mie credenziali di sicurezza](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1).
+ Abilitazione di MFA nel provider di identità: abilita [MFA](https:/aws.amazon.com/iam/details/mfa) nel provider di identità o sul servizio single sign-on, come [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), che usi.
+ Configurazione di una policy di password sicura: configura una [policy di password sicura](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) in IAM e nei sistemi di identità federate per contribuire alla protezione da attacchi di forza bruta.
+ [Rotazione regolare delle credenziali](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): assicurati che gli amministratori del carico di lavoro modifichino le password e le chiavi di accesso (se utilizzate) con cadenza regolare.
## Risorse
**Documenti correlati:**
+ [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Best Practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [L'utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [Soluzioni dei partner per la sicurezza: accesso e controllo degli accessi](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [L'utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
+ [Gestione delle autorizzazioni utente su scala con IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 Utilizzo di credenziali temporanee
richiedi alle identità di acquisire dinamicamente [credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Per le identità della forza lavoro, utilizza AWS IAM Identity Center o la federazione con ruoli AWS Identity and Access Management (IAM) per accedere a Account AWS. Per le identità di macchine, ad esempio le istanze Amazon Elastic Compute Cloud(Amazon EC2) o le funzioni AWS Lambda, è necessario utilizzare ruoli IAM anziché utenti IAM con chiavi di accesso a lungo termine.
Per le identità umane che utilizzano Console di gestione AWS, è necessario che gli utenti acquisiscano credenziali temporanee ed eseguano la federazione in AWS. Puoi farlo con il portale utenti AWS IAM Identity Center. Per gli utenti che richiedono l'accesso alla CLI, assicurati di utilizzare [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), che supporta l'integrazione diretta con IAM Identity Center. Gli utenti possono creare profili CLI collegati ad account e ruoli IAM Identity Center. La CLI recupera automaticamente le credenziali AWS da IAM Identity Center e le aggiorna per tuo conto. In questo modo non è più necessario copiare e incollare credenziali AWS temporanee dalla console IAM Identity Center. Per l'SDK, gli utenti devono fare affidamento su AWS Security Token Service (AWS STS) per acquisire ruoli per ricevere credenziali temporanee. In alcuni casi, le credenziali temporanee potrebbero non essere pratiche. È necessario conoscere i rischi che comporta l'archiviazione delle chiavi di accesso, ruotarle spesso e richiedere l'autenticazione a più fattori (MFA) come condizione quando possibile. Uso delle informazioni a cui è stato eseguito l'ultimo accesso per stabilire quando ruotare o rimuovere le chiavi di accesso.
Per i casi in cui è necessario concedere ai consumatori l'accesso alle risorse AWS, utilizza i pool di identità di [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) e assegna loro un set di credenziali temporanee con credenziali limitate per accedere alle risorse AWS. Le autorizzazioni per ciascun utente sono controllate tramite i [ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) creati. Puoi definire regole per scegliere il ruolo per ogni utente in base alle registrazioni nel token ID dell'utente. Puoi definire un ruolo predefinito per gli utenti autenticati. Puoi anche definire un ruolo IAM separato con autorizzazioni limitate per gli utenti guest non autenticati.
Per le identità di macchine, è necessario fare affidamento sui ruoli IAM per concedere l'accesso ad AWS. Per le istanze Amazon Elastic Compute Cloud(Amazon EC2), puoi utilizzare i [ruoli per Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Puoi collegare un ruolo IAM all'istanza Amazon EC2 per consentire alle applicazioni in esecuzione su Amazon EC2 di utilizzare credenziali di sicurezza temporanee create, distribuite e fatte ruotare automaticamente da AWS tramite Instance Metadata Service (IMDS). La [versione più recente](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) di IMDS aiuta a proteggere da vulnerabilità che espongono le credenziali temporanee e devono essere implementate. Per accedere alle istanze Amazon EC2 con chiavi o password, [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) è un modo più sicuro per accedere e gestire le istanze utilizzando un agente preinstallato senza il segreto archiviato. Inoltre, altri servizi AWS, ad esempio AWS Lambda, consentono di configurare un ruolo del servizio IAM per concedere le autorizzazioni al servizio per eseguire operazioni AWS utilizzando credenziali temporanee. In situazioni in cui non è possibile usare credenziali temporanee, usa strumenti programmatici come [Gestione dei segreti AWS](https://aws.amazon.com/secrets-manager/), per automatizzare la rotazione e la gestione delle credenziali.
**Verifica e ruota periodicamente le credenziali: **La convalida periodica, preferibilmente tramite uno strumento automatizzato, è necessaria per verificare che vengano applicati i controlli corretti. Per le identità umane, è necessario richiedere agli utenti di modificare periodicamente le password e ritirare le chiavi di accesso a favore delle credenziali temporanee. Nella fase di passaggio da utenti IAM a identità centralizzate, puoi [generare un report sulle credenziali ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)per un audit degli utenti IAM. Ti consigliamo inoltre di monitorare le impostazioni MFA nel tuo provider di identità. È possibile configurare [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) per monitorare queste impostazioni. Per le identità di macchine, devi fare affidamento sulle credenziali temporanee utilizzando i ruoli IAM. Per situazioni in cui ciò non è possibile, è necessario eseguire audit frequenti e ruotare le chiavi di accesso.
**Archivia e utilizza i segreti in modo sicuro:** Per le credenziali non correlate a IAM e che non possono sfruttare le credenziali temporanee, ad esempio gli accessi al database, utilizza un servizio progettato per gestire i segreti, ad esempio [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager semplifica la gestione, la rotazione e l'archiviazione sicura delle chiavi segrete crittografate utilizzando i [servizi supportati](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Le chiamate per accedere ai segreti vengono registrate in AWS CloudTrail ai fini dell'audit e le autorizzazioni IAM possono concedere loro un accesso con privilegi minimi.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Implementazione di policy con privilegi minimi: assegna policy di accesso con privilegi minimi a gruppi e ruoli IAM in modo da rispecchiare il ruolo o la funzione dell'utente che hai definito.
+ [Assegnare il privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ Rimozione delle autorizzazioni non necessarie: implementa il privilegio minimo rimuovendo le autorizzazioni superflue.
+ [Riduzione dell'ambito di applicazione della policy mediante visualizzazione dell'attività dell'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [Visualizzazione dell'accesso al ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ Considerazioni sui limiti delle autorizzazioni: un limite delle autorizzazioni è una caratteristica avanzata per utilizzare una policy gestita che imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM. Il limite delle autorizzazioni di un'entità le permette di eseguire solo le operazioni consentite dalle policy basate su identità e dai limiti delle autorizzazioni.
+ [Laboratorio: limiti delle autorizzazioni IAM per delegare la creazione di ruoli](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ Tag di risorse per le autorizzazioni: puoi utilizzare i tag per controllare l'accesso alle risorse AWS che supportano il tagging. Puoi anche applicare tag a utenti e ruoli IAM per controllare a cosa possono accedere.
+ [Laboratorio: controllo degli accessi basato su tag IAM per EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [Controllo dell'accesso basato su attributi (Attribute-Based Access Control, ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## Risorse
**Documenti correlati:**
+ [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Soluzioni dei partner per la sicurezza: accesso e controllo degli accessi](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [L'utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
+ [Gestione delle autorizzazioni utente su scala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 Archiviazione e utilizzo dei segreti in modo sicuro
Per la forza lavoro e le identità di macchine che richiedono segreti, come password per applicazioni di terze parti, archiviale con rotazione automatica utilizzando gli standard di settore più recenti in un servizio specializzato, mentre per le credenziali che non sono legate a IAM e che non possono sfruttare credenziali temporanee, come gli accessi al database, usa un servizio ideato per la gestione dei segreti, come Gestione dei segreti AWS. Secrets Manager semplifica la gestione, la rotazione e l'archiviazione sicura di segreti crittografati tramite servizi supportati. Le chiamate per accedere ai segreti vengono registrate in AWS CloudTrail ai fini dell'audit e le autorizzazioni IAM possono concedere loro un accesso con privilegi minimi.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Uso di Gestione dei segreti AWS: [Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) è un servizio AWS che ti facilita il compito di gestire i segreti. I segreti possono essere credenziali di database, password, chiavi API di terze parti e persino testo arbitrario.
## Risorse
**Documenti correlati:**
+ [Nozioni di base su Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 Fai affidamento su un provider di identità centralizzato
Per le identità della forza lavoro, affidati a un provider di identità che ti consenta di gestire le identità in un luogo centralizzato. In questo modo è più semplice gestire l'accesso tra più applicazioni e servizi, perché crei, gestisci e revochi l'accesso da una singola posizione. Ad esempio, se qualcuno lascia la tua organizzazione, puoi revocare l'accesso per tutte le applicazioni e i servizi (incluso AWS) da un'unica posizione. Ciò riduce la necessità di molteplici credenziali e offre l'opportunità di integrarsi con i processi delle risorse umane esistenti.
Per la federazione con singoli account AWS, puoi utilizzare identità centralizzate per AWS con un provider basato su SAML 2.0 con AWS Identity and Access Management. Puoi utilizzare qualsiasi provider: in hosting su AWS, esterno ad AWS o fornito dalla AWS Partner, compatibile con il protocollo [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Puoi utilizzare la federazione tra l'account AWS e il provider scelto per concedere a un utente o a un'applicazione l'accesso per chiamare le operazioni API AWS utilizzando un'asserzione SAML per ottenere le credenziali di sicurezza temporanee. È, inoltre, supportato il Single Sign-On basato sul Web, che consente agli utenti di accedere alla Console di gestione AWS dal portale di accesso.
Per la federazione a più account in AWS Organizations, puoi configurare l'origine di identità in [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)e specificare dove sono archiviati gli utenti e i gruppi. Una volta configurato, il provider di identità è la tua fonte di attendibilità e puoi [sincronizzare](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) le informazioni utilizzando il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Puoi, quindi, cercare utenti o gruppi e concedere loro l'accesso IAM Identity Center ad account AWS, applicazioni cloud o entrambi.
IAM Identity Center si integra con AWS Organizations consentendoti di configurare il provider di identità una volta e quindi [concedere l'accesso agli account nuovi e esistenti](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) gestiti nella tua organizzazione. IAM Identity Center fornisce uno store predefinito che puoi utilizzare per gestire utenti e gruppi. Se scegli di utilizzare lo store IAM Identity Center, crea utenti e gruppi e assegna il loro livello di accesso agli account e alle applicazioni AWS, tenendo presente la best practice del privilegio minimo. In alternativa, puoi scegliere di [connetterti al provider di identità esterno ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)utilizzando SAML 2.0 o [connetterti a Microsoft AD Directory](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) utilizzando AWS Directory Service. Una volta configurate, puoi accedere alla Console di gestione AWS o all'app mobile AWS, eseguendo l'autenticazione tramite il tuo provider di identità centrale.
Per gestire gli utenti finali o i consumatori dei tuoi carichi di lavoro, ad esempio un'app per dispositivi mobili, puoi utilizzare [Amazon Cognito](http://aws.amazon.com/cognito/). Ti consente di autenticare, autorizzare e gestire utenti per applicazioni Web e per dispositivi mobili. Gli utenti possono accedere direttamente con un nome utente e una password oppure tramite terze parti, ad esempio Amazon, Apple, Facebook o Google.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Centralizzazione dell'accesso amministrativo: crea un'entità di gestore dell'identità digitale Identity and Access Management (IAM) per stabilire una relazione consolidata tra l'Account AWS e il gestore dell'identità digitale (IdP). IAM supporta gli IdP compatibili con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0).
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ Centralizzazione dell'accesso alle applicazioni: considera Amazon Cognito per centralizzare l'accesso alle applicazioni. Si tratta di un servizio che consente di aggiungere il controllo di registrazione e accessi alle tue app Web e per dispositivi mobili in modo rapido e semplice. [Amazon Cognito](https://aws.amazon.com/cognito/) ricalibra le risorse per milioni di utenti e supporta l'accesso con gestori di identità social, come Facebook, Google e Amazon, e gestori di identità aziendali attraverso SAML 2.0.
+ Rimozione di gruppi e utenti IAM obsoleti: dopo avere cominciato a utilizzare un gestore dell'identità digitale (IdP), rimuovi gli utenti e i gruppi IAM non più necessari.
+ [Trovare credenziali non utilizzate](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [Eliminare un gruppo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## Risorse
**Documenti correlati:**
+ [Best Practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Soluzioni dei partner per la sicurezza: accesso e controllo degli accessi](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [L'utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
+ [Gestione delle autorizzazioni utente su scala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 Verifica e rotazione periodica delle credenziali
Quando non puoi fare affidamento sulle credenziali temporanee e devi richiedere credenziali a lungo termine, verificale per assicurarti che siano applicati i controlli prestabiliti (ad esempio, la MFA), siano soggette regolarmente a rotazione e dispongano di un livello di accesso appropriato. La convalida periodica, preferibilmente tramite uno strumento automatizzato, è necessaria per verificare che vengano applicati i controlli corretti. Per le identità umane, è necessario richiedere agli utenti di modificare periodicamente le password e ritirare le chiavi di accesso a favore delle credenziali temporanee. Nella fase di passaggio da utenti AWS Identity and Access Management (IAM) a identità centralizzate, puoi [generare un report sulle credenziali ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)per un audit degli utenti IAM. Ti consigliamo inoltre di monitorare le impostazioni MFA nel tuo provider di identità. È possibile configurare [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) per monitorare queste impostazioni. Per le identità di macchine, devi fare affidamento sulle credenziali temporanee utilizzando i ruoli IAM. Per situazioni in cui ciò non è possibile, è necessario eseguire audit frequenti e ruotare le chiavi di accesso.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Esegui una verifica regolare delle credenziali: usa report di credenziali e Identify and Access Management (IAM) Access Analyzer per verificare le credenziali e le autorizzazioni IAM.
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Come ottenere un report sulle credenziali](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [Laboratorio: Pulizia automatica degli utenti IAM](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ Usa i livelli di accesso per verificare le autorizzazioni IAM: per migliorare la sicurezza dell'account Account AWS, rivedi e monitora regolarmente ciascuna delle policy IAM, assicurandoti che concedano il privilegio minimo necessario per eseguire solo le operazioni indispensabili.
+ [Utilizzo di livelli di accesso per rivedere le autorizzazioni IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ Prendi in considerazione l'automazione della creazione e degli aggiornamenti delle risorse IAM: AWS CloudFormation può essere utilizzato per automatizzare la distribuzione di risorse IAM, inclusi ruoli e policy, per ridurre gli errori umani, perché i modelli possono essere verificati e controllati a livello di versione.
+ [Laboratorio: Distribuzione automatizzata di gruppi e ruoli IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## Risorse
**Documenti correlati:**
+ [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Soluzioni dei partner per la sicurezza: accesso e controllo degli accessi](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
+ [Gestione delle autorizzazioni utente su scala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 Utilizzo dei gruppi di utenti e degli attributi
Man mano che il numero di utenti gestiti cresce, sarà necessario determinare i modi per organizzarli in modo da poterli gestire su vasta scala. Inserisci gli utenti con requisiti di sicurezza comuni in gruppi definiti dal provider di identità e metti in atto meccanismi per garantire che gli attributi utente che potrebbero essere utilizzati per il controllo degli accessi (ad esempio, reparto o posizione) siano corretti e aggiornati. Utilizza questi gruppi e attributi, anziché i singoli utenti, per controllare l'accesso. In questo modo puoi gestire l'accesso centralmente, modificando una volta sola l'appartenenza o gli attributi di un gruppo utente con un [set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), anziché aggiornare numerose policy individuali quando le esigenze di accesso di un utente cambiano. Puoi utilizzare AWS IAM Identity Center (IAM Identity Center) per gestire gruppi di utenti e attributi. IAM Identity Center supporta la maggior parte degli attributi utilizzati, indipendentemente dal fatto che vengano inseriti manualmente durante la creazione dell'utente o assegnati automaticamente utilizzando un motore di sincronizzazione, come definito nella specifica System for Cross-Domain Identity Management (SCIM).
Inserisci gli utenti con requisiti di sicurezza comuni in gruppi definiti dal provider di identità e metti in atto meccanismi per garantire che gli attributi utente che potrebbero essere utilizzati per il controllo degli accessi (ad esempio, reparto o posizione) siano corretti e aggiornati. Utilizza questi gruppi e attributi, anziché i singoli utenti, per controllare l'accesso. In questo modo è possibile gestire l'accesso centralmente, modificando una volta sola l'appartenenza o gli attributi di un gruppo utente, anziché aggiornare numerose policy individuali quando le esigenze di accesso di un utente cambiano.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Se stai utilizzando AWS IAM Identity Center (IAM Identity Center), configura i gruppi: IAM Identity Center offre la possibilità di configurare gruppi di utenti e di assegnare ai gruppi il livello di autorizzazione desiderato.
+ [AWS Single Sign-On - Gestione delle identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ Scopri il controllo degli accessi basato su attributi (ABAC): ABAC è una strategia di autorizzazione che definisce i permessi in base agli attributi.
+ [Che cos'è ABAC per AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Laboratorio: controllo degli accessi basato su tag IAM per EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## Risorse
**Documenti correlati:**
+ [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [L'utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
+ [Gestione delle autorizzazioni utente su scala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Esempi correlati:**
+ [Laboratorio: controllo degli accessi basato su tag IAM per EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)