# Gestione e separazione degli account AWS
<a name="aws-account-management-and-separation"></a>

Ti consigliamo di organizzare i carichi di lavoro in account e account di gruppo separati in base a funzione, requisiti di conformità o a un set comune di controlli anziché riflettere la struttura della creazione di report dell’organizzazione. In AWS, gli account rappresentano un confine rigido. Ad esempio, la separazione a livello di account è fortemente consigliata per isolare i carichi di lavoro di produzione dai carichi di lavoro di sviluppo e test. 

 **Gestione centralizzata degli account**: AWS Organizations [automatizza la creazione e la gestione di account AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) e il relativo controllo dopo la loro creazione. Quando crei un account tramite AWS Organizations, è importante considerare l’indirizzo e-mail utilizzato, in quanto questo sarà l’utente root che consente la reimpostazione della password. Organizations consente di raggruppare gli account in [unità organizzative (UO)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html), che possono rappresentare ambienti diversi in base ai requisiti e allo scopo del carico di lavoro. 

 **Impostazione dei controlli a livello centrale:** controlla le operazioni che gli account AWS possono eseguire consentendo solo servizi, regioni e azioni del servizio specifici al livello appropriato. AWS Organizations consente di utilizzare le policy di controllo dei servizi (SCP) per applicare guardrail alle autorizzazioni a livello di organizzazione, unità organizzativa o account, validi per tutti gli i ruoli e utenti [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM). Ad esempio, è possibile applicare una SCP che limita agli utenti l’avvio di risorse in regioni che non sono state esplicitamente consentite. AWS Control Tower offre un modo semplificato per configurare e gestire più account. Automatizza la configurazione degli account in AWS Organizations, automatizza il provisioning, applica [guardrail](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) (che includono prevenzione e rilevamento) e fornisce un pannello di controllo per la visibilità. 

 **Configurazione di servizi e risorse a livello centrale:** AWS Organizations ti aiuta a configurare i [servizi AWS](https://aws.amazon.com/organizations/features/) applicabili a tutti i tuoi account. Ad esempio, puoi configurare la creazione di log centralizzata di tutte le operazioni eseguite nell’organizzazione utilizzando [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), e impedire agli account membri di disabilitare tale funzione. Puoi inoltre aggregare a livello centrale i dati per le regole definite utilizzando [AWS Config](https://aws.amazon.com/config/), in modo da eseguire l’audit dei tuoi carichi di lavoro per verificare la conformità e reagire rapidamente alle modifiche. AWS CloudFormation [StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) consente di gestire in modo centralizzato gli stack di AWS CloudFormation negli account e nelle unità organizzative della tua organizzazione. In questo modo puoi effettuare automaticamente il provisioning di un nuovo account per soddisfare i requisiti di sicurezza. 

Usa la funzionalità di amministrazione delegata dei servizi di sicurezza per separare gli account utilizzati per la gestione dall’account (di gestione) della fatturazione dell’organizzazione. Diversi servizi AWS, come GuardDuty, Security Hub e AWS Config, supportano le integrazioni con AWS Organizations, inclusa l’individuazione di un account specifico per le funzioni amministrative.

**Topics**
+ [SEC01-BP01 Separazione dei carichi di lavoro tramite account](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Utente root e proprietà dell’account sicuro](sec_securely_operate_aws_account.md)

# SEC01-BP01 Separazione dei carichi di lavoro tramite account
<a name="sec_securely_operate_multi_accounts"></a>

 Definisci guardrail e isolamento comuni tra ambienti (ad esempio, quelli di produzione, sviluppo e test) e carichi di lavoro mediante una strategia multi-account. La separazione a livello di account è fortemente consigliata, in quanto fornisce un solido confine di isolamento in termini di sicurezza, fatturazione e accesso. 

**Risultato desiderato:** una struttura di account in grado di isolare operazioni cloud, carichi di lavoro non correlati e ambienti in account separati, così da aumentare la sicurezza nell’infrastruttura cloud.

**Anti-pattern comuni:**
+  Inserimento di più carichi di lavoro non correlati con diversi livelli di sensibilità dei dati nello stesso account.
+  Scarsa definizione della struttura dell’unità organizzativa (UO).

**Vantaggi dell’adozione di questa best practice:**
+  Riduzione dell’impatto in caso di accesso involontario a un carico di lavoro.
+  Governance centralizzata dell’accesso a risorse, regioni e servizi AWS.
+  Garanzia di sicurezza dell’infrastruttura cloud grazie a policy e amministrazione centralizzata dei servizi di sicurezza.
+  Processo automatizzato di creazione e mantenimento dell’account.
+  Audit centralizzati della tua infrastruttura per la conformità e i requisiti normativi.

 **Livello di rischio associato se questa best practice non fosse adottata**: elevato 

## Guida all’implementazione
<a name="implementation-guidance"></a>

 Gli Account AWS offrono un confine di isolamento della sicurezza tra carichi di lavoro o risorse che operano a livelli di sensibilità diversi. AWS fornisce strumenti per gestire i carichi di lavoro del cloud su larga scala attraverso una strategia multi-account per sfruttare questo margine di isolamento. Per linee guida su concetti, modelli e implementazioni di strategie multi-account su AWS, consulta [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html). 

 Se disponi di più Account AWS, organizza gli account in una gerarchia definita da livelli di unità organizzative (UO). I controlli di sicurezza possono quindi essere organizzati e applicati alle unità organizzative e agli account membri, stabilendo controlli preventivi coerenti sugli account membri dell’organizzazione. I controlli di sicurezza sono ereditati e consentono di filtrare le autorizzazioni disponibili per gli account membri situati ai livelli inferiori di una gerarchia di unità organizzative. Un buon progetto sfrutta questa ereditarietà per ridurre il numero e la complessità delle policy di sicurezza necessarie per raggiungere i controlli desiderati per ciascun account membro. 

 È possibile utilizzare due servizi, [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) e [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html), per implementare e gestire questa struttura multi-account nel proprio ambiente AWS. AWS Organizations consente di organizzare gli account in una gerarchia definita da uno o più livelli di unità organizzative, con ciascuna di esse contenente un numero di account membri. Con le [policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), l’amministratore dell’organizzazione può stabilire controlli preventivi granulari sugli account membri, mentre [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) consente di definire controlli proattivi e investigativi sugli account membri. Molti servizi AWS si [integrano con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) per offrire controlli amministrativi delegati ed eseguire attività specifiche del servizio su tutti gli account membri dell’organizzazione. 

 Ripartito nei livelli di AWS Organizations, [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) offre una configurazione immediata delle best practice per un ambiente AWS multi-account con una [zona di destinazione](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). La zona di destinazione è il punto di ingresso nell’ambiente multi-account stabilito da Control Tower. Control Tower offre diversi [vantaggi](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) rispetto a AWS Organizations. Tre sono i vantaggi che consentono di migliorare la governance degli account: 
+  Controlli di sicurezza obbligatori integrati applicati in automatico agli account ammessi nell’organizzazione. 
+  Controlli opzionali attivabili o disattivabili per un determinato insieme di unità organizzative. 
+  [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) consente l’implementazione automatizzata di account contenenti linee di base e opzioni di configurazione preapprovate all’interno della tua organizzazione. 

 **Passaggi dell’implementazione** 

1.  **Progettazione di una struttura delle unità organizzative:** una struttura delle unità organizzative progettata in modo corretto riduce l’onere di gestione richiesto per creare e mantenere policy di controllo dei servizi e altri controlli di sicurezza. La struttura delle unità organizzative deve essere [allineata a esigenze aziendali, sensibilità dei dati e struttura del carico di lavoro](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/). 

1.  **Creazione di una zona di destinazione per il tuo ambiente multi-account:** una zona di destinazione costituisce una base infrastrutturale e di sicurezza coerente, che consente all’organizzazione di sviluppare, lanciare e implementare rapidamente carichi di lavoro. Puoi utilizzare una [zona di destinazione AWS Control Tower personalizzata](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) per orchestrare il tuo ambiente. 

1.  **Definizione di guardrail:** implementa guardrail di sicurezza coerenti per il tuo ambiente mediante la tua zona di destinazione. AWS Control Tower fornisce un elenco di controlli [obbligatori](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) e [facoltativi](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) implementabili. I controlli obbligatori vengono implementati in automatico in caso di utilizzo di Control Tower. Esamina l’elenco dei controlli altamente consigliati e facoltativi e adotta quelli più adatti alle tue esigenze. 

1.  **Restrizione dell’accesso alle regioni aggiunte di recente**: per le nuove Regioni AWS, le risorse IAM, ad esempio utenti e ruoli, verranno propagate solo alle regioni da te specificate. Puoi eseguire questa azione tramite la [console in caso di utilizzo di Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html) o modificando le [policy di autorizzazione IAM in AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/). 

1.  **Presa in esame di AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)**: StackSets consente di implementare risorse, tra cui gruppi, ruoli e policy IAM in vari Account AWS e regioni a partire da un modello approvato. 

## Risorse
<a name="resources"></a>

**Best practice correlate:** 
+ [SEC02-BP04 Fai affidamento su un gestore dell'identità digitale centralizzato](sec_identities_identity_provider.md)

**Documenti correlati:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [Linee guida sugli audit di sicurezza AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [Best practice di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Use CloudFormation StackSets to provision resources across multiple Account AWS and regions](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) 
+  [Organizations FAQ](https://aws.amazon.com/organizations/faqs/) 
+  [AWS Organizations terminology and concepts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) 
+  [Best Practices for Service Control Policies in an AWS Organizations Multi-Account Environment](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) 
+  [AWS Account Management Reference Guide](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) 
+  [Organizzazione dell’ambiente AWS che utilizza più account](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 

**Video correlati:** 
+  [Organizing Your AWS Environment Using Multiple Accounts](https://youtu.be/GUMSgdB-l6s) 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) 
+  [Building and Governing Multiple Accounts using AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo) 
+  [Abilitare Control Tower per le organizzazioni esistenti](https://www.youtube.com/watch?v=CwRy0t8nfgM) 

# SEC01-BP02 Utente root e proprietà dell’account sicuro
<a name="sec_securely_operate_aws_account"></a>

 L’utente root è la figura più privilegiata di un Account AWS, ha pieno accesso amministrativo a tutte le risorse dell’account e, in alcuni casi, non può essere limitato dalle policy di sicurezza. Disattivare l’accesso programmatico all’utente root, stabilire controlli appropriati per l’utente root ed evitare l’uso di routine dell’utente root aiuta a ridurre il rischio di esposizione involontaria delle credenziali root e la conseguente compromissione dell’ambiente cloud. 

**Risultato desiderato: **proteggere l’utente root riduce la possibilità di danni accidentali o intenzionali dovuti all’uso improprio delle credenziali dell’utente root. La creazione di controlli investigativi può anche permettere di avvisare il personale appropriato quando vengono eseguite azioni utilizzando l’utente root.

**Anti-pattern comuni:**
+  Utilizzo dell’utente root per attività diverse da quelle che richiedono le proprie credenziali.  
+  Nessun test dei piani di emergenza su base regolare per verificare il funzionamento di infrastrutture critiche, processi e personale durante un’emergenza. 
+  Analisi limitata al tipico flusso di accesso all’account, trascurando di considerare o testare metodi alternativi di ripristino dell’account. 
+  Nessuna gestione di DNS, server di posta elettronica e provider telefonici come parte del perimetro di sicurezza critico, in quanto utilizzati nel flusso di recupero degli account. 

 **Vantaggi dell’adozione di questa best practice:** proteggere l’accesso all’utente root aumenta la sicurezza circa controlli e audit delle azioni nell’account 

 **Livello di rischio associato se questa best practice non fosse adottata**: elevato 

## Guida all’implementazione
<a name="implementation-guidance"></a>

 AWS offre molti strumenti per proteggere gli account. Tuttavia, poiché alcune di queste misure non sono attivate per impostazione predefinita, è necessario intervenire direttamente per implementarle. Queste raccomandazioni costituiscono i passi fondamentali per mettere in sicurezza il proprio Account AWS. Durante l’implementazione di questi passaggi, è importante creare un processo di valutazione e monitoraggio continuo dei controlli di sicurezza. 

 La prima creazione di un Account AWS parte con una singola identità che ha accesso completo a tutti i servizi e risorse AWS presenti nell’account. Questa identità è chiamata utente root dell’Account AWS. Puoi accedere come utente root utilizzando l’indirizzo e-mail e la password usati per creare l’account. A causa dell’accesso elevato concesso all’utente root AWS, è necessario limitare l’uso dell’utente root AWS all’esecuzione di attività che lo [richiedano nello specifico](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Le credenziali di accesso dell’utente root devono essere tenute sotto stretta sorveglianza e l’autenticazione a più fattori (MFA) deve essere sempre utilizzata per l’utente root dell’Account AWS. 

 Oltre al normale flusso di autenticazione per accedere all’utente root utilizzando un nome utente, una password e un dispositivo di autenticazione a più fattori (MFA), esistono flussi di recupero dell’account che consentono di accedere all’utente root dell’Account AWS grazie all’accesso all’indirizzo e-mail e al numero di telefono associati all’account. Pertanto, è altrettanto importante proteggere l’account e-mail dell’utente root a cui vengono inviati l’e-mail di recupero e il numero di telefono associato all’account. Prendi anche in considerazione le potenziali dipendenze circolari, quando l’indirizzo e-mail associato all’utente root è ospitato su server di posta elettronica o su risorse del servizio dei nomi di dominio (DNS) dello stesso Account AWS. 

 Quando si utilizza AWS Organizations, esistono più Account AWS, ciascuno con un utente root. Un account è designato come account di gestione e sotto l’account di gestione è possibile aggiungere diversi livelli di account membri. La priorità è proteggere l’utente root dell’account di gestione, quindi occuparsi degli utenti root degli account membri. La strategia per la protezione dell’utente root dell’account di gestione può essere diversa da quella degli utenti root degli account membri ed è possibile effettuare controlli di sicurezza preventivi sugli utenti root degli account membri. 

 **Passaggi dell’implementazione** 

 Per stabilire i controlli per l’utente root, si consigliano i seguenti passaggi di implementazione. Ove applicabile, le raccomandazioni devono essere confrontate con la [versione 1.4.0 del benchmark CIS AWS Foundations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html). Oltre a questi passaggi, consulta le [linee guida sulle best practice AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) per proteggere il tuo account Account AWS e le tue risorse. 

 **Controlli preventivi** 

1.  Imposta [informazioni di contatto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) precise per l’account. 

   1.  Queste informazioni vengono utilizzate per il flusso di recupero della password persa, per il flusso di recupero dell’account del dispositivo MFA perso e per le comunicazioni critiche relative alla sicurezza con il team. 

   1.  Utilizza un indirizzo e-mail ospitato dal dominio aziendale, preferibilmente una lista di distribuzione, come indirizzo e-mail dell’utente root. L’utilizzo di una lista di distribuzione anziché l’account e-mail di un singolo individuo offre una maggiore ridondanza e continuità di accesso all’account root per lunghi periodi di tempo. 

   1.  Il numero di telefono indicato nelle informazioni di contatto deve essere dedicato e sicuro per questo scopo. Il numero di telefono non deve essere indicato o condiviso con nessuno. 

1.  Non creare chiavi di accesso per l’utente root. Se sono presenti chiavi di accesso, rimuovile (CIS 1.4). 

   1.  Elimina le credenziali programmatiche a lunga durata (chiavi di accesso e segrete) per l’utente root. 

   1.  Se esistono già chiavi di accesso dell’utente root, fai in modo che i processi che utilizzano tali chiavi passino all’utilizzo di chiavi di accesso temporanee provenienti da un ruolo AWS Identity and Access Management (IAM), quindi [elimina le chiavi di accesso dell’utente root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key). 

1.  Stabilisci se è necessario memorizzare le credenziali per l’utente root. 

   1.  Se utilizzi AWS Organizations per creare nuovi account membri, la password iniziale dell’utente root sui nuovi account membro è impostata su un valore casuale che non è visibile a te. Prendi in considerazione l’utilizzo del flusso di reimpostazione della password del tuo account di gestione AWS Organization per [accedere all’account membro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root), se necessario. 

   1.  Per gli Account AWS standalone o per l’account di gestione di AWS Organization, considera la creazione e l’archiviazione sicura delle credenziali per l’utente root. Usa MFA per l’utente root. 

1.  Usa i controlli preventivi per gli utenti root degli account membri in ambienti AWS multi-account. 

   1.  Prendi in considerazione l’utilizzo del guardrail preventivo [Disallow Creation of Root Access Keys for Root User](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) per gli account membri. 

   1.  Prendi in considerazione l’utilizzo del guardrail preventivo [Disallow Actions as a Root User](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) per gli account membri. 

1.  Se sono necessarie le credenziali per l’utente root: 

   1.  Utilizza una password complessa. 

   1.  Attiva l’autenticazione a più fattori (MFA) per l’utente root, in particolare per gli account dei manager (paganti) AWS Organizations (CIS 1.5). 

   1.  Prendi in considerazione i dispositivi MFA hardware per la resilienza e la sicurezza, in quanto i dispositivi monouso possono ridurre le possibilità che i dispositivi contenenti i codici MFA vengano riutilizzati per altri scopi. Verifica che i dispositivi hardware MFA alimentati da una batteria siano sostituiti regolarmente. (CIS 1.6) 
      +  Per configurare l’MFA per l’utente root, segui le istruzioni per creare un [dispositivo MFA virtuale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) o un [dispositivo MFA hardware](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root). 

   1.  Prendi in considerazione la registrazione di più dispositivi MFA per il backup. [Sono consentiti fino a 8 dispositivi MFA per account.](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/) 
      +  Tieni presente che la registrazione di più di un dispositivo MFA per l’utente root disattiva in automatico il [flusso per il recupero dell’account in caso di smarrimento del dispositivo MFA](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/). 

   1.  Conserva la password in modo sicuro e considera le dipendenze circolari se la password viene conservata elettronicamente. Non memorizzare la password in modo tale da richiedere l’accesso allo stesso Account AWS per ottenerla. 

1.  Facoltativo: valuta la possibilità di stabilire un programma di rotazione periodica delle password per l’utente root. 
   +  Le best practice per la gestione delle credenziali dipendono dai requisiti normativi e di policy. Gli utenti root protetti da MFA non dipendono dalla password come unico fattore di autenticazione. 
   +  La [modifica periodica della password dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html) riduce il rischio di utilizzo improprio di una password esposta inavvertitamente. 

 **Controlli di rilevamento** 
+  Crea allarmi per rilevare l’uso delle credenziali root (CIS 1.7). [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) può monitorare e inviare avvisi sull’utilizzo delle credenziali API dell’utente root tramite l’esito [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage). 
+  Valuta e implementa i controlli investigativi inclusi nel [pacchetto di conformità del pilastro della sicurezza AWS Well-Architected per AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) o, in caso di utilizzo di AWS Control Tower, i [controlli fortemente consigliati](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html) disponibili in Control Tower. 

 **Guida operativa** 
+  Stabilisci chi nell’organizzazione deve avere accesso alle credenziali dell’utente root. 
  +  Utilizza una regola a due persone, in modo che nessun individuo abbia accesso a tutte le credenziali necessarie e all’MFA per ottenere l’accesso come utente root. 
  +  Verifica che l’organizzazione, e non un singolo individuo, mantenga il controllo sul numero di telefono e sull’alias e-mail associati all’account (utilizzati per il ripristino della password e il flusso di ripristino MFA). 
+  Utilizza l’utente root solo in via eccezionale (CIS 1.7). 
  +  L’utente root AWS non deve essere utilizzato per le attività giornaliere e nemmeno per quelle amministrative. Effettua l’accesso come utente root solo per eseguire [attività AWS che richiedono l’utente root](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Tutte le altre azioni devono essere eseguite da altri utenti che assumono i ruoli appropriati. 
+  Verifica periodicamente che l’accesso all’utente root sia funzionante, in modo da testare le procedure prima di una situazione di emergenza che richieda l’uso delle credenziali dell’utente root. 
+  Verifica a intervalli regolari il funzionamento dell’indirizzo e-mail associato all’account e quelli indicati nei [contatti alternativi](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html). Monitora queste caselle di posta elettronica per le notifiche di sicurezza che potresti ricevere da abuse@amazon.com. Assicurati inoltre che i numeri di telefono associati all’account siano attivi. 
+  Prepara procedure di risposta agli incidenti per rispondere all’uso improprio dell’account root. Consulta la [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) e le best practice nella [sezione Risposta agli imprevisti del whitepaper sul pilastro della sicurezza](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) per ulteriori informazioni circa la creazione di una strategia di risposta agli incidenti adatta al tuo Account AWS. 

## Risorse
<a name="resources"></a>

**Best practice correlate:** 
+ [SEC01-BP01 Separazione dei carichi di lavoro tramite account](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Utilizzo di meccanismi di accesso efficaci](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Concessione dell'accesso con privilegio minimo](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Determinazione di un processo per l'accesso di emergenza](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Preassegnazione dell'accesso](sec_incident_response_pre_provision_access.md)

**Documenti correlati:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Linee guida sugli audit di sicurezza](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [Best practice di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Amazon GuardDuty: avviso di utilizzo delle credenziali root](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 
+  [Step-by-step guidance on monitoring for root credential use through CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-20) 
+  [MFA tokens approved for use with AWS](https://aws.amazon.com/iam/features/mfa/) 
+  Implementazione di [break glass access](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) su AWS 
+  [Top 10 security items to improve in your Account AWS](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/) 
+  [What do I do if I notice unauthorized activity in my Account AWS?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

**Video correlati:** 
+  [Organizing Your AWS Environment Using Multiple Accounts](https://youtu.be/GUMSgdB-l6s) 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) 
+  [Limitare l’uso delle credenziali root AWS](https://youtu.be/SMjvtxXOXdU?t=979) da AWS re:inforce 2022 – Security best practices with AWS IAM