Che cos'è IAM?

AWS Identity and Access Management (IAM) è un servizio Web che consente di controllare in modo sicuro l'accesso alle risorse AWS. Con IAM, puoi gestire le autorizzazioni che controllano le risorse AWS a cui possono accedere gli utenti. Utilizza IAM per controllare chi è autenticato (accesso effettuato) e autorizzato (dispone di autorizzazioni) per l'utilizzo di risorse. IAM offre l'infrastruttura necessaria per gestire l'autenticazione e l'autorizzazione per il tuo Account AWS.

Identità

Quando crei un Account AWS, inizi con una singola identità di accesso che ha accesso completo a tutti i Servizi AWSe le risorse nell'account. Tale identità è detta utente root Account AWSed è possibile accedervi con l'indirizzo e-mail e la password utilizzati per creare l'account. Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzale per eseguire le operazioni che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono l'accesso come utente root, consulta la sezione Attività che richiedono le credenziali dell'utente root nella Guida per l'utente IAM.

Usa IAM per configurare altre identità oltre al tuo utente root, come amministratori, analisti e sviluppatori, e concedere loro l'accesso alle risorse di cui hanno bisogno per portare a termine con successo le loro attività.

Gestione degli accessi

Dopo aver configurato un utente in IAM, questo utilizzerà le proprie credenziali di accesso per autenticarsi con AWS. L'autenticazione viene fornita associando le credenziali di accesso a un soggetto principale (un utente IAM, un utente federato, un ruolo IAM o un'applicazione) considerato affidabile da Account AWS. Successivamente, viene fatta una richiesta per concedere al principale accesso alle risorse. L'accesso è concesso in risposta a una richiesta di autorizzazione se all'utente è stata concessa l'autorizzazione alla risorsa. Ad esempio, quando accedi per la prima volta alla console e ti trovi nella home page, non stai accedendo a un servizio specifico. Quando selezioni un servizio, la richiesta di autorizzazione viene inviata a quel servizio e verifica se la tua identità è nell'elenco degli utenti autorizzati, quali policy vengono applicate per controllare il livello di accesso concesso e qualsiasi altra policy che potrebbe essere in vigore. Le richieste di autorizzazione possono essere effettuate dai principali all'interno dell'Account AWS o da un altro Account AWS di fiducia.

Una volta autorizzato, il principale può intervenire o eseguire operazioni sulle risorse del tuo Account AWS. Ad esempio, il principale potrebbe avviare una nuova istanza Amazon Elastic Compute Cloud, modificare l'appartenenza al gruppo IAM o eliminare i bucket Amazon Simple Storage Service.

Suggerimento

AWS Training and Certification fornisce un video di introduzione a IAM della durata di 10 minuti:

Introduzione a AWS Identity and Access Management

Disponibilità del servizio

IAM, come molti altri servizi AWS, è a consistenza finale. IAM raggiunge un'alta disponibilità replicando i dati su più server nei data center di Amazon di tutto il mondo. Se una richiesta per modificare alcuni dati ha successo, la modifica viene completata e memorizzata in maniera sicura. Tuttavia, le modifiche devono essere replicate su IAM e questo può richiedere tempo. Tali modifiche includono la creazione o l'aggiornamento di utenti, gruppi, ruoli, o policy. Si consiglia di non includere tali modifiche IAM nei percorsi critici e ad alta disponibilità del codice dell'applicazione. Al contrario, apporta modifiche IAM in un'inizializzazione separata o in una routine di configurazione che si esegue meno frequentemente. Inoltre, assicurarsi di verificare che le modifiche siano state propagate prima che i flussi di lavoro di produzione dipendano da esse. Per ulteriori informazioni, consulta Le modifiche che apporto non sono sempre immediatamente visibili.

Informazioni sui costi del servizio

AWS Identity and Access Management (IAM), AWS IAM Identity Center e AWS Security Token Service (AWS STS) sono funzionalità dell'account AWS offerte senza costi aggiuntivi. Ti verranno addebitati solo quando accedi ad altri servizi AWS tramite degli utenti IAM o le credenziali di sicurezza temporanee di AWS STS.

L'analisi degli accessi esterni del Sistema di analisi degli accessi IAM è disponibile senza costi aggiuntivi. Tuttavia, ti verranno addebitati dei costi per l'analisi degli accessi inutilizzati e i controlli delle policy dei clienti. Per un elenco completo delle tariffe e dei prezzi specifici per Sistema di analisi degli accessi IAM, consulta la pagina dedicata.

Per informazioni sui prezzi degli altri prodotti AWS, consulta la pagina dei prezzi di Amazon Web Services.

Integrazione con altri servizi AWS

IAM è integrato con numerosi servizi AWS. Per un elenco dei servizi AWS che funzionano con IAM e delle funzionalità IAM supportate dai servizi, consulta Servizi AWS che funzionano con IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Perché utilizzare IAM?