In questo video vedremo come creare un utente IAM in AWS, abilitare l’autenticazione MFA (autenticazione a più fattori) e modificare la policy per le password.

È buona prassi inserire gli utenti nei gruppi e collegare le policy ai gruppi.
In questo modo, invece di attribuire i permessi a ogni singolo utente, potete concedere o eliminare privilegi in pochi secondi al gruppo in cui ci sono centinaia di utenti.

Amazon Free Tier Account

Sottotitoli del video
vai al minuto 0:00:20
Apriamo la console IAM, tra i servizi utilizzati di recente troviamo il link per il pannello di controllo di IAM.
Al momento non è presente nessun utente.
A sinistra clicchiamo sulla voce Utenti.

vai al minuto 0:00:34
Clicchiamo sul tasto Aggiungi utente.
Inseriamo un nome.
Per il momento non abilitiamo l’utente per le chiavi di accesso.
Le chiavi di accesso servono per utilizzare le API ed altri strumenti di sviluppo.

vai al minuto 0:00:48
Abilitiamolo solo per l’accesso alla console di gestione.
Se volete che il sistema generi una password per voi non cambiate l’opzione oppure scegliete password personalizzata per inserire la vostra password.
Togliamo la spunta su Richiesta reimpostazione della password perché tanto è un utente che utilizzeremo noi.

vai al minuto 0:01:08
Se create un utente per un’altra persona lasciare la spunta, in modo che possa creare una sua password.
Possiamo passare alla schermata successiva per impostare le autorizzazioni.
Creiamo un gruppo in cui inserire l’utente, così se ci saranno altri utenti che devono avere gli stessi permessi ci basterà inserirlo in questo gruppo e in automatico avrà gli stessi privilegi.

vai al minuto 0:01:31
Naturalmente le policy le andremo ad attribuire al gruppo a non al singolo utente.
Ricordate che è sempre buona prassi attribuire le policy ai gruppi e inserire gli utenti nei gruppi.
Questo sarà il gruppo degli amministratori.

vai al minuto 0:01:46
Andiamo a collegare al gruppo la Policy AdministratorAccess.
Questa Policy concede il pieno accesso ai servizi e alle risorse.
Clicchiamo si Crea gruppo.
Passiamo al passaggio successivo dei Tag.

vai al minuto 0:02:00
Se volete si possono inserire delle informazioni aggiuntive sugli utenti.
I tag torneranno utili quando dovremo gestire molti utenti, i tag ci permetteranno di applicare dei filtri in base alle informazioni che andremo a inserire qui.
Per esempio possiamo inserire delle informazioni sul reparto di appartenenza e sulle funzioni dell’utente.

vai al minuto 0:02:20
L’ultimo passaggio è quello di verifica delle impostazioni.
Se è tutto corretto, possiamo creare l’utente.
A destra del nome utente è presente un link per l’invio, tramite mail, delle informazioni di accesso.

vai al minuto 0:02:39
Possiamo chiudere la finestra.
Ora abbiamo il nuovo utente a cui bisogna attivare ancora l’autenticazione a più fattori.
Se clicchiamo sul nome dell’utente possiamo entrare nelle impostazioni.

vai al minuto 0:02:52
Attiviamo la scheda Credenziali di sicurezza.
Clicchiamo sul link Gestione in corrispondenza della voce Dispositivo MFA assegnato.
La procedura è la stessa che abbiamo visto per l’account root.
Utilizziamo il dispositivo virtuale di Google Authenticator.

vai al minuto 0:03:15
Mostra codice QR.
Inseriamo due codici consecutivi generati dal dispositivo virtuale.
Ora nelle risorse AIM abbiamo un gruppo e un utente.
Ora proviamo ad accedere alla console di gestione con il nuovo utente che abbiamo creato.

vai al minuto 0:03:41
In fase di autenticazione, prima di inserire le credenziali dell’utente, ci viene chiesto di specificare l’ID o l’alias dell’account che abbiamo scelto in precedenza.
Lo trovate sulla destra sotto la voce Account AWS.
Usciamo dall’account root.

vai al minuto 0:04:04
Questa volta scegliamo di utilizzare un utente IAM.
E subito sotto inseriamo l’alias.
Nel passaggio successivo inseriamo le credenziali dell’account.
Come vedere ci viene chiesto anche l’autenticazione a più fattori che abbiamo attivato.

vai al minuto 0:04:27
L’alias dell’account funziona un po’ come un dominio, in Active Directory infatti il formato è quello di nome utente , simbolo et e nome del dominio.
Per ultimo andiamo a configurare le regole per le password.
Sempre nel pannello di controllo degli utenti, clicchiamo sulla voce Impostazioni account e poi sul tasto Cambia Policy per le password.

vai al minuto 0:04:54
Come vedete al momento le regole permetto la creazione di password poco robuste.
Possiamo richiedere una lunghezza minima, l’inserimento di minuscole, maiuscole, numeri e simboli.
è un formato che ormai tutti i fornitori di servizi richiedono per potervi registrare.
Sarebbe bene abilitare anche la scadenza della password in un ambiente di produzione.