ما هو AWS IAM؟

Question

ما هو AWS IAM؟

Accepted Answer

**IAM** (Identity and Access Management) يتحكم في **من يمكنه فعل ماذا** في AWS — إدارة المستخدمين والمجموعات والأدوار والأذونات. وهو أساسي لأمان AWS: كل إجراء يتم التفويض به من خلال IAM، لذا فهم هذا ضروري.

## ما يدير IAM

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## السياسات — تحديد الأذونات

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

السياسات (JSON) تحدد **أي إجراءات** مسموحة/مرفوضة على **أي موارد** — مرفقة بالمستخدمين أو المجموعات أو الأدوار لمنح الأذونات.

## الأدوار — بيانات اعتماد مؤقتة (مهمة جداً)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## أفضل الممارسات

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## لماذا هذا مهم

فهم IAM ضروري لأنه أساس أمان AWS — كل إجراء في AWS يتم التفويض به من خلال IAM، لذا فهو أساسي ومعرفة يجب معرفتها للعمل مع AWS بأمان.

IAM يتحكم في **من يمكنه فعل ماذا** من خلال مكوناته الأساسية: **المستخدمون** (الهويات ببيانات الاعتماد)، **المجموعات** (لإدارة الأذونات بشكل جماعي)، **الأدوار** (الهويات المؤقتة)، و**السياسات** (وثائق JSON تحدد الأذونات).

فهم **السياسات** (تحديد أي إجراءات مسموحة على أي موارد) ضروري لمنح وفهم الأذونات بشكل صحيح.

فهم **الأدوار** مهم بشكل خاص: فهي توفر **بيانات اعتماد مؤقتة بدون مفاتيح طويلة الأجل**، مما يسمح لمثيلات EC2 ووظائف Lambda والخدمات الأخرى بالوصول إلى موارد AWS بأمان **بدون تضمين مفاتيح الوصول** — وهي أفضل ممارسة أمان حرجة تتجنب خطر بيانات الاعتماد المترجمة في الكود.

فهم **أفضل الممارسات** — خاصة **الحد الأدنى من الامتيازات** (منح فقط الأذونات المطلوبة فعلاً، وليس الوصول الإداري الواسع، تحديد نطاق الضرر من أي خرق)، استخدام الأدوار للتطبيقات، تفعيل MFA، وحماية حساب الجذر — ضروري لأمان AWS، لأن أخطاء تكوين IAM (أذونات واسعة جداً، بيانات اعتماد متسربة) هي مصدر شائع لحوادث الأمان.

بما أن IAM هو حارس البوابة لجميع وصول AWS والحصول عليه بشكل صحيح أساسي للأمان (بينما الحصول عليه بشكل خاطئ يسبب اختراقات خطيرة)، وبما أن فهم المستخدمين والأدوار والسياسات وأفضل الممارسات مثل الحد الأدنى من الامتيازات ضروري للعمل مع AWS بأمان، فإن فهم IAM ضروري وأساسي لمعرفة AWS — موضوع أمان حرج يجب أن يفهمه كل مستخدم AWS، أساسي في استخدام AWS بأمان وتجنب أخطاء التحكم في الوصول التي تؤدي إلى حوادث أمان حقيقية.