Jak fungují IAM role a policy do hloubky?

Question

Accepted Answer

Pochopení **rolí** (převzatých identit), **typů policy a jejich vyhodnocování** (jak se určují oprávnění) a vzorců jako **přístup mezi účty** a **service role** je důležité pro bezpečnou a správně navrženou správu přístupu v AWS.

## Role do hloubky — kdo co převezme

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Typy policy

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Vyhodnocování policy (jak se rozhoduje o přístupu)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## Proč na tom záleží

Pochopení IAM rolí a policy do hloubky je důležité pro **bezpečnou a správně navrženou správu přístupu v AWS**, takže je to cenná znalost přesahující základy IAM.

Pochopení **rolí do hloubky** — jejich **trust policy** (kdo může roli převzít) a **permission policy** (co může dělat) — je klíčové pro nejdůležitější bezpečné vzorce přístupu: **service role** (umožňující EC2 instancím a Lambda funkcím přistupovat k AWS prostředkům prostřednictvím dočasných, automaticky rotovaných přihlašovacích údajů místo vestavěných dlouhodobých klíčů — kritická bezpečnostní praxe), **přístup mezi účty** (kontrolovaný přístup mezi AWS účty prostřednictvím převzetí role) a **federace/SSO** (externí identity převzímající role pro dočasný přístup).

Role poskytující dočasné přihlašovací údaje místo dlouhodobých klíčů je základní bezpečnostní zlepšení.

Pochopení **typů policy** — identity-based (co mohou dělat uživatelé/role), resource-based (jako S3 bucket policy kontrolující, kdo má přístup k prostředku), permission boundary (omezující delegovaná oprávnění) a SCP (celoorganizační záchranné pásy) — je nutné pro sofistikovanou kontrolu přístupu v reálných organizacích.

Pochopení **logiky vyhodnocování policy** (výchozí deny; explicitní deny kdekoli vždy zvítězí; potřebujete explicitní allow v rámci jakýchkoli hranic a žádný deny) je nezbytné pro správné úvahy o tom, jaká oprávnění skutečně vzniknou — běžný zdroj zmatků, kdy špatné pochopení vede buď na příliš široký přístup (bezpečnostní riziko), nebo na neočekávaná zamítnutí (provozní tření).

Protože bezpečná správa přístupu je kritická pro bezpečnost AWS (a chybné konfigurace IAM jsou jednou z hlavních příčin porušení bezpečnosti) a protože pochopení rolí do hloubky (pro bezpečné vzorce přístupu bez přihlašovacích údajů), typů policy (pro vrstvené řízení) a vyhodnocování policy (pro správné úvahy o oprávněních) je nezbytné pro správně navrženou a bezpečnou správu přístupu, je pochopení IAM rolí a policy do hloubky cenná a prakticky důležitá znalost AWS pro bezpečnost — navázaná na základy IAM a umožňující bezpečné vzorce přístupu a správné úvahy o oprávněních, které vyžaduje profesionální bezpečnost v AWS, důležitá oblast, kde hloubka porozumění přímo ovlivňuje bezpečnostní postoj.