Hvad er AWS IAM?

Question

Hvad er AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) kontrollerer **hvem der kan gøre hvad** i AWS — administration af brugere, grupper, roller og tilladelser. Det er grundlæggende for AWS-sikkerhed: hver handling godkendes gennem IAM, så forståelse heraf er essentiel.

## Hvad IAM administrerer

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — definition af tilladelser

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policies (JSON) specificerer **hvilke handlinger** der er tilladt/nægtet på **hvilke ressourcer** — vedhæftet til brugere, grupper eller roller for at give tilladelser.

## Roller — midlertidige legitimationsoplysninger (meget vigtig)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Best practices

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Hvorfor det betyder noget

Forståelse af IAM er essentiel, fordi det er grundlaget for AWS-sikkerhed — hver handling i AWS godkendes gennem IAM, så det er grundlæggende, must-know-viden for sikker arbejde med AWS.

IAM kontrollerer **hvem der kan gøre hvad** gennem dets kerneelementer: **brugere** (identiteter med legitimationsoplysninger), **grupper** (til kollektiv administration af tilladelser), **roller** (midlertidigt antagne identiteter) og **policies** (JSON-dokumenter, der definerer tilladelser).

Forståelse af **policies** (specificering af hvilke handlinger der er tilladt på hvilke ressourcer) er nødvendig for korrekt at give og forstå tilladelser.

Forståelse af **roller** er særlig vigtig: de giver **midlertidigt legitimationsoplysninger uden langlivede nøgler**, hvilket gør det muligt for EC2-instanser, Lambda-funktioner og andre tjenester at få adgang til AWS-ressourcer sikkert **uden at integrere adgangsnøgler** — en kritisk sikkerhedsbest practice, der undgår den alvorlige risiko ved hardcodede legitimationsoplysninger.

Forståelse af **best practices** — især **least privilege** (kun giving af de tilladelser, der faktisk er nødvendige, ikke bredt admin-adgang, begrænsning af påvirkningsradius ved eventuel kompromittering), brug af roller til programmer, aktivering af MFA og beskyttelse af root-kontoen — er essentiel for AWS-sikkerhed, da IAM-fejlkonfigurationer (alt for brede tilladelser, lækkede legitimationsoplysninger) er en almindelig kilde til sikkerhedshændelser.

Da IAM er portner for all AWS-adgang, og det at få det rigtigt er grundlæggende for sikkerhed (mens det at få det forkert forårsager alvorlige brud), og da forståelse af brugere, roller, policies og best practices som least privilege er essentiel for sikker arbejde med AWS, er forståelse af IAM essentiel, grundlæggende AWS-viden — et kritisk sikkerhedsemne, som hver AWS-bruger skal forstå, centralt for sikker brug af AWS og undgåelse af adgangskontrol-fejl, der fører til virkelige sikkerhedshændelser.