Τι είναι το AWS IAM;

Question

Accepted Answer

**IAM** (Identity and Access Management) ελέγχει **ποιος μπορεί να κάνει τι** στο AWS — διαχειρίζεται χρήστες, ομάδες, ρόλους και δικαιώματα. Είναι θεμελιώδες για την ασφάλεια του AWS: κάθε ενέργεια εξουσιοδοτείται μέσω του IAM, επομένως η κατανόησή του είναι απαραίτητη.

## Τι διαχειρίζεται το IAM

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — ορισμός δικαιωμάτων

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Oι Policies (JSON) καθορίζουν **ποιες ενέργειες** επιτρέπονται/απαγορεύονται σε **ποιους πόρους** — συνδέονται με χρήστες, ομάδες ή ρόλους για να χορηγήσουν δικαιώματα.

## Roles — προσωρινά διαπιστευτήρια (πολύ σημαντικό)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Best practices

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Γιατί έχει σημασία

Η κατανόηση του IAM είναι απαραίτητη επειδή είναι το θεμέλιο της ασφάλειας του AWS — κάθε ενέργεια στο AWS εξουσιοδοτείται μέσω του IAM, επομένως είναι θεμελιώδης, απαραίτητη γνώση για ασφαλή εργασία με το AWS.

Το IAM ελέγχει **ποιος μπορεί να κάνει τι** μέσω των βασικών του συστατικών: **χρήστες** (ταυτότητες με διαπιστευτήρια), **ομάδες** (για συλλογική διαχείριση δικαιωμάτων), **ρόλοι** (προσωρινά αναληφθείσες ταυτότητες) και **policies** (έγγραφα JSON που ορίζουν δικαιώματα).

Η κατανόηση των **policies** (καθορισμός ποιες ενέργειες επιτρέπονται σε ποιους πόρους) είναι απαραίτητη για να χορηγήσετε και να κατανοήσετε σωστά τα δικαιώματα.

Η κατανόηση των **ρόλων** είναι ιδιαίτερα σημαντική: παρέχουν **προσωρινά διαπιστευτήρια χωρίς μακροχρόνια κλειδιά**, ενεργοποιώντας τις EC2 instances, Lambda functions και άλλες υπηρεσίες να αποκτήσουν πρόσβαση σε πόρους του AWS με ασφάλεια **χωρίς ενσωμάτωση κλειδιών πρόσβασης** — μια κρίσιμη καλή πρακτική ασφάλειας που αποφεύγει τον σοβαρό κίνδυνο κωδικοποιημένων διαπιστευτηρίων.

Η κατανόηση των **best practices** — ιδίως **least privilege** (χορήγηση μόνο των δικαιωμάτων που χρειάζονται πραγματικά, όχι ευρείας διαχειριστικής πρόσβασης, περιορισμός του εύρους ζημιάς από κάθε συμβιβασμό), χρήση ρόλων για εφαρμογές, ενεργοποίηση MFA και προστασία του root account — είναι απαραίτητη για την ασφάλεια του AWS, καθώς οι διακonfigurações του IAM (υπερβολικά ευρεία δικαιώματα, διαρροή διαπιστευτηρίων) είναι συνήθης πηγή περιστατικών ασφάλειας.

Επειδή το IAM είναι ο φυλάρχης για όλες τις προσβάσεις του AWS και η σωστή του κατανόηση είναι θεμελιώδης για την ασφάλεια (ενώ η λανθασμένη κατανόηση προκαλεί σοβαρές παραβιάσεις), και επειδή η κατανόηση χρηστών, ρόλων, policies και best practices όπως η least privilege είναι απαραίτητη για ασφαλή εργασία με το AWS, η κατανόηση του IAM είναι απαραίτητη, θεμελιώδης γνώση του AWS — ένα κρίσιμο θέμα ασφάλειας που κάθε χρήστης του AWS πρέπει να κατανοήσει, κεντρικό για την ασφαλή χρήση του AWS και την αποφυγή των λαθών ελέγχου πρόσβασης που οδηγούν σε πραγματικά περιστατικά ασφάλειας.