Mikä on AWS IAM?

Question

Mikä on AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) hallitsee **kuka voi tehdä mitä** AWS:ssä — hallinnoi käyttäjiä, ryhmiä, rooleja ja oikeuksia. Se on AWS-turvallisuuden perusta: jokainen toiminto on valtuutettu IAM:n kautta, joten sen ymmärtäminen on olennaista.

## Mitä IAM hallitsee

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Käytännöt — oikeuksien määrittely

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Käytännöt (JSON) määrittävät **mitä toimintoja** ovat sallittuja/kiellettyjä **millä resursseilla** — liitettynä käyttäjiin, ryhmiin tai rooleihin oikeuksien myöntämiseksi.

## Roolit — väliaikaiset tunnistetiedot (erittäin tärkeä)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Parhaat käytännöt

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Miksi se on tärkeää

IAM:n ymmärtäminen on olennaista, koska se on AWS-turvallisuuden perusta — jokainen toiminto AWS:ssä on valtuutettu IAM:n kautta, joten se on perustavanlaatuista, välttämätöntä tietoa AWS:n turvalliseen käyttöön.

IAM hallitsee **kuka voi tehdä mitä** ydinkomponenttiensa kautta: **käyttäjät** (tunnistetiedoilla varustetut identiteetit), **ryhmät** (oikeuksien yhteiseen hallintoon), **roolit** (väliaikaisesti oletetut identiteetit) ja **käytännöt** (JSON-asiakirjat, jotka määrittävät oikeudet).

**Käytäntöjen** ymmärtäminen (määrittävät mitkä toiminnot ovat sallittuja millä resursseilla) on välttämätöntä oikeuksien myöntämiseen ja ymmärtämiseen oikein.

**Roolien** ymmärtäminen on erityisen tärkeää: ne tarjoavat **väliaikaisia tunnistetietoja ilman pitkäikäisiä avaimia**, mikä mahdollistaa EC2-instanssien, Lambda-funktioiden ja muiden palveluiden turvallisen pääsyn AWS-resursseihin **ilman pääsyavainten upottamista** — kriittinen turvallisuuskäytäntö, joka välttää vakavan riskin hardkoodatuista tunnistetiedoista.

**Parhaiden käytäntöjen** ymmärtäminen — erityisesti **vähimmän oikeuksien periaate** (myöntää vain todella tarvittavat oikeudet, ei laajaa pääsynhallintajan pääsyä, rajoittaa vaaravyöhykettä mikä tahansa kompromissin tapauksessa), roolien käyttö sovelluksille, MFA:n ottaminen käyttöön ja pääkäyttäjätilin suojaaminen — on olennaista AWS-turvallisuudelle, koska IAM-väärinkonfiguraatiot (liian laajat oikeudet, vuotaneet tunnistetiedot) ovat yleinen turvallisuusincidenttien lähde.

Koska IAM on portti kaikelle AWS-pääsylle ja sen saaminen oikein on perustavanlaatuista turvallisuudelle (kun taas sen saaminen väärin aiheuttaa vakavia rikkoutumisia), ja koska käyttäjien, roolien, käytäntöjen ja parhaiden käytäntöjen, kuten vähimmän oikeuksien periaatteen, ymmärtäminen on olennaista AWS:n turvalliseen käyttöön, IAM:n ymmärtäminen on olennaista, perustavanlaatuista AWS-tietoa — kriittinen turvallisuusaihe, joka jokaisen AWS-käyttäjän on ymmärrettävä, keskeinen AWS:n turvalliseen käyttöön ja estää pääsynhallintavirheiden välttämiseen, jotka johtavat oikeisiin turvallisuusincidentteihin.