Qu'est-ce que AWS IAM ?

Question

Accepted Answer

**IAM** (Identity and Access Management) contrôle **qui peut faire quoi** dans AWS — gérant les utilisateurs, groupes, rôles et permissions. C'est fondamental pour la sécurité AWS : chaque action est autorisée via IAM, donc la comprendre est essentiel.

## Ce que IAM gère

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — définir les permissions

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Les Policies (JSON) spécifient **quelles actions** sont autorisées/refusées sur **quelles ressources** — attachées aux utilisateurs, groupes ou rôles pour accorder les permissions.

## Rôles — credentials temporaires (très important)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Meilleures pratiques

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Pourquoi c'est important

Comprendre IAM est essentiel car c'est la fondation de la sécurité AWS — chaque action dans AWS est autorisée via IAM, donc c'est une connaissance fondamentale et incontournable pour travailler avec AWS en sécurité.

IAM contrôle **qui peut faire quoi** par ses composants clés : **utilisateurs** (identités avec credentials), **groupes** (pour gérer les permissions collectivement), **rôles** (identités temporairement assumées) et **policies** (documents JSON définissant les permissions).

Comprendre les **policies** (spécifiant quelles actions sont autorisées sur quelles ressources) est nécessaire pour accorder et comprendre les permissions correctement.

Comprendre les **rôles** est particulièrement important : ils fournissent des **credentials temporaires sans clés longue durée**, permettant aux instances EC2, fonctions Lambda et autres services d'accéder aux ressources AWS en sécurité **sans intégrer de clés d'accès** — une meilleure pratique de sécurité critique qui évite le risque sérieux des credentials codés en dur.

Comprendre les **meilleures pratiques** — notamment le **privilège minimal** (accorder uniquement les permissions réellement nécessaires, pas l'accès administrateur large, limiter le rayon d'impact de toute compromission), utiliser les rôles pour les applications, activer MFA et protéger le compte root — est essentiel pour la sécurité AWS, car les misconfigurationsd'IAM (permissions trop larges, credentials divulgués) sont une source courante d'incidents de sécurité.

Puisque IAM est le gardien pour tous les accès AWS et que bien le faire est fondamental à la sécurité (tandis que mal le faire cause des breaches sérieuses), et puisque comprendre les utilisateurs, rôles, policies et meilleures pratiques comme le privilège minimal est essentiel pour travailler avec AWS en sécurité, comprendre IAM est une connaissance AWS essentielle et fondatrice — un sujet de sécurité critique que chaque utilisateur AWS doit comprendre, central pour utiliser AWS en sécurité et éviter les erreurs de contrôle d'accès qui mènent à de vrais incidents de sécurité.