Conas a oibríonn ról IAM agus polasaithe go domhain?

Question

Accepted Answer

Túisce ar bhunúsacha IAM, tá sé tábhachtach a thuiscint **ról** (féiniúlachtaí fhéadaithe), **cineálacha agus measúnú polasaithe** (conas a chinntear ceadanna), agus patrúin ar nós **rochtain thrasachúnta** agus **róil seirbhíse** le haghaidh bainistíochta rochtana AWS slán agus dea-dheartha.

## Róil go domhain — cé a ghlacann le cad

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Cineálacha polasaithe

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Measúnú polasaithe (conas a chinntear rochtain)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## Cén fáth a bhíonn sé tábhachtach

Tá sé tábhachtach a thuiscint **róil agus polasaithe IAM go domhain** le haghaidh **bainistíochta rochtana AWS slán agus dea-dheartha**, agus is eolas luachmhar é sin nach bhfuil ach bunúsacha IAM.

Tá sé ríthábhachtach a thuiscint **róil go domhain** — a **bpolasaí iontaoibh** (cé is féidir an ról a ghlacadh) agus **polasaithe ceada** (cad is féidir leis a dhéanamh) — chun an chuid is tábhachtaí de na patrúin rochtana slána: **róil seirbhíse** (a ligint do thascanna EC2 agus fheidhmeanna Lambda rochtain a fháil ar acmhainní AWS trí thréithe sealadacha, foluain-rothaithe in ionad eochracha fada-bheo leabaithe — cleachtas slándála ríthábhachtach), **rochtain thrasachúnta** (rochtain dhírithe idir cuntas AWS trí dhéanamh gealltanais ról), agus **socrúchán/SSO** (féiniúlachtaí seachtracha ag gealladh róil do rochtain shealadach).

Is fhearrde slándála a bhítear ag socrú ag róil thréithe sealadacha in ionad eochracha fada-bheo.

Tá sé riachtanach a thuiscint an **cineálacha polasaithe** — bunaithe ar féiniúlacht (cad is féidir le húsáideoirí/róil a dhéanamh), bunaithe ar acmhainní (cosúil le polasaithe fálta S3 a rialúint cé is féidir rochtain a fháil ar acmhainní), teorainneacha ceada (teoranna ar cheadanna fabhracha), agus SCP (cosaint ar fhad an eagraíochta) — le haghaidh rialaithe rochtana sofisiúilte i bhfíorechnaí stát.

Tá sé riachtanach a thuiscint **loighic measúnú polasaithe** (diúltú réamhshocraithe; bíonn diúltú follasach in aon áit i gconúi ag buachan; bíonn ceadú follasach de dhíth laistigh d'aon theorainneacha agus gan aon dhiúltú) le haghaidh réasúnaithe i gceart ar an méid ceadanna a bhítear ag fíorú — foinse coitianta mearbhaill ina raibh tuiscint bhréagach ag socrú rochtain ró-leathan (riosca slándála) nó diúltuithe gan choinne (friction oibríochtúil).

Toisc go bhfuil bainisteoireacht rochtana slán ríthábhachtach do shlándáil AWS (agus go bhfuil míchumrú IAM ina chúis tosaigh do bhéimeanna), agus toisc go bhfuil a thuiscint ar róil go domhain (le haghaidh patrúin rochtana gan thréithe slán), cineálacha polasaithe (le haghaidh rialaithe scéimh), agus measúnú polasaithe (le haghaidh réasúnaithe ceart ar cheadanna) riachtanach le haghaidh rochtana dea-dheartha, slán, is eolas AWS luachmhar, phraiticiúil í a thuiscint ar róil agus ar pholasaithe IAM go domhain do shlándáil — a bheilí ar bhonn ar bhunúsacha IAM chun na patrúin rochtana slána agus an réasúnú ceada ceart a bhogadh ar aghaidh atá de dhíth ar shlándáil AWS ghairmthe, réimse tábhachtach ina raibh éifeacht dhíreach ag domhaindeachta an tuisceana ar posúr slándála.