AWS IAM क्या है?

Question

AWS IAM क्या है?

Accepted Answer

**IAM** (Identity and Access Management) नियंत्रित करता है कि AWS में **कौन क्या कर सकता है** — users, groups, roles, और permissions का प्रबंधन करता है। यह AWS security के लिए मौलिक है: हर action IAM के माध्यम से authorize होता है, इसलिए इसे समझना आवश्यक है।

## IAM क्या प्रबंधित करता है

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — permissions परिभाषित करना

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policies (JSON) निर्दिष्ट करते हैं कि **किन resources** पर **कौन से actions** की अनुमति है/मना है — permissions प्रदान करने के लिए users, groups, या roles से attach किए जाते हैं।

## Roles — temporary credentials (बहुत महत्वपूर्ण)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Best practices

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## यह क्यों महत्वपूर्ण है

IAM को समझना आवश्यक है क्योंकि यह AWS security की नींव है — AWS में हर action IAM के माध्यम से authorize होता है, इसलिए यह AWS के साथ सुरक्षित रूप से काम करने के लिए मौलिक, अवश्य-जानने योग्य ज्ञान है।

IAM अपने core components के माध्यम से नियंत्रित करता है कि **कौन क्या कर सकता है**: **users** (credentials वाली identities), **groups** (permissions को सामूहिक रूप से प्रबंधित करने के लिए), **roles** (अस्थायी रूप से assume की जाने वाली identities), और **policies** (permissions परिभाषित करने वाले JSON documents)।

**Policies** को समझना (किन resources पर कौन से actions की अनुमति है यह निर्दिष्ट करना) permissions को सही ढंग से प्रदान करने और समझने के लिए आवश्यक है।

**Roles** को समझना विशेष रूप से महत्वपूर्ण है: वे **long-lived keys के बिना temporary credentials** प्रदान करते हैं, जो EC2 instances, Lambda functions, और अन्य services को **access keys embed किए बिना** AWS resources को सुरक्षित रूप से access करने में सक्षम बनाते हैं — एक महत्वपूर्ण security best practice जो hardcoded credentials के गंभीर जोखिम से बचाती है।

**Best practices** को समझना — विशेष रूप से **least privilege** (केवल वास्तव में आवश्यक permissions प्रदान करना, broad admin access नहीं, किसी भी समझौते के blast radius को सीमित करना), applications के लिए roles का उपयोग करना, MFA सक्षम करना, और root account की रक्षा करना — AWS security के लिए आवश्यक है, क्योंकि IAM misconfigurations (अत्यधिक-व्यापक permissions, leaked credentials) security incidents का एक सामान्य स्रोत हैं।

चूँकि IAM सभी AWS access के लिए gatekeeper है और इसे सही करना security के लिए मौलिक है (जबकि इसे गलत करना गंभीर breaches का कारण बनता है), और चूँकि users, roles, policies, और least privilege जैसी best practices को समझना AWS के साथ सुरक्षित रूप से काम करने के लिए आवश्यक है, इसलिए IAM को समझना आवश्यक, मौलिक AWS ज्ञान है — एक महत्वपूर्ण security विषय जिसे हर AWS user को समझना चाहिए, AWS का सुरक्षित रूप से उपयोग करने और वास्तविक security incidents की ओर ले जाने वाली access-control गलतियों से बचने के केंद्र में।