IAM roles और policies गहराई से कैसे काम करते हैं?

Question

Accepted Answer

बुनियादी IAM से आगे, **roles** (assumed identities), **policy types और evaluation** (permissions कैसे निर्धारित होते हैं), और **cross-account access** तथा **service roles** जैसे पैटर्न को समझना सुरक्षित, well-architected AWS access management के लिए महत्वपूर्ण है।

## roles गहराई से — कौन क्या assume करता है

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## policy types

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## policy evaluation (access कैसे तय होता है)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## यह क्यों महत्वपूर्ण है

IAM roles और policies को गहराई से समझना **सुरक्षित, well-architected AWS access management** के लिए महत्वपूर्ण है, इसलिए यह IAM की बुनियादी बातों से आगे मूल्यवान ज्ञान है।

**roles को गहराई से** समझना — उनकी **trust policy** (कौन role assume कर सकता है) और **permission policies** (यह क्या कर सकता है) — सबसे महत्वपूर्ण सुरक्षित access पैटर्न की कुंजी है: **service roles** (EC2 instances और Lambda functions को embedded long-lived keys के बजाय temporary, auto-rotated credentials के ज़रिए AWS resources तक पहुँच देना — एक अहम सुरक्षा प्रथा), **cross-account access** (role assumption के ज़रिए AWS accounts के बीच नियंत्रित access), और **federation/SSO** (temporary access के लिए external identities का roles assume करना)।

roles का long-lived keys के बजाय temporary credentials प्रदान करना एक मौलिक सुरक्षा सुधार है।

**policy types** को समझना — identity-based (users/roles क्या कर सकते हैं), resource-based (जैसे S3 bucket policies जो नियंत्रित करती हैं कि कौन resource तक पहुँच सकता है), permission boundaries (delegated permissions को सीमित करना), और SCPs (organization-wide guardrails) — वास्तविक organizations में परिष्कृत access control के लिए आवश्यक है।

**policy evaluation logic** को समझना (default deny; कहीं भी एक explicit deny हमेशा जीतता है; आपको किसी भी boundaries के भीतर एक explicit allow और कोई deny नहीं चाहिए) यह सही ढंग से तर्क करने के लिए आवश्यक है कि वास्तव में क्या permissions परिणाम देते हैं — भ्रम का एक सामान्य स्रोत जहाँ ग़लतफ़हमी या तो अत्यधिक व्यापक access (सुरक्षा जोखिम) या अप्रत्याशित denials (operational घर्षण) की ओर ले जाती है।

चूँकि सुरक्षित access management AWS सुरक्षा के लिए अहम है (और IAM misconfigurations breaches का एक प्रमुख कारण हैं), और चूँकि roles को गहराई से समझना (सुरक्षित credential-free access पैटर्न के लिए), policy types (layered control के लिए), और policy evaluation (permissions के बारे में सही तर्क के लिए) well-architected, सुरक्षित access के लिए आवश्यक है, IAM roles और policies को गहराई से समझना सुरक्षा के लिए मूल्यवान, व्यावहारिक रूप से महत्वपूर्ण AWS ज्ञान है — IAM की बुनियादी बातों पर आधारित जो सुरक्षित access पैटर्न और सही permission तर्क को सक्षम करता है जिसकी professional AWS सुरक्षा को ज़रूरत है, एक महत्वपूर्ण क्षेत्र जहाँ समझ की गहराई सीधे सुरक्षा posture को प्रभावित करती है।