Kako detaljno funkcioniraju IAM uloge i politike?

Question

Accepted Answer

Izvan osnovnog IAM-a, razumijevanje **uloga** (preuzete identitete), **tipova politika i njihove evaluacije** (kako se dozvole određuju) te obrazaca kao **pristup između računa** i **uloge usluga** je važno za siguran, dobro-arhitektuiran upravljanje pristupom AWS-u.

## Uloge u detaljima — tko pretpostavlja što

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Tipovi politika

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Evaluacija politike (kako se pristup odlučuje)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## Zašto je to važno

Razumijevanje IAM uloga i politika u detaljima je važno za **siguran, dobro-arhitektuiran upravljanje pristupom AWS-u**, pa je to vrijedno znanje izvan IAM osnova.

Razumijevanje **uloga u detaljima** — njihove **politike povjerenja** (tko može preuzeti ulogu) i **politike dozvola** (što može učiniti) — je ključno za najvažnije sigurne obrasce pristupa: **uloge usluga** (omogućavajući EC2 instancama i Lambda funkcijama pristup AWS resursima preko privremenih, automatski-rotiranih vjerodajnica umjesto ugrađenih dugoročnih ključeva — kritična sigurnosna praksa), **pristup između računa** (kontrolirani pristup između AWS računa preko pretpostavke uloge) i **federacija/SSO** (vanjski identiteti koji pretpostavljaju uloge za privremeni pristup).

Uloge koje pružaju privremene vjerodajnice umjesto dugoročnih ključeva je temeljno sigurnosno poboljšanje.

Razumijevanje **tipova politika** — temeljene na identitetu (što korisnici/uloge mogu učiniti), temeljene na resursima (kao S3 bucket politike koje kontroliraju tko može pristupiti resursu), granice dozvola (ograničavajući delegirane dozvole) i SCP-ovi (organizacijske zaštite) — je potrebno za sofisticirano kontroliranje pristupa u stvarnim organizacijama.

Razumijevanje **logike evaluacije politike** (zadana zabrana; eksplicitna zabrana bilo gdje uvijek pobjeđuje; trebate eksplicitnu dozvolu unutar bilo kojih granica i bez zabrane) je bitno za ispravno rasuđivanje o tome koje dozvole zapravo rezultiraju — čest izvor zbunjenosti gdje krivo razumijevanje vodi ili previše širokim dozvolama (sigurnosni rizik) ili neočekivanim zabranama (operacijska frikcija).

Budući da je siguran upravljanje pristupom kritično za AWS sigurnost (a IAM pogriješke u konfiguraciji su vodeći uzrok kršenja), i budući da je razumijevanje uloga u detaljima (za sigurne obrasce pristupa bez vjerodajnica), tipove politika (za slojevitu kontrolu) i evaluaciju politike (za ispravno rasuđivanje o dozvolama) potrebno za dobro-arhitektuirane, sigurne pristupe, razumijevanje IAM uloga i politika u detaljima je vrijedno, praktično važno AWS znanje za sigurnost — nadovezujući se na IAM osnove kako bi se omogućili sigurni obraci pristupa i ispravno rasuđivanje o dozvolama koji su potrebni za profesionalnu AWS sigurnost, važno područje gdje dubina razumijevanja izravno utječe na sigurnosni stav.