Mi az AWS IAM?

Question

Mi az AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) szabályozza, hogy **ki mit tehet** az AWS-ben — kezeli a felhasználókat, csoportokat, szerepeket és engedélyeket. Ez az AWS biztonság alapja: minden művelet az IAM-on keresztül engedélyezésre kerül, ezért a megértése alapvető.

## Az IAM által kezelt összetevők

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Políciák — az engedélyek meghatározása

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

A políciák (JSON) meghatározzák, hogy **mely műveletek** engedélyezottak/tiltottak **mely erőforrásokon** — felhasználókhoz, csoportokhoz vagy szerepekhez csatolva az engedélyek megadásához.

## Szerepek — ideiglenes hitelesítő adatok (nagyon fontosak)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Ajánlott eljárások

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Miért fontos ez

Az IAM megértése alapvető fontosságú, mert ez az AWS-biztonság alapja — az AWS-ben minden művelet az IAM-on keresztül engedélyezésre kerül, ezért ez alapvető, szükséges tudás az AWS-sel történő biztonságos munkavégzéshez.

Az IAM a **ki mit tehet** kérdést annak alapvető összetevőin keresztül szabályozza: **felhasználók** (hitelesítő adatokkal rendelkező identitások), **csoportok** (az engedélyek kollektív kezeléséhez), **szerepek** (ideiglenes identitások) és **políciák** (az engedélyeket meghatározó JSON-dokumentumok).

A **políciák** megértése szükséges — azok határozzák meg, hogy mely műveletek megengedottek mely erőforrásokon —, hogy helyesen adjon meg és értsen meg engedélyeket.

A **szerepek** megértése különösen fontos: **ideiglenes hitelesítő adatokat biztosítanak hosszú élettartamú kulcsok nélkül**, lehetővé téve az EC2-példányoknak, Lambda-függvényeknek és egyéb szolgáltatásoknak, hogy az AWS-erőforrásokhoz **hozzáférési kulcsok beágyazása nélkül** biztonságosan hozzáférjenek — ez egy kritikus biztonsági ajánlott eljárás, amely elkerüli a hardkódolt hitelesítő adatok súlyos kockázatát.

Az **ajánlott eljárások** megértése — különösen a **legkisebb jogosultság elve** (csak a ténylegesen szükséges engedélyek megadása, nem széles körű admin-hozzáférés, amely korlátozza az összes veszélyeztetettség sugarát), az alkalmazások szerepeinek használata, az MFA engedélyezése és a root-fiók védelme — alapvető az AWS-biztonsági politikahoz, mivel az IAM-hibakonfigurációk (túl széles körű engedélyek, kiszivárgott hitelesítő adatok) a biztonsági incidensek gyakori forrása.

Mivel az IAM az összes AWS-hozzáférés kapu, és ennek helyes megértése alapvető a biztonsághoz (annak helytelen megértése pedig súlyos megsértésekhez vezet), valamint mivel a felhasználók, szerepek, políciák és ajánlott eljárások, például a legkisebb jogosultság elvének megértése alapvető az AWS-sel történő biztonságos munkavégzéshez, az IAM megértése alapvető, szükséges AWS-tudás — egy kritikus biztonsági témakör, amelyet minden AWS-felhasználónak meg kell értenie, központi az AWS biztonságos használatához és az olyan hozzáférés-vezérlési hibák elkerüléséhez, amelyek valós biztonsági incidensekhez vezetnek.