Che cos'è AWS IAM?

Question

Che cos'è AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) controlla **chi può fare cosa** in AWS — gestendo utenti, gruppi, ruoli e permessi. È fondamentale per la sicurezza di AWS: ogni azione viene autorizzata attraverso IAM, quindi comprenderlo è essenziale.

## Cosa gestisce IAM

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — definire i permessi

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Le Policies (JSON) specificano **quali azioni** sono consentite/negate su **quali risorse** — allegate a utenti, gruppi o ruoli per concedere i permessi.

## Ruoli — credenziali temporanee (molto importante)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Best practice

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Perché è importante

Comprendere IAM è essenziale perché è il fondamento della sicurezza di AWS — ogni azione in AWS viene autorizzata attraverso IAM, quindi è una conoscenza fondamentale e imprescindibile per lavorare con AWS in sicurezza.

IAM controlla **chi può fare cosa** attraverso i suoi componenti principali: **utenti** (identità con credenziali), **gruppi** (per gestire i permessi collettivamente), **ruoli** (identità temporaneamente assunte) e **policies** (documenti JSON che definiscono i permessi).

Comprendere le **policies** (che specificano quali azioni sono consentite su quali risorse) è necessario per concedere e comprendere correttamente i permessi.

Comprendere i **ruoli** è particolarmente importante: forniscono **credenziali temporanee senza chiavi a lungo termine**, consentendo a istanze EC2, funzioni Lambda e altri servizi di accedere alle risorse AWS in sicurezza **senza incorporare chiavi di accesso** — una pratica di sicurezza critica che evita il serio rischio di credenziali hardcoded.

Comprendere le **best practice** — in particolare il **principio del minimo privilegio** (concedere solo i permessi effettivamente necessari, non accesso admin ampio, limitando il raggio di danno di qualsiasi compromissione), utilizzare i ruoli per le applicazioni, abilitare MFA e proteggere l'account root — è essenziale per la sicurezza di AWS, poiché le misconfigurazioni di IAM (permessi eccessivamente ampi, credenziali compromesse) sono una fonte comune di incidenti di sicurezza.

Poiché IAM è il guardiano di tutto l'accesso a AWS e averlo corretto è fondamentale per la sicurezza (mentre averlo sbagliato causa violazioni gravi), e poiché comprendere utenti, ruoli, policies e best practice come il principio del minimo privilegio è essenziale per lavorare con AWS in sicurezza, la comprensione di IAM è una conoscenza AWS essenziale e fondamentale — un argomento critico di sicurezza che ogni utente di AWS deve comprendere, centrale per utilizzare AWS in sicurezza ed evitare gli errori di controllo degli accessi che portano a incidenti di sicurezza reali.