AWS IAM რა არის?

Question

AWS IAM რა არის?

Accepted Answer

**IAM** (Identity and Access Management) აკონტროლებს **ვინ რა შეუძლია** AWS-ში — მართავს მომხმარებლებს, ჯგუფებს, როლებს და ნებართვებს. ეს AWS უსაფრთხოების ფუნდამენტი: ყველა მოქმედება ავტორიზირებული იქნება IAM-ის მეშვეობით, ამიტომ მისი გაგება აუცილებელია.

## რას მართავს IAM

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## პოლიტიკები — ნებართვების განსაზღვრა

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

პოლიტიკები (JSON) განსაზღვრავს **რომელი მოქმედებები** არის ნებადართული/აკრძალული **რომელი რესურსებზე** — ერთვება მომხმარებლებს, ჯგუფებს ან როლებს ნებართვების მოსახმელად.

## როლები — დროებითი credentials (ძალიან მნიშვნელოვანი)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## საუკეთესო პრაქტიკა

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## რატომ მნიშვნელოვანია ეს

IAM-ის გაგება აუცილებელია, რადგან ეს AWS უსაფრთხოების ფუნდამენტი — ყველა მოქმედება AWS-ში ავტორიზირებული იქნება IAM-ის მეშვეობით, ამიტომ ეს ფუნდამენტური, აუცილებელი ცოდნაა AWS-თან დაკავშირებული სამუშაოსთვის.

IAM აკონტროლებს **ვინ რა შეუძლია** თავისი ძირითადი კომპონენტების მাშინ: **მომხმარებლები** (IdentityI credentials-ით), **ჯგუფები** (ნებართვების ერთობლივი მართვისთვის), **როლები** (დროებით აღებული identities), და **პოლიტიკები** (JSON დოკუმენტები, რომლებიც განსაზღვრავენ ნებართვებს).

**პოლიტიკების** გაგება (რომელი მოქმედებები დაშვებულია რომელი რესურსებზე) აუცილებელია ნებართვების სწორად მოსახმელად და გასაგებად.

**როლების** გაგება განსაკუთრებით მნიშვნელოვანია: ისინი უზრუნველყოფენ **დროებით credentials სახელმძღვანელო გრძელვადიანი გასაღებების გარეშე**, ენახებს EC2 instances, Lambda ფუნქციებს და სხვა სერვისებს, რომ წვდებოდნენ AWS რესურსებს უსაფრთხოდ **აკსეს გასაღებების ჯამშე გარეშე** — კრიტიკული უსაფრთხოების საუკეთესო პრაქტიკა, რომელიც თავს ერიდება hardcoded credentials-ის სერიოზული რისკს.

**საუკეთესო პრაქტიკის** გაგება — განსაკუთრებით **უმცროსი პრივილეგია** (მხოლოდ რეალურად საჭირო ნებართვების მოახმელება, არა ფართე admin აქსესი, კომპრომისის სფეროს შეზღუდვა), როლების გამოყენება აპლიკაციებისთვის, MFA-ს ჩართვა და root ანგარიშის დაცვა — აუცილებელია AWS უსაფრთხოებისთვის, რადგან IAM misconfiguration-ები (ზედმეტად ფართე ნებართვები, აჟანგი credentials) არის უსაფრთხოების incident-ების გავრცელებული წყარო.

ვინაიდან IAM არის წინამჭოლი ყველა AWS წვდომისთვის და მისი სწორად გაკეთება აუცილებელია უსაფრთხოებისთვის (მაშინ როცა მცდარი გაკეთება იწვევს სერიოზულ დარღვევებს), და იმიტომ რომ მომხმარებლებს, როლებს, პოლიტიკებს და საუკეთესო პრაქტიკებს, როგორიცაა უმცროსი პრივილეგია, გაგება აუცილებელია AWS-თან დაკავშირებული სამუშაოსთვის უსაფრთხოდ, IAM-ის გაგება აუცილებელია, ფუნდამენტური AWS ცოდნა — კრიტიკული უსაფრთხოების თემა, რომელიც ყველა AWS მომხმარებელმა უნდა ჰქონდეს გასაგები, ცენტრალური AWS უსაფრთხოდ გამოყენებისთვის და accesscontrol შეცდომების თავიდან ასაცილებლად, რომლებიც რეალური უსაფრთხოების incident-ებამდე მივყავართ.