Kaip iš esmės veikia IAM vaidmenys ir strategijos?

Question

Accepted Answer

Už pagrindinės IAM ribų, supratimas apie **vaidmenis** (prisiimtas tapatybes), **strategijų tipus ir vertinimą** (kaip leidimas nustatomos), ir šablonai kaip **tarpkontinis prieiga** bei **paslaugų vaidmenys** yra svarbus saugiam, gerai suplanitam AWS prieigos valdymui.

## Vaidmenys iš esmės — kas prisiima ką

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Strategijų tipai

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Strategijų vertinimas (kaip nusprendžiama dėl prieigos)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## Kodėl tai svarbu

Vaidmenų ir strategijų supratimas iš esmės yra svarbus **saugiam, gerai suplanitam AWS prieigos valdymui**, todėl tai vertinga žinias, kurios siekia toliau nei IAM pagrindai.

Supratimas apie **vaidmenis iš esmės** — jų **pasitikėjimo strategiją** (kas gali prisiimti vaidmenį) ir **leidimo strategijas** (ką jis gali daryti) — yra raktas į svarbiausius saugios prieigos šablonų: **paslaugų vaidmenis** (leidžiant EC2 instancijoms ir Lambda funkcijoms pasiekti AWS išteklius per laikinus, automatiškai sukeičiamus kredencialus vietoj įdėtų ilgalaikių raktų — kritinė saugos praktika), **tarpkontinę prieigą** (kontroliuojama prieiga tarp AWS kontų per vaidmens prisiėmimą), ir **federacija/SSO** (išorinės tapatybės prisiimančios vaidmenis laikinos prieigos siekiant).

Vaidmenys suteikiantys laikinus kredencialus vietoj ilgalaikių raktų yra esminė saugumo gerinimo priemonė.

Supratimas apie **strategijų tipus** — tapatybės pagrįstą (ką gali daryti naudotojai/vaidmenys), ištekliais pagrįstą (kaip S3 kibiro strategijos kontroliuojančios kas gali pasiekti išteklių), leidimo ribas (apribojančias deleguotus leidimus), ir SCP (visorganizacijos apsaugos priemones) — yra būtinas dėl sudėtingo prieigos valdymo realiose organizacijose.

Supratimas apie **strategijų vertinimo logiką** (numatytasis neigiamas atsakymas; aiškus neigiamas atsakymas bet kur visada laimi; jums reikalingas aiškus leidingas bet kurioje riboje ir be neigiamo atsakymo) yra būtinas siekiant teisingai samprotauti kokias leidimų kombinacijas iš tikrųjų turėsite — dažna painiavos šaltinis kur klaidingas supratimas veda arba į per plačią prieigą (saugumo rizika) arba nenumatytas blokavimus (operacines problemas).

Nes saugus prieigos valdymas yra kritiškas AWS saugumui (ir IAM netinkama konfigūracija yra viena iš pagrindinių pažeidimų priežasčių), ir kadangi supratimas apie vaidmenis iš esmės (dėl saugaus kredencialų be prieigos šablonų), strategijų tipos (dėl sluoksninio valdymo), ir strategijų vertinimo (dėl teisingo samprotavimo apie leidimus) yra būtinas gerai suplanitam, saugiam prieigos valdymui, supratimas apie IAM vaidmenis ir strategijas iš esmės yra vertinga, praktiškai svarbi AWS žinios dėl saugumo — remianti IAM pagrindus norėdami suteikti saugias prieigos šablonų ir teisingą leidimų samprotavimą kuris profesionalus AWS saugumas reikalauja, svarbi sritis kur supratimo gilumas tiesiogiai veikia saugumo padėtį.