Apakah itu AWS IAM?

Question

Apakah itu AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) mengawal **siapa boleh buat apa** dalam AWS — menguruskan pengguna, kumpulan, peranan, dan kebenaran. Ia adalah asas kepada keselamatan AWS: setiap tindakan diberi kebenaran melalui IAM, jadi memahaminya adalah penting.

## Apa yang IAM uruskan

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — menentukan kebenaran

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policies (JSON) menentukan **apa tindakan** yang dibenarkan/dinafikan pada **sumber yang mana** — dilampirkan kepada pengguna, kumpulan, atau peranan untuk memberikan kebenaran.

## Roles — kelayakan sementara (sangat penting)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Amalan terbaik

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Mengapa ia penting

Memahami IAM adalah penting kerana ia merupakan asas keselamatan AWS — setiap tindakan dalam AWS diberi kebenaran melalui IAM, jadi ia merupakan pengetahuan asas yang mesti diketahui untuk bekerja dengan AWS secara selamat.

IAM mengawal **siapa boleh buat apa** melalui komponen terasnya: **users** (identiti dengan kelayakan), **groups** (untuk menguruskan kebenaran secara kolektif), **roles** (identiti yang diandaikan sementara), dan **policies** (dokumen JSON yang menentukan kebenaran).

Memahami **policies** (menentukan tindakan mana yang dibenarkan pada sumber mana) adalah perlu untuk memberi dan memahami kebenaran dengan betul.

Memahami **roles** amat penting: ia menyediakan **kelayakan sementara tanpa kunci jangka panjang**, membolehkan EC2 instances, Lambda functions, dan perkhidmatan lain mengakses sumber AWS dengan selamat **tanpa membenamkan access keys** — satu amalan terbaik keselamatan kritikal yang mengelakkan risiko serius kelayakan hardcoded.

Memahami **amalan terbaik** — terutamanya **least privilege** (memberi hanya kebenaran yang benar-benar diperlukan, bukan akses admin yang luas, mengehadkan kesan letupan mana-mana kompromi), menggunakan roles untuk aplikasi, mendayakan MFA, dan melindungi akaun root — adalah penting untuk keselamatan AWS, kerana salah konfigurasi IAM (kebenaran yang terlalu luas, kelayakan yang bocor) ialah punca biasa insiden keselamatan.

Memandangkan IAM ialah penjaga pintu bagi semua akses AWS dan menjadikannya betul adalah asas kepada keselamatan (manakala menjadikannya salah menyebabkan pelanggaran serius), dan memandangkan memahami users, roles, policies, dan amalan terbaik seperti least privilege adalah penting untuk bekerja dengan AWS secara selamat, memahami IAM ialah pengetahuan asas AWS yang penting — topik keselamatan kritikal yang setiap pengguna AWS mesti fahami, teras kepada penggunaan AWS dengan selamat dan mengelakkan kesilapan kawalan akses yang membawa kepada insiden keselamatan sebenar.