X'inhu AWS IAM?

Question

X'inhu AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) jikkontrolla **min jista' jagħmel x'inhu** f'AWS — jimmaniġġja users, gruppi, roles, u permessi. Huwa fundamentali għas-sigurtà ta' AWS: kull azzjoni hija awtorizzata permezz ta' IAM, għalhekk il-fehim tiegħu huwa essenzjali.

## X'jummaniġġja IAM

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — tiddefinixxi permessi

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policies (JSON) jispeċifikaw **liema azzjonijiet** huma allowed/denied fuq **liema riżorsi** — attachment għal users, gruppi, jew roles biex ikkonċedu permessi.

## Roles — kredenzjali temporanji (importanti ħafna)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Aħjar prattiki

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Għaliex huwa importanti

Il-fehim ta' IAM huwa essenzjali għaliex huwa l-assodju tal-sigurtà ta' AWS — kull azzjoni f'AWS hija awtorizzata permezz ta' IAM, għalhekk huwa fundamentali, għarfien li-must-know għat-ħidma ma' AWS b'mod sigur.

IAM jikkontrolla **min jista' jagħmel x'inhu** permezz tal-komponenti ċentrali tiegħu: **users** (identitajiet ma' kredenzjali), **gruppi** (għammaniġġja permessi b'mod kollettiv), **roles** (identitajiet temporanjament assunti), u **policies** (dokumenti JSON li jiddefinixxi permessi).

Il-fehim ta' **policies** (li jispeċifikaw liema azzjonijiet huma allowed fuq liema riżorsi) huwa neċessarju biex ikkonċedu u nifhmu permessi b'mod korrett.

Il-fehim ta' **roles** huwa partikolarment importanti: huma jipprovdu **kredenzjali temporanji mingħajr it-twal-ħajja-keys**, li jippermettu EC2 instances, Lambda functions, u servizzi oħra jacceddu riżorsi AWS b'mod sigur **mingħajr l-embedding ta' access keys** — prattika best-practice kritika ta' sigurtà li tevita r-riskju serju ta' kredenzjali hardcoded.

Il-fehim tal-**aħjar prattiki** — speċjalment **least privilege** (jikkonċedi biss il-permessi effettivament meħtieġa, mhux aċċess admin wiesa', li jillimita l-blast radius ta' kwalunkwe kompromess), użu ta' roles għal applikazzjonijiet, enablement ta' MFA, u protezzjoni tal-kont root — huwa essenzjali għas-sigurtà ta' AWS, billi misconfigurazzjonijiet ta' IAM (permessi wiesa' ħafna, kredenzjali missuqa) huma sors komuni ta' inċidenti ta' sigurtà.

Billi IAM huwa l-gatekeeper għall-aċċess AWS kollu u l-ġib tiegħu dritt huwa fundamentali għas-sigurtà (filwaqt li l-ġib tiegħu ħażin jikkawża breaches serji), u billi l-fehim ta' users, roles, policies, u aħjar prattiki bħal least privilege huwa essenzjali għat-ħidma ma' AWS b'mod sigur, il-fehim ta' IAM huwa essenzjali, fundamentali għarfien ta' AWS — suġġett kritiku ta' sigurtà li kull user ta' AWS irid ifhem, ċentrali għall-użu ta' AWS b'mod sigur u l-evitar tal-iżbalji ta' access-control li jwasslu għal inċidenti ta' sigurtà reali.