IAM roles र policies गहिराइमा कसरी काम गर्छन्?

Question

Accepted Answer

आधारभूत IAM भन्दा परे, **roles** (assumed identities), **policy types र evaluation** (कसरी permissions निर्धारण गरिन्छ), र **cross-account access** र **service roles** जस्ता patterns बुझ्नु सुरक्षित, राम्रो-आर्किटेक्चर गरिएको AWS access management को लागि महत्त्वपूर्ण छ।

## Roles गहिराइमा — कसले के assume गर्छ

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Policy types

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Policy evaluation (कसरी access निर्णय गरिन्छ)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## किन महत्त्वपूर्ण छ

IAM roles र policies गहिराइमा बुझ्नु **सुरक्षित, राम्रो-आर्किटेक्चर गरिएको AWS access management** को लागि महत्त्वपूर्ण छ, त्यसैले IAM basics भन्दा परे यो मूल्यवान ज्ञान हो।

**Roles गहिराइमा** बुझ्नु — तिनको **trust policy** (कसले role assume गर्न सक्छ) र **permission policies** (यसले के गर्न सक्छ) — सबैभन्दा महत्त्वपूर्ण सुरक्षित access patterns को लागि कुञ्जी हो: **service roles** (EC2 instances र Lambda functions लाई temporary, auto-rotated credentials मार्फत AWS resources access गर्न दिनु, embedded long-lived keys को सट्टा — एक गुरुत्वपूर्ण सुरक्षा अभ्यास), **cross-account access** (role assumption मार्फत AWS accounts बीच नियन्त्रित access), र **federation/SSO** (बाहिरी identities temporary access को लागि roles assume गर्दै)।

Roles द्वारा temporary credentials प्रदान गरिनु long-lived keys को सट्टा एक आधारभूत सुरक्षा सुधार हो।

**Policy types** बुझ्नु — identity-based (users/roles ले के गर्न सक्छन्), resource-based (जस्तो S3 bucket policies जसले कसले resource access गर्न सक्छ नियन्त्रण गर्छ), permission boundaries (delegated permissions लाई सीमित गर्दै), र SCPs (organization-wide guardrails) — वास्तविक organizations मा sophisticated access control को लागि आवश्यक छ।

**Policy evaluation logic** बुझ्नु (default deny; कहीँ पनि एक explicit deny सधैँ जित्छ; तपाईंलाई कुनै पनि boundaries भित्र explicit allow चाहिन्छ र कोनो deny छैन) permissions को बारेमा सही तरिकाले कारण गर्न आवश्यक छ — एक सामान्य स्रोत भ्रम जहाँ गलतफहमीले या त अत्यधिक broad access (सुरक्षा जोखिम) वा अप्रत्याशित denials (operational friction) मा नेतृत्व गर्छ।

सुरक्षित access management AWS security को लागि गुरुत्वपूर्ण छ (र IAM misconfigurations breaches को एक प्रमुख कारण हो), र roles गहिराइमा बुझ्नु (सुरक्षित credential-free access patterns को लागि), policy types (layered control को लागि), र policy evaluation (permissions को बारेमा सही कारण को लागि) राम्रो-आर्किटेक्चर, सुरक्षित access को लागि आवश्यक छ, IAM basics मा निर्माण गर्न को लागि मूल्यवान, व्यावहारिक-महत्त्वपूर्ण AWS ज्ञान सुरक्षा को लागि — सुरक्षित access patterns र सही permission reasoning सक्षम गर्न जुन व्यावसायिक AWS सुरक्षा को लागि आवश्यक छ, एक महत्त्वपूर्ण क्षेत्र जहाँ समझको गहिराई सीधा सुरक्षा posture लाई असर गर्छ।