Wat is AWS IAM?

Question

Wat is AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) controleert **wie wat kan doen** in AWS — het beheren van gebruikers, groepen, rollen en machtigingen. Het is fundamenteel voor AWS-beveiliging: elke actie wordt geautoriseerd via IAM, dus het begrijpen ervan is essentieel.

## Wat IAM beheert

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Beleid — machtigingen definiëren

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Beleid (JSON) specificeert **welke acties** zijn toegestaan/geweigerd op **welke resources** — gekoppeld aan gebruikers, groepen of rollen om machtigingen te verlenen.

## Rollen — tijdelijke inloggegevens (zeer belangrijk)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Best practices

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Waarom het belangrijk is

IAM begrijpen is essentieel omdat het de basis van AWS-beveiliging is — elke actie in AWS wordt geautoriseerd via IAM, dus het is fundamentele, must-know kennis voor veilig werken met AWS.

IAM controleert **wie wat kan doen** via zijn kerncomponenten: **gebruikers** (identiteiten met inloggegevens), **groepen** (voor gezamenlijk beheer van machtigingen), **rollen** (tijdelijk aangenomen identiteiten) en **beleid** (JSON-documenten die machtigingen definiëren).

Beleid begrijpen (opgeven welke acties zijn toegestaan op welke resources) is nodig om machtigingen correct toe te kennen en te begrijpen.

Rollen begrijpen is vooral belangrijk: ze bieden **tijdelijke inloggegevens zonder langetermijnsleutels**, waardoor EC2-instanties, Lambda-functies en andere services veilig AWS-resources kunnen benaderen **zonder toegangssleutels in te bedden** — een kritieke beveiligingsbest practice die het ernstige risico van hardcoded referenties vermijdt.

Best practices begrijpen — vooral **least privilege** (alleen de machtigingen verlenen die werkelijk nodig zijn, niet brede beheerdersrechten, de impact van mogelijke compromissen beperken), rollen voor applicaties gebruiken, MFA inschakelen en het root-account beschermen — is essentieel voor AWS-beveiliging, aangezien IAM-misconfiguraties (te brede machtigingen, gelekte inloggegevens) een veel voorkomende bron van beveiligingsincidenten zijn.

Aangezien IAM de poortwachter is voor alle AWS-toegang en het goed doen fundamenteel is voor beveiliging (terwijl het fout doen ernstige inbreuken veroorzaakt), en aangezien het begrijpen van gebruikers, rollen, beleid en best practices als least privilege essentieel is voor veilig werken met AWS, is het begrijpen van IAM essentiële, fundamentele AWS-kennis — een kritiek beveiligingsonderwerp dat elke AWS-gebruiker moet begrijpen, centraal bij het veilig werken met AWS en het vermijden van de toegangsbeheerfouten die tot echte beveiligingsincidenten leiden.