Hoe werken IAM-rollen en beleidsregels in detail?

Question

Accepted Answer

Verder dan basis-IAM, is het begrijpen van **rollen** (aangenomen identiteiten), **beleidstypen en evaluatie** (hoe machtigingen worden bepaald), en patronen zoals **cross-account toegang** en **servicerollen** belangrijk voor veilig, goed-gearchitecteerd AWS-toegangsbeheer.

## Rollen in detail — wie neemt wat aan

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Beleidstypen

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Beleidsevaluatie (hoe toegang wordt bepaald)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## Waarom het belangrijk is

IAM-rollen en beleidsregels in detail begrijpen is belangrijk voor **veilig, goed-gearchitecteerd AWS-toegangsbeheer**, dus het is waardevol kennis verder dan basis-IAM.

Inzicht in **rollen in detail** — hun **trust policy** (wie de rol kan aannemen) en **permission policies** (wat deze kan doen) — is essentieel voor de meest belangrijke veilige toegangspatronen: **servicerollen** (EC2-instanties en Lambda-functies toegang geven tot AWS-resources via tijdelijke, automatisch geroteerde credentials in plaats van ingebedde langdurige sleutels — een kritische beveiligingspraktijk), **cross-account toegang** (gecontroleerde toegang tussen AWS-accounts via rolfunctionaliteit), en **federatie/SSO** (externe identiteiten die rollen aannemen voor tijdelijke toegang).

Rollen die tijdelijke credentials bieden in plaats van langdurige sleutels is een fundamentale beveiligingsverbetering.

Inzicht in de **beleidstypen** — identity-based (wat gebruikers/rollen kunnen doen), resource-based (zoals S3-bucketbeleidsregels die bepalen wie een resource kan benaderen), permission boundaries (het begrenzen van gedelegeerde machtigingen), en SCPs (organisatiebrede richtlijnen) — is noodzakelijk voor geavanceerde toegangscontrole in echte organisaties.

Inzicht in **beleidsevaluatielogica** (standaard weigeren; een expliciete weigering ergens wint altijd; u hebt een expliciete toestemming nodig binnen alle grenzen en geen weigering) is essentieel voor correct redeneren over wat machtigingen werkelijk tot gevolg hebben — een veel voorkomende bron van verwarring waarbij misverstand leidt tot machtigingen die te breed zijn (beveiligingsrisico) of onverwachte weigering (operationele wrijving).

Aangezien veilig toegangsbeheer kritiek is voor AWS-veiligheid (en IAM-misconfiguraties een vooraanstaande oorzaak van inbreuken zijn), en aangezien inzicht in rollen diepgaand (voor veilige toegangspatronen zonder credentials), beleidstypen (voor gelaagde controle), en beleidsevaluatie (voor correct redeneren over machtigingen) noodzakelijk is voor goed-gearchitecteerd, veilig toegang, is inzicht in IAM-rollen en beleidsregels in detail waardevolle, praktisch belangrijke AWS-kennis voor beveiliging — voortbouwend op basis-IAM om de veilige toegangspatronen en correct machtigingsredenering mogelijk te maken die professionele AWS-beveiliging vereist, een belangrijk gebied waar diepgaand inzicht rechtstreeks de veiligheidsstatus beïnvloedt.