Hva er AWS IAM?

Question

Hva er AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) kontrollerer **hvem som kan gjøre hva** i AWS — administrering av brukere, grupper, roller og tillatelser. Det er grunnleggende for AWS-sikkerhet: hver handling autoriseres gjennom IAM, så det å forstå det er essensielt.

## Hva IAM administrerer

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policyer — definering av tillatelser

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policyer (JSON) spesifiserer **hvilke handlinger** som er tillatt/forbudt på **hvilke ressurser** — knyttet til brukere, grupper eller roller for å gi tillatelser.

## Roller — midlertidige legitimasjoner (svært viktig)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Beste praksis

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Hvorfor det er viktig

Å forstå IAM er essensielt fordi det er grunnlaget for AWS-sikkerhet — hver handling i AWS autoriseres gjennom IAM, så det er grunnleggende, obligatorisk kunnskap for å arbeide med AWS på en sikker måte.

IAM kontrollerer **hvem som kan gjøre hva** gjennom dets kjernkomponenter: **brukere** (identiteter med legitimasjoner), **grupper** (for å administrere tillatelser kollektivt), **roller** (midlertidig antatte identiteter), og **policyer** (JSON-dokumenter som definerer tillatelser).

Å forstå **policyer** (som spesifiserer hvilke handlinger som er tillatt på hvilke ressurser) er nødvendig for å gi og forstå tillatelser korrekt.

Å forstå **roller** er spesielt viktig: de gir **midlertidige legitimasjoner uten langvarige nøkler**, noe som gjør det mulig for EC2-instanser, Lambda-funksjoner og andre tjenester å få tilgang til AWS-ressurser sikkert **uten å bygge inn tilgangsnøkler** — en kritisk sikkerhetspraksis som unngår den alvorlige risikoen ved hardkodede legitimasjoner.

Å forstå **beste praksis** — spesielt **minste rettighet** (å gi bare de tillatelsene som faktisk er nødvendige, ikke bredt admin-tilgang, som begrenser virkningen av eventuelle kompromisser), bruke roller for applikasjoner, aktivere MFA, og beskytte root-kontoen — er essensielt for AWS-sikkerhet, da IAM-feilkonfigurasjoner (for brede tillatelser, lekket legitimasjoner) er en vanlig kilde til sikkerhetshendelser.

Fordi IAM er portvakten for all AWS-tilgang og det å få det riktig er grunnleggende for sikkerhet (mens det å få det galt forårsaker alvorlige brudd), og fordi det å forstå brukere, roller, policyer og beste praksis som minste rettighet er essensielt for å arbeide med AWS sikkert, er det å forstå IAM essensielt, grunnleggende AWS-kunnskap — et kritisk sikkerhetstema som hver AWS-bruker må forstå, sentralt for å bruke AWS sikkert og unngå tilgangskontroll-feilene som fører til reelle sikkerhetshendelser.