Hvordan fungerer IAM-roller og rettigheter i detalj?

Question

Accepted Answer

Utover grunnleggende IAM, er det viktig å forstå **roller** (antatt identiteter), **rettighettyper og evaluering** (hvordan tillatelser bestemmes), og mønstre som **tverrkonttilgang** og **serviceroller** for sikker, godt utformet AWS-tilgangsadministrasjon.

## Roller i detalj — hvem antar hva

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Rettighettyper

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Rettighetsevaluering (hvordan tilgang bestemmes)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## Hvorfor det har betydning

Å forstå IAM-roller og rettigheter i detalj er viktig for **sikker, godt utformet AWS-tilgangsadministrasjon**, så det er verdifull kunnskap utover IAM-grunnleggende.

Å forstå **roller i detalj** — deres **trust policy** (hvem som kan anta rollen) og **permission policies** (hva den kan gjøre) — er nøkkelen til de viktigste sikre tilgangsmønstrene: **serviceroller** (som lar EC2-instanser og Lambda-funksjoner få tilgang til AWS-ressurser via midlertidige, automatisk-roterte legitimasjonsoversettelser i stedet for innebygde langtidsnøkler — en kritisk sikkerhetspraksis), **tverrkonttilgang** (kontrollert tilgang mellom AWS-kontoer via rolleantaking), og **federation/SSO** (eksterne identiteter som antar roller for midlertidig tilgang).

Roller som gir midlertidlige legitimasjonsoversettelser i stedet for langtidsnøkler er en grunnleggende sikkerhetsforebedring.

Å forstå **rettighetstypene** — identitetsbaserte (hva brukere/roller kan gjøre), ressursbaserte (som S3-bucket-rettighetspolicyer som kontrollerer hvem som kan få tilgang til en ressurs), tillatelsesgrenser (som begrenser delegerte rettigheter), og SCPer (organisasjonsomfattende sikkerhetsvirkemidler) — er nødvendig for sofistikert tilgangskontroll i virkelige organisasjoner.

Å forstå **rettighetsevalueringslogikk** (standardnekt; en eksplisitt nekt hvor som helst vinner alltid; du trenger en eksplisitt tillating innenfor eventuelle grenser og ingen nekt) er viktig for å resonnere korrekt om hvilke tillatelser som faktisk resulterer — en vanlig kilde til forvirring der manglende forståelse fører til enten for brede tillatelser (sikkerhetsrisiko) eller uventede nekter (operasjonell friksjon).

Fordi sikker tilgangsadministrasjon er kritisk for AWS-sikkerhet (og IAM-feiltilpasninger er en ledende årsak til brudd), og fordi å forstå roller i dybden (for sikre legitimasjonsløse tilgangsmønstre), rettighetstypene (for lagdelt kontroll), og rettighetsevaluering (for korrekt resonnering om tillatelser) er nødvendig for godt utformet, sikker tilgang, er forståelse av IAM-roller og rettigheter i detalj verdifull, praktisk viktig AWS-kunnskap for sikkerhet — bygger på IAM-grunnleggende for å muliggjøre de sikre tilgangsmønstrene og korrekte rettighetersonnering som profesjonell AWS-sikkerhet krever, et viktig område der dybden av forståelse direkte påvirker sikkerhetsstilling.