Czym jest AWS IAM?

Question

Czym jest AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) kontroluje **kto może zrobić co** w AWS — zarządzając użytkownikami, grupami, rolami i uprawnieniami. Jest to fundamentem bezpieczeństwa AWS: każda akcja jest autoryzowana poprzez IAM, więc zrozumienie go jest niezbędne.

## Czym zarządza IAM

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Polityki — definiowanie uprawnień

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Polityki (JSON) określają **jakie akcje** są dozwolone/zabronione na **jakich zasobach** — są dołączane do użytkowników, grup lub ról w celu przydzielenia uprawnień.

## Role — tymczasowe poświadczenia (bardzo ważne)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Najlepsze praktyki

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Dlaczego to ważne

Zrozumienie IAM jest niezbędne, ponieważ jest to fundament bezpieczeństwa AWS — każda akcja w AWS jest autoryzowana poprzez IAM, więc jest to wiedza fundamentalna, którą trzeba znać pracując z AWS w bezpieczny sposób.

IAM kontroluje **kto może zrobić co** poprzez swoje komponenty podstawowe: **użytkowników** (tożsamości z poświadczeniami), **grupy** (do zarządzania uprawnieniami zbiorowo), **role** (tymczasowo przyjmowane tożsamości) i **polityki** (dokumenty JSON definiujące uprawnienia).

Zrozumienie **polityk** (określających jakie akcje są dozwolone na jakich zasobach) jest konieczne, aby prawidłowo przydzielać i rozumieć uprawnienia.

Zrozumienie **ról** jest szczególnie ważne: zapewniają one **tymczasowe poświadczenia bez długotrwałych kluczy**, umożliwiając instancjom EC2, funkcjom Lambda i innym usługom dostęp do zasobów AWS w bezpieczny sposób **bez osadzania kluczy dostępu** — krytyczna najlepsza praktyka, która unika poważnego ryzyka zakodowanych poświadczeń.

Zrozumienie **najlepszych praktyk** — szczególnie **najmniejszych uprawnień** (przydzielanie tylko uprawnień faktycznie potrzebnych, nie szerokiego dostępu administracyjnego, ograniczenie zasięgu każdego naruszenia), używanie ról dla aplikacji, włączanie MFA i ochrona konta root — jest niezbędne dla bezpieczeństwa AWS, ponieważ błędy konfiguracji IAM (zbyt szerokie uprawnienia, wyciekłe poświadczenia) są częstą przyczyną incydentów bezpieczeństwa.

Ponieważ IAM jest wartownikiem dla całego dostępu do AWS i prawidłowe jego skonfigurowanie jest fundamentem bezpieczeństwa (a błędne konfigurowanie powoduje poważne naruszenia), a zrozumienie użytkowników, ról, polityk i najlepszych praktyk takich jak najmniejsze uprawnienia jest niezbędne dla bezpiecznej pracy z AWS, zrozumienie IAM jest niezbędną, fundamentalną wiedzą na temat AWS — krytycznym tematem bezpieczeństwa, który każdy użytkownik AWS musi rozumieć, centralnym dla bezpiecznego korzystania z AWS i unikania błędów kontroli dostępu, które prowadzą do rzeczywistych incydentów bezpieczeństwa.