O que é AWS IAM?

Question

O que é AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) controla **quem pode fazer o quê** na AWS — gerenciando usuários, grupos, funções e permissões. É fundamental para a segurança da AWS: toda ação é autorizada através do IAM, portanto entender isso é essencial.

## O que o IAM gerencia

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — definindo permissões

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policies (JSON) especificam **quais ações** são permitidas/negadas em **quais recursos** — anexadas a usuários, grupos ou funções para conceder permissões.

## Funções — credenciais temporárias (muito importante)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Melhores práticas

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Por que isso importa

Entender IAM é essencial porque é a base da segurança da AWS — toda ação na AWS é autorizada através do IAM, portanto é conhecimento fundamental e imprescindível para trabalhar com AWS com segurança.

O IAM controla **quem pode fazer o quê** através de seus componentes principais: **usuários** (identidades com credenciais), **grupos** (para gerenciar permissões coletivamente), **funções** (identidades assumidas temporariamente) e **policies** (documentos JSON que definem permissões).

Entender **policies** (especificando quais ações são permitidas em quais recursos) é necessário para conceder e entender permissões corretamente.

Entender **funções** é particularmente importante: elas fornecem **credenciais temporárias sem chaves de longa vida**, permitindo que instâncias EC2, funções Lambda e outros serviços acessem recursos da AWS com segurança **sem incorporar chaves de acesso** — uma prática de segurança crítica que evita o risco grave de credenciais codificadas.

Entender as **melhores práticas** — especialmente **least privilege** (concedendo apenas as permissões realmente necessárias, não acesso amplo de admin, limitando o raio de explosão de qualquer comprometimento), usar funções para aplicações, habilitar MFA e proteger a conta raiz — é essencial para a segurança da AWS, pois configurações incorretas do IAM (permissões excessivamente amplas, credenciais vazadas) são uma fonte comum de incidentes de segurança.

Como o IAM é o porteiro para todo acesso à AWS e acertá-lo é fundamental para a segurança (enquanto errá-lo causa brechas sérias), e como entender usuários, funções, policies e melhores práticas como least privilege é essencial para trabalhar com AWS com segurança, entender IAM é conhecimento essencial e fundamental da AWS — um tópico crítico de segurança que todo usuário da AWS deve entender, central para usar AWS com segurança e evitar os erros de controle de acesso que levam a incidentes de segurança reais.