Como funcionam as funções e políticas do IAM em profundidade?

Question

Accepted Answer

Além do IAM básico, entender **funções** (identidades assumidas), **tipos de políticas e avaliação** (como as permissões são determinadas), e padrões como **acesso entre contas** e **funções de serviço** é importante para o gerenciamento de acesso AWS seguro e bem arquitetado.

## Funções em profundidade — quem assume o quê

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Tipos de política

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Avaliação de política (como o acesso é decidido)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## Por que isso importa

Entender as funções e políticas do IAM em profundidade é importante para o **gerenciamento de acesso AWS seguro e bem arquitetado**, portanto é um conhecimento valioso além do IAM básico.

Entender **funções em profundidade** — sua **política de confiança** (quem pode assumir a função) e **políticas de permissão** (o que ela pode fazer) — é essencial para os padrões de acesso seguro mais importantes: **funções de serviço** (permitindo que instâncias EC2 e funções Lambda acessem recursos AWS por meio de credenciais temporárias auto-rotacionadas em vez de chaves de longa duração incorporadas — uma prática crítica de segurança), **acesso entre contas** (acesso controlado entre contas AWS via assunção de função), e **federação/SSO** (identidades externas assumindo funções para acesso temporário).

Funções fornecendo credenciais temporárias em vez de chaves de longa duração é uma melhoria fundamental de segurança.

Entender os **tipos de política** — baseadas em identidade (o que usuários/funções podem fazer), baseadas em recurso (como políticas de bucket S3 controlando quem pode acessar um recurso), limites de permissão (limitando permissões delegadas), e SCPs (guardrails em toda a organização) — é necessário para controle de acesso sofisticado em organizações reais.

Entender a **lógica de avaliação de política** (negação padrão; uma negação explícita em qualquer lugar sempre vence; você precisa de uma permissão explícita dentro de quaisquer limites e nenhuma negação) é essencial para raciocinar corretamente sobre quais permissões realmente resultam — uma fonte comum de confusão onde mal-entendidos levam a acesso muito amplo (risco de segurança) ou negações inesperadas (atrito operacional).

Como o gerenciamento de acesso seguro é crítico para a segurança AWS (e configurações incorretas de IAM são uma das principais causas de violações), e como entender funções profundamente (para padrões de acesso sem credenciais incorporadas), tipos de política (para controle em camadas), e avaliação de política (para raciocínio correto sobre permissões) é necessário para acesso bem arquitetado e seguro, entender as funções e políticas do IAM em profundidade é conhecimento AWS valioso e praticamente importante para segurança — construindo sobre o IAM básico para habilitar os padrões de acesso seguro e raciocínio de permissão correto que a segurança AWS profissional exige, uma área importante onde a profundidade de compreensão afeta diretamente a postura de segurança.