Ce este AWS IAM?

Question

Ce este AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) controlează **cine poate face ce** în AWS — gestionând utilizatori, grupuri, roluri și permisiuni. Este fundamental pentru securitatea AWS: fiecare acțiune este autorizată prin IAM, deci înțelegerea acestuia este esențială.

## Ce gestionează IAM

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Politici — definirea permisiunilor

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Politicile (JSON) specifică **care acțiuni** sunt permise/refuzate pe **care resurse** — atașate utilizatorilor, grupurilor sau rolurilor pentru a acorda permisiuni.

## Roluri — credențiale temporare (foarte important)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Bune practici

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## De ce conteaza

Înțelegerea IAM este esențială deoarece este fundamentul securității AWS — fiecare acțiune în AWS este autorizată prin IAM, deci este o cunoaștere fundamentală și obligatorie pentru a lucra cu AWS în siguranță.

IAM controlează **cine poate face ce** prin componentele sale principale: **utilizatori** (identități cu credențiale), **grupuri** (pentru gestionarea colectivă a permisiunilor), **roluri** (identități asumate temporar) și **politici** (documente JSON care definesc permisiunile).

Înțelegerea **politicilor** (specificând care acțiuni sunt permise pe care resurse) este necesară pentru a acorda și înțelege permisiunile corect.

Înțelegerea **rolurilor** este deosebit de importantă: ele furnizează **credențiale temporare fără chei de lungă durată**, permițând instanțelor EC2, funcțiilor Lambda și altor servicii să acceseze resursele AWS în siguranță **fără a încorpora chei de acces** — o practică de securitate critică care evită riscul grav al credențialelor hardcodate.

Înțelegerea **practicilor recomandate** — în special **least privilege** (acordarea doar a permisiunilor efectiv necesare, nu accesul de administrator larg, limitând raza de impact a oricărei compromisuri), utilizarea rolurilor pentru aplicații, activarea MFA și protejarea contului root — este esențială pentru securitatea AWS, deoarece misconfigurările IAM (permisiuni prea largi, credențiale scurse) sunt o sursă comună de incidente de securitate.

Deoarece IAM este portarul pentru toate accesele AWS și a-l implementa corect este fundamental pentru securitate (în timp ce a-l implementa greșit provoacă breșe grave), și deoarece înțelegerea utilizatorilor, rolurilor, politicilor și practicilor recomandate cum ar fi least privilege este esențială pentru a lucra cu AWS în siguranță, înțelegerea IAM este cunoaștere AWS esențială și fundamentală — un subiect de securitate critic pe care fiecare utilizator AWS trebuie să-l înțeleagă, central pentru a utiliza AWS în siguranță și pentru a evita greșelile de control al accesului care duc la incidente de securitate reale.