Cum funcționează în profunzime rolurile și politicile IAM?

Question

Accepted Answer

Dincolo de noțiunile de bază IAM, înțelegerea **rolurilor** (identități asumate), **tipurilor și evaluării politicilor** (cum sunt determinate permisiunile), și patternuri precum **accesul cross-account** și **rolurile de serviciu** este importantă pentru managementul accesului AWS securizat și bine arhitecturat.

## Roluri în profunzime — cine asumă ce

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Tipuri de politici

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Evaluarea politicilor (cum se decide accesul)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## De ce contează

Înțelegerea rolurilor și politicilor IAM în profunzime este importantă pentru **managementul accesului AWS securizat și bine arhitecturat**, deci este cunoaștere valoroasă dincolo de noțiunile de bază IAM.

Înțelegerea **rolurilor în profunzime** — **politica lor de încredere** (cine poate asuma rolul) și **politicile de permisiune** (ce poate face) — este cheie pentru patternurile de acces securizat cele mai importante: **rolurile de serviciu** (permițând instanțelor EC2 și funcțiilor Lambda să acceseze resursele AWS prin credențiale temporare, auto-rotite, în loc de chei long-lived încorporate — o practică de securitate critică), **accesul cross-account** (acces controlat între conturile AWS prin asumarea rolului), și **federație/SSO** (identități externe asumând roluri pentru acces temporar).

Rolurile oferind credențiale temporare în loc de chei long-lived este o îmbunătățire fundamentală a securității.

Înțelegerea **tipurilor de politici** — bazate pe identitate (ce pot face utilizatorii/rolurile), bazate pe resursă (precum politicile bucket S3 controlând cine poate accesa o resursă), granițe de permisiune (limitând permisiunile delegate), și SCP-uri (guardrails la nivelul organizației) — este necesară pentru control de acces sofisticat în organizații reale.

Înțelegerea **logicii evaluării politicilor** (default deny; o denare explicită oriunde câștigă întotdeauna; trebuie o autorizare explicită în orice granițe și nicio denare) este esențială pentru a raționa corect despre ce permisiuni rezultă de fapt — o sursă comună de confuzie unde incomprensiunea duce fie la acces prea larg (risc de securitate) fie la denări neașteptate (fricțiune operațională).

Deoarece managementul accesului securizat este critic pentru securitatea AWS (și configurările greșite IAM sunt o cauză majoră a breșelor), și deoarece înțelegerea rolurilor în profunzime (pentru patternuri de acces sigure fără credențiale), tipurile de politici (pentru control stratificat), și evaluarea politicilor (pentru raționament corect despre permisiuni) este necesară pentru acces bine arhitecturat și securizat, înțelegerea rolurilor și politicilor IAM în profunzime este cunoaștere AWS valoroasă și practic importantă pentru securitate — construind pe noțiunile de bază IAM pentru a activa patternurile de acces securizat și raționamentul corect de permisiuni pe care securitatea profesională AWS le necesită, o arie importantă unde adâncimea înțelegerii afectează direct postură de securitate.