Что такое AWS IAM?

Question

Что такое AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management — управление идентификацией и доступом) контролирует **кто может делать что** в AWS — управляет пользователями, группами, ролями и разрешениями. Это основа безопасности AWS: каждое действие авторизуется через IAM, поэтому понимание IAM необходимо.

## Что управляет IAM

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Политики — определение разрешений

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Политики (JSON) определяют **какие действия** разрешены/запрещены на **каких ресурсах** — прикрепляются к пользователям, группам или ролям для предоставления разрешений.

## Роли — временные учетные данные (очень важно)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Лучшие практики

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Почему это важно

Понимание IAM необходимо, потому что это основа безопасности AWS — каждое действие в AWS авторизуется через IAM, поэтому это фундаментальное, обязательное знание для безопасной работы с AWS.

IAM контролирует **кто может делать что** через свои основные компоненты: **пользователи** (идентификационные данные с учетными данными), **группы** (для коллективного управления разрешениями), **роли** (временно принимаемые идентификационные данные) и **политики** (JSON-документы, определяющие разрешения).

Понимание **политик** (определяющих какие действия разрешены на каких ресурсах) необходимо для правильного предоставления и понимания разрешений.

Понимание **ролей** особенно важно: они предоставляют **временные учетные данные без долгоживущих ключей**, позволяя экземплярам EC2, функциям Lambda и другим сервисам безопасно получать доступ к ресурсам AWS **без встраивания ключей доступа** — критическая лучшая практика безопасности, которая избегает серьезного риска жестко закодированных учетных данных.

Понимание **лучших практик** — особенно **принципа наименьших привилегий** (предоставление только необходимых разрешений, а не широкого доступа администратора, ограничение масштаба любого компрометирования), использование ролей для приложений, включение MFA и защита корневого аккаунта — необходимо для безопасности AWS, так как неправильные конфигурации IAM (чрезмерно широкие разрешения, утекшие учетные данные) являются частым источником инцидентов безопасности.

Поскольку IAM — это главный контролер всего доступа AWS и правильная его работа фундаментальна для безопасности (а неправильная работа вызывает серьезные взломы), и поскольку понимание пользователей, ролей, политик и лучших практик, таких как принцип наименьших привилегий, необходимо для безопасной работы с AWS, понимание IAM является необходимым, фундаментальным знанием AWS — критической темой безопасности, которую должен понять каждый пользователь AWS, центральной для безопасного использования AWS и избежания ошибок контроля доступа, которые приводят к реальным инцидентам безопасности.