Kaj je AWS IAM?

Question

Kaj je AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) nadzira **kdo lahko naredi kaj** v AWS — upravlja uporabnike, skupine, vloge in dovoljenja. To je temeljno za varnost AWS: vsako dejanje je avtorizirano prek IAM, zato je razumevanje tega bistvenega pomena.

## Kaj IAM upravlja

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Politike — opredelitev dovoljenj

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Politike (JSON) določajo **katera dejanja** so dovoljena/prepovedana na **katerih virih** — priložene so uporabnikom, skupinam ali vlogam, da jim odobrijo dovoljenja.

## Vloge — začasni poverilci (zelo pomembno)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Najboljše prakse

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Zakaj je to pomembno

Razumevanje IAM je bistvenega pomena, ker je temelj varnosti AWS — vsako dejanje v AWS je avtorizirano prek IAM, zato je to temeljno, nujno potrebno znanje za varno delo z AWS.

IAM nadzira **kdo lahko naredi kaj** prek svojih glavnih komponent: **uporabnike** (identitete s poverilci), **skupine** (za skupinsko upravljanje dovoljenj), **vloge** (začasno prevzete identitete) in **politike** (JSON dokumenti, ki določajo dovoljenja).

Razumevanje **politik** (opredeljevanje, katera dejanja so dovoljena na katerih virih) je potrebno za pravilno odobritev in razumevanje dovoljenj.

Razumevanje **vlog** je posebej pomembno: zagotavljajo **začasne poverilce brez dolgotrajnih ključev**, kar omogoča, da EC2 instance, Lambda funkcije in drugi storitve dostopajo do AWS virov varno **brez vgrajevanja ključev za dostop** — kritična varnostna najboljša praksa, ki se izogne resni nevarnosti nakodovanih poverilcev.

Razumevanje **najboljših praks** — posebej **najmanjšega privilegija** (odobritev samo tistih dovoljenj, ki so dejansko potrebna, ne kot širok dostop admin, omejitev obsega kakršnega koli ogrožanja), uporaba vlog za aplikacije, omogočanje MFA in varovanje glavnega računa — je bistvenega pomena za varnost AWS, saj slabe konfiguracije IAM (preširoka dovoljenja, uhajajočih poverilcev) so pogost vir varnostnih incidentov.

Ker je IAM ključavnica za ves dostop AWS in ker je njegova pravilna nastavitev temeljna za varnost (medtem ko njena napačna nastavitev povzroča resne kršitve), in ker je razumevanje uporabnikov, vlog, politik in najboljših praks, kot je najmanjši privilegij, bistvenega pomena za varno delo z AWS, je razumevanje IAM bistvenega pomena, temeljno znanje AWS — kritična varnostna tema, ki jo mora razumeti vsak uporabnik AWS, osrednja za varno uporabo AWS in izogibanje napakam pri nadzoru dostopa, ki vodijo do resnih varnostnih incidentov.