Kako delujejo vloge in pravilila IAM poglobljeno?

Question

Accepted Answer

Poleg osnovnega IAM-a je razumevanje **vlog** (prevzetih identitet), **vrst pravilil in njihove evaluacije** (kako se določijo dovoljenj) ter vzorcev, kot so **dostop med računi** in **vloge storitev**, pomembno za varno in dobro arhitekturirano upravljanje dostopa v AWS-u.

## Vloge poglobljeno — kdo prevzame kaj

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Vrste pravilil

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Evaluacija pravilil (kako se odloči o dostopu)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## Zakaj je to pomembno

Razumevanje vlog in pravilil IAM poglobljeno je pomembno za **varno in dobro arhitekturirano upravljanje dostopa v AWS-u**, zato je to dragoceno znanje preko osnov IAM-a.

Razumevanje **vlog poglobljeno** — njihove **politike zaupanja** (kdo lahko prevzame vlogo) in **pravilil dovoljenj** (kaj lahko počne) — je ključno za najbolj važne varne vzorce dostopa: **vloge storitev** (omogočanje instancam EC2 in funkcijam Lambda, da dostopajo do virov AWS preko začasnih, avtomatsko obrnjenih poverilnic namesto vdelanih dolgoročnih ključev — kritična varnostna praksa), **dostop med računi** (nadzorovan dostop med računi AWS preko prevzema vlog) in **federacija/SSO** (zunanje identitete, ki prevzemajo vloge za začasen dostop).

Vloge, ki zagotavljajo začasne poverilnice namesto dolgoročnih ključev, so temeljno varnostno izboljšavo.

Razumevanje **vrst pravilil** — na osnovi identitete (kaj lahko počnejo uporabniki/vloge), na osnovi virov (kot so pravilila vedra S3, ki nadzirajo, kdo lahko dostopa do vira), meje dovoljenj (omejitev delegiranih dovoljenj) in SCP-ji (organizacijski varnostni ukrepi) — je potrebno za napredni nadzor dostopa v resničnih organizacijah.

Razumevanje **logike evaluacije pravilil** (privzeto zavrnitev; izrecna zavrnitev kjerkoli vedno zmaga; potrebujete izrecno dovolitev v mejah in brez zavrnitvе) je bistveno za pravilno razmišljanje o tem, kakšna dovoljenja v resnici nastanejo — pogost vir zmede, kjer nepravilno razumevanje vodi bodisi do preširoko dovoljenih dostopov (varnostno tveganje) bodisi do nepričakovanih zavrnitev (operativne težave).

Ker je varen upravljanje dostopa kritično za varnost AWS-a (in napačne konfiguracije IAM-a so vodilni vzrok primerov kršenja varnosti) in ker je razumevanje vlog poglobljeno (za varne vzorce dostopa brez poverilnic), vrst pravilil (za slojevit nadzor) in evaluacije pravilil (za pravilno razmišljanje o dovoljenjih) potrebno za dobro arhitekturirani, varen dostop, je razumevanje vlog in pravilil IAM poglobljeno dragoceno, praktično pomembno znanje AWS-a za varnost — gradnja na osnovah IAM-a, da omogoči varne vzorce dostopa in pravilno razmišljanje o dovoljenjih, ki jih zahteva profesionalna varnost AWS-a, pomembno področje, kjer globina razumevanja neposredno vpliva na varnostni položaj.