Çfarë është AWS IAM?

Question

Accepted Answer

**IAM** (Identity and Access Management) kontrollon **kush mund të bëjë çfarë** në AWS — duke menaxhuar përdoruesit, grupet, rolet dhe lejet. Është thelbësor për sigurimin e AWS: çdo veprim autorizohet përmes IAM, kështu që të kuptuarit e tij është thelbësor.

## Çfarë menaxhon IAM

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Politikat — përcaktimi i lejeve

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Politikat (JSON) specifikojnë **cilat veprime** lejohen/ndallohen në **cilat resurse** — të lidhura me përdoruesit, grupet ose rolet për të dhënë leje.

## Rolet — kredenciale të përkohshme (shumë të rëndësishme)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Praktikat më të mira

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Pse është e rëndësishme

Të kuptuarit e IAM është thelbësor sepse është themeli i sigurimit të AWS — çdo veprim në AWS autorizohet përmes IAM, kështu që është njohuri themelore, duhet të dini për të punuar me AWS me siguri.

IAM kontrollon **kush mund të bëjë çfarë** përmes komponenteve të tij bazë: **përdoruesit** (identitete me kredenciale), **grupet** (për menaxhimin kolektiv të lejeve), **rolet** (identitete të supozuara përkohësisht), dhe **politikat** (dokumentet JSON që përcaktojnë lejet).

Të kuptuarit e **politikave** (duke specifikuar cilat veprime lejohen në cilat resurse) është i nevojshëm për të dhënë dhe kuptuar lejet saktë.

Të kuptuarit e **roleve** është veçanërisht i rëndësishëm: ato ofrojnë **kredenciale të përkohshme pa çelësa afatgjatë**, duke i mundësuar instancave EC2, funksioneve Lambda dhe shërbimeve të tjera të aksesojnë burimet AWS me siguri **pa ngulitur çelësat e aksesit** — një praktikë themelore e sigurimit kritik që shmanget rreziku serioze i kredencialeve të hardkoduar.

Të kuptuarit e **praktikave më të mira** — veçanërisht **privilegji minimal** (dhënia vetëm e lejeve në të vërtetë të nevojshme, jo aksesi gjerë administrativ, kufizimi i sferës së ndikimit të ndonjë kompromisi), përdorimi i roleve për aplikacionet, aktivizimi i MFA, dhe mbrojtja e llogarisë rrënjë — është thelbësor për sigurimin e AWS, sepse gabimet e konfigurimit IAM (leje shumë të gjera, kredenciale të rrjedhura) janë një burim i zakonshëm i incidenteve të sigurimit.

Sepse IAM është portieri për të gjithë aksesit AWS dhe ta bëjmë atë saktë është thelbësor për sigurimin (ndërsa ta bëjmë të gabuar shkakton thyerje serioze), dhe sepse të kuptuarit e përdoruesve, roleve, politikave dhe praktikave më të mira si privilegji minimal është thelbësor për të punuar me AWS me siguri, të kuptuarit e IAM është njohuri AWS themelore, esenciale — një temë kritikal e sigurimit që çdo përdorues AWS duhet të kuptojë, qendror për përdorimin e AWS me siguri dhe për të shmangur gabimet e kontrollit të aksesit që çojnë në incidente reale të sigurimit.