Vad är AWS IAM?

Question

Vad är AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) kontrollerar **vem som kan göra vad** i AWS — hanterar användare, grupper, roller och behörigheter. Det är grundläggande för AWS-säkerhet: varje åtgärd godkänns genom IAM, så att förstå det är väsentligt.

## Vad IAM hanterar

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policyer — definiera behörigheter

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policyer (JSON) anger **vilka åtgärder** som är tillåtna/förbjudna på **vilka resurser** — kopplade till användare, grupper eller roller för att ge behörigheter.

## Roller — temporära autentiseringsuppgifter (mycket viktigt)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Bästa praxis

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Varför det spelar roll

Att förstå IAM är väsentligt eftersom det är grunden för AWS-säkerhet — varje åtgärd i AWS godkänns genom IAM, så det är grundläggande, måste-kunskap för att arbeta med AWS på ett säkert sätt.

IAM kontrollerar **vem som kan göra vad** genom dess kärnkomponenter: **användare** (identiteter med autentiseringsuppgifter), **grupper** (för att hantera behörigheter kollektivt), **roller** (tillfälligt antagna identiteter) och **policyer** (JSON-dokument som definierar behörigheter).

Att förstå **policyer** (som anger vilka åtgärder som är tillåtna på vilka resurser) är nödvändigt för att ge och förstå behörigheter korrekt.

Att förstå **roller** är särskilt viktigt: de tillhandahåller **temporära autentiseringsuppgifter utan långlivade nycklar**, vilket gör det möjligt för EC2-instanser, Lambda-funktioner och andra tjänster att få åtkomst till AWS-resurser säkert **utan att bädda in åtkomstnycklar** — en kritisk säkerhetspraxis som undviker den allvarliga risken för hårdkodade autentiseringsuppgifter.

Att förstå **bästa praxis** — särskilt **minsta behörighet** (ge endast de behörigheter som faktiskt behövs, inte bred admin-åtkomst, begränsa omfattningen av eventuell kompromiss), använda roller för applikationer, aktivera MFA och skydda rotkontot — är väsentligt för AWS-säkerhet, eftersom felaktig IAM-konfiguration (alltför breda behörigheter, läckta autentiseringsuppgifter) är en vanlig källa till säkerhetshändelser.

Eftersom IAM är grindvakten för all AWS-åtkomst och att få det rätt är grundläggande för säkerhet (medan att få det fel orsakar allvarliga intrång), och eftersom att förstå användare, roller, policyer och bästa praxis som minsta behörighet är väsentligt för att arbeta med AWS på ett säkert sätt, är det väsentligt att förstå IAM, grundläggande AWS-kunskap — ett kritiskt säkerhetstema som alla AWS-användare måste förstå, centralt för att använda AWS på ett säkert sätt och undvika de åtkomstkontrollmistag som leder till verkliga säkerhetshändelser.