AWS IAM คืออะไร?

Question

AWS IAM คืออะไร?

Accepted Answer

**IAM** (Identity and Access Management) ควบคุม **ว่าใครสามารถทำอะไรได้บ้าง** ใน AWS — จัดการ users, groups, roles และ permissions เป็นพื้นฐานของความปลอดภัยใน AWS: ทุกการกระทำได้รับการอนุญาตผ่าน IAM ดังนั้นการเข้าใจมันจึงเป็นสิ่งจำเป็น

## IAM จัดการอะไร

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — การกำหนด permissions

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policies (JSON) ระบุ **ว่า action ใด** ได้รับอนุญาต/ถูกปฏิเสธบน **resource ใด** — แนบเข้ากับ users, groups หรือ roles เพื่อมอบ permissions

## Roles — temporary credentials (สำคัญมาก)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## แนวปฏิบัติที่ดี

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## ทำไมจึงสำคัญ

การเข้าใจ IAM เป็นสิ่งจำเป็น เพราะเป็นรากฐานของความปลอดภัยใน AWS — ทุกการกระทำใน AWS ได้รับการอนุญาตผ่าน IAM จึงเป็นความรู้พื้นฐานที่ต้องรู้สำหรับการทำงานกับ AWS อย่างปลอดภัย

IAM ควบคุม **ว่าใครสามารถทำอะไรได้บ้าง** ผ่านองค์ประกอบหลัก: **users** (identities ที่มี credentials), **groups** (สำหรับจัดการ permissions ร่วมกัน), **roles** (identities ที่ถูก assume ชั่วคราว) และ **policies** (เอกสาร JSON ที่กำหนด permissions)

การเข้าใจ **policies** (ระบุว่า action ใดได้รับอนุญาตบน resource ใด) มีความจำเป็นต่อการมอบและเข้าใจ permissions อย่างถูกต้อง

การเข้าใจ **roles** มีความสำคัญเป็นพิเศษ: มันให้ **temporary credentials โดยไม่ต้องมี key ที่อยู่ถาวร** ทำให้ EC2 instances, Lambda functions และบริการอื่น ๆ เข้าถึง resource ของ AWS ได้อย่างปลอดภัย **โดยไม่ต้องฝัง access keys** — เป็นแนวปฏิบัติด้านความปลอดภัยที่สำคัญซึ่งหลีกเลี่ยงความเสี่ยงร้ายแรงของ credentials ที่ hardcode ไว้

การเข้าใจ **แนวปฏิบัติที่ดี** — โดยเฉพาะ **least privilege** (มอบเฉพาะ permissions ที่จำเป็นจริง ไม่ใช่สิทธิ์ admin แบบกว้าง จำกัด blast radius ของการถูกเจาะระบบ), การใช้ roles สำหรับแอปพลิเคชัน, การเปิดใช้ MFA และการปกป้อง root account — เป็นสิ่งจำเป็นสำหรับความปลอดภัยของ AWS เนื่องจากการตั้งค่า IAM ผิดพลาด (permissions ที่กว้างเกินไป, credentials ที่รั่วไหล) เป็นแหล่งที่มาทั่วไปของเหตุการณ์ด้านความปลอดภัย

เนื่องจาก IAM เป็นผู้คุมประตูสำหรับการเข้าถึง AWS ทั้งหมด และการทำให้ถูกต้องเป็นพื้นฐานของความปลอดภัย (ในขณะที่การทำผิดพลาดก่อให้เกิดข้อมูลรั่วไหลร้ายแรง) และเนื่องจากการเข้าใจ users, roles, policies และแนวปฏิบัติที่ดีอย่าง least privilege เป็นสิ่งจำเป็นต่อการทำงานกับ AWS อย่างปลอดภัย การเข้าใจ IAM จึงเป็นความรู้พื้นฐานที่จำเป็นเกี่ยวกับ AWS — หัวข้อความปลอดภัยที่สำคัญที่ผู้ใช้ AWS ทุกคนต้องเข้าใจ เป็นศูนย์กลางของการใช้ AWS อย่างปลอดภัยและการหลีกเลี่ยงความผิดพลาดในการควบคุมการเข้าถึงที่นำไปสู่เหตุการณ์ด้านความปลอดภัยจริง