AWS IAM nedir?

Question

AWS IAM nedir?

Accepted Answer

**IAM** (Kimlik ve Erişim Yönetimi), AWS'de **kimler neyi yapabilir** sorusunu kontrol eder — kullanıcıları, grupları, rolleri ve izinleri yönetir. AWS güvenliğinin temeli: her işlem IAM aracılığıyla yetkilendirilir, bu nedenle bunu anlamak gereklidir.

## IAM yönettiği kaynaklar

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Politikalar — izinleri tanımlama

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Politikalar (JSON), **hangi işlemlerin** **hangi kaynaklar** üzerinde izin verildiğini/yasaklandığını belirtir — izin vermek için kullanıcılar, gruplar veya rollere eklenir.

## Roller — geçici kimlik bilgileri (çok önemli)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## En iyi uygulamalar

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Neden önemli

IAM'ı anlamak gereklidir çünkü AWS güvenliğinin temelini oluşturur — AWS'deki her işlem IAM aracılığıyla yetkilendirilir, bu nedenle AWS ile güvenli bir şekilde çalışmak için temel, vazgeçilmez bir bilgisidir.

IAM **kimler neyi yapabilir** sorusunu çekirdek bileşenleri aracılığıyla kontrol eder: **kullanıcılar** (kimlik bilgilerine sahip kimlikler), **gruplar** (izinleri toplu olarak yönetmek için), **roller** (geçici olarak kabul edilen kimlikler) ve **politikalar** (izinleri tanımlayan JSON belgeleri).

**Politikaları** (hangi işlemlerin hangi kaynaklara izin verildiğini belirtir) anlamak, izinleri doğru bir şekilde vermek ve anlamak için gereklidir.

**Rolleri** anlamak özellikle önemlidir: **uzun ömürlü anahtarlar olmadan geçici kimlik bilgileri** sağlarlar, EC2 örneklerinin, Lambda işlevlerinin ve diğer hizmetlerin AWS kaynaklarına **erişim anahtarlarını gömmeden** güvenli bir şekilde erişmesini sağlarlar — kodlandırılmış kimlik bilgilerinin ciddi riskini önleyen kritik bir güvenlik en iyi uygulaması.

**En iyi uygulamaları** anlamak — özellikle **en az ayrıcalık** (yalnızca ihtiyaç duyulan izinleri verme, geniş yönetici erişimi değil, herhangi bir uzlaşma durumunda etkilenme alanını sınırlama), uygulamalar için rolleri kullanma, MFA'yı etkinleştirme ve root hesabını koruma — AWS güvenliği için gereklidir, çünkü IAM yanlış konfigürasyonları (aşırı geniş izinler, sızan kimlik bilgileri) güvenlik olaylarının yaygın bir kaynağıdır.

IAM tüm AWS erişiminin bekçisi olduğundan ve bunu doğru yapmak güvenlik için temel olduğundan (yanlış yapmak ise ciddi ihlallere neden olduğundan), ve kullanıcılar, roller, politikalar ve en az ayrıcalık gibi en iyi uygulamaları anlamak AWS ile güvenli bir şekilde çalışmak için gerekli olduğundan, IAM'ı anlamak gereklidir, AWS'nin temel bilgisidir — her AWS kullanıcısının anlaması gereken kritik bir güvenlik konusu, AWS'yi güvenli bir şekilde kullanmak ve erişim kontrol hatalarını önlemek için merkezi bir konudur.