IAM rolleri ve politikaları derinlemesine nasıl çalışır?

Question

Accepted Answer

Temel IAM'nin ötesinde, **rolleri** (üstlenilen kimlikler), **politika türleri ve değerlendirmesi** (izinlerin nasıl belirlendiği) ve **hesaplar arası erişim** ve **hizmet rolleri** gibi desenler anlamak, güvenli, iyi mimarlandırılmış AWS erişim yönetimi için önemlidir.

## Rolleri derinlemesine — kimler neyi üstlenirler

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Politika türleri

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Politika değerlendirmesi (erişim nasıl kararlaştırılır)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## Neden önemli

IAM rolleri ve politikalarını derinlemesine anlamak, **güvenli, iyi mimarlandırılmış AWS erişim yönetimi** için önemlidir, bu nedenle temel IAM'nin ötesindeki değerli bir bilgidir.

**Rolleri derinlemesine anlamak** — bunların **güven politikası** (rolü kimler üstlenebilir) ve **izin politikaları** (ne yapabilir) — en önemli güvenli erişim desenlerine anahtardır: **hizmet rolleri** (EC2 örneklerinin ve Lambda işlevlerinin gömülü uzun süreli anahtarlar yerine geçici, otomatik olarak döndürülen kimlik bilgileri aracılığıyla AWS kaynaklarına erişmesini sağlama — kritik bir güvenlik uygulaması), **hesaplar arası erişim** (rol üstlenme yoluyla AWS hesapları arasında kontrollü erişim) ve **federasyon/SSO** (harici kimlikler geçici erişim için rolleri üstlenme).

Rollerin uzun süreli anahtarlar yerine geçici kimlik bilgileri sağlaması, temel bir güvenlik iyileştirmesidir.

**Politika türlerini** anlamak — kimlik-tabanlı (kullanıcıların/rollerin ne yapabileceği), kaynak-tabanlı (S3 bucket politikaları gibi bir kaynağa kimin erişebileceğini kontrol etme), izin sınırları (devredilen izinleri sınırlama) ve SCP'ler (kuruluş genelinde korkuluklar) — gerçek kuruluşlarda sofistike erişim kontrolü için gereklidir.

**Politika değerlendirme mantığını** anlamak (varsayılan reddetme; her yerde açık bir reddetme her zaman kazanır; herhangi bir sınır içinde açık bir izne ihtiyacınız vardır ve hiçbir ret yoktur) izinlerin gerçekte neyle sonuçlandığını doğru bir şekilde düşünmek için gereklidir — bu, yanlış anlaşılmanın çok geniş erişime (güvenlik riski) veya beklenmedik reddetmelere (operasyonel sürtüşme) yol açtığı yaygın bir kafa karışıklığı kaynağıdır.

Güvenli erişim yönetimi AWS güvenliğine kritik olduğundan (ve IAM yanlış yapılandırmaları ihlallerin önde gelen nedenidir) ve rolleri derinlemesine anlamak (güvenli, kimlik bilgisiz erişim desenleri için), politika türleri (katmanlı kontrol için) ve politika değerlendirmesi (izinler hakkında doğru akıl yürütme için) iyi mimarlandırılmış, güvenli erişim için gerekli olduğundan, IAM rolleri ve politikalarını derinlemesine anlamak — güvenli erişim desenlerini ve profesyonel AWS güvenliğinin gerektirdiği doğru izin akıl yürütmesini sağlamak için temel IAM'nin ötesine geçen güvenlik için değerli, pratik olarak önemli bir AWS bilgisidir, anlayış derinliğinin güvenlik duruşunu doğrudan etkilediği önemli bir alandır.