AWS IAM کیا ہے؟

Question

AWS IAM کیا ہے؟

Accepted Answer

**IAM** (Identity and Access Management) AWS میں **کون کیا کر سکتا ہے** اس کو کنٹرول کرتا ہے — صارفین، گروپس، roles، اور اختیارات کا انتظام کرتا ہے۔ یہ AWS سیکیورٹی کی بنیاد ہے: ہر عمل IAM کے ذریعے منظور ہوتا ہے، اس لیے اس کو سمجھنا ضروری ہے۔

## IAM کیا کنٹرول کرتا ہے

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — اختیارات کی تعریف

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policies (JSON) **کون سے actions** کو **کون سے resources** پر allow/deny کیا جائے اس کو بیان کرتے ہیں — صارفین، گروپس، یا roles کے ساتھ منسلک کرکے اختیارات دیے جاتے ہیں۔

## Roles — عارضی credentials (بہت اہم)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## بہترین طریقے

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## یہ کیوں اہم ہے

IAM کو سمجھنا ضروری ہے کیونکہ یہ AWS سیکیورٹی کی بنیاد ہے — AWS میں ہر عمل IAM کے ذریعے منظور ہوتا ہے، اس لیے یہ AWS کے ساتھ محفوظ طریقے سے کام کرنے کے لیے بنیادی، لازمی علم ہے۔

IAM اپنے بنیادی اجزاء کے ذریعے **کون کیا کر سکتا ہے** کو کنٹرول کرتا ہے: **صارفین** (credentials والی شناخت)، **گروپس** (اختیارات کو مجموعی طور پر منیج کرنے کے لیے)، **roles** (عارضی طور پر فرض کی جانے والی شناخت)، اور **policies** (اختیارات کی تعریف کرنے والے JSON دستاویزات)۔

**Policies** کو سمجھنا (کون سے actions کون سے resources پر allow ہیں) ضروری ہے تاکہ اختیارات کو صحیح طریقے سے دیے جا سکیں اور سمجھے جا سکیں۔

**Roles** کو سمجھنا خاص طور پر اہم ہے: یہ **طویل مدتی keys کے بغیر عارضی credentials** فراہم کرتے ہیں، EC2 instances، Lambda functions، اور دیگر services کو AWS resources تک رسائی کرنے کی سہولت دیتے ہیں **access keys کو embedded کیے بغیر** — ایک اہم سیکیورٹی بہترین طریقہ جو hardcoded credentials کے سنگین خطرے سے بچاتا ہے۔

**بہترین طریقوں** کو سمجھنا — خاص طور پر **least privilege** (صرف ان اختیارات کو دینا جو واقعی ضروری ہوں، وسیع admin access نہیں، کسی سے سمجھوتے کے دائرے کو محدود کرنا)، applications کے لیے roles استعمال کرنا، MFA فعال کرنا، اور root account کو محفوظ رکھنا — AWS سیکیورٹی کے لیے ضروری ہے، کیونکہ IAM کی غلط ترتیب (بہت وسیع permissions، leaked credentials) سیکیورٹی واقعات کا عام ذریعہ ہے۔

چونکہ IAM تمام AWS رسائی کا محافظ ہے اور اسے صحیح طریقے سے کرنا سیکیورٹی کے لیے بنیادی ہے (جبکہ اسے غلط طریقے سے کرنا سنگین خطرات کا باعث بنتا ہے)، اور چونکہ صارفین، roles، policies، اور least privilege جیسی بہترین طریقوں کو سمجھنا AWS کے ساتھ محفوظ طریقے سے کام کرنے کے لیے ضروری ہے، IAM کو سمجھنا ضروری، بنیادی AWS علم ہے — ایک اہم سیکیورٹی موضوع جو ہر AWS صارف کو سمجھنا چاہیے، AWS کو محفوظ طریقے سے استعمال کرنے کے لیے اہم ہے اور رسائی کنٹرول کی غلطیوں سے بچاتا ہے جو حقیقی سیکیورٹی واقعات کا سبب بنتی ہے۔