Что такое "non-explicit deny" в контексте IAM user'а, и как это влияет на его возможность доступа к AWS сервисам, когда к нему не прикреплены никакие policies?

Модель доступа по умолчанию в AWS IAM

Когда пользователь IAM создаётся без присоединённых политик, он работает по модели AWS неявного запрета. Это значит, что пользователь не может получить доступ ни к каким сервисам или ресурсам AWS, пока ему не дадут явные разрешения.

Как работает неявный запрет

• По умолчанию все запросы запрещены, если явно не разрешены политикой
• Пользователь IAM без присоединённых политик имеет нулевые разрешения
• Даже если сервис доступен в твоём AWS-аккаунте, пользователь не может с ним взаимодействовать без должной авторизации
• Это подход, ориентированный на безопасность, который предотвращает несанкционированный доступ

Почему это важно

Принцип неявного запрета гарантирует, что:

• Пользователи получают только необходимые разрешения (принцип наименьших привилегий)
• Новые пользователи не могут случайно получить доступ к чувствительным ресурсам
• Твоё AWS-окружение остаётся защищённым по умолчанию
• Доступ должен быть осознанно предоставлен через политики

Что нужно сделать

Чтобы дать пользователю IAM возможность работать с AWS-сервисами, нужно:

1. Присоединить IAM-политику к пользователю
2. Выдать конкретные разрешения для нужных сервисов и действий
3. Регулярно проверять и ревьюить разрешения

Этот подход защищает твою AWS-инфраструктуру, делая авторизацию активным, осознанным процессом, а не полаганием на разрешения по умолчанию.