Какие основные компоненты IAM, и зачем нужен каждый из них?

IAM пользователи

IAM пользователь — это человек или сервис, который взаимодействует с AWS. Пользователи могут входить в AWS Management Console и выполнять задачи. Это основной тип идентификации в IAM.

IAM группы

IAM группа — это набор IAM пользователей, который упрощает управление правами в больших масштабах. Вместо того, чтобы назначать права каждому пользователю отдельно, ты можешь назначить права группе и добавлять или удалять пользователей по мере необходимости. Это удобно для управления большим количеством пользователей.

IAM роли

IAM роль — это идентификация с назначенными правами, но без постоянных учётных данных (пароли или ключи доступа). Роли обычно используются, чтобы выдать временный доступ пользователям, приложениям или сервисам AWS для выполнения конкретных задач.

IAM права доступа

IAM поддерживает два типа прав доступа:

• Права доступа на основе идентификации: присоединяются к пользователям, группам или ролям, чтобы выдать доступ к ресурсам и операциям AWS
• Права доступа на основе ресурсов: присоединяются напрямую к ресурсам (таким как S3 бакеты или Glacier хранилища), чтобы указать, какие идентификации могут их использовать

IAM политики

IAM политика — это JSON документ, который формально определяет права доступа, указывая три ключевых элемента:

• Действия: операции, которые разрешены или запрещены
• Ресурсы: ресурсы AWS, к которым применяются операции
• Эффект: разрешение — Allow или Deny

Политики можно присоединять к пользователям, группам или ролям, чтобы контролировать доступ во всём твоём AWS окружении.