Identity and Access Managment

É o serviço que controla os acessos aos recursos e a criação e gestão de usuários. Funciona para global, não é dividida por regiões.

O IAM controla quem tem acesso ao que

Autenticação: Quem vai ter acesso, é a parte que gere usuário e senha Autorizações: Acessar o que. Permissões, roles e grupos.

Identity Providers: Maneiras externas de provisionar identidade, como por exemplo o SSO da microsoft que o banco usa

User é uma pessoa ou Serviço que interage com a cloud. Precisa ter nome único, pode ter Access Key para acesso via SDK, pode ter MFA para aumentar ainda mais a segurança. Token via software ou hardware ou SMS ou push em alguns autenticadores. Pode ser virtual via autenticadores como o Google Authenticator, ou um device físico como os tokens antigos de banco ou uma chave que gera para ser usada

Groups facilita a gestão dos acessos para grupos de usuários, podendo liberar acessos especificos para um grupo como um todo ao invés de 1 por 1.

Role Utiliza Policies mas são os papéis, cada grupo ou usuário pode assumir uma ou mais role, facilita a gestão das policies centralizando várias em uma única role. Isso permite por exemplo que um grupo de máquinas do EC2 tenha uma role que permita ter acesso aos buckets S3

Policies

Define quem acessa aos recursos, determina tanto grupos quanto users quem tem acesso aos recursos, quais ações podem ser usadas. Exemplo de policie: Grupo1 get S3.bucket1. São escritas em formato JSON

Managed Policies criadas pela AWS, com atualização automática, gerenciamento centralizado Inline policies: criadas pelos usuários, permitem maior granularidade e customização.