Aws Iam
DodaTech
2 min read
title: "Cum să gestionezi permisiunile cu IAM în AWS — Ghid rapid" description: "Creare utilizatori IAM, grupuri, roluri și politici de securitate pentru controlul accesului în AWS" weight: 929 date: 2025-01-15 draft: false tags: [aws, iam, securitate, permisiuni, quick-fix]
AWS IAM (Identity and Access Management) este serviciul care îți permite să controlezi cine și ce acțiuni poate executa în contul tău AWS, gestionând utilizatori, grupuri, roluri și politici.
Problema
Fără IAM, folosești un singur utilizator root pentru toate operațiunile, crescând riscul de securitate. O cheie compromisă a contului root poate duce la pierderea completă a controlului asupra resurselor AWS.
Abordarea Greșită
# Folosirea cheilor contului root în scripturi
export AWS_ACCESS_KEY_ID=AKIA...ROOT
export AWS_SECRET_ACCESS_KEY=...secret_root...
Abordarea Corectă
Creează utilizatori IAM cu permisiuni minime:
# Creare utilizator
aws iam create-user --user-name developer
# Creare grup
aws iam create-group --group-name developeri
# Adăugare utilizator în grup
aws iam add-user-to-group --user-name developer --group-name developeri
# Atașare politică gestionată
aws iam attach-group-policy \
--group-name developeri \
--policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
# Generare chei de acces
aws iam create-access-key --user-name developer
Output:
{
"AccessKey": {
"AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
}
}
Roluri și Politici Personalizate
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:::bucket-de-proiect/*"
}]
}
# Creare rol pentru Lambda
aws iam create-role \
--role-name lambda-s3-role \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {"Service": "lambda.amazonaws.com"},
"Action": "sts:AssumeRole]
}]
}'
Greșeli Comune
- Acces root pentru sarcini zilnice — creează utilizatori IAM cu permisiuni limitate.
- Politici prea permisive — nu folosi
"Action": "*"și"Resource": "*"împreună. - Chei de acces neînvârtite — rotește cheile periodic; șterge cheile nefolosite.
- Roluri fără trusted entity — limitează ce servicii pot assume fiecare rol.
- Ignorarea condițiilor — adaugă
"Condition"pentru IP, MFA sau timing.
FAQ
Construit de dezvoltătorii Doda Browser, DodaZIP și Durga Antivirus Pro. DodaTech integrează securitatea în fiecare soluție cloud.
Built by the developers of DodaTech
Doda Browser, DodaZIP & Durga Antivirus Pro