Kimlik ve Erişim Yönetimi: Yetkiler ve İlkeler
Kimlik ve Erişim Yöntemi'nin (IAM) temel kavramlarından bir olan yetkiler, kaynaklara kimlerin erişebileceğini belirlemizi sağlar. Farklı kaynaklar için farklı kullanıcılara farklı yetkiler verilebilir. IAM'de çoğu zaman bir kaynağa erişim yetkisi doğrudan bir kullanıcıya verilmez. Bunun yerine yetki atamaları roller ve gruplar üzerinden gerçekleştirilir. Örneğin, muhasebe departmanında çalışanları bir grup altında toplayabilir ve bu oluşturulan muhasebe grubuna özel kaynak erişimi tanımayabilirsiniz. Diğer bir örnek ise, insan kaynakları departmanında çalışan kullanıcılara ait bir role tanımlayıp, yeni oluşturulan role ayrıcalıklı erişim yetkisi verebilirsiniz. Böylelikle erişim yetkisi olmayan kullanıcılar kaynaklar ile ilgili bir işlem gerçekleştiremez.
IAM varlıkları, temel olarak kullanıcılar, uygulamalar, rol ve gruplardır. Varlıklara (kullanıcı, rol, grup vb.) herhangi bir yetki ataması yapılmadığı durumlarda; IAM'lerin belirlemiş oldukları politikalar farklılık göstersede varlıklar genelde varsayılan yetkilere sahip olurlar.
Varlıklara yetki vermek için gerçekleştirilebilecek işlemleri ve işlemlerin hangi kaynaklar üzerinde gerçekleştirilebilineceğini belirten ilkeler belirleyebilirsiniz.
IAM ilkeleri, hangi kullanıcılara hangi yetki gruplarının veya rollerin nasıl verilmesi gerektiğini belirten kurallar bütünüdür. Erişimler ilkeler üzerinden IAM varlıklarına veya kaynaklara eklenerek yönetilir. Kimliği doğrulanmış bir kullanıcı bir kaynağa erişmeye çalıştığında, IAM işleme izin verilip verilmediğini belirlemek için kaynağın ilkesini kontrol eder. Bir ilke, bir varlık veya kaynak ile ilişkilendirildiğinde ilkede ki izinler, isteğe izin verilip verilmeyeceğini belirler.
IAM kullanıcılarını gruplar halinde düzenleyebilir ve bir gruba bir ilke ekleyebilirsiniz. Bu durumda, kullanıcılar yine de kendi kimlik bilgilerine sahip olurlar, ancak bir gruptaki tüm kullanıcılar gruba eklenmiş yetkilere de sahip olacaktır. Kullanıcılar veya grupların kendilerine eklenmiş, farklı izinler veren birden çok ilkesi olabilir. Bu durumda, kullanıcıların izinleri ilkelerin birleşimine göre hesaplanır. Ancak temel ilke yine de geçerlidir: Kullanıcıya bir eylem ve bir kaynak için açık bir yetki verilmemişse, kullanıcı bu işlemleri gerçekleştiremez.