Capitolul 4 din 12
IAM — Identity and Access Management
Users, roles, policies
Cum se traduce mentalIAM seamana partial cu Microsoft Entra ID + Azure RBAC, dar nu este același lucru. In AWS, policies JSON decid ce acțiuni sunt permise pe ce resurse.
Obiectivul laboratorului: creați un IAM group, un IAM user pentru lucru zilnic și activați MFA. Pentru un cont personal de învățare, un user admin este acceptabil la inceput, dar scopul este să înțelegeți apoi principiul least privilege.
4.1
Concepte cheie
| AWS IAM | Azure analogie | Explicatie pentru studenți |
|---|---|---|
| User | User in Entra ID | Identitate individuala folosita pentru autentificare. |
| Group | Group in Entra ID | Colectie de useri; policies se pot atasa la grup. |
| Role | Managed Identity / Service Principal / Role assignment context | Identitate asumata temporar de servicii, aplicatii sau utilizatori. |
| Policy | RBAC role definition + scope | Document JSON cu permisiuni. |
| MFA | MFA in Entra ID | Al doilea factor de autentificare. |
4.2
Lab: creați un IAM admin user pentru lucru zilnic
Autentificati-va cu root user doar pentru setup initial.
Deschideti serviciul IAM din AWS Management Console.
Mergeți la User groups și creați grupul Administrators-Lab.
Atasati politica administrata AdministratorAccess. Pentru un cont de lab personal este acceptabil, dar nu este model enterprise.
Mergeți la Users și creați un user nou, de exemplu student-admin.
Selectati Provide user access to the AWS Management Console.
Alegeți crearea unei parole temporare sau setati o parola initiala puternica.
Adaugati userul in grupul Administrators-Lab.
Finalizati wizard-ul și notati URL-ul de sign-in al contului AWS.
Delogati-va de pe root și autentificati-va cu student-admin.
Activați MFA pentru student-admin.
AdministratorAccess este pentru lab, nu pentru productieIn proiecte reale nu oferim AdministratorAccess tuturor. Folosim least privilege, roles, permission boundaries, review periodic și logare. Pentru studenți, AdministratorAccess ajuta să învățați fara blocaje, dar trebuie inteles riscul.
4.3
Mini-exercitiu: policy read-only pentru S3
Pentru a intelege IAM, creați ulterior un user separat cu o politica read-only pentru S3. Acest lucru este similar cu a da unui utilizator un rol Reader pe un scope in Azure.
{"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow","Action": ["s3:ListAllMyBuckets", "s3:GetObject", "s3:ListBucket"],
"Resource": "*"
}
]
}
4.4
Checklist dupa laborator
Root are MFA activat.
student-admin are MFA activat.
Nu există access keys create pentru root.
Parola temporara a fost schimbata.
Studentul intelege diferenta dintre user, group, role și policy.
Crează-ți profil
Dacă nu te loghezi, parcursul prin sesiuni rămâne doar în acest browser: nu îl vezi pe alt dispozitiv sau în alt browser și îl pierzi dacă ștergi datele site-ului ori folosești incognito.
PIN-ul nu este un cont securizat și nu trebuie să fie aceeași combinație ca parole importante (Microsoft, email bancă). Este doar o etichetă locală + sincronizare pentru progresul din Learn Cloud.
Cu prenume, nume și PIN (4 cifre) îți poți continua cursul oriunde — același cont ca în Game Hub și Realizări(vizite, audio, quiz, lectură).
Ai uitat PIN-ul?
Nu există recuperare automată a PIN-ului. Încearcă combinația salvată sau creează un profil nou cu alt nume/prenume (generând alt ID). Pentru date pe server vezi Ajutor · PIN.
Backup & date locale
Exportul este un fișier JSON pentru arhivă personală; nu îl încărca în locuri publice (poate conține pseudo-identificatori).