AWS IAM Policy là gì? Giới thiệu, vai trò và cách sử dụng trong quản lý truy cập AWS

IAM Policy là gì?

IAM Policy là một document định nghĩa permissions (quyền hạn) trên AWS, xác định chính xác những gì một user, group, role hoặc resource được phép hoặc không được phép làm. IAM Policy được viết dưới dạng JSON và hoạt động theo nguyên tắc "default deny" - tức là mặc định mọi quyền truy cập đều bị từ chối trừ khi được cấp phép rõ ràng.

Ví dụ về một IAM Policy đơn giản:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::example-bucket"
    }
  ]
}

Policy trên cho phép list nội dung của một S3 bucket cụ thể.

Tại sao cần IAM Policy?

• Bảo vệ tài nguyên AWS khỏi truy cập trái phép.
• Phân quyền chi tiết cho từng user, group, role.
• Đáp ứng yêu cầu bảo mật, tuân thủ (compliance).
• Quản lý tập trung, dễ audit và kiểm soát.