AWS’te Kimlik Yönetimi ve Erişim Kontrolü için Temel Hizmet: AWS

May 1, 2025
Sistem
AWS IAM

Bulut bilişimde kullanıcıları takip etmek, kimlik doğrulamalarını yönetmek ve kaynaklara erişimi kontrol etmek, güvenlik ve uyumluluğu sağlamak için kritik öneme sahiptir. Amazon Web Services (AWS) ortamlarında bu görevleri merkezi ve güvenli bir şekilde yerine getirmek için en uygun hizmet, Identity and Access Management (IAM) hizmetidir. Bu yazıda, AWS IAM’ın neden kullanıcı yönetimi, erişim denetimi ve kimlik doğrulama süreçleri;

AWS IAM Nedir?

AWS IAM, kullanıcılar, gruplar, roller ve izin politikaları oluşturarak AWS kaynaklarına erişimi güvenli bir şekilde yönetmenizi sağlayan hizmettir. Temel olarak şu işlevleri sunar:

  • Kullanıcı, Grup ve Rol Yönetimi: Bireysel kullanıcılar, kullanıcı grupları ve geçici erişim için roller oluşturur.
  • Erişim Kontrolü: Kullanıcılara veya rollerine kaynaklara erişim izni verir.
  • Kimlik Doğrulama: Kullanıcıların kimliğini doğrular (örneğin, parola, çok faktörlü kimlik doğrulama).
  • Yetkilendirme: Kullanıcının hangi işlemleri yapabileceğini tanımlar (örneğin, S3 bucket’larını okuma, EC2 başlatma).

Neden AWS IAM Tercih Edilmelidir?

A. Kullanıcı, Grup ve Rol Oluşturma

  • Kullanıcılar: Bireysel kullanıcı hesapları oluşturabilirsiniz (örneğin, geliştiriciler, sistem yöneticileri).
  • Gruplar: Benzer izinlere sahip kullanıcıları gruplara toplayarak yönetim kolaylığı sağlar.
  • Roller: Geçici erişim için oluşturulur (örneğin, EC2 örneklerinin belirli bir IAM rolünü kullanması).

B. Ayrıntılı İzin Politikaları (Policies)

  • IAM, JSON tabanlı politikalarla en az ayrıcalık ilkesi (least privilege) ’ne izin verir.

Kaynaklara Erişim Kontrolü

  • IAM, AWS kaynaklarına (örneğin, S3, EC2, Lambda) erişimi doğrudan yönetir.
  • Kaynak bazında erişim denetimi (örneğin, belirli bir DynamoDB tablosuna erişim) mümkündür.

Merkezi Kimlik Doğrulama ve Yetkilendirme

  • IAM, kullanıcıların kimliğini doğrular (örneğin, AWS CLI ile aws configure komutu).
  • Yetkilendirme için politikaları değerlendirir ve işlemi onaylar.

Kullanıcı Etkinliklerini İzleme ve Kaydetme

  • IAM, AWS CloudTrail ile tüm kullanıcı etkinliklerini loglar (örneğin, kim EC2 başlattı?).
  • Bu loglar, denetim ve güvenlik analizleri için kullanılır.

Çok Faktörlü Kimlik Doğrulama (MFA) Desteği

  • IAM, fiziksel veya sanal MFA cihazlarıyla iki faktörlü kimlik doğrulama sağlar.
  • Bu, hesap güvenliğini önemli ölçüde artırır.

Geçici Kimlik Bilgileri Sağlama

  • IAM, geçici erişim anahtarları (örneğin, federasyon kullanıcıları için) sağlar.
  • Bu anahtarlar belirli bir süre geçerlidir ve güvenlik riskini azaltır.

Diğer AWS hizmetleri güvenlik odaklı olsa da, doğrudan kullanıcı ve erişim yönetimi için uygun değildir:

Hizmet
İşlev
Sınırlılıklar
AWS Firewall Manager
Güvenlik duvarı kurallarını yönetir.
Kullanıcı kimliği veya erişim kontrolü sağlamaz.
AWS Shield
DDoS koruma sağlar.
Kullanıcı etkinliklerini izlemez.
Amazon API Gateway
API’leri yönetir.
Kullanıcı kimlik doğrulama için doğrudan uygun değildir.

Troubleshooting / Sorun giderme:

Soru
Çözüm
“Access Denied” Hatası Alınıyor Mu?
Kullanıcının politikasını kontrol edin (IAM > Users > [Kullanıcı] > Permissions).
Kullanıcı Erişimini Kaldırmak İstiyorum:
Kullanıcının politikalarını kaldırın veya hesabını silin.
Erişim Logları Nasıl İzlenir?
AWS CloudTrailkonsolunu açın ve ilgili etkinlikleri filtreleyin.
Geçici Erişim Anahtarı Nasıl Oluşturulur?
aws sts get-federationTokenveyaassume-rolekomutlarını kullanın.

AWS IAM, kullanıcıları oluşturmak, yönetmek, kimlik doğrulamak ve kaynaklara erişim kontrolü sağlamak için en güçlü ve esnek çözümdür. Diğer hizmetler güvenlik odaklı olsa da doğrudan kullanıcı yönetimi sağlamaz. IAM’ın politika esnekliği, MFA desteği ve CloudTrail entegrasyonu, AWS ortamlarında güvenli ve etkili bir kimlik yönetimi altyapısı kurmanıza olanak tanır. Karmaşık politikalar oluşturmak için AWS IAM Policy Generator aracını kullanın. Erişim loglarını CloudTrail ile izleyerek güvenlik ihlallerini tespit edin.