ما هو الـ AWS-IAM – م. عز جابر

/

,

AWS Identity and Access Management أو اختصارًا IAM هو أحد أهم الخدمات الأساسية في أمازون ويب سيرفيسز (Amazon Web Services)، وهو المسؤول عن إدارة الهويات الرقمية والصلاحيات (Permissions) داخل بيئة AWS بطريقة آمنة ودقيقة.ما هو IAM بالضبط؟IAM هو خدمة مجانية تتيح لك التحكم الكامل في:

  • مَن يستطيع الدخول إلى حساب AWS الخاص بك (Authentication).
  • ماذا يستطيع هذا الشخص أو التطبيق فعله داخل الحساب (Authorization).

المكونات الأساسية في IAM:

  1. Users (المستخدمون)
    حسابات فردية للأشخاص (مثل مطورين أو مدير نظام). يُفضل دائمًا إنشاء مستخدمين بصلاحيات محدودة بدلاً من استخدام الـ Root User.
  2. Groups (المجموعات)
    طريقة لتجميع المستخدمين معًا وإعطائهم نفس الصلاحيات مرة واحدة (مثل مجموعة “Developers” أو “Admins”).
  3. Roles (الأدوار)
    أهم ميزة في IAM! الـ Role هو هوية مؤقتة تُمكن لأي شخص أو خدمة AWS أو تطبيق خارجي أن “يلبسها” مؤقتًا للحصول على صلاحيات معينة دون الحاجة لكلمة سر دائمة.
    مثال: تطبيق يعمل على EC2 يأخذ Role ليتمكن من قراءة ملفات من S3.
  4. Policies (السياسات)
    مستندات مكتوبة بلغة JSON تحدد الصلاحيات بالتفصيل. هناك نوعان:
    • Managed Policies (تُدار من أمازون أو منك).
    • Inline Policies (مربوطة مباشرة بالمستخدم أو الدور).

مثال بسيط على سياسة JSON:

json

{
  "Version": "2025-08-14",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::my-important-bucket/*",
        "arn:aws:s3:::my-important-bucket"
      ]
    }
  ]
}

أفضل الممارسات (Best Practices) في IAM:

  • تفعيل MFA (المصادقة الثنائية) على الـ Root User وعلى كل المستخدمين المهمين.
  • مبدأ Least Privilege: لا تُعطي صلاحية إلا إذا كانت مطلوبة فعلاً.
  • عدم استخدام الـ Root User إلا في مهام قليلة جدًا (مثل تفعيل IAM Identity Center أو تغيير إعدادات الفوترة).
  • استخدام Roles بدلاً من إعطاء Access Keys دائمة للتطبيقات.
  • مراجعة الصلاحيات دوريًا باستخدام أداة IAM Access Analyzer.
  • استخدام AWS Organizations + SCP (Service Control Policies) إذا كنت تدير عدة حسابات.

لماذا IAM مهم جدًا؟لأنه لو تم اختراق حساب AWS بدون سيطرة جيدة على IAM، المهاجم يستطيع:

  • تشغيل آلاف السيرفرات وحرق عشرات الآلاف من الدولارات في ساعات.
  • سرقة أو حذف كل البيانات.
  • الوصول لكل الخدمات المرتبطة.

لذلك يُعتبر IAM هو “البوابة الأمنية الأولى” في أي بيئة AWS، ويُنصح دائمًا أن تبدأ أي مشروع AWS بتصميم هيكل IAM سليم وقوي.باختصار:
IAM ليس مجرد خدمة إدارية، هو أساس الأمان في السحابة. من يُتقن IAM يُتقن نصف أمان AWS تقريبًا!

عز جابر | Ezz Gaber

كتب المقال: م عز جابر

أعمل كمهندس تكنولوجيا معلومات منذ أكثر من 7 سنوات، وأسعى إلى الاستفادة من مهاراتي وخبراتي الإدارية والفنية لتطوير حياتي المهنية في مجال تكنولوجيا المعلومات
– البريد الإلكتروني: info@ezzgaber.com
– رقم الموبايل “مصر” : 00201099833214
– رقم الجوال “السعودية” : 0966542133293