Skip to content

Chapter 03 - Cloud Basics and IAM

本章目標

看完本章後,你應該可以回答:

  • AWS account、Region、Availability Zone 的差異是什麼?
  • IAM user、group、role、policy 分別解什麼問題?
  • 為什麼 SAA-C03 很常考 least privilege?
  • 什麼時候該用 role,而不是 access key?

一句話

這章是在建立 AWS 的地基:資源放在哪裡、誰可以做什麼、權限怎麼安全授予。

架構位置

IAM 不在單一 workload 裡,而是橫跨整個 AWS account 的 control plane。

它會影響:

  • EC2 能不能讀 S3
  • Lambda 能不能寫 DynamoDB
  • 跨 account 能不能存取資源
  • 工程師能不能修改 production resource
  • service-to-service access 是否需要 long-term credential

常見服務與概念

  • AWS account
  • Region / Availability Zone
  • IAM user / group / role / policy
  • Identity-based policy / resource-based policy
  • STS
  • MFA
  • Organizations / SCP
  • Shared Responsibility Model

PM 視角

PM 不需要每天寫 IAM policy,但要知道「權限」不是一張表單,而是 security requirement 的一部分。

需求如果包含 production access、vendor access、cross-account access、private data access,通常都會牽涉 IAM design。

Developer / DevOps 視角

工程師要避免把 access key 寫進程式或 CI/CD secret 裡。SAA-C03 很常偏好 role-based access,尤其是 EC2 instance profile、Lambda execution role、cross-account role。

考試怎麼問

常見題型會問:

  • 如何讓 EC2 安全存取 S3?
  • 如何讓另一個 AWS account 存取資源?
  • 如何讓權限符合 least privilege?
  • 如何避免 long-term credential?

常見陷阱

陷阱正確方向
把 access key 放在 EC2 裡使用 IAM role / instance profile
給 AdministratorAccess 解決問題使用 least privilege policy
混淆 IAM role 和 IAM userrole 是臨時被 assumed 的權限,不代表真人帳號
只看 identity policy有些服務也會用 resource-based policy

Original learning content. Not official certification material.