Chapter 03 - Cloud Basics and IAM
本章目標
看完本章後,你應該可以回答:
- AWS account、Region、Availability Zone 的差異是什麼?
- IAM user、group、role、policy 分別解什麼問題?
- 為什麼 SAA-C03 很常考 least privilege?
- 什麼時候該用 role,而不是 access key?
一句話
這章是在建立 AWS 的地基:資源放在哪裡、誰可以做什麼、權限怎麼安全授予。
架構位置
IAM 不在單一 workload 裡,而是橫跨整個 AWS account 的 control plane。
它會影響:
- EC2 能不能讀 S3
- Lambda 能不能寫 DynamoDB
- 跨 account 能不能存取資源
- 工程師能不能修改 production resource
- service-to-service access 是否需要 long-term credential
常見服務與概念
- AWS account
- Region / Availability Zone
- IAM user / group / role / policy
- Identity-based policy / resource-based policy
- STS
- MFA
- Organizations / SCP
- Shared Responsibility Model
PM 視角
PM 不需要每天寫 IAM policy,但要知道「權限」不是一張表單,而是 security requirement 的一部分。
需求如果包含 production access、vendor access、cross-account access、private data access,通常都會牽涉 IAM design。
Developer / DevOps 視角
工程師要避免把 access key 寫進程式或 CI/CD secret 裡。SAA-C03 很常偏好 role-based access,尤其是 EC2 instance profile、Lambda execution role、cross-account role。
考試怎麼問
常見題型會問:
- 如何讓 EC2 安全存取 S3?
- 如何讓另一個 AWS account 存取資源?
- 如何讓權限符合 least privilege?
- 如何避免 long-term credential?
常見陷阱
| 陷阱 | 正確方向 |
|---|---|
| 把 access key 放在 EC2 裡 | 使用 IAM role / instance profile |
| 給 AdministratorAccess 解決問題 | 使用 least privilege policy |
| 混淆 IAM role 和 IAM user | role 是臨時被 assumed 的權限,不代表真人帳號 |
| 只看 identity policy | 有些服務也會用 resource-based policy |