AWS IAM (Identity and Access Management)
คืออะไร
AWS IAM คือบริการจัดการสิทธิ์การเข้าถึง AWS resources ที่ช่วยให้คุณควบคุมได้อย่างละเอียดว่าใครสามารถทำอะไรกับ resource ใดได้บ้าง IAM ให้คุณสร้าง Users, Groups, Roles และ Policies เพื่อกำหนดสิทธิ์ตาม principle of least privilege บริการนี้เป็นรากฐานของความปลอดภัยใน AWS และทุก action บน AWS ต้องผ่านการ authorize จาก IAM
ราคา
- IAM ฟรีทั้งหมด - ไม่มีค่าใช้จ่ายเพิ่มเติม
- IAM Identity Center (SSO): ฟรีสำหรับการใช้กับ AWS accounts, $0.05/user/เดือนสำหรับ external apps
- AWS Organizations: ฟรีสำหรับการจัดการ accounts หลายบัญชี
- ค่าใช้จ่ายเกิดจาก resource ที่ IAM อนุญาตให้ใช้งานเท่านั้น
เหมาะสำหรับ
- ทุกองค์กรที่ใช้ AWS (จำเป็นต้องใช้)
- ทีม DevOps ที่ต้องการกำหนดสิทธิ์แยกตาม environment (dev/staging/prod)
- บริษัทที่มีหลาย AWS accounts และต้องการ centralized access management
- ระบบที่ต้องการ temporary credentials สำหรับ EC2 หรือ Lambda (IAM Roles)
Use Case ตัวอย่าง
บริษัท SaaS กำหนด IAM Roles แยกสำหรับแต่ละ microservice โดย Lambda function สำหรับ payment service มีสิทธิ์เข้าถึงเฉพาะ DynamoDB table ที่เกี่ยวข้องเท่านั้น ทีม developer แต่ละคนมีสิทธิ์ตามตำแหน่ง เช่น DevOps สามารถ manage EC2 แต่ไม่สามารถเข้าถึงข้อมูล production database ทำให้ลด attack surface และผ่านการตรวจสอบ SOC2 ได้ง่ายขึ้น