O que é o IAM?

Identity and Acess Managment, seria autorização para executar ações

dentro da AWS (ou qualquer nuvem). Acesso via console, via CLI, via API

Usuários, regras e grupos:

Usuários: Dando um nome pra ele já tem acesso mas não tem privilégios (users
no Microsoft Server)
Grupos: Serve para organizar usuários e dar privilégios para eles (Seriam os
grupos no MS)
Regras: Aplicadas a outros serviços da AWS para acesso a certas coisas (igual
o firewall)
Politicas: Regras aplicadas a usuários (mesma coisa do MS)

Politica de identidade

Inline: 1 pra 1 (aplicada a usuários ou regras). Geralmente envolve apenas

uma coisa.
AWS Managed ou costumer manage: aplicada para usuários, grupos e roles. Tem
mais coisa.

Politica de recurso

Aplicada aos recurso da AWS (S3 e EC2)

Estrutura de politicas (codigo): Escritas em JSON. A estrutura lembra JAVASCRIPT

"Statement":[{ #o que vai escrever adiante

"Effect":"effect", #efeito (allow ou deny)
"Action":"action, #falar onde ele vai trabalhar
"Resource":"arn", #qual recurso que ele vai pegar
"Condition":{
"condition":{
"key":"value" #condição
}
}
}

Boas práticas IAM

Não utilizar a conta ROOT
Crie IAM individuais
Crie Grupos (associe as politicas aos grupos)
Minimo de permissão (Essa aqui é uma boa ideia mas sei lá)
Comece usando as politicas da AWS e depois crie as suas próprias
MFA habilitado (Acho isso mais necessário para ADMs)
Revise as password policy