IAM هو الطبقة اللي تتحكم في الهوية والصلاحيات داخل AWS، وكل سؤال أمني عن السحابة يبدأ منها. كـ presales، شغلك إنك تشرح للعميل إنّ IAM مش مجرد إدارة users، بل هي خط الدفاع الأول وأساس الـ Zero Trust. لو الـ identity مظبوطة، نص مخاطر الـ cloud اتغطّت.

• 1الكيانات الأساسية: users للبشر الدائمين، groups لتجميع الصلاحيات، roles للهوية المؤقتة، و policies (JSON) هي اللي تحدد المسموح والممنوع فعليًا.
• 2Least privilege هو المبدأ الذهبي: امنح أقل صلاحية تكفي للمهمة فقط. للعميل ده يترجم لتقليل blast radius لو حصل اختراق.
• 3Roles مقابل access keys: الـ roles بتعطي credentials مؤقتة تنتهي تلقائيًا، بينما الـ long-lived access keys هي السبب الأول في تسريبات AWS — ركّز العميل على إزالتها.
• 4IAM Identity Center (الاسم القديم SSO) يربط الـ workforce بمصدر هوية واحد (مثل Entra ID) ويوزّع وصول موحّد عبر كل الـ accounts في الـ Organization.
• 5تموضع أمن AWS للعميل: IAM + MFA + CloudTrail + Access Analyzer = قصة حوكمة هوية كاملة تتكلم بلغة الـ auditor والـ regulator مش بس المهندس.

• معماريًا، صلاحية أي طلب تُحسب من تقاطع طبقات متعددة: SCPs على مستوى الـ Organization تضع السقف، ثم identity-based policies، ثم resource-based policies، ثم permission boundaries — والـ deny صريح يغلب أي allow. افهم الترتيب ده عشان تشرح للعميل ليه مهندس عنده AdministratorAccess ممكن لسه يتمنع من فعل معيّن.
• مقارنة المنافسين: AWS IAM يفصل بين الـ identity والـ authorization بشكل granular لكنه أكثر تعقيدًا، بينما Azure يجمع RBAC داخل Entra ID بتجربة أبسط للـ enterprise المعتمد على Microsoft، و GCP يستخدم نموذج IAM موحّد أبسط هرميًا. تموضعك: AWS يكسب في العمق والـ multi-account scale، والمنافس يكسب في البساطة لو العميل بيئته Microsoft بالكامل.
• سياق الخليج والتنظيم: في السعودية، SAMA CSF و NCA ECC و PDPL كلهم يطلبوا identity governance و least privilege و audit trails قابلة للإثبات. اربط IAM Identity Center + CloudTrail بمتطلبات NCA المحددة، وذكّر العميل إن AWS عندها region في الرياض (me-central / KSA) تساعد على data residency — ده argument يقفل صفقات قطاع حكومي ومالي.