Dưới đây là phần giải thích IAM Policy vs Resource Policy dựa trên lý thuyết mẫu bạn đưa ra, kèm diễn giải dễ nhớ và ví dụ thực tế.

1. IAM Policy là gì?

IAM Policy là policy được gán cho identity:

• User
• Group
• Role

👉 Trả lời câu hỏi:

“Identity này được phép làm gì?”

Đặc điểm

• Áp dụng cho chủ thể (principal)
• Có thể cấp quyền cho nhiều resource khác nhau
• Không tác động trực tiếp đến account root
• Cấu trúc JSON gồm: Effect, Action, Resource, Condition

Ví dụ

{
  "Effect": "Allow",
  "Action": "s3:GetObject",
  "Resource": "arn:aws:s3:::my-bucket/*"
}

→ User/Role có thể đọc object trong my-bucket

2. Resource Policy là gì?

Resource Policy là policy được gắn trực tiếp vào resource cụ thể.