IBM - Basic Information

支持 HackTricks

层级结构

IBM Cloud 资源模型 (来自文档):

推荐的项目划分方式:

IAM

用户

用户有一个 电子邮件 分配给他们。他们可以访问 IBM 控制台,并且可以 生成 API 密钥 以编程方式使用他们的权限。 权限 可以通过访问策略 直接 授予用户或通过 访问组

受信任的配置文件

这些 类似于 AWS 的角色 或 GCP 的服务帐户。可以 将它们分配给 VM 实例,并通过元数据访问其 凭据,甚至可以 允许身份提供者 使用它们来验证来自外部平台的用户。 权限 可以通过访问策略 直接 授予受信任的配置文件或通过 访问组

服务 ID

这是另一个选项,允许应用程序 与 IBM Cloud 交互 并执行操作。在这种情况下,可以使用 API 密钥编程 方式与 IBM 交互,而不是将其分配给 VM 或身份提供者。 权限 可以通过访问策略 直接 授予服务 ID 或通过 访问组

身份提供者

可以配置外部 身份提供者访问 IBM Cloud 资源,通过访问 信任受信任的配置文件

访问组

在同一个访问组中可以存在 多个用户、受信任的配置文件和服务 ID。访问组中的每个主体将 继承访问组权限权限 可以通过访问策略 直接 授予受信任的配置文件。 一个 访问组不能是另一个访问组的成员

角色

角色是 一组细粒度权限一个角色 专用于 一个服务,这意味着它只会包含该服务的权限。 每个服务 的 IAM 将已经有一些 可供选择的角色授予主体对该服务的访问查看者、操作员、编辑者、管理员(尽管可能还有更多)。

角色权限通过访问策略授予主体,因此如果您需要例如授予 查看者管理员权限组合,而不是授予这两个(并过度授权一个主体),您可以 为该服务创建一个新角色 并授予该新角色所需的 细粒度权限

访问策略

访问策略允许 将 1 个或多个角色的 1 个服务附加到 1 个主体。 创建策略时,您需要选择:

  • 授予权限的服务

  • 受影响的资源

  • 将授予的服务和平台 访问

  • 这些指示将授予主体执行操作的 权限。如果在服务中创建了任何 自定义角色,您也可以在此处选择它。

  • 授予权限的 条件(如果有的话)

要授予用户对多个服务的访问,您可以生成多个访问策略

参考

支持 HackTricks

Last updated