IBM - Basic Information

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

层级结构

IBM Cloud 资源模型 (来自文档)：

推荐的项目划分方式：

用户有一个 电子邮件 分配给他们。他们可以访问 IBM 控制台，并且可以 生成 API 密钥 以编程方式使用他们的权限。权限可以通过访问策略直接授予用户或通过 访问组。

这些 类似于 AWS 的角色 或 GCP 的服务帐户。可以 将它们分配给 VM 实例，并通过元数据访问其凭据，甚至可以 允许身份提供者 使用它们来验证来自外部平台的用户。权限可以通过访问策略直接授予受信任的配置文件或通过 访问组。

这是另一个选项，允许应用程序 与 IBM Cloud 交互 并执行操作。在这种情况下，可以使用 API 密钥 以编程方式与 IBM 交互，而不是将其分配给 VM 或身份提供者。权限可以通过访问策略直接授予服务 ID 或通过 访问组。

可以配置外部 身份提供者 以 访问 IBM Cloud 资源，通过访问 信任受信任的配置文件。

在同一个访问组中可以存在 多个用户、受信任的配置文件和服务 ID。访问组中的每个主体将 继承访问组权限。权限可以通过访问策略直接授予受信任的配置文件。一个 访问组不能是另一个访问组的成员。

角色是 一组细粒度权限。一个角色 专用于 一个服务，这意味着它只会包含该服务的权限。 每个服务 的 IAM 将已经有一些 可供选择的角色 来 授予主体对该服务的访问：查看者、操作员、编辑者、管理员（尽管可能还有更多）。

角色权限通过访问策略授予主体，因此如果您需要例如授予 查看者 和 管理员 的 权限组合，而不是授予这两个（并过度授权一个主体），您可以 为该服务创建一个新角色 并授予该新角色所需的 细粒度权限。

访问策略允许 将 1 个或多个角色的 1 个服务附加到 1 个主体。创建策略时，您需要选择：

要授予用户对多个服务的访问，您可以生成多个访问策略

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

Last updated 1 month ago