IBM - Basic Information
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Hierarchie
IBM Cloud Ressourcenmodell (aus den Dokumenten):
Empfohlene Methode zur Aufteilung von Projekten:
IAM
Benutzer
Benutzern ist eine E-Mail zugewiesen. Sie können auf die IBM-Konsole zugreifen und auch API-Schlüssel generieren, um ihre Berechtigungen programmgesteuert zu nutzen. Berechtigungen können direkt dem Benutzer mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.
Vertrauenswürdige Profile
Diese sind wie die Rollen von AWS oder Dienstkonten von GCP. Es ist möglich, sie VM-Instanzen zuzuweisen und ihre Anmeldeinformationen über Metadaten abzurufen oder sogar Identitätsanbietern zu erlauben, sie zu verwenden, um Benutzer von externen Plattformen zu authentifizieren. Berechtigungen können direkt dem vertrauenswürdigen Profil mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.
Dienst-IDs
Dies ist eine weitere Option, um Anwendungen zu ermöglichen, mit IBM Cloud zu interagieren und Aktionen auszuführen. In diesem Fall kann anstelle der Zuweisung an eine VM oder einen Identitätsanbieter ein API-Schlüssel verwendet werden, um programmgesteuert mit IBM zu interagieren. Berechtigungen können direkt der Dienst-ID mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.
Identitätsanbieter
Externe Identitätsanbieter können konfiguriert werden, um auf IBM Cloud-Ressourcen von externen Plattformen zuzugreifen, indem sie vertrauenswürdige Profile nutzen.
Zugriffsgruppen
In derselben Zugriffsgruppe können mehrere Benutzer, vertrauenswürdige Profile & Dienst-IDs vorhanden sein. Jeder Hauptanspruch in der Zugriffsgruppe wird die Berechtigungen der Zugriffsgruppe erben. Berechtigungen können direkt dem vertrauenswürdigen Profil mit einer Zugriffsrichtlinie gewährt werden. Eine Zugriffsgruppe kann kein Mitglied einer anderen Zugriffsgruppe sein.
Rollen
Eine Rolle ist ein Set von granularen Berechtigungen. Eine Rolle ist einem Dienst gewidmet, was bedeutet, dass sie nur Berechtigungen dieses Dienstes enthalten wird. Jeder Dienst von IAM wird bereits einige mögliche Rollen zur Auswahl haben, um einem Hauptanspruch Zugriff auf diesen Dienst zu gewähren: Viewer, Operator, Editor, Administrator (obwohl es mehr geben könnte).
Rollenberechtigungen werden über Zugriffsrichtlinien an Hauptansprüche vergeben. Wenn Sie beispielsweise eine Kombination von Berechtigungen eines Dienstes von Viewer und Administrator gewähren müssen, können Sie anstelle dieser 2 (und einen Hauptanspruch überprivilegieren) eine neue Rolle für den Dienst erstellen und dieser neuen Rolle die granularen Berechtigungen geben, die Sie benötigen.
Zugriffsrichtlinien
Zugriffsrichtlinien ermöglichen es, 1 oder mehrere Rollen eines Dienstes an 1 Hauptanspruch anzuhängen. Beim Erstellen der Richtlinie müssen Sie wählen:
Den Dienst, für den Berechtigungen gewährt werden
Betroffene Ressourcen
Dienst- & Plattform-Zugriff, der gewährt wird
Diese geben die Berechtigungen an, die dem Hauptanspruch gewährt werden, um Aktionen auszuführen. Wenn eine benutzerdefinierte Rolle im Dienst erstellt wird, können Sie auch diese hier auswählen.
Bedingungen (falls vorhanden), um die Berechtigungen zu gewähren
Um einem Benutzer Zugriff auf mehrere Dienste zu gewähren, können Sie mehrere Zugriffsrichtlinien generieren
Referenzen
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated