Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
IBM Cloud Ressourcenmodell (aus den Dokumenten):
Empfohlene Methode zur Aufteilung von Projekten:
Benutzern ist eine E-Mail zugewiesen. Sie können auf die IBM-Konsole zugreifen und auch API-Schlüssel generieren, um ihre Berechtigungen programmgesteuert zu nutzen. Berechtigungen können direkt dem Benutzer mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.
Diese sind wie die Rollen von AWS oder Dienstkonten von GCP. Es ist möglich, sie VM-Instanzen zuzuweisen und ihre Anmeldeinformationen über Metadaten abzurufen oder sogar Identitätsanbietern zu erlauben, sie zu verwenden, um Benutzer von externen Plattformen zu authentifizieren. Berechtigungen können direkt dem vertrauenswürdigen Profil mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.
Dies ist eine weitere Option, um Anwendungen zu ermöglichen, mit IBM Cloud zu interagieren und Aktionen auszuführen. In diesem Fall kann anstelle der Zuweisung an eine VM oder einen Identitätsanbieter ein API-Schlüssel verwendet werden, um programmgesteuert mit IBM zu interagieren. Berechtigungen können direkt der Dienst-ID mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.
Externe Identitätsanbieter können konfiguriert werden, um auf IBM Cloud-Ressourcen von externen Plattformen zuzugreifen, indem sie vertrauenswürdige Profile nutzen.
In derselben Zugriffsgruppe können mehrere Benutzer, vertrauenswürdige Profile & Dienst-IDs vorhanden sein. Jeder Hauptanspruch in der Zugriffsgruppe wird die Berechtigungen der Zugriffsgruppe erben. Berechtigungen können direkt dem vertrauenswürdigen Profil mit einer Zugriffsrichtlinie gewährt werden. Eine Zugriffsgruppe kann kein Mitglied einer anderen Zugriffsgruppe sein.
Eine Rolle ist ein Set von granularen Berechtigungen. Eine Rolle ist einem Dienst gewidmet, was bedeutet, dass sie nur Berechtigungen dieses Dienstes enthalten wird. Jeder Dienst von IAM wird bereits einige mögliche Rollen zur Auswahl haben, um einem Hauptanspruch Zugriff auf diesen Dienst zu gewähren: Viewer, Operator, Editor, Administrator (obwohl es mehr geben könnte).
Rollenberechtigungen werden über Zugriffsrichtlinien an Hauptansprüche vergeben. Wenn Sie beispielsweise eine Kombination von Berechtigungen eines Dienstes von Viewer und Administrator gewähren müssen, können Sie anstelle dieser 2 (und einen Hauptanspruch überprivilegieren) eine neue Rolle für den Dienst erstellen und dieser neuen Rolle die granularen Berechtigungen geben, die Sie benötigen.
Zugriffsrichtlinien ermöglichen es, 1 oder mehrere Rollen eines Dienstes an 1 Hauptanspruch anzuhängen. Beim Erstellen der Richtlinie müssen Sie wählen:
Den Dienst, für den Berechtigungen gewährt werden
Betroffene Ressourcen
Dienst- & Plattform-Zugriff, der gewährt wird
Diese geben die Berechtigungen an, die dem Hauptanspruch gewährt werden, um Aktionen auszuführen. Wenn eine benutzerdefinierte Rolle im Dienst erstellt wird, können Sie auch diese hier auswählen.
Bedingungen (falls vorhanden), um die Berechtigungen zu gewähren
Um einem Benutzer Zugriff auf mehrere Dienste zu gewähren, können Sie mehrere Zugriffsrichtlinien generieren
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
