IBM - Basic Information
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
IBM Cloud resource model (from the docs):
Recommended way to divide projects:
Οι χρήστες έχουν μια διεύθυνση email που τους έχει ανατεθεί. Μπορούν να έχουν πρόσβαση στην IBM console και επίσης να δημιουργούν API keys για να χρησιμοποιούν τις άδειές τους προγραμματικά. Άδειες μπορούν να παραχωρηθούν άμεσα στον χρήστη με μια πολιτική πρόσβασης ή μέσω μιας ομάδας πρόσβασης.
Αυτά είναι σαν τους Ρόλους του AWS ή τους λογαριασμούς υπηρεσιών από το GCP. Είναι δυνατή η ανάθεση τους σε VM instances και η πρόσβαση στα διαπιστευτήρια τους μέσω μεταδεδομένων, ή ακόμα και η επιτρεπόμενη χρήση τους από Παρόχους Ταυτότητας για την αυθεντικοποίηση χρηστών από εξωτερικές πλατφόρμες. Άδειες μπορούν να παραχωρηθούν άμεσα στο εμπιστευμένο προφίλ με μια πολιτική πρόσβασης ή μέσω μιας ομάδας πρόσβασης.
Αυτή είναι μια άλλη επιλογή για να επιτρέψει στις εφαρμογές να αλληλεπιδρούν με το IBM cloud και να εκτελούν ενέργειες. Σε αυτή την περίπτωση, αντί να ανατεθεί σε ένα VM ή Παροχέα Ταυτότητας, μπορεί να χρησιμοποιηθεί ένα API Key για να αλληλεπιδράσει με το IBM με προγραμματικό τρόπο. Άδειες μπορούν να παραχωρηθούν άμεσα στο ID υπηρεσίας με μια πολιτική πρόσβασης ή μέσω μιας ομάδας πρόσβασης.
Εξωτερικοί Πάροχοι Ταυτότητας μπορούν να ρυθμιστούν για να προσεγγίζουν πόρους του IBM cloud από εξωτερικές πλατφόρμες μέσω της πρόσβασης σε εμπιστευμένα Εμπιστευμένα Προφίλ.
Στην ίδια ομάδα πρόσβασης μπορούν να είναι παρόντες αρκετοί χρήστες, εμπιστευμένα προφίλ & IDs υπηρεσιών. Κάθε κύριος στην ομάδα πρόσβασης θα κληρονομήσει τις άδειες της ομάδας πρόσβασης. Άδειες μπορούν να παραχωρηθούν άμεσα στο εμπιστευμένο προφίλ με μια πολιτική πρόσβασης. Μια ομάδα πρόσβασης δεν μπορεί να είναι μέλος άλλης ομάδας πρόσβασης.
Ένας ρόλος είναι ένα σύνολο λεπτομερών αδειών. Ένας ρόλος είναι αφιερωμένος σε μια υπηρεσία, που σημαίνει ότι θα περιέχει μόνο άδειες αυτής της υπηρεσίας. Κάθε υπηρεσία του IAM θα έχει ήδη κάποιους πιθανούς ρόλους για να επιλέξετε για να παραχωρήσετε πρόσβαση σε έναν κύριο σε αυτή την υπηρεσία: Viewer, Operator, Editor, Administrator (αν και μπορεί να υπάρχουν και άλλοι).
Οι άδειες ρόλου δίνονται μέσω πολιτικών πρόσβασης στους κύριους, οπότε αν χρειαστεί να δώσετε για παράδειγμα μια συνδυασμένη άδεια μιας υπηρεσίας Viewer και Administrator, αντί να δώσετε αυτές τις 2 (και να υπερβολικά εξουσιοδοτήσετε έναν κύριο), μπορείτε να δημιουργήσετε έναν νέο ρόλο για την υπηρεσία και να δώσετε σε αυτόν τον νέο ρόλο τις λεπτομερείς άδειες που χρειάζεστε.
Οι πολιτικές πρόσβασης επιτρέπουν να συνδεθούν 1 ή περισσότερες ρόλοι μιας υπηρεσίας σε 1 κύριο. Κατά τη δημιουργία της πολιτικής πρέπει να επιλέξετε:
Την υπηρεσία όπου θα παραχωρηθούν οι άδειες
Επηρεαζόμενοι πόροι
Πρόσβαση υπηρεσίας & πλατφόρμας που θα παραχωρηθεί
Αυτά υποδεικνύουν τις άδειες που θα δοθούν στον κύριο για να εκτελεί ενέργειες. Αν δημιουργηθεί κάποιος προσαρμοσμένος ρόλος στην υπηρεσία, θα μπορείτε επίσης να τον επιλέξετε εδώ.
Συνθήκες (αν υπάρχουν) για να παραχωρηθούν οι άδειες
Για να παραχωρήσετε πρόσβαση σε πολλές υπηρεσίες σε έναν χρήστη, μπορείτε να δημιουργήσετε πολλές πολιτικές πρόσβασης
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)