Hindi - Ht Cloud

GCP <--> Workspace Pivoting

Support HackTricks

From GCP to GWS

Domain Wide Delegation basics

Google Workspace рдХрд╛ Domain-Wide delegation рдПрдХ рдкрд╣рдЪрд╛рди рд╡рд╕реНрддреБ, рдпрд╛ рддреЛ рдПрдХ external app рдЬреЛ Google Workspace Marketplace рд╕реЗ рд╣реИ рдпрд╛ рдПрдХ рдЖрдВрддрд░рд┐рдХ GCP Service Account, рдХреЛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреА рдУрд░ рд╕реЗ Workspace рдореЗрдВ рдбреЗрдЯрд╛ рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред

рдЗрд╕рдХрд╛ рдорддрд▓рдм рдпрд╣ рд╣реИ рдХрд┐ GCP рдкреНрд░реЛрдЬреЗрдХреНрдЯреНрд╕ рдХреЗ рдЕрдВрджрд░ service accounts рдПрдХ рд╕рдВрдЧрдарди рдХреЗ Workspace рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреА рдирдХрд▓ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ (рдпрд╛ рдпрд╣рд╛рдВ рддрдХ рдХрд┐ рдХрд┐рд╕реА рдЕрд▓рдЧ рд╕рдВрдЧрдарди рдХреЗ)ред

For more information about how this exactly works check:

Compromise existing delegation

рдпрджрд┐ рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдиреЗ GCP рдкрд░ рдХреБрдЫ рдкрд╣реБрдБрдЪ рдХреЛ рд╕рдордЭреМрддрд╛ рдХрд┐рдпрд╛ рдФрд░ рдХрдВрдкрдиреА рдХреЗ рдПрдХ рдорд╛рдиреНрдп Workspace рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдИрдореЗрд▓ (рдЕрдзрд┐рдорд╛рдирддрдГ super admin) рдХреЛ рдЬрд╛рдирддрд╛ рд╣реИ, рддреЛ рд╡рд╣ рд╕рднреА рдкреНрд░реЛрдЬреЗрдХреНрдЯреНрд╕ рдХреА рд╕реВрдЪреА рдмрдирд╛ рд╕рдХрддрд╛ рд╣реИ рдЬрд┐рди рддрдХ рдЙрд╕реЗ рдкрд╣реБрдБрдЪ рд╣реИ, рдкреНрд░реЛрдЬреЗрдХреНрдЯреНрд╕ рдХреЗ рд╕рднреА SAs рдХреА рд╕реВрдЪреА рдмрдирд╛ рд╕рдХрддрд╛ рд╣реИ, рджреЗрдЦ рд╕рдХрддрд╛ рд╣реИ рдХрд┐ рдЙрд╕реЗ рдХреМрди рд╕реЗ service accounts рддрдХ рдкрд╣реБрдБрдЪ рд╣реИ, рдФрд░ рд╣рд░ SA рдХреЗ рд╕рд╛рде рдЗрди рд╕рднреА рдЪрд░рдгреЛрдВ рдХреЛ рджреЛрд╣рд░рд╛ рд╕рдХрддрд╛ рд╣реИред рдПрдХ рд╕рднреА service accounts рдХреА рд╕реВрдЪреА рдХреЗ рд╕рд╛рде рдЬрд┐рди рддрдХ рдЙрд╕реЗ рдкрд╣реБрдБрдЪ рд╣реИ рдФрд░ Workspace рдИрдореЗрд▓реНрд╕ рдХреА рд╕реВрдЪреА рдХреЗ рд╕рд╛рде, рд╣рдорд▓рд╛рд╡рд░ рдкреНрд░рддреНрдпреЗрдХ service account рдХреЗ рд╕рд╛рде рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреА рдирдХрд▓ рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░ рд╕рдХрддрд╛ рд╣реИред

рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ рдЬрдм рдбреЛрдореЗрди рд╡рд╛рдЗрдб рдбреЗрд▓реАрдЧреЗрд╢рди рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рддреЛ рдХрд┐рд╕реА Workspace рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реЛрддреА рд╣реИ, рдЗрд╕рд▓рд┐рдП рдмрд╕ рдПрдХ рдорд╛рдиреНрдп рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЬрд╛рдирдирд╛ рдкрд░реНрдпрд╛рдкреНрдд рдФрд░ рдЖрд╡рд╢реНрдпрдХ рд╣реИ рдирдХрд▓ рдХреЗ рд▓рд┐рдПред рд╣рд╛рд▓рд╛рдВрдХрд┐, рдирдХрд▓ рдХрд┐рдП рдЧрдП рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛, рдЗрд╕рд▓рд┐рдП рдпрджрд┐ рдпрд╣ Super Admin рд╣реИ рддреЛ рдЖрдк рд╕рдм рдХреБрдЫ рдПрдХреНрд╕реЗрд╕ рдХрд░ рд╕рдХреЗрдВрдЧреЗред рдпрджрд┐ рдЗрд╕рдХреЗ рдкрд╛рд╕ рдХреЛрдИ рдкрд╣реБрдБрдЪ рдирд╣реАрдВ рд╣реИ рддреЛ рдпрд╣ рдмреЗрдХрд╛рд░ рд╣реЛрдЧрд╛ред

GCP Generate Delegation Token

рдпрд╣ рд╕рд░рд▓ рд╕реНрдХреНрд░рд┐рдкреНрдЯ delegated user рдХреЗ рд░реВрдк рдореЗрдВ рдПрдХ OAuth рдЯреЛрдХрди рдЙрддреНрдкрдиреНрди рдХрд░реЗрдЧреА рдЬрд┐рд╕реЗ рдЖрдк рдлрд┐рд░ рдЕрдиреНрдп Google APIs рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдпрд╛ рдмрд┐рдирд╛ gcloud рдХреЗ:

# Impersonate indicated user
python3 gen_delegation_token.py --user-email <user-email> --key-file <path-to-key-file>

# Impersonate indicated user and add additional scopes
python3 gen_delegation_token.py --user-email <user-email> --key-file <path-to-key-file> --scopes "https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/cloud-platform, https://www.googleapis.com/auth/admin.directory.group, https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/admin.directory.domain, https://mail.google.com/, https://www.googleapis.com/auth/drive, openid"

DeleFriend

рдпрд╣ рдПрдХ рдЙрдкрдХрд░рдг рд╣реИ рдЬреЛ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЪрд░рдгреЛрдВ рдХрд╛ рдкрд╛рд▓рди рдХрд░рдХреЗ рд╣рдорд▓рд╛ рдХрд░ рд╕рдХрддрд╛ рд╣реИ:

  1. GCP рдкреНрд░реЛрдЬреЗрдХреНрдЯреНрд╕ рдХреА рдЧрдгрдирд╛ рдХрд░реЗрдВ Resource Manager API рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗред

  2. рдкреНрд░рддреНрдпреЗрдХ рдкреНрд░реЛрдЬреЗрдХреНрдЯ рд╕рдВрд╕рд╛рдзрди рдкрд░ рдЗрдЯрд░реЗрдЯ рдХрд░реЗрдВ, рдФрд░ GCP рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХреА рдЧрдгрдирд╛ рдХрд░реЗрдВ рдЬрд┐рди рддрдХ рдкреНрд░рд╛рд░рдВрднрд┐рдХ IAM рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреА рдкрд╣реБрдВрдЪ рд╣реИ GetIAMPolicy рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗред

  3. рдкреНрд░рддреНрдпреЗрдХ рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рднреВрдорд┐рдХрд╛ рдкрд░ рдЗрдЯрд░реЗрдЯ рдХрд░реЗрдВ, рдФрд░ рд▓рдХреНрд╖рд┐рдд рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рд╕рдВрд╕рд╛рдзрди рдкрд░ serviceAccountKeys.create рдЕрдиреБрдорддрд┐ рдХреЗ рд╕рд╛рде рдЕрдВрддрд░реНрдирд┐рд╣рд┐рдд, рдмреБрдирд┐рдпрд╛рджреА, рдФрд░ рдХрд╕реНрдЯрдо рднреВрдорд┐рдХрд╛рдПрдБ рдЦреЛрдЬреЗрдВред рдпрд╣ рдзреНрдпрд╛рди рд░рдЦрдирд╛ рдЪрд╛рд╣рд┐рдП рдХрд┐ рд╕рдВрдкрд╛рджрдХ рднреВрдорд┐рдХрд╛ рд╕реНрд╡рд╛рднрд╛рд╡рд┐рдХ рд░реВрдк рд╕реЗ рдЗрд╕ рдЕрдиреБрдорддрд┐ рдХреЛ рд░рдЦрддреА рд╣реИред

  4. рдкреНрд░рддреНрдпреЗрдХ рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рд╕рдВрд╕рд╛рдзрди рдХреЗ рд▓рд┐рдП рдПрдХ рдирдпрд╛ KEY_ALG_RSA_2048 рдирд┐рдЬреА рдХреБрдВрдЬреА рдмрдирд╛рдПрдВ рдЬреЛ IAM рдиреАрддрд┐ рдореЗрдВ рдкреНрд░рд╛рд╕рдВрдЧрд┐рдХ рдЕрдиреБрдорддрд┐ рдХреЗ рд╕рд╛рде рдкрд╛рдпрд╛ рдЧрдпрд╛ рд╣реИред

  5. рдкреНрд░рддреНрдпреЗрдХ рдирдП рд╕реЗрд╡рд╛ рдЦрд╛рддреЗ рдкрд░ рдЗрдЯрд░реЗрдЯ рдХрд░реЗрдВ рдФрд░ рдЗрд╕рдХреЗ рд▓рд┐рдП рдПрдХ JWT рдСрдмреНрдЬреЗрдХреНрдЯ рдмрдирд╛рдПрдВ рдЬреЛ SA рдирд┐рдЬреА рдХреБрдВрдЬреА рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдФрд░ рдПрдХ OAuth рд╕реНрдХреЛрдк рд╕реЗ рдмрдирд╛ рд╣реИред рдПрдХ рдирдП JWT рдСрдмреНрдЬреЗрдХреНрдЯ рдХреЛ рдмрдирд╛рдиреЗ рдХреА рдкреНрд░рдХреНрд░рд┐рдпрд╛ oauth_scopes.txt рд╕реВрдЪреА рд╕реЗ рд╕рднреА рдореМрдЬреВрджрд╛ OAuth рд╕реНрдХреЛрдк рдХреЗ рд╕рдВрдпреЛрдЬрдиреЛрдВ рдкрд░ рдЗрдЯрд░реЗрдЯ рдХрд░реЗрдЧреА, рддрд╛рдХрд┐ рд╕рднреА рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рд╕рдВрднрд╛рд╡рдирд╛рдУрдВ рдХреЛ рдЦреЛрдЬрд╛ рдЬрд╛ рд╕рдХреЗред рд╕реВрдЪреА oauth_scopes.txt рдХреЛ рдЙрди рд╕рднреА OAuth рд╕реНрдХреЛрдк рдХреЗ рд╕рд╛рде рдЕрдкрдбреЗрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдЬреЛ рд╣рдордиреЗ Workspace рдкрд╣рдЪрд╛рдирд┐рдпреЛрдВ рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдкреНрд░рд╛рд╕рдВрдЧрд┐рдХ рдкрд╛рдпрд╛ рд╣реИред

  6. _make_authorization_grant_assertion рд╡рд┐рдзрд┐ рдПрдХ рд▓рдХреНрд╖рд┐рдд рдХрд╛рд░реНрдпрдХреНрд╖реЗрддреНрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛, рдЬрд┐рд╕реЗ subject рдХреЗ рд░реВрдк рдореЗрдВ рд╕рдВрджрд░реНрднрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдХреЛ рдШреЛрд╖рд┐рдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдХреЛ рдкреНрд░рдХрдЯ рдХрд░рддреА рд╣реИ, рддрд╛рдХрд┐ DWD рдХреЗ рддрд╣рдд JWT рдЙрддреНрдкрдиреНрди рдХрд┐рдП рдЬрд╛ рд╕рдХреЗрдВред рдЬрдмрдХрд┐ рдпрд╣ рдПрдХ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдкреНрд░рддреАрдд рд╣реЛ рд╕рдХрддреА рд╣реИ, рдпрд╣ рд╕рдордЭрдирд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдХрд┐ DWD рдПрдХ рдбреЛрдореЗрди рдХреЗ рднреАрддрд░ рд╣рд░ рдкрд╣рдЪрд╛рди рдХреЛ рдкреНрд░рднрд╛рд╡рд┐рдд рдХрд░рддрд╛ рд╣реИред рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк, рдХрд┐рд╕реА рднреА рдбреЛрдореЗрди рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд▓рд┐рдП JWT рдмрдирд╛рдирд╛ рдЙрд╕ рдбреЛрдореЗрди рдореЗрдВ рд╕рднреА рдкрд╣рдЪрд╛рдиреЛрдВ рдХреЛ рдкреНрд░рднрд╛рд╡рд┐рдд рдХрд░рддрд╛ рд╣реИ, рдЬреЛ рд╣рдорд╛рд░реЗ рд╕рдВрдпреЛрдЬрди рдЧрдгрдирд╛ рдЬрд╛рдВрдЪ рдХреЗ рдЕрдиреБрд░реВрдк рд╣реИред рд╕реАрдзреЗ рд╢рдмреНрджреЛрдВ рдореЗрдВ рдХрд╣реЗрдВ, рдПрдХ рдорд╛рдиреНрдп Workspace рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЖрдЧреЗ рдмрдврд╝рдиреЗ рдХреЗ рд▓рд┐рдП рдкрд░реНрдпрд╛рдкреНрдд рд╣реИред рдЗрд╕ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ DeleFriend рдХреЗ config.yaml рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдпрджрд┐ рд▓рдХреНрд╖рд┐рдд рдХрд╛рд░реНрдпрдХреНрд╖реЗрддреНрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдкрд╣рд▓реЗ рд╕реЗ рдЬреНрдЮрд╛рдд рдирд╣реАрдВ рд╣реИ, рддреЛ рдЙрдкрдХрд░рдг GCP рдкреНрд░реЛрдЬреЗрдХреНрдЯреНрд╕ рдкрд░ рднреВрдорд┐рдХрд╛рдУрдВ рдХреЗ рд╕рд╛рде рдбреЛрдореЗрди рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рд╕реНрдХреИрди рдХрд░рдХреЗ рдорд╛рдиреНрдп рдХрд╛рд░реНрдпрдХреНрд╖реЗрддреНрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреА рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рдкрд╣рдЪрд╛рди рдХреА рд╕реБрд╡рд┐рдзрд╛ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред рдпрд╣ рдлрд┐рд░ рд╕реЗ рдзреНрдпрд╛рди рджреЗрдиреЗ рдпреЛрдЧреНрдп рд╣реИ рдХрд┐ JWT рдбреЛрдореЗрди-рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╣реЛрддреЗ рд╣реИрдВ рдФрд░ рд╣рд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд▓рд┐рдП рдЙрддреНрдкрдиреНрди рдирд╣реАрдВ рд╣реЛрддреЗ; рдЗрд╕рд▓рд┐рдП, рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдкреНрд░рддрд┐ рдбреЛрдореЗрди рдПрдХ рдЕрджреНрд╡рд┐рддреАрдп рдкрд╣рдЪрд╛рди рдХреЛ рд▓рдХреНрд╖рд┐рдд рдХрд░рддреА рд╣реИред

  7. рдкреНрд░рддреНрдпреЗрдХ JWT рдХреЗ рд▓рд┐рдП рдПрдХ рдирдпрд╛ рдмрд┐рдпрд░рд░ рдПрдХреНрд╕реЗрд╕ рдЯреЛрдХрди рдХреА рдЧрдгрдирд╛ рдХрд░реЗрдВ рдФрд░ рдЯреЛрдХрди рдХреЛ tokeninfo API рдХреЗ рдЦрд┐рд▓рд╛рдл рдорд╛рдиреНрдп рдХрд░реЗрдВред

Gitlab рдХрд╛ Python рд╕реНрдХреНрд░рд┐рдкреНрдЯ

Gitlab рдиреЗ рдпрд╣ Python рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдмрдирд╛рдИ рд╣реИ рдЬреЛ рджреЛ рдЪреАрдЬреЗрдВ рдХрд░ рд╕рдХрддреА рд╣реИ - рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдХреА рд╕реВрдЪреА рдмрдирд╛рдирд╛ рдФрд░ SA рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдФрд░ рдЕрдиреБрдХрд░рдг рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд╕рд╛рде рдПрдХ рдирдпрд╛ рдкреНрд░рд╢рд╛рд╕рдирд┐рдХ рдЦрд╛рддрд╛ рдмрдирд╛рдирд╛ред рдпрд╣рд╛рдБ рдЗрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХреИрд╕реЗ рдХрд░реЗрдВ:

# Install requirements
pip install --upgrade --user oauth2client

# Validate access only
./gcp_delegation.py --keyfile ./credentials.json \
--impersonate steve.admin@target-org.com \
--domain target-org.com

# List the directory
./gcp_delegation.py --keyfile ./credentials.json \
--impersonate steve.admin@target-org.com \
--domain target-org.com \
--list

# Create a new admin account
./gcp_delegation.py --keyfile ./credentials.json \
--impersonate steve.admin@target-org.com \
--domain target-org.com \
--account pwned

рдПрдХ рдирдИ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдмрдирд╛рдПрдБ (рд╕реНрдерд╛рдпреАрддрд╛)

рдпрд╣ рд╕рдВрднрд╡ рд╣реИ рдХрд┐ рдбреЛрдореЗрди рд╡рд╛рдЗрдб рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ https://admin.google.com/u/1/ac/owl/domainwidedelegation.

рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдЬрд┐рд╕рдХреЗ рдкрд╛рд╕ GCP рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдореЗрдВ рд╕реЗрд╡рд╛ рдЦрд╛рддреЛрдВ рдХреЛ рдмрдирд╛рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдФрд░ GWS рдХреЗ рд▓рд┐рдП рд╕реБрдкрд░ рдПрдбрдорд┐рди рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╣реИ, рд╡рд╣ рдПрдХ рдирдИ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдмрдирд╛ рд╕рдХрддрд╛ рд╣реИ рдЬреЛ SAs рдХреЛ рдХреБрдЫ GWS рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХрд╛ рдЕрдиреБрдХрд░рдг рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреА рд╣реИ:

  1. рдПрдХ рдирдпрд╛ рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рдФрд░ рд╕рдВрдмрдВрдзрд┐рдд рдХреБрдВрдЬреА рдЬреЛрдбрд╝реА рдЙрддреНрдкрдиреНрди рдХрд░рдирд╛: GCP рдкрд░, рдирдП рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рд╕рдВрд╕рд╛рдзрди рдпрд╛ рддреЛ рдЗрдВрдЯрд░реИрдХреНрдЯрд┐рд╡ рд░реВрдк рд╕реЗ рдХрдВрд╕реЛрд▓ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдпрд╛ рд╕реАрдзреЗ API рдХреЙрд▓ рдФрд░ CLI рдЙрдкрдХрд░рдгреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкреНрд░реЛрдЧреНрд░рд╛рдореЗрдЯрд┐рдХ рд░реВрдк рд╕реЗ рдЙрддреНрдкрдиреНрди рдХрд┐рдП рдЬрд╛ рд╕рдХрддреЗ рд╣реИрдВред рдЗрд╕рдХреЗ рд▓рд┐рдП рднреВрдорд┐рдХрд╛ iam.serviceAccountAdmin рдпрд╛ рдХрд┐рд╕реА рднреА рдХрд╕реНрдЯрдо рднреВрдорд┐рдХрд╛ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИ рдЬрд┐рд╕рдореЗрдВ iam.serviceAccounts.create рдЕрдиреБрдорддрд┐ рд╣реЛред рдПрдХ рдмрд╛рд░ рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рдмрди рдЬрд╛рдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдо рдПрдХ рд╕рдВрдмрдВрдзрд┐рдд рдХреБрдВрдЬреА рдЬреЛрдбрд╝реА рдЙрддреНрдкрдиреНрди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдЧреЗ рдмрдврд╝реЗрдВрдЧреЗ (iam.serviceAccountKeys.create рдЕрдиреБрдорддрд┐)ред

  2. рдирдИ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдХрд╛ рдирд┐рд░реНрдорд╛рдг: рдпрд╣ рд╕рдордЭрдирд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдХрд┐ рдХреЗрд╡рд▓ рд╕реБрдкрд░ рдПрдбрдорд┐рди рднреВрдорд┐рдХрд╛ рдХреЗ рдкрд╛рд╕ Google Workspace рдореЗрдВ рд╡реИрд╢реНрд╡рд┐рдХ рдбреЛрдореЗрди-рд╡реНрдпрд╛рдкреА рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рд╣реИ рдФрд░ рдбреЛрдореЗрди-рд╡реНрдпрд╛рдкреА рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдкреНрд░реЛрдЧреНрд░рд╛рдореЗрдЯрд┐рдХ рд░реВрдк рд╕реЗ рд╕реНрдерд╛рдкрд┐рдд рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛, рдЗрд╕реЗ рдХреЗрд╡рд▓ Google Workspace рдХрдВрд╕реЛрд▓ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╣рд╛рде рд╕реЗ рдмрдирд╛рдпрд╛ рдФрд░ рд╕рдорд╛рдпреЛрдЬрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

  • рдирд┐рдпрдо рдХрд╛ рдирд┐рд░реНрдорд╛рдг API рдирд┐рдпрдВрддреНрд░рдг тЖТ Google Workspace Admin рдХрдВрд╕реЛрд▓ рдореЗрдВ рдбреЛрдореЗрди-рд╡реНрдпрд╛рдкреА рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдкреНрд░рдмрдВрдзрд┐рдд рдХрд░реЗрдВ рдкреГрд╖реНрда рдХреЗ рддрд╣рдд рдкрд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

  1. OAuth рд╕реНрдХреЛрдк рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╕рдВрд▓рдЧреНрди рдХрд░рдирд╛: рдПрдХ рдирдИ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рддреЗ рд╕рдордп, Google рдХреЛ рдХреЗрд╡рд▓ 2 рдкреИрд░рд╛рдореАрдЯрд░ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИ, рдХреНрд▓рд╛рдЗрдВрдЯ рдЖрдИрдбреА, рдЬреЛ GCP рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рд╕рдВрд╕рд╛рдзрди рдХрд╛ OAuth рдЖрдИрдбреА рд╣реИ, рдФрд░ OAuth рд╕реНрдХреЛрдк рдЬреЛ рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд░рддрд╛ рд╣реИ рдХрд┐ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдХреЛ рдХреМрди рд╕реЗ API рдХреЙрд▓ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред

  • OAuth рд╕реНрдХреЛрдк рдХреА рдкреВрд░реА рд╕реВрдЪреА рдпрд╣рд╛рдБ рдкрд╛рдИ рдЬрд╛ рд╕рдХрддреА рд╣реИ, рд▓реЗрдХрд┐рди рдпрд╣рд╛рдБ рдПрдХ рд╕рд┐рдлрд╛рд░рд┐рд╢ рд╣реИ: https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/cloud-platform, https://www.googleapis.com/auth/admin.directory.group, https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/admin.directory.domain, https://mail.google.com/, https://www.googleapis.com/auth/drive, openid

  1. рд▓рдХреНрд╖реНрдп рдкрд╣рдЪрд╛рди рдХреЗ рдкрдХреНрд╖ рдореЗрдВ рдХрд╛рд░реНрдп рдХрд░рдирд╛: рдЗрд╕ рдмрд┐рдВрджреБ рдкрд░, рд╣рдорд╛рд░реЗ рдкрд╛рд╕ GWS рдореЗрдВ рдПрдХ рдХрд╛рд░реНрдпрд╢реАрд▓ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рд╡рд╕реНрддреБ рд╣реИред рдЕрдм, GCP рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рдирд┐рдЬреА рдХреБрдВрдЬреА рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ, рд╣рдо API рдХреЙрд▓ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ (OAuth рд╕реНрдХреЛрдк рдкреИрд░рд╛рдореАрдЯрд░ рдореЗрдВ рдкрд░рд┐рднрд╛рд╖рд┐рдд рд╕реНрдХреЛрдк рдореЗрдВ) рдЗрд╕реЗ рд╕рдХреНрд░рд┐рдп рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдФрд░ Google Workspace рдореЗрдВ рдореМрдЬреВрдж рдХрд┐рд╕реА рднреА рдкрд╣рдЪрд╛рди рдХреЗ рдкрдХреНрд╖ рдореЗрдВ рдХрд╛рд░реНрдп рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рдЬреИрд╕рд╛ рдХрд┐ рд╣рдордиреЗ рд╕реАрдЦрд╛, рд╕реЗрд╡рд╛ рдЦрд╛рддрд╛ рдЕрдкрдиреА рдЖрд╡рд╢реНрдпрдХрддрд╛рдУрдВ рдХреЗ рдЕрдиреБрд╕рд╛рд░ рдФрд░ REST API рдЕрдиреБрдкреНрд░рдпреЛрдЧреЛрдВ рдХреЗ рд▓рд┐рдП рдЙрд╕рдХреЗ рдкрд╛рд╕ рдореМрдЬреВрдж рдЕрдиреБрдорддрд┐ рдХреЗ рдЕрдиреБрд╕рд╛рд░ рдПрдХреНрд╕реЗрд╕ рдЯреЛрдХрди рдЙрддреНрдкрдиреНрди рдХрд░реЗрдЧрд╛ред

  • рдЗрд╕ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреБрдЫ рдЙрдкрдХрд░рдгреЛрдВ рдХреЗ рд▓рд┐рдП рдкрд┐рдЫрд▓реЗ рдЕрдиреБрднрд╛рдЧ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВред

рдХреНрд░реЙрд╕-рдСрд░реНрдЧрдирд╛рдЗрдЬреЗрд╢рдирд▓ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡

OAuth SA ID рд╡реИрд╢реНрд╡рд┐рдХ рд╣реИ рдФрд░ рдЗрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХреНрд░реЙрд╕-рдСрд░реНрдЧрдирд╛рдЗрдЬреЗрд╢рдирд▓ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдХреНрд░реЙрд╕-рд╡реИрд╢реНрд╡рд┐рдХ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдХреЛ рд░реЛрдХрдиреЗ рдХреЗ рд▓рд┐рдП рдХреЛрдИ рдкреНрд░рддрд┐рдмрдВрдз рд▓рд╛рдЧреВ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рд╕рд░рд▓ рд╢рдмреНрджреЛрдВ рдореЗрдВ, рд╡рд┐рднрд┐рдиреНрди GCP рд╕рдВрдЧрдардиреЛрдВ рдХреЗ рд╕реЗрд╡рд╛ рдЦрд╛рддреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдЕрдиреНрдп Workspace рд╕рдВрдЧрдардиреЛрдВ рдкрд░ рдбреЛрдореЗрди-рд╡реНрдпрд╛рдкреА рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЗрд╕рдХрд╛ рдкрд░рд┐рдгрд╛рдо рд╣реЛрдЧрд╛ рдХрд┐ Workspace рдХреЗ рд▓рд┐рдП рдХреЗрд╡рд▓ рд╕реБрдкрд░ рдПрдбрдорд┐рди рдкрд╣реБрдВрдЪ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рдФрд░ рдЙрд╕реА GCP рдЦрд╛рддреЗ рддрдХ рдкрд╣реБрдВрдЪ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реИ, рдХреНрдпреЛрдВрдХрд┐ рдкреНрд░рддрд┐рдХреВрд▓ рд╡реНрдпрдХреНрддрд┐ рдЕрдкрдиреЗ рд╡реНрдпрдХреНрддрд┐рдЧрдд рд░реВрдк рд╕реЗ рдирд┐рдпрдВрддреНрд░рд┐рдд GCP рдЦрд╛рддреЗ рдкрд░ рд╕реЗрд╡рд╛ рдЦрд╛рддреЛрдВ рдФрд░ рдирд┐рдЬреА рдХреБрдВрдЬрд┐рдпреЛрдВ рдХреЛ рдмрдирд╛ рд╕рдХрддрд╛ рд╣реИред

Workspace рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдмрдирд╛рдирд╛

рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ Workspace рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдирдП рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдмрдирд╛рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рд╣реЛрддреА рд╣реИ, рдФрд░ рдЬрдм рдПрдХ рдирдпрд╛ рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдмрдирд╛рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рддреЛ рдирд┐рд░реНрдорд╛рддрд╛ рдХреЛ рдЙрд╕ рдкрд░ рдорд╛рд▓рд┐рдХ рдХреА рднреВрдорд┐рдХрд╛ рдорд┐рд▓рддреА рд╣реИред

рдЗрд╕рд▓рд┐рдП, рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдПрдХ рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдмрдирд╛ рд╕рдХрддрд╛ рд╣реИ, рдЕрдкрдиреЗ рдирдП рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдореЗрдВ Workspace рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП APIs рдХреЛ рд╕рдХреНрд╖рдо рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдЗрд╕реЗ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░ рд╕рдХрддрд╛ рд╣реИред

рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд▓рд┐рдП Workspace рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЙрд╕реЗ рдкрд░реНрдпрд╛рдкреНрдд Workspace рдЕрдиреБрдорддрд┐рдпрд╛рдБ рднреА рдЪрд╛рд╣рд┐рдП (рд╣рд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рдирд╣реАрдВ рд╣реЛрдЧрд╛)ред

# Create project
gcloud projects create <uniq-projec-name> --name=proj-name
# Set project
gcloud config set project <uniq-projec-name>
# Enable svcs
gcloud services enable admin.googleapis.com
gcloud services enable cloudidentity.googleapis.com
# Get org ID
gcloud organizations list
# Get currents email user groups (at least you can check the groups and members of the groups you belong to)
gcloud identity groups memberships search-transitive-groups --member-email <email> --labels=cloudidentity.googleapis.com/groups.discussion_forum
gcloud identity groups memberships list --group-email=g<group-email>

# FROM HERE THE USER NEEDS TO HAVE ENOUGH WORKSPACE ACCESS
gcloud beta identity groups preview --customer <org-cust-id>

рдЪреЗрдХ рдХрд░реЗрдВ рдЕрдзрд┐рдХ рдПрдиреНрдпреВрдорд░реЗрд╢рди рдореЗрдВ:

Gcloud рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ

рдЖрдк gcloud рд▓реЙрдЧрд┐рди рдХреЗ рдкреНрд░рд╡рд╛рд╣ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдФрд░ рдЬрд╛рдирдХрд╛рд░реА рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВ:

рдЬреИрд╕рд╛ рдХрд┐ рд╡рд╣рд╛рдВ рд╕рдордЭрд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ, gcloud рд╕реНрдХреЛрдк https://www.googleapis.com/auth/drive рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдЬреЛ рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рдбреНрд░рд╛рдЗрд╡ рддрдХ рдкрд╣реБрдВрдЪрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрдЧрд╛ред рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдХреЗ рд░реВрдк рдореЗрдВ, рдпрджрд┐ рдЖрдкрдиреЗ рд╢рд╛рд░реАрд░рд┐рдХ рд░реВрдк рд╕реЗ рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рдХрдВрдкреНрдпреВрдЯрд░ рд╕реЗ рд╕рдордЭреМрддрд╛ рдХрд┐рдпрд╛ рд╣реИ рдФрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЕрднреА рднреА рд▓реЙрдЧ рдЗрди рд╣реИ рдЕрдкрдиреЗ рдЦрд╛рддреЗ рдХреЗ рд╕рд╛рде, рддреЛ рдЖрдк рдбреНрд░рд╛рдЗрд╡ рддрдХ рдкрд╣реБрдВрдЪ рдХреЗ рд▓рд┐рдП рдПрдХ рдЯреЛрдХрди рдЙрддреНрдкрдиреНрди рдХрд░рдХреЗ рд▓реЙрдЧрд┐рди рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

gcloud auth login --enable-gdrive-access

рдпрджрд┐ рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рдХрдВрдкреНрдпреВрдЯрд░ рдХреЛ рд╕рдордЭреМрддрд╛ рдХрд░рддрд╛ рд╣реИ, рддреЛ рд╡рд╣ рдлрд╝рд╛рдЗрд▓ google-cloud-sdk/lib/googlecloudsdk/core/config.py рдХреЛ рднреА рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдФрд░ CLOUDSDK_SCOPES рдореЗрдВ рд╕реНрдХреЛрдк 'https://www.googleapis.com/auth/drive' рдЬреЛрдбрд╝ рд╕рдХрддрд╛ рд╣реИ:

рдЗрд╕рд▓рд┐рдП, рдЕрдЧрд▓реА рдмрд╛рд░ рдЬрдм рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд▓реЙрдЧ рдЗрди рдХрд░реЗрдЧрд╛, рддреЛ рд╡рд╣ рдбреНрд░рд╛рдЗрд╡ рддрдХ рдкрд╣реБрдВрдЪ рдХреЗ рд╕рд╛рде рдПрдХ рдЯреЛрдХрди рдмрдирд╛рдПрдЧрд╛ рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рд╣рдорд▓рд╛рд╡рд░ рдбреНрд░рд╛рдЗрд╡ рддрдХ рдкрд╣реБрдВрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рдХрд░ рд╕рдХрддрд╛ рд╣реИред рд╕реНрдкрд╖реНрдЯ рд░реВрдк рд╕реЗ, рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдпрд╣ рд╕рдВрдХреЗрдд рджреЗрдЧрд╛ рдХрд┐ рдЙрддреНрдкрдиреНрди рдЯреЛрдХрди рдХреЛ рдбреНрд░рд╛рдЗрд╡ рддрдХ рдкрд╣реБрдВрдЪ рдкреНрд░рд╛рдкреНрдд рд╣реЛрдЧреА, рд▓реЗрдХрд┐рди рдЬрдм рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕реНрд╡рдпрдВ gcloud auth login рдХрд░реЗрдЧрд╛, рддреЛ рд╡рд╣ рд╢рд╛рдпрдж рдХреБрдЫ рднреА рд╕рдВрджреЗрд╣ рдирд╣реАрдВ рдХрд░реЗрдЧрд╛ред

рдбреНрд░рд╛рдЗрд╡ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреА рд╕реВрдЪреА рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП: curl -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://www.googleapis.com/drive/v3/files"

GWS рд╕реЗ GCP рддрдХ

рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд GCP рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рддрдХ рдкрд╣реБрдВрдЪ

рдпрджрд┐ рдПрдХ рд╣рдорд▓рд╛рд╡рд░ GWS рдкрд░ рдкреВрд░реНрдг рдкрд╣реБрдВрдЪ рд░рдЦрддрд╛ рд╣реИ, рддреЛ рд╡рд╣ GCP рдкрд░ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкрд╣реБрдВрдЪ рд╡рд╛рд▓реЗ рд╕рдореВрд╣реЛрдВ рдпрд╛ рдпрд╣рд╛рдВ рддрдХ рдХрд┐ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рддрдХ рдкрд╣реБрдВрдЪ рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХреЗрдЧрд╛, рдЗрд╕рд▓рд┐рдП GWS рд╕реЗ GCP рдореЗрдВ рдЬрд╛рдирд╛ рдЖрдорддреМрд░ рдкрд░ рдЕрдзрд┐рдХ "рд╕рд░рд▓" рд╣реЛрддрд╛ рд╣реИ рдХреНрдпреЛрдВрдХрд┐ GWS рдореЗрдВ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЗ рдкрд╛рд╕ GCP рдкрд░ рдЙрдЪреНрдЪ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╣реЛрддреЗ рд╣реИрдВред

Google рд╕рдореВрд╣реЛрдВ рдХрд╛ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐

рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕рдВрдЧрдарди рдХреЗ рдХрд╛рд░реНрдпрдХреНрд╖реЗрддреНрд░ рд╕рдореВрд╣реЛрдВ рдореЗрдВ рд╕реНрд╡рддрдВрддреНрд░ рд░реВрдк рд╕реЗ рд╢рд╛рдорд┐рд▓ рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдЙрди рд╕рдореВрд╣реЛрдВ рдХреЛ GCP рдЕрдиреБрдорддрд┐рдпрд╛рдБ рдЕрд╕рд╛рдЗрди рдХреА рдЬрд╛ рд╕рдХрддреА рд╣реИрдВ (рдЕрдкрдиреЗ рд╕рдореВрд╣реЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ https://groups.google.com/)ред

google groups privesc рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рдХреЗ, рдЖрдк GCP рдкрд░ рдХреБрдЫ рдкреНрд░рдХрд╛рд░ рдХреА рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкрд╣реБрдВрдЪ рд╡рд╛рд▓реЗ рд╕рдореВрд╣ рдореЗрдВ рд╡реГрджреНрдзрд┐ рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВред

рд╕рдВрджрд░реНрдн

HackTricks рдХрд╛ рд╕рдорд░реНрдерди рдХрд░реЗрдВ
PreviousGCP - Workflows EnumNextGCP - Understanding Domain-Wide Delegation

Last updated