IBM - Basic Information

Supporta HackTricks

Gerarchia

Modello di risorse IBM Cloud (dalla documentazione):

Modo raccomandato per dividere i progetti:

IAM

Utenti

Gli utenti hanno un email assegnata. Possono accedere alla console IBM e anche generare chiavi API per utilizzare le loro autorizzazioni in modo programmatico. Le autorizzazioni possono essere concesse direttamente all'utente con una policy di accesso o tramite un gruppo di accesso.

Profili Fidati

Questi sono come i Ruoli di AWS o gli account di servizio di GCP. È possibile assegnarli a VM istanze e accedere alle loro credenziali tramite i metadati, o anche consentire ai Provider di Identità di usarli per autenticare utenti da piattaforme esterne. Le autorizzazioni possono essere concesse direttamente al profilo fidato con una policy di accesso o tramite un gruppo di accesso.

ID Servizio

Questa è un'altra opzione per consentire alle applicazioni di interagire con IBM cloud e svolgere azioni. In questo caso, invece di assegnarlo a una VM o a un Provider di Identità, può essere utilizzata una chiave API per interagire con IBM in modo programmatico. Le autorizzazioni possono essere concesse direttamente all'ID servizio con una policy di accesso o tramite un gruppo di accesso.

Provider di Identità

I Provider di Identità esterni possono essere configurati per accedere alle risorse IBM cloud da piattaforme esterne accedendo ai Profili Fidati.

Gruppi di Accesso

Nello stesso gruppo di accesso possono essere presenti diversi utenti, profili fidati e ID servizio. Ogni principale nel gruppo di accesso erediterà le autorizzazioni del gruppo di accesso. Le autorizzazioni possono essere concesse direttamente al profilo fidato con una policy di accesso. Un gruppo di accesso non può essere membro di un altro gruppo di accesso.

Ruoli

Un ruolo è un insieme di autorizzazioni granulari. Un ruolo è dedicato a un servizio, il che significa che conterrà solo le autorizzazioni di quel servizio. Ogni servizio di IAM avrà già alcuni ruoli possibili tra cui scegliere per concedere accesso a un principale a quel servizio: Visualizzatore, Operatore, Editore, Amministratore (anche se potrebbero essercene di più).

Le autorizzazioni del ruolo vengono concesse tramite policy di accesso ai principali, quindi se hai bisogno di dare, ad esempio, una combinazione di autorizzazioni di un servizio di Visualizzatore e Amministratore, invece di dare quelle 2 (e sovra-privilegiare un principale), puoi creare un nuovo ruolo per il servizio e dare a quel nuovo ruolo le autorizzazioni granulari di cui hai bisogno.

Policy di Accesso

Le policy di accesso consentono di allegare 1 o più ruoli di 1 servizio a 1 principale. Quando crei la policy devi scegliere:

  • Il servizio dove verranno concesse le autorizzazioni

  • Risorse interessate

  • Accesso al Servizio & Piattaforma che verrà concesso

  • Questi indicano le autorizzazioni che verranno date al principale per eseguire azioni. Se viene creata una policy personalizzata nel servizio, potrai anche sceglierla qui.

  • Condizioni (se presenti) per concedere le autorizzazioni

Per concedere accesso a diversi servizi a un utente, puoi generare diverse policy di accesso

Riferimenti

Supporta HackTricks

Last updated