IBM - Basic Information
Last updated
Last updated
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Modello di risorse IBM Cloud (dalla documentazione):
Modo raccomandato per dividere i progetti:
Gli utenti hanno un email assegnata. Possono accedere alla console IBM e anche generare chiavi API per utilizzare le loro autorizzazioni in modo programmatico. Le autorizzazioni possono essere concesse direttamente all'utente con una policy di accesso o tramite un gruppo di accesso.
Questi sono come i Ruoli di AWS o gli account di servizio di GCP. È possibile assegnarli a VM istanze e accedere alle loro credenziali tramite i metadati, o anche consentire ai Provider di Identità di usarli per autenticare utenti da piattaforme esterne. Le autorizzazioni possono essere concesse direttamente al profilo fidato con una policy di accesso o tramite un gruppo di accesso.
Questa è un'altra opzione per consentire alle applicazioni di interagire con IBM cloud e svolgere azioni. In questo caso, invece di assegnarlo a una VM o a un Provider di Identità, può essere utilizzata una chiave API per interagire con IBM in modo programmatico. Le autorizzazioni possono essere concesse direttamente all'ID servizio con una policy di accesso o tramite un gruppo di accesso.
I Provider di Identità esterni possono essere configurati per accedere alle risorse IBM cloud da piattaforme esterne accedendo ai Profili Fidati.
Nello stesso gruppo di accesso possono essere presenti diversi utenti, profili fidati e ID servizio. Ogni principale nel gruppo di accesso erediterà le autorizzazioni del gruppo di accesso. Le autorizzazioni possono essere concesse direttamente al profilo fidato con una policy di accesso. Un gruppo di accesso non può essere membro di un altro gruppo di accesso.
Un ruolo è un insieme di autorizzazioni granulari. Un ruolo è dedicato a un servizio, il che significa che conterrà solo le autorizzazioni di quel servizio. Ogni servizio di IAM avrà già alcuni ruoli possibili tra cui scegliere per concedere accesso a un principale a quel servizio: Visualizzatore, Operatore, Editore, Amministratore (anche se potrebbero essercene di più).
Le autorizzazioni del ruolo vengono concesse tramite policy di accesso ai principali, quindi se hai bisogno di dare, ad esempio, una combinazione di autorizzazioni di un servizio di Visualizzatore e Amministratore, invece di dare quelle 2 (e sovra-privilegiare un principale), puoi creare un nuovo ruolo per il servizio e dare a quel nuovo ruolo le autorizzazioni granulari di cui hai bisogno.
Le policy di accesso consentono di allegare 1 o più ruoli di 1 servizio a 1 principale. Quando crei la policy devi scegliere:
Il servizio dove verranno concesse le autorizzazioni
Risorse interessate
Accesso al servizio e alla piattaforma che verrà concesso
Questi indicano le autorizzazioni che verranno date al principale per eseguire azioni. Se viene creata una policy personalizzata nel servizio, potrai anche sceglierla qui.
Condizioni (se presenti) per concedere le autorizzazioni
Per concedere accesso a diversi servizi a un utente, puoi generare diverse policy di accesso
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)