IBM - Basic Information
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
IBM Cloudリソースモデル(ドキュメントから):
プロジェクトを分割する推奨方法:
ユーザーにはメールが割り当てられています。彼らはIBMコンソールにアクセスでき、またAPIキーを生成してプログラム的に権限を使用できます。 権限は、アクセスポリシーを使用してユーザーに直接付与するか、アクセスグループを介して付与できます。
これはAWSのロールやGCPのサービスアカウントのようなものです。これらはVMインスタンスに割り当てることができ、メタデータを介してその資格情報にアクセスしたり、外部プラットフォームからユーザーを認証するためにアイデンティティプロバイダーが使用できるようにすることも可能です。 権限は、アクセスポリシーを使用して信頼されたプロファイルに直接付与するか、アクセスグループを介して付与できます。
これは、アプリケーションがIBM Cloudと対話し、アクションを実行するための別のオプションです。この場合、VMやアイデンティティプロバイダーに割り当てる代わりに、APIキーを使用してIBMとプログラム的に対話できます。 権限は、アクセスポリシーを使用してサービスIDに直接付与するか、アクセスグループを介して付与できます。
外部のアイデンティティプロバイダーは、信頼されたプロファイルにアクセスすることによって、外部プラットフォームからIBM Cloudリソースにアクセスできるように構成できます。
同じアクセスグループには複数のユーザー、信頼されたプロファイル、サービスIDが存在できます。アクセスグループ内の各プリンシパルは、アクセスグループの権限を継承します。 権限は、アクセスポリシーを使用して信頼されたプロファイルに直接付与できます。 アクセスグループは他のアクセスグループのメンバーになることはできません。
ロールは細かい権限のセットです。ロールはサービスに専念しており、そのサービスの権限のみを含みます。 IAMの各サービスには、プリンシパルにそのサービスへのアクセスを付与するために選択できる可能なロールがすでにいくつかあります:Viewer、Operator、Editor、Administrator(ただし、他にもあるかもしれません)。
ロールの権限は、プリンシパルに対してアクセスポリシーを介して付与されるため、たとえばViewerとAdministratorのサービスの権限の組み合わせを付与する必要がある場合、これらの2つを付与する代わりに(プリンシパルに過剰権限を与えることなく)、そのサービスのために新しいロールを作成し、その新しいロールに必要な細かい権限を付与できます。
アクセスポリシーは、1つのサービスの1つ以上のロールを1つのプリンシパルに付与することを可能にします。 ポリシーを作成する際には、次のことを選択する必要があります:
権限が付与されるサービス
影響を受けるリソース
付与されるサービスとプラットフォームのアクセス
これにより、プリンシパルがアクションを実行するために与えられる権限が示されます。サービス内でカスタムロールが作成されている場合、ここでそれを選択することもできます。
権限を付与するための条件(ある場合)
ユーザーに複数のサービスへのアクセスを付与するには、複数のアクセスポリシーを生成できます。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
