Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
IBM Cloudリソースモデル (from the docs):
プロジェクトを分割する推奨方法:
ユーザーにはメールが割り当てられています。彼らはIBMコンソールにアクセスでき、またAPIキーを生成して権限をプログラム的に使用できます。 権限は、アクセスポリシーを使用してユーザーに直接付与することができます、またはアクセスグループを介して付与することもできます。
これはAWSのロールやGCPのサービスアカウントのようなものです。これらはVMインスタンスに割り当てることができ、メタデータを介してその資格情報にアクセスすることができます。また、アイデンティティプロバイダーがそれらを使用して外部プラットフォームからユーザーを認証することを許可することもできます。 権限は、アクセスポリシーを使用して信頼されたプロファイルに直接付与することができます、またはアクセスグループを介して付与することもできます。
これは、アプリケーションがIBM Cloudと対話し、アクションを実行するための別のオプションです。この場合、VMやアイデンティティプロバイダーに割り当てる代わりに、APIキーを使用してIBMとプログラム的に対話することができます。 権限は、アクセスポリシーを使用してサービスIDに直接付与することができます、またはアクセスグループを介して付与することもできます。
外部のアイデンティティプロバイダーは、信頼されたプロファイルにアクセスすることによって外部プラットフォームからIBM Cloudリソースにアクセスするように構成できます。
同じアクセスグループには複数のユーザー、信頼されたプロファイル、サービスIDが存在することができます。アクセスグループ内の各プリンシパルは、アクセスグループの権限を継承します。 権限は、アクセスポリシーを使用して信頼されたプロファイルに直接付与することができます。 アクセスグループは他のアクセスグループのメンバーになることはできません。
ロールは細かい権限のセットです。ロールはサービスに専念しており、そのサービスの権限のみを含むことを意味します。 IAMの各サービスには、プリンシパルにそのサービスへのアクセスを付与するためのいくつかの可能なロールがすでに用意されています: Viewer, Operator, Editor, Administrator(ただし、他にもあるかもしれません)。
ロールの権限は、プリンシパルに対してアクセスポリシーを介して付与されるため、例えばViewerとAdministratorのサービスの権限の組み合わせを付与する必要がある場合、これらの2つを付与する代わりに(プリンシパルに過剰権限を与えることなく)、サービスのために新しいロールを作成し、その新しいロールに必要な細かい権限を付与することができます。
アクセスポリシーは、1つのサービスの1つ以上のロールを1つのプリンシパルに付与することを可能にします。 ポリシーを作成する際には、次のことを選択する必要があります:
権限が付与されるサービス
影響を受けるリソース
付与されるサービスとプラットフォームのアクセス
これらは、プリンシパルがアクションを実行するために与えられる権限を示します。サービス内でカスタムロールが作成されている場合、ここでそれを選択することもできます。
権限を付与するための条件(ある場合)
ユーザーに複数のサービスへのアクセスを付与するには、複数のアクセスポリシーを生成できます
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
