IBM - Basic Information
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
계층 구조
IBM Cloud 리소스 모델 (문서에서):
프로젝트를 나누는 추천 방법:
IAM
사용자
사용자에게는 이메일이 할당됩니다. 그들은 IBM 콘솔에 접근할 수 있으며, 자신의 권한을 프로그래밍 방식으로 사용하기 위해 API 키를 생성할 수 있습니다. 권한은 접근 정책을 통해 사용자에게 직접 부여되거나 접근 그룹을 통해 부여될 수 있습니다.
신뢰할 수 있는 프로필
이들은 AWS의 역할 또는 GCP의 서비스 계정과 유사합니다. VM 인스턴스에 할당하고 메타데이터를 통해 자격 증명에 접근하거나, 신원 공급자가 외부 플랫폼의 사용자를 인증하는 데 사용할 수 있도록 허용할 수 있습니다. 권한은 접근 정책을 통해 신뢰할 수 있는 프로필에 직접 부여되거나 접근 그룹을 통해 부여될 수 있습니다.
서비스 ID
이는 애플리케이션이 IBM Cloud와 상호작용하고 작업을 수행할 수 있도록 허용하는 또 다른 옵션입니다. 이 경우, VM이나 신원 공급자에 할당하는 대신 API 키를 사용하여 IBM과 프로그래밍 방식으로 상호작용할 수 있습니다. 권한은 접근 정책을 통해 서비스 ID에 직접 부여되거나 접근 그룹을 통해 부여될 수 있습니다.
신원 공급자
외부 신원 공급자는 신뢰할 수 있는 프로필에 접근하여 외부 플랫폼에서 IBM Cloud 리소스에 접근할 수 있도록 구성할 수 있습니다.
접근 그룹
같은 접근 그룹에 여러 사용자, 신뢰할 수 있는 프로필 및 서비스 ID가 존재할 수 있습니다. 접근 그룹의 각 주체는 접근 그룹 권한을 상속받습니다. 권한은 접근 정책을 통해 신뢰할 수 있는 프로필에 직접 부여될 수 있습니다. 접근 그룹은 다른 접근 그룹의 구성원이 될 수 없습니다.
역할
역할은 세분화된 권한 집합입니다. 역할은 서비스에 전념하며, 해당 서비스의 권한만 포함됩니다. IAM의 각 서비스는 주체가 해당 서비스에 접근할 수 있도록 선택할 수 있는 가능한 역할을 이미 가지고 있습니다: Viewer, Operator, Editor, Administrator (더 있을 수 있습니다).
역할 권한은 주체에게 접근 정책을 통해 부여되므로, 예를 들어 Viewer와 Administrator 서비스의 권한 조합을 부여해야 하는 경우, 그 두 가지를 부여하는 대신 (주체에게 과도한 권한을 부여하는 대신) 서비스에 대해 새로운 역할을 생성하고 그 새로운 역할에 필요한 세분화된 권한을 부여할 수 있습니다.
접근 정책
접근 정책은 1개의 주체에 1개의 서비스의 1개 이상의 역할을 연결할 수 있게 해줍니다. 정책을 생성할 때 선택해야 하는 항목은 다음과 같습니다:
권한이 부여될 서비스
영향을 받는 리소스
부여될 서비스 및 플랫폼 접근
이는 주체가 작업을 수행하기 위해 부여받을 권한을 나타냅니다. 서비스에서 사용자 정의 역할이 생성된 경우, 여기에서 선택할 수 있습니다.
권한을 부여하기 위한 조건 (있는 경우)
사용자에게 여러 서비스에 대한 접근을 부여하려면 여러 접근 정책을 생성할 수 있습니다.
참고 문헌
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
Last updated