Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Model zasobów IBM Cloud (z dokumentacji):
Zalecany sposób podziału projektów:
Użytkownicy mają przypisany adres e-mail. Mogą uzyskać dostęp do konsoli IBM oraz generować klucze API, aby programowo korzystać ze swoich uprawnień. Uprawnienia mogą być przyznawane bezpośrednio użytkownikowi za pomocą polityki dostępu lub za pośrednictwem grupy dostępu.
Są to jak Role AWS lub konta serwisowe z GCP. Możliwe jest przypisanie ich do instancji VM i uzyskanie dostępu do ich poświadczeń za pomocą metadanych, lub nawet zezwolenie dostawcom tożsamości na ich użycie w celu uwierzytelnienia użytkowników z zewnętrznych platform. Uprawnienia mogą być przyznawane bezpośrednio zaufanemu profilowi za pomocą polityki dostępu lub za pośrednictwem grupy dostępu.
To inna opcja, aby umożliwić aplikacjom interakcję z IBM cloud i wykonywanie działań. W tym przypadku, zamiast przypisywać go do VM lub dostawcy tożsamości, można użyć klucza API do interakcji z IBM w sposób programowy. Uprawnienia mogą być przyznawane bezpośrednio identyfikatorowi usługi za pomocą polityki dostępu lub za pośrednictwem grupy dostępu.
Zewnętrzni dostawcy tożsamości mogą być skonfigurowani do uzyskiwania dostępu do zasobów IBM cloud z zewnętrznych platform, uzyskując dostęp do zaufanych profili.
W tej samej grupie dostępu może być obecnych kilku użytkowników, zaufanych profili i identyfikatorów usług. Każdy podmiot w grupie dostępu będzie dziedziczył uprawnienia grupy dostępu. Uprawnienia mogą być przyznawane bezpośrednio zaufanemu profilowi za pomocą polityki dostępu. Grupa dostępu nie może być członkiem innej grupy dostępu.
Rola to zbiór szczegółowych uprawnień. Rola jest dedykowana usłudze, co oznacza, że będzie zawierać tylko uprawnienia tej usługi. Każda usługa IAM będzie miała już kilka możliwych ról do wyboru, aby przyznać podmiotowi dostęp do tej usługi: Viewer, Operator, Editor, Administrator (chociaż może być ich więcej).
Uprawnienia ról są przyznawane za pomocą polityk dostępu do podmiotów, więc jeśli potrzebujesz na przykład kombinacji uprawnień usługi Viewer i Administrator, zamiast przyznawać te 2 (i nadmiernie upoważniać podmiot), możesz utworzyć nową rolę dla usługi i przyznać tej nowej roli szczegółowe uprawnienia, których potrzebujesz.
Polityki dostępu pozwalają na przypisanie 1 lub więcej ról 1 usługi do 1 podmiotu. Podczas tworzenia polityki musisz wybrać:
usługę, w której będą przyznawane uprawnienia
Zasoby, które będą dotknięte
Dostęp do usługi i platformy, który będzie przyznany
Te wskazują uprawnienia, które będą przyznane podmiotowi do wykonywania działań. Jeśli w usłudze zostanie utworzona niestandardowa rola, będziesz mógł ją również wybrać tutaj.
Warunki (jeśli są) do przyznania uprawnień
Aby przyznać dostęp do kilku usług użytkownikowi, możesz wygenerować kilka polityk dostępu
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
