IBM - Basic Information

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się sztuczkami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

Hierarchia

Model zasobów IBM Cloud (z dokumentacji):

Zalecany sposób podziału projektów:

IAM

Użytkownicy

Użytkownicy mają przypisany adres e-mail. Mogą uzyskać dostęp do konsoli IBM oraz generować klucze API, aby programowo korzystać ze swoich uprawnień. Uprawnienia mogą być przyznawane bezpośrednio użytkownikowi za pomocą polityki dostępu lub za pośrednictwem grupy dostępu.

Zaufane profile

Są to jak role AWS lub konta serwisowe z GCP. Możliwe jest przypisanie ich do instancji VM i uzyskanie dostępu do ich poświadczeń za pomocą metadanych, lub nawet zezwolenie dostawcom tożsamości na ich użycie w celu uwierzytelnienia użytkowników z zewnętrznych platform. Uprawnienia mogą być przyznawane bezpośrednio zaufanemu profilowi za pomocą polityki dostępu lub za pośrednictwem grupy dostępu.

Identyfikatory usług

To kolejna opcja, aby umożliwić aplikacjom interakcję z IBM Cloud i wykonywanie działań. W tym przypadku, zamiast przypisywać go do VM lub dostawcy tożsamości, można użyć klucza API do interakcji z IBM w sposób programowy. Uprawnienia mogą być przyznawane bezpośrednio identyfikatorowi usługi za pomocą polityki dostępu lub za pośrednictwem grupy dostępu.

Dostawcy tożsamości

Zewnętrzni dostawcy tożsamości mogą być skonfigurowani do uzyskiwania dostępu do zasobów IBM Cloud z zewnętrznych platform, uzyskując dostęp do zaufanych profili.

Grupy dostępu

W tej samej grupie dostępu może być obecnych kilku użytkowników, zaufanych profili i identyfikatorów usług. Każdy podmiot w grupie dostępu będzie dziedziczył uprawnienia grupy dostępu. Uprawnienia mogą być przyznawane bezpośrednio zaufanemu profilowi za pomocą polityki dostępu. Grupa dostępu nie może być członkiem innej grupy dostępu.

Role

Rola to zbiór szczegółowych uprawnień. Rola jest dedykowana usłudze, co oznacza, że będzie zawierać tylko uprawnienia tej usługi. Każda usługa IAM będzie miała już kilka możliwych ról do wyboru, aby przyznać podmiotowi dostęp do tej usługi: Viewer, Operator, Editor, Administrator (chociaż może być ich więcej).

Uprawnienia roli są przyznawane za pomocą polityk dostępu do podmiotów, więc jeśli potrzebujesz na przykład kombinacji uprawnień usługi Viewer i Administrator, zamiast przyznawać te 2 (i nadmiernie upoważniać podmiot), możesz utworzyć nową rolę dla usługi i przyznać tej nowej roli szczegółowe uprawnienia, których potrzebujesz.

Polityki dostępu

Polityki dostępu pozwalają na przypisanie 1 lub więcej ról 1 usługi do 1 podmiotu. Podczas tworzenia polityki musisz wybrać:

usługę, w której będą przyznawane uprawnienia
dotknięte zasoby
dostęp do usługi i platformy, który będzie przyznany
Te wskazują uprawnienia, które będą przyznane podmiotowi do wykonywania działań. Jeśli w usłudze zostanie utworzona niestandardowa rola, będziesz mógł również wybrać ją tutaj.
Warunki (jeśli są) do przyznania uprawnień

Aby przyznać dostęp do kilku usług użytkownikowi, możesz wygenerować kilka polityk dostępu

Odniesienia

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się sztuczkami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

PreviousIBM - Hyper Protect Virtual Server NextOpenShift Pentesting

Last updated 1 month ago