IBM - Basic Information
Last updated
Last updated
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
IBM Cloud kaynak modeli (belgelerden):
Projeleri bölmek için önerilen yol:
Kullanıcılara atanmış bir email vardır. IBM konsoluna erişebilirler ve izinlerini programatik olarak kullanmak için API anahtarları oluşturabilirler. İzinler, bir erişim politikası ile kullanıcıya doğrudan verilebilir veya bir erişim grubu aracılığıyla verilebilir.
Bunlar AWS'nin Rolleri veya GCP'den hizmet hesapları gibidir. VM örneklerine atanabilir ve metadata aracılığıyla kimlik bilgilerine erişilebilir veya Kimlik Sağlayıcılarının dış platformlardan kullanıcıları kimlik doğrulamak için kullanmalarına izin verilebilir. İzinler, güvenilir profile bir erişim politikası ile doğrudan verilebilir veya bir erişim grubu aracılığıyla verilebilir.
Bu, uygulamaların IBM cloud ile etkileşimde bulunmasını ve eylemler gerçekleştirmesini sağlamak için başka bir seçenektir. Bu durumda, bir VM veya Kimlik Sağlayıcısına atamak yerine, IBM ile programatik bir şekilde etkileşimde bulunmak için bir API Anahtarı kullanılabilir. İzinler, hizmet kimliğine bir erişim politikası ile doğrudan verilebilir veya bir erişim grubu aracılığıyla verilebilir.
Dış Kimlik Sağlayıcıları, Güvenilir Profilleri erişerek dış platformlardan IBM cloud kaynaklarına erişmek için yapılandırılabilir.
Aynı erişim grubunda birden fazla kullanıcı, güvenilir profil ve hizmet kimliği bulunabilir. Erişim grubundaki her bir anahtar, erişim grubu izinlerini devralacaktır. İzinler, güvenilir profile bir erişim politikası ile doğrudan verilebilir. Bir erişim grubu başka bir erişim grubunun üyesi olamaz.
Bir rol, granüler izinler setidir. Bir rol, bir hizmete adanmıştır, yani yalnızca o hizmetin izinlerini içerecektir. IAM'nin her hizmeti, o hizmete bir anahtara erişim vermek için seçilebilecek bazı mümkün roller olacaktır: Görüntüleyici, Operatör, Editör, Yöneticisi (daha fazlası da olabilir).
Rol izinleri, anahtarlara erişim politikaları aracılığıyla verilir, bu nedenle örneğin bir Görüntüleyici ve Yönetici hizmetinin izin kombinasyonunu vermeniz gerekiyorsa, bu iki izni vermek yerine (ve bir anahtarı aşırı yetkilendirmek yerine), hizmet için yeni bir rol oluşturabilir ve o yeni role gerekli granüler izinleri verebilirsiniz.
Erişim politikaları, 1 hizmetin 1 veya daha fazla rolünü 1 anahtara eklemeye olanak tanır. Politikayı oluştururken şunları seçmeniz gerekir:
İzinlerin verileceği hizmet
Etkilenen kaynaklar
Verilecek hizmet ve platform erişimi
Bunlar, anahtarın eylemleri gerçekleştirmesi için verilecek izinleri belirtir. Hizmette herhangi bir özel rol oluşturulursa, burada da seçebilirsiniz.
İzinleri vermek için koşullar (varsa)
Bir kullanıcıya birden fazla hizmete erişim vermek için, birden fazla erişim politikası oluşturabilirsiniz.
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
