IBM - Basic Information
Last updated
Last updated
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Модель ресурсів IBM Cloud (з документації):
Рекомендований спосіб розподілу проектів:
Користувачам призначено електронну пошту. Вони можуть отримати доступ до консолі IBM та також генерувати API ключі для використання своїх дозволів програмно. Дозволи можуть бути надані безпосередньо користувачу за допомогою політики доступу або через групу доступу.
Це як Ролі AWS або облікові записи служб з GCP. Можливо призначити їх віртуальним машинам і отримати доступ до їх облікових даних через метадані, або навіть дозволити постачальникам ідентичності використовувати їх для аутентифікації користувачів з зовнішніх платформ. Дозволи можуть бути надані безпосередньо довіреному профілю за допомогою політики доступу або через групу доступу.
Це ще один варіант, щоб дозволити додаткам взаємодіяти з IBM cloud та виконувати дії. У цьому випадку, замість того, щоб призначити його віртуальній машині або постачальнику ідентичності, можна використовувати API ключ для взаємодії з IBM у програмному режимі. Дозволи можуть бути надані безпосередньо ідентифікатору служби за допомогою політики доступу або через групу доступу.
Зовнішні постачальники ідентичності можуть бути налаштовані для доступу до ресурсів IBM cloud з зовнішніх платформ, отримуючи доступ до довірених профілів.
В одній групі доступу можуть бути присутні кілька користувачів, довірених профілів та ідентифікаторів служб. Кожен принципал у групі доступу успадкує дозволи групи доступу. Дозволи можуть бути надані безпосередньо довіреному профілю за допомогою політики доступу. Група доступу не може бути членом іншої групи доступу.
Роль - це набір детальних дозволів. Роль призначена службі, що означає, що вона міститиме лише дозволи цієї служби. Кожна служба IAM вже матиме деякі можливі ролі на вибір для надання доступу принципалу до цієї служби: Переглядач, Оператор, Редактор, Адміністратор (хоча може бути й більше).
Дозволи ролі надаються через політики доступу принципалам, тому, якщо вам потрібно надати, наприклад, комбінацію дозволів служби Переглядач та Адміністратор, замість того, щоб надавати ці 2 (і перевантажувати принципал), ви можете створити нову роль для служби та надати цій новій ролі детальні дозволи, які вам потрібні.
Політики доступу дозволяють прикріпити 1 або кілька ролей 1 служби до 1 принципалу. При створенні політики потрібно вибрати:
Службу, де будуть надані дозволи
Постраждалі ресурси
Доступ до служби та платформи, який буде надано
Це вказує на дозволи, які будуть надані принципалу для виконання дій. Якщо в службі створено будь-яку кастомну роль, ви також зможете вибрати її тут.
Умови (якщо є) для надання дозволів
Щоб надати доступ до кількох служб користувачу, ви можете згенерувати кілька політик доступу
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)