IBM - Basic Information

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Підтримати HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

Ієрархія

Модель ресурсів IBM Cloud (з документації):

Рекомендований спосіб розподілу проектів:

IAM

Користувачі

Користувачам призначено електронну пошту. Вони можуть отримати доступ до консолі IBM та також генерувати API ключі для використання своїх дозволів програмно. Дозволи можуть бути надані безпосередньо користувачу за допомогою політики доступу або через групу доступу.

Довірені профілі

Це як Ролі AWS або облікові записи служб з GCP. Можливо призначити їх віртуальним машинам та отримати доступ до їх облікових даних через метадані, або навіть дозволити постачальникам ідентичності використовувати їх для аутентифікації користувачів з зовнішніх платформ. Дозволи можуть бути надані безпосередньо довіреному профілю за допомогою політики доступу або через групу доступу.

Ідентифікатори служб

Це ще один варіант дозволити додаткам взаємодіяти з IBM cloud та виконувати дії. У цьому випадку, замість призначення його віртуальній машині або постачальнику ідентичності, можна використовувати API ключ для взаємодії з IBM у програмному режимі. Дозволи можуть бути надані безпосередньо ідентифікатору служби за допомогою політики доступу або через групу доступу.

Постачальники ідентичності

Зовнішні постачальники ідентичності можуть бути налаштовані для доступу до ресурсів IBM cloud з зовнішніх платформ, отримуючи доступ до довірених профілів.

Групи доступу

В одній групі доступу можуть бути присутні кілька користувачів, довірених профілів та ідентифікаторів служб. Кожен принципал у групі доступу успадкує дозволи групи доступу. Дозволи можуть бути надані безпосередньо довіреному профілю за допомогою політики доступу. Група доступу не може бути членом іншої групи доступу.

Ролі

Роль - це набір детальних дозволів. Роль призначена службі, що означає, що вона міститиме лише дозволи цієї служби. Кожна служба IAM вже матиме деякі можливі ролі на вибір для надання доступу принципалу до цієї служби: Переглядач, Оператор, Редактор, Адміністратор (хоча може бути й більше).

Дозволи ролі надаються через політики доступу принципалам, тому, якщо вам потрібно надати, наприклад, комбінацію дозволів служби Переглядач та Адміністратор, замість того, щоб надавати ці 2 (і перевантажувати принципала), ви можете створити нову роль для служби та надати цій новій ролі детальні дозволи, які вам потрібні.

Політики доступу

Політики доступу дозволяють прикріпити 1 або кілька ролей 1 служби до 1 принципалу. При створенні політики потрібно вибрати:

Службу, де будуть надані дозволи
Постраждалі ресурси
Доступ до служби та платформи, який буде наданий
Це вказує на дозволи, які будуть надані принципалу для виконання дій. Якщо в службі створено будь-яку кастомну роль, ви також зможете вибрати її тут.
Умови (якщо є) для надання дозволів

Щоб надати доступ до кількох служб користувачу, ви можете згенерувати кілька політик доступу

Посилання

Підтримати HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

PreviousIBM - Hyper Protect Virtual Server NextOpenShift Pentesting

Last updated 1 month ago