IBM - Basic Information
Lernen & üben Sie AWS-Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP-Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Hierarchie
IBM Cloud-Ressourcenmodell (aus den Dokumenten):
Empfohlene Möglichkeit, Projekte aufzuteilen:
IAM
Benutzer
Benutzer haben eine E-Mail-Adresse, die ihnen zugewiesen ist. Sie können auf die IBM-Konsole zugreifen und auch API-Schlüssel generieren, um ihre Berechtigungen programmgesteuert zu verwenden. Berechtigungen können dem Benutzer direkt mit einer Zugriffspolitik oder über eine Zugriffsgruppe gewährt werden.
Vertrauenswürdige Profile
Diese sind wie die Rollen von AWS oder Dienstkonten von GCP. Es ist möglich, sie VM-Instanzen zuzuweisen und auf ihre Anmeldeinformationen über Metadaten zuzugreifen oder sogar Identitätsanbietern zu erlauben, sie zu verwenden, um Benutzer von externen Plattformen zu authentifizieren. Berechtigungen können dem vertrauenswürdigen Profil direkt mit einer Zugriffspolitik oder über eine Zugriffsgruppe gewährt werden.
Dienst-IDs
Dies ist eine weitere Option, um Anwendungen die Interaktion mit IBM Cloud zu ermöglichen und Aktionen durchzuführen. In diesem Fall kann anstelle der Zuweisung an eine VM oder einen Identitätsanbieter ein API-Schlüssel verwendet werden, um mit IBM auf programmgesteuerte Weise zu interagieren. Berechtigungen können dem Dienst-ID direkt mit einer Zugriffspolitik oder über eine Zugriffsgruppe gewährt werden.
Identitätsanbieter
Externe Identitätsanbieter können konfiguriert werden, um von externen Plattformen aus auf IBM Cloud-Ressourcen zuzugreifen, indem sie vertrauenswürdige Profile nutzen.
Zugriffsgruppen
In derselben Zugriffsgruppe können mehrere Benutzer, vertrauenswürdige Profile & Dienst-IDs vorhanden sein. Jedes Prinzipal in der Zugriffsgruppe wird die Berechtigungen der Zugriffsgruppe erben. Berechtigungen können dem vertrauenswürdigen Profil direkt mit einer Zugriffspolitik gewährt werden. Eine Zugriffsgruppe kann kein Mitglied einer anderen Zugriffsgruppe sein.
Rollen
Eine Rolle ist eine Gruppe von granularen Berechtigungen. Eine Rolle ist einem Dienst gewidmet, was bedeutet, dass sie nur Berechtigungen dieses Dienstes enthält. Jeder Dienst von IAM wird bereits einige mögliche Rollen zur Auswahl haben, um einem Prinzipal den Zugriff auf diesen Dienst zu gewähren: Viewer, Operator, Editor, Administrator (obwohl es mehr geben könnte).
Rollenberechtigungen werden über Zugriffspolitiken an Prinzipale vergeben. Wenn Sie beispielsweise eine Kombination von Berechtigungen eines Dienstes von Viewer und Administrator geben müssen, anstatt diese 2 zu geben (und einem Prinzipal zu viele Berechtigungen zu geben), können Sie für den Dienst eine neue Rolle erstellen und dieser neuen Rolle die granularen Berechtigungen geben, die Sie benötigen.
Zugriffspolitiken
Zugriffspolitiken ermöglichen es, 1 oder mehr Rollen eines Dienstes an 1 Prinzipal anzuhängen. Beim Erstellen der Richtlinie müssen Sie auswählen:
Den Dienst, für den Berechtigungen gewährt werden sollen
Betroffene Ressourcen
Service- & Plattform-Zugriff, der gewährt wird
Diese geben die Berechtigungen an, die dem Prinzipal erteilt werden, um Aktionen auszuführen. Wenn in dem Dienst eine benutzerdefinierte Rolle erstellt wurde, können Sie diese auch hier auswählen.
Bedingungen (falls vorhanden), um die Berechtigungen zu gewähren
Um einem Benutzer den Zugriff auf mehrere Dienste zu gewähren, können Sie mehrere Zugriffspolitiken generieren.
Referenzen
Lernen & üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated