Autorizzazioni Interessanti Generiche

*.setIamPolicy

Se possiedi un utente che ha l'autorizzazione setIamPolicy su una risorsa, puoi aumentare i privilegi su quella risorsa perché sarai in grado di modificare la policy IAM di quella risorsa e ottenere maggiori privilegi su di essa. Questa autorizzazione può anche consentire di aumentare i privilegi ad altri principali se la risorsa consente di eseguire codice e non è necessario il parametro iam.ServiceAccounts.actAs.

• cloudfunctions.functions.setIamPolicy

• Modifica la policy di una funzione cloud per consentirti di invocarla.

Ci sono decine di tipi di risorse con questo tipo di autorizzazione, puoi trovarli tutti su https://cloud.google.com/iam/docs/permissions-reference cercando setIamPolicy.

*.create, *.update

Queste autorizzazioni possono essere molto utili per cercare di aumentare i privilegi sulle risorse creando una nuova risorsa o aggiornandone una esistente. Queste autorizzazioni sono particolarmente utili se hai anche l'autorizzazione iam.serviceAccounts.actAs su un Service Account e la risorsa su cui hai .create/.update può allegare un service account.

*ServiceAccount*

Questa autorizzazione di solito ti permetterà di accedere o modificare un Service Account in una determinata risorsa (ad esempio: compute.instances.setServiceAccount). Questo potrebbe portare a una escalation di privilegi, ma dipenderà da ogni caso.