一般的な興味深い権限

*.setIamPolicy

リソースに**setIamPolicy**権限を持つユーザーがいれば、そのリソースのIAMポリシーを変更して自分により多くの権限を与えることができるため、そのリソースで権限をエスカレーションすることができます。 この権限は、リソースがコードの実行を許可し、iam.ServiceAccounts.actAsが必要でない場合、他のプリンシパルへのエスカレーションも可能にすることがあります。

• cloudfunctions.functions.setIamPolicy

• Cloud Functionのポリシーを変更して、自分がそれを呼び出せるようにする。

この種の権限を持つリソースタイプは数十あり、https://cloud.google.com/iam/docs/permissions-referenceでsetIamPolicyを検索することで、それらをすべて見つけることができます。

*.create, *.update

これらの権限は、新しいリソースを作成するか、既存のリソースを更新することでリソースでの権限エスカレーションを試みるのに非常に有用です。これらの権限は、特にService Accountに対してiam.serviceAccounts.actAs権限を持ち、.create/.update権限を持つリソースがService Accountをアタッチできる場合に特に有用です。

*ServiceAccount*

この権限は通常、リソース内のService Accountにアクセスまたは変更することを許可します（例：compute.instances.setServiceAccount）。これは権限エスカレーションのベクトルにつながる可能性がありますが、ケースによって異なります。