일반적으로 흥미로운 권한

*.setIamPolicy

리소스에서 setIamPolicy 권한을 가진 사용자를 소유하고 있다면, 해당 리소스의 IAM 정책을 변경하여 권한을 상승시킬 수 있습니다. 이 권한은 리소스에서 코드를 실행하고 iam.ServiceAccounts.actAs가 필요하지 않은 경우, 다른 주체로 권한 상승도 가능합니다.

• cloudfunctions.functions.setIamPolicy

• 클라우드 함수의 정책을 수정하여 자신이 호출할 수 있도록 변경합니다.

이와 같은 종류의 권한을 가진 수십 개의 리소스 유형이 있으며, setIamPolicy를 검색하여 모두 찾을 수 있습니다. https://cloud.google.com/iam/docs/permissions-reference

*.create, *.update

이러한 권한은 새로운 리소스를 생성하거나 기존 리소스를 업데이트하여 권한 상승을 시도하는 데 매우 유용할 수 있습니다. 특히 이러한 권한을 가진 경우 iam.serviceAccounts.actAs 권한을 가지고 있고, 권한 상승이 가능한 리소스에 서비스 계정을 연결할 수 있는 경우 특히 유용합니다.

*ServiceAccount*

이 권한은 일반적으로 일부 리소스에서 서비스 계정에 액세스하거나 수정할 수 있게 해줍니다 (예: compute.instances.setServiceAccount). 이는 권한 상승 벡터로 이어질 수 있지만, 각 경우에 따라 다를 수 있습니다.