Ogólne interesujące uprawnienia

*.setIamPolicy

Jeśli posiadasz użytkownika, który ma uprawnienie setIamPolicy w zasobie, możesz podwyższyć uprawnienia w tym zasobie, ponieważ będziesz mógł zmienić politykę IAM tego zasobu i nadać sobie większe uprawnienia. To uprawnienie może również umożliwić podwyższenie uprawnień do innych podmiotów, jeśli zasób pozwala na wykonanie kodu i nie jest wymagane iam.ServiceAccounts.actAs.

• cloudfunctions.functions.setIamPolicy

• Zmień politykę funkcji chmurowej, aby umożliwić sobie jej wywołanie.

Istnieje dziesiątki typów zasobów z tego rodzaju uprawnieniami, można je znaleźć wszystkie na stronie https://cloud.google.com/iam/docs/permissions-reference, wyszukując setIamPolicy.

*.create, *.update

Te uprawnienia mogą być bardzo przydatne do próby podwyższenia uprawnień w zasobach poprzez utworzenie nowego lub aktualizację istniejącego. Te rodzaje uprawnień są szczególnie przydatne, jeśli masz również uprawnienie iam.serviceAccounts.actAs dla konta usługi i zasób, nad którym masz uprawnienia .create/.update, może dołączyć konto usługi.

*ServiceAccount*

To uprawnienie zazwyczaj umożliwia dostęp lub modyfikację konta usługi w pewnym zasobie (np. compute.instances.setServiceAccount). Może to prowadzić do eskalacji uprawnień, ale zależy to od każdego przypadku.