GCP - IAM, Principals & Org Policies Enum
Akaunti za Huduma
Kwa maelezo kuhusu ni nini akaunti ya huduma angalia:
pageGCP - Basic InformationUchambuzi
Akaunti ya huduma daima inahusishwa na mradi:
Watumiaji & Vikundi
Kwa maelezo kuhusu jinsi Watumiaji & Vikundi wanavyofanya kazi katika GCP angalia:
pageGCP - Basic InformationUchambuzi
Kwa ruhusa serviceusage.services.enable
na serviceusage.services.use
inawezekana kuwezesha huduma katika mradi na kuzitumia.
Tafadhali kumbuka kuwa kwa chaguo-msingi, watumiaji wa Workspace wanapewa jukumu la Mwanzilishi wa Mradi, kuwapa ufikiaji wa kuunda miradi mipya. Mtu anapounda mradi, anapewa jukumu la mmiliki
juu yake. Hivyo, anaweza kuwezesha huduma hizi kwenye mradi ili aweze kuchambua Workspace.
Hata hivyo, kumbuka kuwa ni muhimu pia kuwa na ruhusa za kutosha katika Workspace ili uweze kuita APIs hizi.
Ikiwa unaweza kuwezesha huduma ya admin
na ikiwa mtumiaji wako ana ruhusa za kutosha katika workspace, unaweza kuchambua vikundi & watumiaji wote kwa mistari ifuatayo.
Hata kama inasema vikundi vya utambulisho
, pia inarudisha watumiaji bila vikundi vyovyote:
Katika mifano iliyopita param --labels
inahitajika, kwa hivyo thamani ya kawaida hutumiwa (haipaswi kutumiwa ikiwa unatumia API moja kwa moja kama PurplePanda anavyofanya hapa.
Hata na huduma ya admin ikiwa imewezeshwa, inawezekana upate kosa unapopiga hesabu kwani mtumiaji wa nafasi yako iliyovamiwa hana idhini za kutosha:
IAM
Angalia hii kwa habari za msingi kuhusu IAM.
Idhini za Kimsingi
Kutoka kwa nyaraka: Wakati rasilimali ya shirika inapoanzishwa, watumiaji wote katika kikoa chako wanapewa majukumu ya Mjenzi wa Akaunti ya Bili na Mjenzi wa Mradi kwa chaguo-msingi. Majukumu haya ya msingi huruhusu watumiaji wako kuanza kutumia Google Cloud mara moja, lakini sio kwa matumizi ya kawaida ya rasilimali ya shirika lako.
Majukumu haya hutoa idhini:
billing.accounts.create
naresourcemanager.organizations.get
resourcemanager.organizations.get
naresourcemanager.projects.create
Zaidi ya hayo, wakati mtumiaji anaunda mradi, yeye hupewa moja kwa moja mmiliki wa mradi huo kulingana na nyaraka. Kwa hivyo, kwa chaguo-msingi, mtumiaji ataweza kuunda mradi na kuendesha huduma yoyote kwenye mradi huo (wachimbaji? Uainishaji wa Nafasi ya Kazi? ...)
Idhini ya juu kabisa katika Shirika la GCP ni jukumu la Msimamizi wa Shirika.
set-iam-policy vs add-iam-policy-binding
Katika huduma nyingi utaweza kubadilisha idhini juu ya rasilimali kwa kutumia njia ya add-iam-policy-binding
au set-iam-policy
. Tofauti kuu ni kwamba add-iam-policy-binding
huongeza kifungo kipya cha jukumu kwenye sera ya IAM iliyopo wakati set-iam-policy
ita futa idhini zilizotolewa hapo awali na weka tu zile zilizotajwa katika amri.
Uainishaji
Uchambuzi wa IAM wa Mali za Cloud
Kuna njia tofauti za kuangalia ruhusa zote za mtumiaji kwenye rasilimali tofauti (kama vile mashirika, folda, miradi...) kwa kutumia huduma hii.
Ruhusa
cloudasset.assets.searchAllIamPolicies
inaweza kuomba ruhusa zote za iam ndani ya rasilimali.
Uhalali
cloudasset.assets.analyzeIamPolicy
unaweza kuomba sera zote za iam za msingi ndani ya rasilimali.
Kibali
cloudasset.assets.searchAllResources
inaruhusu orodha ya rasilimali zote za shirika, folda, au mradi. Vyanzo vinavyohusiana na IAM (kama vile majukumu) vimejumuishwa.
Uwezo wa
cloudasset.assets.analyzeMove
unaweza kuwa na manufaa pia katika kupata sera zinazoathiri rasilimali kama mradi
Ninafikiri ruhusa
cloudasset.assets.queryIamPolicy
inaweza pia kutoa ufikiaji wa kupata ruhusa za wakuu
Uchambuzi wa ruhusa za IamPermissions
Ikiwa hauwezi kupata habari za IAM kwa kutumia njia za awali na uko kwenye Timu Nyekundu. Unaweza kutumia zana https://github.com/carlospolop/bf_my_gcp_perms kufanya nguvu ya kutumia ruhusa zako za sasa.
Hata hivyo, kumbuka kuwa huduma ya cloudresourcemanager.googleapis.com
inahitaji kuwezeshwa.
Privesc
Kwenye ukurasa ufuatao unaweza kuangalia jinsi ya kutumia ruhusa za IAM kuboresha mamlaka:
pageGCP - IAM PrivescUchambuzi Bila Kuthibitishwa
pageGCP - IAM, Principals & Org Unauthenticated EnumBaada ya Kuvamia
pageGCP - IAM Post ExploitationUthabiti
Ikiwa una mamlaka makubwa unaweza:
Unda akaunti mpya za SAs (au watumiaji ikiwa ni kwenye Workspace)
Toa ruhusa zaidi kwa mabwana wanaodhibitiwa na wewe
Toa mamlaka zaidi kwa SAs zenye udhaifu (SSRF kwenye vm, Cloud Function yenye udhaifu...)
...
Sera za Shirika
Kwa maelezo kuhusu ni nini Sera za Shirika angalia:
pageGCP - Basic InformationSera za IAM zinaonyesha ruhusa ambazo mabwana wanazo juu ya rasilimali kupitia majukumu, ambayo hupewa ruhusa za kugawanywa kwa undani. Sera za Shirika zinaruhusu jinsi huduma hizo zinaweza kutumika au ni vipengele vipi vilivyozimwa. Hii husaidia kuboresha ruhusa ndogo ya kila rasilimali katika mazingira ya GCP.
Privesc
Kwenye ukurasa ufuatao unaweza kuangalia jinsi ya kutumia ruhusa za sera za shirika kukuza mamlaka:
pageGCP - Orgpolicy PrivescLast updated