IBM - Basic Information

Вивчайте хакінг AWS від нуля до героя з htARTE (Експерт з червоної команди HackTricks AWS)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити рекламу вашої компанії на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за мною на Twitter 🐦 @carlospolopm.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв.

Ієрархія

Модель ресурсів IBM Cloud (з документації):

Рекомендований спосіб розділити проекти:

IAM

Користувачі

Користувачі мають прив'язану до них електронну пошту. Вони можуть отримати доступ до консолі IBM та також створювати API-ключі для використання своїх дозволів програмно. Дозволи можуть бути надані прямо користувачеві за допомогою політики доступу або через групу доступу.

Довірені профілі

Це схоже на Ролі AWS або облікові записи служб з GCP. Можливо призначити їх для екземплярів ВМ та отримати доступ до їх облікових даних через метадані, або навіть дозволити постачальникам ідентичності використовувати їх для аутентифікації користувачів зовнішніх платформ. Дозволи можуть бути надані прямо довіреному профілю за допомогою політики доступу або через групу доступу.

Ідентифікатори служб

Це ще один варіант дозволити програмам взаємодіяти з IBM Cloud та виконувати дії. У цьому випадку, замість того, щоб призначити його для ВМ або постачальника ідентичності, можна використовувати API-ключ для взаємодії з IBM у програмний спосіб. Дозволи можуть бути надані прямо ідентифікатору служби за допомогою політики доступу або через групу доступу.

Постачальники ідентичності

Зовнішні постачальники ідентичності можуть бути налаштовані для доступу до ресурсів IBM Cloud зовнішніх платформ шляхом доступу до довірених профілів.

Групи доступу

У тій же групі доступу можуть бути присутні кілька користувачів, довірених профілів та ідентифікаторів служб. Кожен принципал у групі доступу спадкує дозволи групи доступу. Дозволи можуть бути надані прямо довіреному профілю за допомогою політики доступу. Група доступу не може бути членом іншої групи доступу.

Ролі

Роль - це набір дрібних дозволів. Роль призначена для служби, що означає, що вона буде містити лише дозволи цієї служби. Кожна служба IAM вже має деякі можливі ролі для вибору, щоб надати принципалу доступ до цієї служби: Переглядач, Оператор, Редактор, Адміністратор (хоча може бути більше).

Дозволи ролі надаються через політики доступу принципалам, тому якщо вам потрібно, наприклад, надати комбінацію дозволів служби Переглядача та Адміністратора, замість надання цих 2 (і надмірної привілеї принципалу), ви можете створити нову роль для служби та надати цій новій ролі дрібні дозволи, які вам потрібні.

Політики доступу

Політики доступу дозволяють прикріплювати 1 або кілька ролей 1 служби до 1 принципала. При створенні політики вам потрібно вибрати:

Службу, де будуть надані дозволи
Затронуті ресурси
Доступ до служби та платформи доступу, який буде наданий
Це вказує дозволи, які будуть надані принципалу для виконання дій. Якщо будь-яка власна роль створена в службі, ви також зможете вибрати її тут.
Умови (якщо є) для надання дозволів

Щоб надати доступ до декількох служб користувачу, ви можете створити кілька політик доступу

Посилання

Вивчайте хакінг AWS від нуля до героя з htARTE (Експерт з червоної команди HackTricks AWS)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити рекламу вашої компанії на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за мною на Twitter 🐦 @carlospolopm.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв.

PreviousIBM - Hyper Protect Virtual Server

Last updated 1 month ago