IBM - Grundinformationen

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstütze HackTricks

Hierarchie

IBM Cloud-Ressourcenmodell (aus den Dokumenten):

Empfohlene Möglichkeit zur Aufteilung von Projekten:

IAM

Benutzer

Benutzern wird eine E-Mail zugewiesen. Sie können auf die IBM-Konsole zugreifen und auch API-Schlüssel generieren, um ihre Berechtigungen programmgesteuert zu nutzen.
Berechtigungen können direkt dem Benutzer mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.

Vertrauenswürdige Profile

Diese sind wie die Rollen von AWS oder Dienstkonten von GCP. Es ist möglich, sie VM-Instanzen zuzuweisen und auf ihre Anmeldeinformationen über Metadaten zuzugreifen oder sogar Identitätsanbieter zuzulassen, sie zu verwenden, um Benutzer von externen Plattformen zu authentifizieren.
Berechtigungen können direkt dem vertrauenswürdigen Profil mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.

Dienst-IDs

Dies ist eine weitere Option, um Anwendungen zu ermöglichen, mit IBM Cloud zu interagieren und Aktionen auszuführen. In diesem Fall kann anstelle der Zuweisung an eine VM oder einen Identitätsanbieter ein API-Schlüssel verwendet werden, um programmgesteuert mit IBM zu interagieren.
Berechtigungen können direkt der Dienst-ID mit einer Zugriffsrichtlinie oder über eine Zugriffsgruppe gewährt werden.

Identitätsanbieter

Externe Identitätsanbieter können konfiguriert werden, um auf IBM Cloud-Ressourcen von externen Plattformen zuzugreifen, indem sie vertrauenswürdige Profile nutzen.

Zugriffsgruppen

In derselben Zugriffsgruppe können mehrere Benutzer, vertrauenswürdige Profile und Dienst-IDs vorhanden sein. Jeder Hauptanspruch in der Zugriffsgruppe wird die Berechtigungen der Zugriffsgruppe erben.
Berechtigungen können direkt dem vertrauenswürdigen Profil mit einer Zugriffsrichtlinie gewährt werden.
Eine Zugriffsgruppe kann kein Mitglied einer anderen Zugriffsgruppe sein.

Rollen

Eine Rolle ist ein Set von granularen Berechtigungen. Eine Rolle ist einem Dienst gewidmet, was bedeutet, dass sie nur Berechtigungen dieses Dienstes enthalten wird.
Jeder Dienst von IAM wird bereits einige mögliche Rollen zur Auswahl haben, um einem Hauptanspruch Zugriff auf diesen Dienst zu gewähren: Viewer, Operator, Editor, Administrator (obwohl es mehr geben könnte).

Rollenberechtigungen werden über Zugriffsrichtlinien an Hauptansprüche vergeben. Wenn Sie beispielsweise eine Kombination von Berechtigungen eines Dienstes von Viewer und Administrator gewähren müssen, können Sie anstelle dieser 2 (und einer Überprivilegierung eines Hauptanspruchs) eine neue Rolle für den Dienst erstellen und dieser neuen Rolle die granularen Berechtigungen geben, die Sie benötigen.

Zugriffsrichtlinien

Zugriffsrichtlinien ermöglichen es, 1 oder mehrere Rollen eines Dienstes einem Hauptanspruch zuzuweisen.
Beim Erstellen der Richtlinie müssen Sie wählen:

  • Den Dienst, für den Berechtigungen gewährt werden
  • Betroffene Ressourcen
  • Dienst- und Plattform-Zugriff, der gewährt wird
  • Diese geben die Berechtigungen an, die dem Hauptanspruch gewährt werden, um Aktionen auszuführen. Wenn eine benutzerdefinierte Rolle im Dienst erstellt wird, können Sie diese hier ebenfalls auswählen.
  • Bedingungen (falls vorhanden), um die Berechtigungen zu gewähren

Note

Um einem Benutzer Zugriff auf mehrere Dienste zu gewähren, können Sie mehrere Zugriffsrichtlinien generieren

Referenzen

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstütze HackTricks