IBM - Βασικές Πληροφορίες

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Ιεραρχία

IBM Cloud resource model (from the docs):

Συνιστώμενος τρόπος διαχωρισμού έργων:

IAM

Χρήστες

Οι χρήστες έχουν μια διεύθυνση email που τους έχει ανατεθεί. Μπορούν να έχουν πρόσβαση στην IBM console και επίσης να δημιουργούν API keys για να χρησιμοποιούν τα δικαιώματά τους προγραμματικά.
Δικαιώματα μπορούν να παραχωρηθούν άμεσα στον χρήστη με μια πολιτική πρόσβασης ή μέσω μιας ομάδας πρόσβασης.

Εμπιστευμένα Προφίλ

Αυτά είναι σαν τους Ρόλους του AWS ή λογαριασμούς υπηρεσιών από το GCP. Είναι δυνατή η ανάθεση τους σε VM instances και η πρόσβαση στα διαπιστευτήρια τους μέσω μεταδεδομένων, ή ακόμα και η επιτρεπόμενη χρήση τους από Παρόχους Ταυτότητας για την αυθεντικοποίηση χρηστών από εξωτερικές πλατφόρμες.
Δικαιώματα μπορούν να παραχωρηθούν άμεσα στο εμπιστευμένο προφίλ με μια πολιτική πρόσβασης ή μέσω μιας ομάδας πρόσβασης.

IDs Υπηρεσιών

Αυτή είναι μια άλλη επιλογή για να επιτρέψει στις εφαρμογές να αλληλεπιδρούν με το IBM cloud και να εκτελούν ενέργειες. Σε αυτή την περίπτωση, αντί να ανατεθεί σε ένα VM ή Παροχέα Ταυτότητας, μπορεί να χρησιμοποιηθεί ένα API Key για να αλληλεπιδράσει με το IBM με προγραμματικό τρόπο.
Δικαιώματα μπορούν να παραχωρηθούν άμεσα στο ID υπηρεσίας με μια πολιτική πρόσβασης ή μέσω μιας ομάδας πρόσβασης.

Παρόχοι Ταυτότητας

Εξωτερικοί Πάροχοι Ταυτότητας μπορούν να ρυθμιστούν για να προσεγγίζουν πόρους IBM cloud από εξωτερικές πλατφόρμες μέσω της πρόσβασης σε εμπιστευμένα Εμπιστευμένα Προφίλ.

Ομάδες Πρόσβασης

Στην ίδια ομάδα πρόσβασης μπορούν να είναι παρόντες αρκετοί χρήστες, εμπιστευμένα προφίλ & IDs υπηρεσιών. Κάθε κύριος στην ομάδα πρόσβασης θα κληρονομήσει τα δικαιώματα της ομάδας πρόσβασης.
Δικαιώματα μπορούν να παραχωρηθούν άμεσα στο εμπιστευμένο προφίλ με μια πολιτική πρόσβασης.
Μια ομάδα πρόσβασης δεν μπορεί να είναι μέλος άλλης ομάδας πρόσβασης.

Ρόλοι

Ένας ρόλος είναι ένα σύνολο λεπτομερών δικαιωμάτων. Ένας ρόλος είναι αφιερωμένος σε μια υπηρεσία, που σημαίνει ότι θα περιέχει μόνο δικαιώματα αυτής της υπηρεσίας.
Κάθε υπηρεσία του IAM θα έχει ήδη κάποιους πιθανούς ρόλους για να επιλέξετε για να παραχωρήσετε πρόσβαση σε έναν κύριο σε αυτή την υπηρεσία: Viewer, Operator, Editor, Administrator (αν και μπορεί να υπάρχουν και άλλοι).

Τα δικαιώματα ρόλου δίνονται μέσω πολιτικών πρόσβασης στους κύριους, οπότε αν χρειαστεί να δώσετε για παράδειγμα μια συνδυασμένη δικαιώματα μιας υπηρεσίας Viewer και Administrator, αντί να δώσετε αυτά τα 2 (και να υπερβολικά δικαιώματα σε έναν κύριο), μπορείτε να δημιουργήσετε έναν νέο ρόλο για την υπηρεσία και να δώσετε σε αυτόν το νέο ρόλο τα λεπτομερή δικαιώματα που χρειάζεστε.

Πολιτικές Πρόσβασης

Οι πολιτικές πρόσβασης επιτρέπουν να συνδέσετε 1 ή περισσότερους ρόλους μιας υπηρεσίας σε 1 κύριο.
Κατά τη δημιουργία της πολιτικής πρέπει να επιλέξετε:

  • Την υπηρεσία όπου θα παραχωρηθούν τα δικαιώματα
  • Επηρεαζόμενοι πόροι
  • Πρόσβαση υπηρεσίας & πλατφόρμας που θα παραχωρηθεί
  • Αυτά υποδεικνύουν τα δικαιώματα που θα δοθούν στον κύριο για να εκτελέσει ενέργειες. Αν δημιουργηθεί οποιοσδήποτε προσαρμοσμένος ρόλος στην υπηρεσία, θα μπορείτε επίσης να τον επιλέξετε εδώ.
  • Συνθήκες (αν υπάρχουν) για την παραχώρηση των δικαιωμάτων

Note

Για να παραχωρήσετε πρόσβαση σε πολλές υπηρεσίες σε έναν χρήστη, μπορείτε να δημιουργήσετε πολλές πολιτικές πρόσβασης

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks