IBM - Informations de base

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Hiérarchie

ModĂšle de ressources IBM Cloud (des docs):

Méthode recommandée pour diviser les projets :

IAM

Utilisateurs

Les utilisateurs ont un email qui leur est attribué. Ils peuvent accéder à la console IBM et également générer des clés API pour utiliser leurs permissions de maniÚre programmatique.
Les permissions peuvent ĂȘtre accordĂ©es directement Ă  l’utilisateur avec une politique d’accĂšs ou via un groupe d’accĂšs.

Profils de confiance

Ce sont comme les rĂŽles d’AWS ou les comptes de service de GCP. Il est possible de les attribuer Ă  des instances VM et d’accĂ©der Ă  leurs identifiants via les mĂ©tadonnĂ©es, ou mĂȘme permettre aux fournisseurs d’identitĂ© de les utiliser pour authentifier des utilisateurs provenant de plateformes externes.
Les permissions peuvent ĂȘtre accordĂ©es directement au profil de confiance avec une politique d’accĂšs ou via un groupe d’accĂšs.

Identifiants de service

C’est une autre option pour permettre aux applications de interagir avec IBM Cloud et d’effectuer des actions. Dans ce cas, au lieu de l’attribuer Ă  une VM ou Ă  un fournisseur d’identitĂ©, une clĂ© API peut ĂȘtre utilisĂ©e pour interagir avec IBM de maniĂšre programmatique.
Les permissions peuvent ĂȘtre accordĂ©es directement Ă  l’identifiant de service avec une politique d’accĂšs ou via un groupe d’accĂšs.

Fournisseurs d’identitĂ©

Des fournisseurs d’identitĂ© externes peuvent ĂȘtre configurĂ©s pour accĂ©der aux ressources IBM Cloud depuis des plateformes externes en accĂ©dant Ă  des Profils de confiance.

Groupes d’accùs

Dans le mĂȘme groupe d’accĂšs, plusieurs utilisateurs, profils de confiance et identifiants de service peuvent ĂȘtre prĂ©sents. Chaque principal dans le groupe d’accĂšs hĂ©ritera des permissions du groupe d’accĂšs.
Les permissions peuvent ĂȘtre accordĂ©es directement au profil de confiance avec une politique d’accĂšs.
Un groupe d’accĂšs ne peut pas ĂȘtre membre d’un autre groupe d’accĂšs.

RĂŽles

Un rĂŽle est un ensemble de permissions granulaires. Un rĂŽle est dĂ©diĂ© Ă  un service, ce qui signifie qu’il ne contiendra que des permissions de ce service.
Chaque service de l’IAM aura dĂ©jĂ  quelques rĂŽles possibles parmi lesquels choisir pour accorder un accĂšs Ă  un principal Ă  ce service : Visionneuse, OpĂ©rateur, Éditeur, Administrateur (bien qu’il puisse y en avoir d’autres).

Les permissions de rĂŽle sont donnĂ©es via des politiques d’accĂšs aux principaux, donc si vous devez donner par exemple une combinaison de permissions d’un service de Visionneuse et Administrateur, au lieu de donner ces 2 (et de sur-privilĂ©gier un principal), vous pouvez crĂ©er un nouveau rĂŽle pour le service et donner Ă  ce nouveau rĂŽle les permissions granulaires dont vous avez besoin.

Politiques d’accùs

Les politiques d’accùs permettent de joindre 1 ou plusieurs rîles d’un service à 1 principal.
Lors de la création de la politique, vous devez choisir :

  • Le service oĂč les permissions seront accordĂ©es
  • Ressources affectĂ©es
  • AccĂšs au service et Ă  la plateforme qui sera accordĂ©
  • Cela indique les permissions qui seront donnĂ©es au principal pour effectuer des actions. Si un rĂŽle personnalisĂ© est crĂ©Ă© dans le service, vous pourrez Ă©galement le choisir ici.
  • Conditions (le cas Ă©chĂ©ant) pour accorder les permissions

Note

Pour accorder l’accĂšs Ă  plusieurs services Ă  un utilisateur, vous pouvez gĂ©nĂ©rer plusieurs politiques d’accĂšs

Références

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks