GCP - 一般的な権限昇格

Reading time: 4 minutes

一般的に興味深い権限

*.setIamPolicy

あなたが**setIamPolicy権限を持つユーザーを所有している場合、そのリソース内で権限を昇格させることができます。なぜなら、そのリソースのIAMポリシーを変更して、より多くの権限を与えることができるからです。
この権限は、リソースがコードを実行できる場合に他のプリンシパルに昇格する**ことも可能です。iam.ServiceAccounts.actAsが必要ない場合です。

• cloudfunctions.functions.setIamPolicy
• Cloud Functionのポリシーを変更して、自分自身がそれを呼び出せるようにします。

この種の権限を持つリソースタイプは数十種類あり、https://cloud.google.com/iam/docs/permissions-referenceでsetIamPolicyを検索することで、すべて見つけることができます。

*.create, *.update

これらの権限は、新しいリソースを作成するか、既存のリソースを更新することによって権限を昇格させるために非常に便利です。この種の権限は、サービスアカウントに対してiam.serviceAccounts.actAs権限を持っている場合、特に有用です。また、あなたが.create/.update権限を持つリソースがサービスアカウントをアタッチできる場合にも有効です。

*ServiceAccount*

この権限は通常、特定のリソース内のサービスアカウントにアクセスまたは変更することを許可します（例：compute.instances.setServiceAccount）。これは権限昇格のベクトルにつながる可能性がありますが、ケースバイケースで異なります。