Disable

gcloud resource-manager org-policies disable-enforce [–folder | –organization | –project ]

</details>

A python script for this method can be found [here](https://github.com/RhinoSecurityLabs/GCP-IAM-Privilege-Escalation/blob/master/ExploitScripts/orgpolicy.policy.set.py).

### `orgpolicy.policy.set`, `iam.serviceAccounts.actAs`

보통 다른 프로젝트의 service account를 리소스에 연결하는 것은 불가능합니다. 이는 **`iam.disableCrossProjectServiceAccountUsage`** 라는 정책 제약이 적용되어 이러한 동작을 차단하기 때문입니다.

다음 명령을 실행하여 이 제약이 적용되어 있는지 확인할 수 있습니다:

<details>
<summary>Verify cross-project service account constraint</summary>
```bash
gcloud resource-manager org-policies describe \
constraints/iam.disableCrossProjectServiceAccountUsage \
--project=<project-id> \
--effective

booleanPolicy:
enforced: true
constraint: constraints/iam.disableCrossProjectServiceAccountUsage

이 설정은 공격자가 iam.serviceAccounts.actAs 권한을 남용해 다른 프로젝트의 서비스 계정을 가장하고, 예를 들어 새로운 VM을 시작하는 데 필요한 추가 인프라 권한 없이 권한 상승을 일으키는 것을 방지한다.

하지만 orgpolicy.policy.set 권한을 가진 공격자는 iam.disableServiceAccountProjectWideAccess 제약을 비활성화하여 이 제한을 우회할 수 있다. 이렇게 하면 공격자는 다른 프로젝트의 서비스 계정을 자신의 프로젝트 내 리소스에 연결하여 실질적으로 권한을 상승시킬 수 있다.