HackTricks CloudIBM - Podstawowe informacje
Tip
Ucz się & ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.
Hierarchia
Model zasobów IBM Cloud (z dokumentacji):
.png)
Zalecany sposób podziału projektów:
.png)
IAM
.png)
Użytkownicy
Użytkownicy mają przypisany adres e-mail. Mogą uzyskać dostęp do konsoli IBM oraz generować klucze API, aby programowo korzystać ze swoich uprawnień.
Uprawnienia mogą być przyznawane bezpośrednio użytkownikowi za pomocą polityki dostępu lub poprzez grupę dostępu.
Zaufane profile
Są to jak role AWS lub konta serwisowe z GCP. Możliwe jest przypisanie ich do instancji VM i uzyskanie dostępu do ich poświadczeń za pomocą metadanych, lub nawet zezwolenie dostawcom tożsamości na ich użycie w celu uwierzytelnienia użytkowników z zewnętrznych platform.
Uprawnienia mogą być przyznawane bezpośrednio zaufanemu profilowi za pomocą polityki dostępu lub poprzez grupę dostępu.
Identyfikatory usług
To inna opcja, aby umożliwić aplikacjom interakcję z IBM Cloud i wykonywanie działań. W tym przypadku, zamiast przypisywać go do VM lub dostawcy tożsamości, można użyć klucza API do interakcji z IBM w sposób programowy.
Uprawnienia mogą być przyznawane bezpośrednio identyfikatorowi usługi za pomocą polityki dostępu lub poprzez grupę dostępu.
Dostawcy tożsamości
Zewnętrzni dostawcy tożsamości mogą być skonfigurowani do uzyskiwania dostępu do zasobów IBM Cloud z zewnętrznych platform, uzyskując dostęp do zaufanych profili.
Grupy dostępu
W tej samej grupie dostępu mogą być obecni różni użytkownicy, zaufane profile i identyfikatory usług. Każdy podmiot w grupie dostępu będzie dziedziczył uprawnienia grupy dostępu.
Uprawnienia mogą być przyznawane bezpośrednio zaufanemu profilowi za pomocą polityki dostępu.
Grupa dostępu nie może być członkiem innej grupy dostępu.
Role
Rola to zbiór szczegółowych uprawnień. Rola jest dedykowana usłudze, co oznacza, że będzie zawierać tylko uprawnienia tej usługi.
Każda usługa IAM będzie miała już dostępne możliwe role do wyboru, aby przyznać podmiotowi dostęp do tej usługi: Viewer, Operator, Editor, Administrator (chociaż może być ich więcej).
Uprawnienia ról są przyznawane za pomocą polityk dostępu do podmiotów, więc jeśli potrzebujesz na przykład kombinacji uprawnień usługi Viewer i Administrator, zamiast przyznawać te 2 (i nadmiernie upoważniać podmiot), możesz utworzyć nową rolę dla usługi i przyznać tej nowej roli szczegółowe uprawnienia, których potrzebujesz.
Polityki dostępu
Polityki dostępu pozwalają na przypisanie 1 lub więcej ról 1 usługi do 1 podmiotu.
Podczas tworzenia polityki musisz wybrać:
- usługę, w której będą przyznawane uprawnienia
- dotknięte zasoby
- dostęp do usługi i platformy, który będzie przyznany
- Te wskazują na uprawnienia, które będą przyznane podmiotowi do wykonywania działań. Jeśli w usłudze zostanie utworzona niestandardowa rola, będziesz mógł ją również wybrać tutaj.
- Warunki (je