Disable

gcloud resource-manager org-policies disable-enforce [–folder | –organization | –project ]

</details>

Bu yöntem için bir python scripti [burada](https://github.com/RhinoSecurityLabs/GCP-IAM-Privilege-Escalation/blob/master/ExploitScripts/orgpolicy.policy.set.py) bulunabilir.

### `orgpolicy.policy.set`, `iam.serviceAccounts.actAs`

Genellikle farklı bir projeye ait bir service account'u bir kaynağa eklemek mümkün değildir çünkü bu işlemi engelleyen **`iam.disableCrossProjectServiceAccountUsage`** adlı bir kısıtlama uygulanır.

Bu kısıtlamanın uygulanıp uygulanmadığını aşağıdaki komutu çalıştırarak doğrulayabilirsiniz:

<details>
<summary>Projeler arası service account kısıtlamasını doğrulayın</summary>
```bash
gcloud resource-manager org-policies describe \
constraints/iam.disableCrossProjectServiceAccountUsage \
--project=<project-id> \
--effective

booleanPolicy:
enforced: true
constraint: constraints/iam.disableCrossProjectServiceAccountUsage

Bu, bir attacker’ın iam.serviceAccounts.actAs iznini kötüye kullanarak —örneğin yeni bir VM başlatmak için gereken ek altyapı izinlerine sahip olmadan— başka bir projeden bir service account’u taklit etmesini engeller; bu durum privilege escalation ile sonuçlanabilir.

Ancak orgpolicy.policy.set izinlerine sahip bir attacker, iam.disableServiceAccountProjectWideAccess kısıtlamasını devre dışı bırakarak bu sınırlamayı aşabilir. Bu, attacker’ın başka bir projeden bir service account’u kendi projesindeki bir resource’a eklemesine izin verir ve böylece ayrıcalıklarını etkili bir şekilde yükseltir.