HackTricks CloudIBM - Temel Bilgiler
Tip
AWS Hacking’i öğrenin ve pratik yapın:
HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın:HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks'i Destekleyin
- Abonelik planlarını kontrol edin!
- Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
- PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.
Hiyerarşi
IBM Cloud kaynak modeli (belgelerden):
.png)
Projeleri bölmek için önerilen yol:
.png)
IAM
.png)
Kullanıcılar
Kullanıcılara atanmış bir email vardır. IBM konsoluna erişebilirler ve ayrıca izinlerini programatik olarak kullanmak için API anahtarları oluşturabilirler.
İzinler, bir erişim politikası ile kullanıcıya doğrudan verilebilir veya bir erişim grubu aracılığıyla verilebilir.
Güvenilir Profiller
Bunlar AWS’nin Rolleri veya GCP’den hizmet hesapları gibidir. VM örneklerine atanmaları ve kimlik bilgilerine metadata aracılığıyla erişmeleri mümkündür veya Kimlik Sağlayıcılarının bunları kullanarak dış platformlardan kullanıcıları kimlik doğrulamasına izin vermesi mümkündür.
İzinler, güvenilir profile bir erişim politikası ile doğrudan verilebilir veya bir erişim grubu aracılığıyla verilebilir.
Hizmet Kimlikleri
Bu, uygulamaların IBM cloud ile etkileşimde bulunmasını ve eylemler gerçekleştirmesini sağlamak için başka bir seçenektir. Bu durumda, bir VM veya Kimlik Sağlayıcısına atamak yerine bir API Anahtarı kullanılabilir.
İzinler, hizmet kimliğine bir erişim politikası ile doğrudan verilebilir veya bir erişim grubu aracılığıyla verilebilir.
Kimlik Sağlayıcıları
Dış Kimlik Sağlayıcıları, güvenilir Güvenilir Profiller aracılığıyla dış platformlardan IBM cloud kaynaklarına erişmek için yapılandırılabilir.
Erişim Grupları
Aynı erişim grubunda birden fazla kullanıcı, güvenilir profiller ve hizmet kimlikleri bulunabilir. Erişim grubundaki her bir ana varlık, erişim grubu izinlerini devralacaktır.
İzinler, güvenilir profile bir erişim politikası ile doğrudan verilebilir.
Bir erişim grubu başka bir erişim grubunun üyesi olamaz.
Roller
Bir rol, granüler izinler setidir. Bir rol, bir hizmete adanmıştır, yani yalnızca o hizmetin izinlerini içerecektir.
IAM’nin her hizmeti, o hizmete bir ana varlık erişimi vermek için seçilebilecek bazı mümkün roller içerecektir: Görüntüleyici, Operatör, Editör, Yöneticisi (daha fazlası da olabilir).
Rol izinleri, ana varlıklara erişim politikaları aracılığıyla verilir, bu nedenle örneğin bir Görüntüleyici ve Yönetici hizmetinin izin kombinasyonunu vermeniz gerekiyorsa, bu iki izni vermek yerine (ve bir ana varlığı aşırı yetkilendirmek yerine), hizmet için yeni bir rol oluşturabilir ve o yeni role gerekli granüler izinleri verebilirsiniz.
Erişim Politikaları
Erişim politikaları, 1 hizmetin 1 veya daha fazla rolünü 1 ana varlığa eklemeye olanak tanır.
Politikayı oluştururken şunları seçmeniz gerekir:
- İzinlerin verileceği hizmet
- Etkilenen kaynaklar
- Verilecek hizmet ve platform erişimi
- Bunlar, ana varlığın eylemleri gerçekleştirmesi için verilecek izinleri belirtir. Hizmette herhangi bir özel rol oluşturulursa, burada da seçebilirsiniz.
- İzinleri vermek için koşullar (varsa)
Note
Bir kullanıcıya birden fazla hizmete erişim vermek için, birden fazla erişim politikası oluşturabilirsiniz.
.png)
Referanslar
- https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises
- https://cloud.ibm.com/docs/account?topic=account-iamoverview
Tip
AWS Hacking’i öğrenin ve pratik yapın:
GCP Hacking’i öğrenin ve pratik yapın:
Az Hacking’i öğrenin ve pratik yapın:HackTricks'i Destekleyin
- Abonelik planlarını kontrol edin!
- Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
- PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.