IBM - Основна інформація

Reading time: 4 minutes

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks

Ієрархія

Модель ресурсів IBM Cloud (з документації):

Рекомендований спосіб розподілу проектів:

IAM

Користувачі

Користувачам призначено електронну пошту. Вони можуть отримати доступ до консолі IBM та також генерувати API ключі для програмного використання своїх дозволів.
Дозволи можуть бути надані безпосередньо користувачу за допомогою політики доступу або через групу доступу.

Довірені профілі

Це як Ролі AWS або облікові записи сервісів з GCP. Можливо призначити їх віртуальним машинам і отримати доступ до їх облікових даних через метадані, або навіть дозволити постачальникам ідентичності використовувати їх для аутентифікації користувачів з зовнішніх платформ.
Дозволи можуть бути надані безпосередньо довіреному профілю за допомогою політики доступу або через групу доступу.

Ідентифікаційні ID

Це ще один варіант, щоб дозволити додаткам взаємодіяти з IBM cloud і виконувати дії. У цьому випадку, замість призначення його віртуальній машині або постачальнику ідентичності, можна використовувати API ключ для взаємодії з IBM у програмному режимі.
Дозволи можуть бути надані безпосередньо ідентифікаційному ID за допомогою політики доступу або через групу доступу.

Постачальники ідентичності

Зовнішні постачальники ідентичності можуть бути налаштовані для доступу до ресурсів IBM cloud з зовнішніх платформ, отримуючи доступ до довірених профілів.

Групи доступу

В одній групі доступу можуть бути присутніми кілька користувачів, довірених профілів та ідентифікаційних ID. Кожен принципал у групі доступу успадкує дозволи групи доступу.
Дозволи можуть бути надані безпосередньо довіреному профілю за допомогою політики доступу.
Група доступу не може бути членом іншої групи доступу.

Ролі

Роль - це набір детальних дозволів. Роль призначена сервісу, що означає, що вона міститиме лише дозволи цього сервісу.
Кожен сервіс IAM вже матиме деякі можливі ролі на вибір для надання доступу принципалу до цього сервісу: Переглядач, Оператор, Редактор, Адміністратор (хоча може бути й більше).

Дозволи ролі надаються через політики доступу принципалам, тому, якщо вам потрібно надати, наприклад, комбінацію дозволів сервісу Переглядач і Адміністратор, замість того, щоб надавати ці 2 (і перевантажувати принципал), ви можете створити нову роль для сервісу і надати цій новій ролі детальні дозволи, які вам потрібні.

Політики доступу

Політики доступу дозволяють прикріпити 1 або кілька ролей 1 сервісу до 1 принципалу.
При створенні політики потрібно вибрати:

  • Сервіс, де будуть надані дозволи
  • Постраждалі ресурси
  • Доступ до сервісу та платформи, який буде надано
  • Це вказує на дозволи, які будуть надані принципалу для виконання дій. Якщо в сервісі створено будь-яку кастомну роль, ви також зможете вибрати її тут.
  • Умови (якщо є) для надання дозволів

note

Щоб надати доступ до кількох сервісів користувачу, ви можете згенерувати кілька політик доступу

Посилання

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks