# IBM - Grundinformationen
{{#include ../../banners/hacktricks-training.md}}
## Hierarchie
IBM Cloud Ressourcenmodell ([aus den Dokumenten](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
Empfohlene Methode zur Aufteilung von Projekten:
## IAM
### Benutzer
Benutzern wird eine **E-Mail** zugewiesen. Sie können auf die **IBM-Konsole** zugreifen und auch **API-Schlüssel generieren**, um ihre Berechtigungen programmgesteuert zu nutzen.\
**Berechtigungen** können **direkt** an den Benutzer mit einer Zugriffsrichtlinie oder über eine **Zugriffsgruppe** gewährt werden.
### Vertrauenswürdige Profile
Diese sind **wie die Rollen von AWS** oder Dienstkonten von GCP. Es ist möglich, sie **VM**-Instanzen zuzuweisen und ihre **Anmeldeinformationen über Metadaten** abzurufen oder sogar **Identitätsanbietern** zu erlauben, sie zu verwenden, um Benutzer von externen Plattformen zu authentifizieren.\
**Berechtigungen** können **direkt** an das vertrauenswürdige Profil mit einer Zugriffsrichtlinie oder über eine **Zugriffsgruppe** gewährt werden.
### Dienst-IDs
Dies ist eine weitere Option, um Anwendungen zu ermöglichen, mit **IBM Cloud** zu **interagieren** und Aktionen auszuführen. In diesem Fall kann anstelle der Zuweisung an eine VM oder einen Identitätsanbieter ein **API-Schlüssel verwendet werden**, um programmgesteuert mit IBM zu interagieren.\
**Berechtigungen** können **direkt** an die Dienst-ID mit einer Zugriffsrichtlinie oder über eine **Zugriffsgruppe** gewährt werden.
### Identitätsanbieter
Externe **Identitätsanbieter** können konfiguriert werden, um **auf IBM Cloud**-Ressourcen von externen Plattformen zuzugreifen, indem sie **vertrauenswürdige Profile** nutzen.
### Zugriffsgruppen
In derselben Zugriffsgruppe können **mehrere Benutzer, vertrauenswürdige Profile & Dienst-IDs** vorhanden sein. Jeder Hauptanspruch in der Zugriffsgruppe wird die **Berechtigungen der Zugriffsgruppe erben**.\
**Berechtigungen** können **direkt** an das vertrauenswürdige Profil mit einer Zugriffsrichtlinie gewährt werden.\
Eine **Zugriffsgruppe kann kein Mitglied** einer anderen Zugriffsgruppe sein.
### Rollen
Eine Rolle ist ein **Set von granularen Berechtigungen**. **Eine Rolle** ist einem **Dienst** gewidmet, was bedeutet, dass sie nur Berechtigungen dieses Dienstes enthalten wird.\
**Jeder Dienst** von IAM wird bereits einige **mögliche Rollen** zur Auswahl haben, um **einem Hauptanspruch Zugriff auf diesen Dienst zu gewähren**: **Viewer, Operator, Editor, Administrator** (obwohl es mehr geben könnte).
Rollenberechtigungen werden über Zugriffsrichtlinien an Hauptansprüche vergeben. Wenn Sie beispielsweise eine **Kombination von Berechtigungen** eines Dienstes von **Viewer** und **Administrator** gewähren müssen, können Sie anstelle dieser 2 (und einen Hauptanspruch überprivilegieren) **eine neue Rolle** für den Dienst erstellen und dieser neuen Rolle die **granularen Berechtigungen geben, die Sie benötigen**.
### Zugriffsrichtlinien
Zugriffsrichtlinien ermöglichen es, **1 oder mehrere Rollen eines Dienstes an 1 Hauptanspruch anzuhängen**.\
Beim Erstellen der Richtlinie müssen Sie wählen:
- Den **Dienst**, für den Berechtigungen gewährt werden
- **Betroffene Ressourcen**
- Dienst- & Plattform-**Zugriff**, der gewährt wird
- Diese geben die **Berechtigungen** an, die dem Hauptanspruch gewährt werden, um Aktionen auszuführen. Wenn eine **benutzerdefinierte Rolle** im Dienst erstellt wird, können Sie diese auch hier auswählen.
- **Bedingungen** (falls vorhanden), um die Berechtigungen zu gewähren
> [!NOTE]
> Um einem Benutzer Zugriff auf mehrere Dienste zu gewähren, können Sie mehrere Zugriffsrichtlinien generieren
## Referenzen
- [https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises](https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises)
- [https://cloud.ibm.com/docs/account?topic=account-iamoverview](https://cloud.ibm.com/docs/account?topic=account-iamoverview)
{{#include ../../banners/hacktricks-training.md}}
.png)
.png)
.png)
.png)