Вот это да, насколько всё сложнее, чем обычный пентест! В облаке реально главное — понять, кто какую роль может примерить и что через API сделать, а не просто открытые порты или классические сетевые уязвимости. Пока разбираюсь, но уже ясно, что без понимания связей там вообще никуда. Кажется, что без этих цепочек доступа пентест почти бессмысленен.